image

Column: Verslag Blackhat Briefings

vrijdag 13 juli 2001, 09:40 door Redactie, 0 reacties

Dit is een verslag van een security congres dat jaarlijks gehouden wordt
in Las Vegas, NV, USA. Alle presentaties staat (of komen te staan) op de
site www.blackhat.com. Tevens zijn de genoemde tools te vinden via
deze presentaties of op de blackhat.com site.

Zoals voorgaande jaren gingen de Blackhat Briefings vooraf aan Defcon. Er
waren maar liefst vier parallelle sessies. Tijdens de opening bedankte
Jeff Moss het publiek voor het komen, dit had vooral te maken met het
vroege beginnen van de conferentie, namelijk om 8 uur 's morgens.
Vervolgens was het de beurt aan James Bamford. Deze man heeft een aantal
jaren geleden de "Puzzle Palace" geschreven. Dit is een boek over de
NSA (In god we trust all others we monitor). Inmiddels is er een vervolg op
dat boek. Hij had prachtige anekdotes over hoe hij aan de informatie over
deze zeer geheime organisatie gekomen is. Soms was dat met een beetje
geluk maar vooral inventiviteit, vasthoudendheid en volharding hadden de
"intell" opgeleverd. Saillant detail was dat hij de onlangs gearessteerde
FBI topman, Hansen, goed kende/kent. Maar dan niet als een "spion voor
de russen" maar als een oerconservatieveling die erop aandrong dat hij
naar de kerk zou gaan en tevens als een man die zich afvroeg of hij
(Bamford) niet teveel (geheime) informatie prijsgaf via zijn boeken.

Vervolgens was het tijd voor een parellelle sessie. De eerste "Tools of
the trade" sessie werd gedaan door Thomas van de
firma Defcom (met een m!). Hij heeft een tool gemaakt waarmee je een
"target" kan poortscannen via een "decoy" zodat jouw ip-adres nooit in de
log van het "target" kan verschijnen. Volledig "blind" scannen dus.
Hij legde wat theorie uit en gaf daarna een demonstratie van zijn
tool. Wellicht een tool om rekening mee te houden in de toekomst en
het heden.

Na de gesponsorde koffiepauze was het tijd voor een "Deep Knowledge"
track. Dan Kaminsky had het over openssh. Ikzelf had geen idee wat er
allemaal met dat openssh mogelijk is. Een heel scala aan mogelijkheden
passeerde de revu, "portforwarding", alternatieven voor scp, redirects,
en wat al niet meer kwam voorbij. Jammergenoeg geen demonstraties maar
aan de hand van zijn slides kan er leuk gespeeld worden.

Ook tijdens de lunch was er een presentatie. Richard Thieme gaf een
dubbelzinnige speech over alles. Kern van het betoog was dat de
context de "content" bepaald. Niet alleen in de computersecurity
wereld maar in de hele wereld. Hij schetste een m.i. heel pessimistisch
beeld van de wereld waarin niemand de hele werkelijkheid kent en een
nog pessimistischer beeld van de toekomst. Leuk voor tijdens de lunch maar
persoonlijk lijkt het me meer iets voor wetenschapsfilosofen.

De rest van de middag heb ik de "Tools of the trade" gevolgd. Eerst
Simple Nomad en Todd Sabin met de Razorwarez (razor.bindview.com).
In tegenstelling tot de meeste sprekers had Nomad zijn presentatie in
ASCII gemaakt. Erg verfrissend in vergelijking met de
powerpoint-presentaties. De razorwarez zijn gratis tools voor UNIX maar
ook enkele voor windows. Zelf waren ze zeer tevreden over de naam
"hashpipe", voor 1 van de tools. Behalve deze "hashpipe" waren er
geen nieuwe tools te bewonderen. Zelfs deze nieuwe tool is eigenlijk
een verzameling van oudere tools waarmee je NT4/5 wachtwoorden kan
"grabben".

Vervolgens was Martin van Snort aan de beurt. Hij legde in korte tijd
uit wat Snort is, wat je er allemaal mee kan en wat voor
ontwikkelingen in de pijplijn zitten. Hij is er ooit aan begonnen
omdat hij "tcpdump" meer dan zat was. Hij wilde meer en toen schreef
hij Snort. Het is een netwerk "intrusion detection system"(ids). Let op
het doet geen preventie. Sinds maandag is er een nieuwe Snort uit die
"stateful inspection" doet. In de toekomst zal het tevens een "host"
ids kunnen zijn. Martin zei verder letterlijk: "if you sent me e-mail
and it turns out you did not read the Usage file, I'll turn into Theo (De Raadt, red)".
Oftewel RTFM.

Als laatste op de eerste dag was RainForestPuppy. Veel mensen hadden
gehoopt dat hij zijn nieuwe whisker (2.0) zou releasen, maar helaas. Hij
was er inmiddels aan begonnen maar af is het nog niet.

's Avonds was er een receptie. De ideale plek om wat mensen te
ontmoeten die computersecurity als werk/hobby/idealisme/doel etc.. hebben.
Winn Schwartau deed het beta-testen van zijn "CyberEthical Surfivor"
game. Deze game was voor alle leeftijden(PG 13) maar zal tijdens Defcon
voor 18 jaar(X) en ouder worden beloofde hij. Een vraag was; je bent
directeur van een b.v. en je ligt onder vuur van een (d)dos aanval,
wat doe je?

Hierna was het tijd om het casino te verlaten. Dit is zelfs voor
sommige Amerikanen best wel lastig. Het is niet overdreven om te
zeggen dat velen uren op zoek zijn naar de (juiste) uitgang.

De tweede en laatste dag van Blackhat begon niet met de geplande
adviseur van de president op het gebied van "cybersecurity", deze was
om volstrekt onbekende redenen niet in staat om tijd vrij te maken.
Het werd dus een wervingspraatje van Bill en Kevin. Werving om vooral
eens na te denken over een carriere of functie binnen de " law
inforcement". Natuurlijk is hiervoor het Amerikanas Staatsburgerschap
vereist dus niet iedereen had de moeite genomen om zo tegen 8.00 am
aanwezig te zijn.

Tim Newsham van @stake had het over het kraken van WEP. Om dit te
kunnen doen heeft hij een tool geschreven, wepcracker, die sinds
vandaag te "downloaden" is. Hij gaf een demonstratie van deze tool en
voor iedereen met een "wireless lan" zou ik zo zeggen, probeer het
eens uit.

Tijdens de lunch mocht Bruce Schneier het woord voeren. Natuurlijk
ging het over het monitoren en reageren op securityincidenten.
Verdedigen is leuk maar als er iets gebeurd zal je moeten weten wat te
doen. Natuurlijk, omdat Bruce een bedrijf heeft wat hierbij past.
Bruce mag maandag voor het congres gaan vertellen hoe hij over
computer/internet security denkt, maar hij vertelde het publiek dat
hij nog niet wist wat hij in die vijf minuten ging zeggen. Ikzelf
krijg steeds meer het gevoel dat Bruce een aspect vergeet. Te weten
kwaliteit. Waarom accepteert iedereen het toch dat er software is die
geen enkele kwaliteit heeft. Verzekeringen en monitoring door
peperdure mensen is goed, maar waarom wordt software nog steeds
geleverd "as is"?

Lance Spitzner van het Honeynet Project had het gedurende de middag
over zijn Honeynet Project. Aan dit project werken zo'n dertig
personen mee, die allemaal verschillende kwaliteiten bezitten. Voor
alle informatie zie project.honeynet.org. Het project
bestudeerd "blackhats" door ze een "worst" (het honeynet) te geven.
Het is een onderzoeksproject om de tools, motieven en trends in de
"blackhat" wereld te bestuderen. Tevens biedt het een schat aan
informatie voor de security wereld.

De laatste dag van Blackhat betekent tevens de vooravond van Defcon.
De eerste straalbezopen tieners waren al voor zonsondergang te vinden
in de lobby van Alexis park. Hopelijk brengt het driedaagse Defcon 9
programma net zoveel discussie, nieuwe inzichten, toekomstige plannen
en wat al niet meer m.b.t. computerbeveiliging als Blackhat.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.