DaedaWorks bezocht BlackHat en DefCon

Augustus staat binnen de informatiebeveiliging vooral in het teken van een aantal grote conferenties die jaarlijks in Las Vegas plaats vinden. BlackHat en DefCon (maar ook hun kleinere broertje BSides Las Vegas) zetten de trends als het gaat om nieuwe technieken en kwetsbaarheden. Waar BlackHat vooral gericht is op de zakelijke kant van informatiebeveiliging, is DefCon de beurs waar de “echte” hackers samen komen om informatie en ideeën uit te wisselen, mee te doen aan wedstrijden of demonstraties bij te wonen van de nieuwste tools.

Een greep uit enkele trends en opvallende zaken:

Veilig stemmen

Stemcomputers zijn (nog steeds) erg onveilig. Tijdens DefCon kregen bezoekers de gelegenheid om een groot aantal stemcomputers te onderwerpen aan een veiligheidstest, de resultaten waren niet best. Nagenoeg alle stemcomputers bleken beveiligingsfouten te bevatten.

Beveiliging in de cloud

De Cloud kan erg veilig zijn, in veel gevallen veiliger dan apparatuur in eigen beheer. Wél moeten dan enkele organisatorische maatregelen genomen worden. Zo presenteerde Microsoft enkele statistieken over het gebruik van Azure. Slechts 7% (!) van de organisaties gebruikt Twee Factor Authenticatie voor haar beheeraccounts.

Een ander hardnekkig misverstand is dat Cloud software veilig is als het standaard wordt geïnstalleerd. Uit verschillende presentaties bleek echter dat sommige standaard instellingen grote risico’s met zich mee brengen. Zo bevat de populaire containersoftware Kubernetes een aantal risico’s bij een standaard installatie. Het verhelpen hiervan is vaak een kwestie van een aantal instellingen aanpassen.

Beveiliging op scholen

Ook de beveiliging van onderwijssoftware had de aandacht. Een 17 jarige leerling presenteerde zijn onderzoek naar de status van de beveiliging hiervan. De conclusies laten zich raden: Hij was in staat studieresultaten aan te passen, dossiers in te zien en in sommige gevallen zelfs in staat gegevens van andere scholen met dezelfde software aan te passen!