19.00-21.00 Hack Talk 1: Helden in cyber security

Elger Jonker over het SHA Hackerskamp waar van 3 tot en met 8 augustus 3.650 hackers gingen maken, breken en spreken.
Elger was bij SHA2017 samen met Attilla de Groot en Julius ter Pelkwijk eindverantwoordelijk voor het kernteam dat de afgelopen twee jaar de voorbereidingen deed. Terwijl we hierover praten op het podium, speelt onze VJ Pleun de time laps op de achtergrond, waar te zien is hier het kamp werd opgebouwd en afgebroken.

Hij vertelt hoe SHA niet-hiërarchisch is georganiseerd. Eigenlijk is het vooral een hoog intelligente zwerm van 1.000 vrijwilligers, ook wel Angels genaamd. Niet alleen Nederlanders, maar ook Belgen, Britten, Italianen en vooral veel Duitsers, van de Chaos Computer Club. Er was vooral veel lof voor het team dat de elektronische badge had gemaakt: “Geen hackerskamp heeft ooit zo’n awesome badge gehad, waarmee SHA2017 een nieuwe standaard heeft gezet.”

Heeft hij zelf nog presentaties gezien? “Nee, ik was eigenlijk alleen bij onze eigen opening- en closing talk en die van het badge team. Ik ga al lang mee en bekijk de talks altijd achteraf, want die worden opgenomen. Kijk maar op media.ccc.de. Er staan al 150 talks op en er komen nog 150 bij. De kwaliteit is dit jaar erg goed.” En nu, hoe is het leven na SHA? Jazeker, Jonker heeft nu eindelijk weer tijd voor zijn project Faalkaart.nl. Dat is een kaart van Nederland waarop staat geprojecteerd hoe veilig gemeentewebsites zijn. Hij zoekt nog vrijwilligers om mee te helpen.
John Fokker, projectleider bij Team High Tech Crime van de Nederlandse politie, over hoe Nomoreransom.org de strijd aangaat met cybercriminelen.
Deze boomlange ex-marinier zie je niet zo snel een hele dag achter de computer zitten, maar toch is ook hij zeker een cyber security held. Als projectleider van Nomorerandsome.org bindt hij vanuit Team High Tech Crime van de Nederlandse politie de strijd aan met ransomeware. Dat begon iets meer dan een jaar geleden, toen zij via anti-virusbedrijf Kasperski de sleutels in handen kregen van de ransomware Wildfire. Ook McAfee en Europol haakte aan en een samenwerkingsverband was geboren om decrypotietools te ontwikkelen en die online beschikbaar te maken.

Nu, een jaar later, bestaat het project inmiddels uit 119 partners, een bonte verzameling van security bedrijven en overheidsinstellingen van over de hele wereld. Ze hebben decryptietools ontwikkeld voor vele tientallen randsomwares. De site is helemaal vormgegeven volgens Wild West thema’s, compleet met “cryptosherrif”. Daar kun je een besmet bestand uploaden en dan kijkt hij wat het is en of het ontsleuteld kan worden. Je kunt ook de decryptietools downloaden en zelf aan de slag gaan.

Wat kunnen we volgens John zelf doen om ransomware tegen te gaan? Ten eerste: zorg voor back-ups. Als je besmet raakt kun je die weer terugzetten. Ten tweede: stel segmentatie in, zodat besmettingen niet meteen over je hele systeem uitzaaien. Ten derde: updaten. Malware komt vaak binnen via bekende kwetsbaarheden in verouderde software, die in nieuwe versies verholpen zijn. Tot slot: betaal niet, want zolang er nog mensen blijven betalen, blijven cyber criminelen ons bestoken met ransomeware en dat moet stoppen.

Rik van Duijn, ethisch hacker bij DearBytes over Shadowbrokers: NSA exploits voor iedereen.
Rik kennen we nog van Game of Toons vorig jaar, toen hij met zijn team LooneyToons de prijs won voor “The Most Dangerous Hack”. Twee weken geleden viel hij ook in de prijzen bij de Haagse Mystery Bug Challenge omdat hij, samen met zijn collega Wesley een kritieke kwetsbaarheid vond in denhaag.nl. Een echter serial winner dus en held in cyber security. Deze aflevering is hij erbij omdat hij in zijn vrije tijd onderzoekt wat voor kwetsbaarheden de NSA voor ons achterhoudt.

Dat begon op 14 maart dit jaar, toen Microsoft de kritieke patch MS17-010 uitbracht. Deze zou een bug fixen, zonder vermelding wat het was en wie die had gevonden. Het weekend van Pasen had Rik had niet zoveel te doen en toen plots een nieuwe release van de ShadowBrokers werd uitgebracht . Tot zijn verbazing zag hij dat het een zeer fundamentele kwetsbaarheid in Windows SMB betrof. Sterker nog, iedere versie van Windows bleek kwetsbaar, dat terwijl de NSA exploit een compilatie datum had uit 2008!

Rik kijkt wel vaker wat de Shadow Brokers te koop aanbieden. Deze vermoedelijk Russische hackersgroep breekt namelijk in bij de NSA om hun tools te stelen en die online te verkopen. Veel van de NSA exploitskits zijn gebaseerd op ingekochte of ontwikkelde zero-days en uitermate gebruiksvriendelijk. Er zijn immers onvoldoende experts om aan de hack honger van NSA te voldoen, waardoor ze veel hacktools geschikt maken van minder getalenteerd personeel. Die blijken er vervolgens slordig mee om te gaan en zo vallen deze tools in handen van anderen.

In de veiling van augustus werd een exploit en kernel implant vrijgegeven, oftewel een tool om de meest fundamentele rechten van een computer over te nemen, die vervolgens ook gratis werd aangeboden. De exploit buitte een kwetsbaarheid in de Windows implementatie van Server Message Block (SMB), het netwerkprotocol dat gebruikt wordt om in Microsoft Windows bestandsuitwisseling tussen meerdere computers mogelijk te maken. De kwetsbaarheid kan door malware gebruikt worden om zich direct in het geheugen te nestelen zonder en neemt je hele computer over zonder dat je er iets van merkt. Dat kan bij alle Windows computers, vanaf XP tot en met 10. Ransomeware als Wannacry en (not)Petya zijn gebaseerd op deze exploit, door de NSA genoemd: Eternal Blue. De eternal series in de het NSA arsenaal staat voor alle exploits welke gebruik maken van Windows SMB, mogelijk dat de NSA hier iets mee probeert te zeggen.

Dit is nogal wat: NSA houdt een zeer fundamentele kwetsbaarheid achter, die door de Russen is gestolen, vervolgens door de Noord-Koreanen gebruikt om ransomeware te maken en pas als die uitbreekt wordt Microsoft ingelicht om het te patchen. We vragen daarom de zaal wie schuldig is aan de schade die door Wannacry is veroorzaakt. Een enkeling vindt de medewerkers van Microsoft, want die hadden deze kwetsbaarheid zelf moeten vinden. Een ander vindt Noord Korea, want die hebben er malware van gemaakt. Niemand stemt op de Russen. En nog wat mensen vinden de gebruikers: die hadden tijdig moeten updaten omdat Wannacry pas een maand na de release toesloeg. De meerderheid vindt dat we allemaal schuldig zijn: we moeten samen deze kwetsbaarheiden actiever vinden en oplossen.
Astrid Oosenbrug en Mischa van Geelen van de Cyberwerkplaats over hoe je hackjongeren aan een baan helpt.
Astrid heeft samen met Anouk Vos en Mary-Jo de Leeuw de Cyberwerkplaats opgericht. Eigenlijk uit een soort frustratie: ze zien veel hacktalent dat verloren gaat omdat ze niet tot de arbeidsmarkt doorstromen. "OK, ze maken foutjes met d-tjes en t-tjes, maar ze zijn reteslim met computers. Dan moet je toch niet naar diploma's kijken, maar gewoon naar wat iemand kan? Wij kijken vooral naar motivatie: waarom wil je hier bij de Cyberwerkplaats aan de slag?"

Mischa van 18 jaar was zo'n leerling. Hij zat zich stierlijk te vervelen op het vmbo, dus ging daar maar het netwerk hacken. Astrid heeft hem onder de arm genomen om zijn plek te vinden, onder andere via een training bij IT-Vitae. Is hij een van de leeringen van de werkplaats? Nee, hij is een van de leraren. Hij heeft namelijk inmiddels heeft hij meer dan 500 Responsible Disclosures op zijn naam staan, bij aardig wat security bedrijen gewerkt en heeft nu twee eigen bedrijven. Hij heeft ook voor de leerlingen een hack challenge ontwikkeld: "Concour the world".

Astrid schiet meteen in de lach: "Ja, Andrea was de eerste die de challenge oploste. Een meisje dus. Die jongens allemaal chagrijnig enzo." Een andere jonge hackster, de 15-jarige Danique, won de kluisuitdaging. De werkplaats is namelijk gehuisvest in Office 42, een oud bankgebouw. Daar staat in de kelder een grote, 40-jaar oude kluis, waarvan de sleutel zoek is. Na een spoedcursus lock-picking gingen de werkplaats leerlingen aan de slag. Terwijl de jongens met sleutels in de weer gingen, belde Danique de oud-directeur van de leverancier op en wist hem te overtuigen een paar mannen te sturen die voor haar de kluis konden openen, een mooi staaltje social engineering.

Andrea heeft nu dankzij de cyber werkplaats een baan als onderzoekster. Een andere werkplaatsjongere ging aan de slag bij de politie, om apps te ontwikkelen en een Zawadi van 18 jaar, is als software engineer aan de slag bij Intermaxx, een Rotterdams IT-bedrijf. Directeur Ludo Bauw bleek in de zaal te zitten en wilde wel een toelichting geven. Hij is erg blij met de Cyberwerkplaats want IT-talent is moeilijk te vinden. Zawadi deed eerst stage bij hem en is nu aan de slag als Junior Secure Webdeveloper. Andere collega's van Bauw blijken ook les te geven op scholen, om zo te laten zien dat IT-security een fascinerend vakgebied is.

Mischa vult nog aan: "De Cyberwerkplaats is niet alleen bedoeld om je zo snel mogelijk aan een baan te helpen. Het is ook een safe haven: hier kun je gewoon jezelf zijn." Astrid: "Inderdaad, we willen vooral een zo laagdrempelig mogelijke plek zijn voor bijzondere jongeren. We zijn er niet om onder de leerplicht uit te komen en we zijn ook niet geaccrediteerd als onderwijsinstelling. Ik neem ook geen jongeren aan die gestuurd worden, ze moeten echt zelf willen. Ik heb er een stuk of vijftien moeten afwijzen."

De leerlingen van de Cyberwerkplaats hoeven ook niet te betalen voor hun lessen. Alles draait op vrijwilligers en de bijdragen van bedrijven waar de jongeren stage lopen. Astrid krijgt momenteel veel verzoeken van andere steden om daar iets vergelijkbaars op te zetten. De vraag is of dit Rotterdamse succes zomaar is te kopiëren naar andere steden. We zullen zien.

Toegang was gratis. Dat kon omdat we gesteund werden door organisaties die net als wij graag kennis delen over cyber security. Dus, met dank aan: