Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief
John Veldhuis

Bento box met genoeg smaken voor elk wat wils

20 juni 2014 - 10:225 minuten leestijdOpinieSecurity & Awareness
John Veldhuis
John Veldhuis

Op vrijdag de dertiende ontving ik een last-minute uitnodiging voor de twaalfde Black Hat Session. Aangezien ik de mensen van Madison Gurkha regelmatig tegenkom op securitybeurzen en het onderwerp 'Inlichtingendiensten, Spionage en Privacy' me bijzonder aansprak, ging ik hierop in. Hier kreeg ik geen spijt van. Wat eten, drinken en locatie betreft, pico bello. Maar daar ging het niet om.

Onder het motto ‘kennis delen’ werd er een bento box op ons losgelaten, met genoeg smaken voor elk wat wils. De workshop met als toetsenbord programmeerbare usb-stick was al volgeboekt, gelukkig was er nog genoeg interessants over.

Om te beginnen kwam een van mijn favoriete Europarlementariërs vertellen over wat zij zoal uitspookt in het Europarlement. Met Marietje Schaake deel ik haar zorgen over het misbruik door bijna alle overheden van surveillance-apparatuur, maar ook hun onbekendheid met de mogelijkheden en valkuilen van ict. Ik ben dan ook blij met wat ze vooralsnog in het Europese Parlement voor elkaar heeft weten te krijgen, al zijn de wetgeving en maatregelen nog lang niet toereikend.

Legal interception-systemen

Dat de overheid meer en meer afhankelijk wordt van private partijen, en hier dus ook kwetsbaarder door wordt, is mij nog duidelijker geworden. Dat leveranciers van legal interception-systemen hun slechte reputatie op het gebied van privacy juist als een pluspunt zien, was nieuw voor me. Het zou grappig zijn als het niet zo triest was.

Een ander inzicht was dat overheden geen wet- en regelgeving voor zero day exploits zouden willen omdat ze er zelf afhankelijk van zijn, of zelfs verslaafd. Dat onze Commissie Stiekem al jaren klaagt over het gebrek aan medewerking van inlichtingendiensten maar ook al jaren roept dat de controle prima in orde is, is een tikkeltje tegenstrijdig en een voorbeeld van het onverantwoordelijke gebrek aan democratische controle en rechterlijke toetsing dat inherent lijkt aan het werken met inlichtingendiensten. Zeer informatief, maar ik werd er niet vrolijker van.

TREsPASS

Van de sessie daarna wel, van Wolter Pieters over TREsPASS. Ik kon kiezen tussen vier technische en vier niet-technische sessies. Ik heb gekozen voor niet-technische sessies in de ochtend en technische in de middag. Maar ik had ze allemaal wel willen volgen. Gelukkig komen ze online, als ik me niet vergis. Maar nu terug naar TREsPASS.

Door in kaart te brengen langs welke lijnen aanvallers kunnen proberen in te breken, en wat hen dat kost qua centen, tijd en kennis, kun je bepalen welke beveiligingsmaatregelen het beste rendement opleveren. Gekoppeld aan systemen als Archimate kun je zoiets gebruiken als een navigatiesysteem, dat je kan vertellen wat de voor de aanvaller meest economische en efficiënte manieren zouden zijn om binnen te dringen, al naar gelang de resources van de aanvaller. Uiteraard hebben de criminelen allang zoiets, maar die moeten eerst maar zien dat het interne netwerk van het doelwit in kaar gebracht wordt. Dit alles uiteraard onder de paraplu van risicobeheer. Leuk waren de link met de in de fysieke wereld allang bekende classificaties voorinbraakwerendheid, die zijn er namelijk niet in de digitale wereld, en het laptopdiefstal-experiment. Zeer interessante materie.

Ot van Dalen

Hierna was Ot van Dalen aan de beurt, die een schets gaf van de geschiedenis van het gevecht tussen privacy en staatsveiligheid, dat al gaande is sinds het idee van privacy populair is geworden. Wat pijnlijk duidelijk is geworden dat inlichtingendiensten bijna allemaal roepen dat ze zich aan de wet houden, en daarna doen waar ze zin in hebben. Een de gevaarlijkste voorbeelden hiervan is wel het ondermijnen van encryptie en encryptiestandaarden, waardoor iedereen kwetsbaarder wordt. Als bijvoorbeeld financiële transacties via internet niet alleen te monitoren maar ook te manipuleren zijn moeten we allemaal terug naar contant geld.

Wanneer een inlichtingendienst zijn spyware laat meeliften met Windows Updates kun je dat zeker vergelijken met het vervoeren van sluipschutters in Rode Kruis-auto’s. Bedenkelijk is dat er, ondanks dat de AIVD niet rechtstreeks de AMS-IX mag aftappen, er blijkbaar geen bezwaar is wanneer de NSA dit zou doen en daarna de witgewassen informatie bij de AIVD inlevert. De AIVD zou er toch voor moeten zorgen dat AMS-IX niet afgetapt wordt?

IPv6 en hardeschijfversleuteling

Na een paar lekkere broodjes kregen we van Sander Degen uitleg over de mogelijkheden en uitdagingen voor verdediger en aanvaller wanneer IPv6 in het plaatje komt. Fragmentatie is nog steeds een issue, begrijp ik. Uitermate informatief, en kijk zeker ook naar het in zijn presentie genoemde rapport. Ik kan hier niets meer aan toevoegen.

Aangezien ik al bijna 25 jaar met hardeschijfversleuteling bezig  ben, had het onderwerp van Job de Haas, Spies and secure boot, mijn speciale interesse. Tot en met slide 44 (ze gingen heel snel!) was er voor mij geen nieuws, maar werd de kennis zeer smakelijk en behapbaar opgediend. Wat mij betreft een aanrader voor iedereen die security-wise met TPM/UEFI/Bitlocker/Windows 8/smartphones/tablets te maken krijgt. Tip: versleutel niet alleen je schijven, maar ook je (vertrouwelijke) bestanden.

Minpuntje

Over het slotwoord van Wilma van Dijk kan ik kort zijn: Volgens mij kwam het uit de mond van een professionele en bevlogen dame, wier oprecht streven het is van Nederland een digitaal gezien veilige plek te maken. Haar gevoel voor humor zal de door haar nagestreefde samenwerking schuine streep participatie van overheid en bedrijfsleven op het gebied van digitale veiligheid zeker goed doen. Ik wens haar veel succes!

Het enige minpuntje: het overvloedige gebruik van het woord ‘cyber’.

Meer over

ExploitsGPS

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    Filter
    OpinieCloud & Infrastructuur

    Ddos-aanvallen (en waarom L3-filtering niet optioneel is)

    ActueelInnovatie & Transformatie

    Kort: Innovatiezone in Almere, grote Defensiedeal Pro Warehouse (en meer)

    AchtergrondSecurity & Awareness

    Dit gaat NIS2 jouw bedrijf aan tijd en geld kosten

    compliance
    OpinieGovernance & Privacy

    Waarom Dora- en NIS2-compliance beginnen met assetmanagement

    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs