Security: als niemand het wil doen, wie dan wel?

30 mei 2017

Teddybeer-hack

Het begon allemaal met Rueben Paul, 11 jaar oud en CEO van CyberShaolin. Overgekomen vanuit de VS om de eerste dag te openen, allicht een grote eer voor hem, maar nog veel grotere eer voor ons! Rueben demonstreerde hoe makkelijk het is om een smart teddybeer te hacken via een man-in-the-middle-attack.Schitterend om te zien! Stel je eens voor: een kleine jongen die zonder verhoging niet boven de desk uitkomt, voert het ene na het andere commando uit op zijn Raspberry Pi om een teddybeer te besturen. Prachtig. Ook heel eerlijk: waarschijnlijk was het minder cool geweest als er een stereotype, langharige, iets te dikke nerd had gestaan. Maar toch, wat Rueben ons liet zien was erg indrukwekkend! Dit soort kids zijn de toekomst!

Terughacken van een phishing-aanval

Na de teddybeer-hack volgde een presentatie over het terughacken van een phishing-aanval zodat een volgende golf razendsnel gedetecteerd kan worden. Grappig genoeg werd een dag later de discussie gevoerd of het ethisch verantwoord is om terug te hacken. Ben je dan net zo fout bezig of is er toch een gradatie in foutheid?

Telefoonhack in 20 seconden

De laatste presentatie die ik graag wil noemen is die van Saket Modi. Live op het podium hackte hij de telefoon van een toeschouwer om te laten zien hoe makkelijk en vooral snel je toegang kan krijgen. Nog geen 20 seconden had hij de telefoon vast, waarna hij deze terug gaf aan de lieftallige dame. Optisch niets veranderd, maar Saket had nu volledige controle over zo’n beetje het gehele leven van deze mevrouw.

Ransomware en samenwerking

Goed, even terug naar het algemene concept van de One Conference. Het thema van dit jaar was ‘We are all connected’, maar in mijn optiek stonden twee begrippen centraal: ‘ransomware’ en ‘samenwerking’. Heel logisch aangezien enkele dagen eerder WannaCry de wereld in haar greep hield wat een gewillig voorbeeld werd bij vele presentaties. Niet zo zeer vanwege deze versie want die zat toch enigszins amateuristisch in elkaar. Nee vooral vanwege de gevolgen van dit soort aanvallen in de toekomst.

Imperfecte mindset

Er gebeurde echter nog iets opvallends. Iets dat op mij nog veel meer indruk maakte dan al het andere dat ik gezien heb. Het gebeurde niet op het podium, maar in het publiek. Tijdens de opening van de tweede dag nam schuin voor mij een keurige meneer plaats. Blijkbaar minder geïnteresseerd in de presentatie werd de laptop opengeklapt waarbij het login-scherm verscheen. Vijf karakters later was de man al ingelogd. Mijn interesse was gewekt. Een remote-desktop sessie wordt geopend en wederom volstaan vijf karakters om in te loggen. Waarschijnlijk dezelfde vijf karakters. Stomverbaasd volg ik deze ontwikkeling. Even later verschijnt het welbekende venster over het installeren van updates. En inderdaad, bijna conform verwachting wordt dit venster vakkundig genegeerd en via de annuleren-knop wordt die vervelende popup weer weggeklikt. Nu kan er tenminste rustig verder gewerkt worden aan zijn slides.

Na een korte adempauze waarin ik me afvraag waarvan ik zojuist getuige was, begon het door te dringen. We kunnen nog zoveel waarschuwen, richtlijnen opstellen, wetten bedenken en dreigen met extreem hoge boetes, daarmee gaan we het niet redden. Deze meneer in het publiek is namelijk het perfecte voorbeeld van een imperfecte mindset. Zelfs als de hele wereld nog in de ban is van WannaCry, worden al veel meer computers geïnfecteerd met Adylkuzz, dat gebruik maakt van exact hetzelfde lek in Windows. Blijkbaar zien we ofwel de noodzaak van updates en security niet of zijn we te druk bezig met roepen dat ‘het met dit en dit systeem nooit was gebeurd’.

Dan toch Skynet?

Zouden we inderdaad niet meer op mensen moeten vertrouwen als het gaat om digitale veiligheid? Hebben we misschien systemen nodig die dat voor ons regelen? Zou Skynet dan toch een goed idee zijn…?

Over Robin van Sambeek

Auteur Robin van Sambek is co-founder van Topicus Keyhub. De tool brengt identity en access management naar nieuwe hoogtes dankzij centrale authenticatie en decentrale autorisatie.