Verslag Back to School - Software security

08-11-2012

Dit verslag is geschreven door Joep Joosten(@joepjoosten). Bedankt Joep!

Verslag van de Devnology Back to School bijeenkomst 7 nov 2012 bij de Radboud Universiteit in Nijmegen.

Afgelopen jaren zijn veel beveiligingslekken in allerlei soorten software en hardware gevonden. Sommige van deze lekken halen zelfs het nieuws, getuige deze headlines: "EenVandaag: nieuwe pinnen onveilig", "NOS: Gebruik Internet Explorer niet", "NOS: Journalist vrijuit na kraak ov-chip", en deze: "NOS: Analfabete Ethiopische kinderen hacken tablets".

Hoe kan dit keer op keer gebeuren? Dit heeft te maken met de focus van de ontwikkelaar. Er wordt vaak pas na het in productie nemen van de software / hardware gedacht aan de beveiliging, of zelfs helemaal niet. Software engineers en gebruikers zijn vaak alleen maar gefocust op de functionele aspecten van de programmatuur. Hoe vaak wordt er door de opdrachtgever gevraagd om veilige software? Dit is in het algemeen een aanname die wordt gemaakt door de opdrachtgever. Bewustwording bij software engineers is een van de aspecten om software veiliger te maken. Belangrijke hulpmiddelen hiervoor zijn o.a. de top 10 lijst van de meest gemaakte beveiligingsfouten opgesteld door OWASP (Open Web Application Security Project).

In de sessie Software Security van het Back to School programma traden er twee sprekers op die elk vanuit een eigen invalshoek ons bewuster van dit fenomeen gemaakt hebben.

Zo verteld Walter Belgers tijdens zijn lezing dat deze top 10 van de lijst met meest gemaakte beveiligingsfouten de afgelopen jaren maar weinig wijzigingen heeft gekend. Dat betekend dat we keer op keer dezelfde fouten blijven maken. Walter heeft de lijst met ons doorgenomen en van voorbeelden voorzien. Ook vertelde hij over handige hulpmiddelen om je eigen computer netwerk, servers en software te testen op bestaande beveiligingslekken.

De tweede lezing werd verzorgd door Erik Poll. Bij binnenkomst liet hij direct zien dat de verschillende smartcards, zoals je id-kaart, paspoort of chip-knip, eenvoudig zijn uit te lezen. Met zijn eigen demo opstelling las hij heel eenvoudig mijn id-kaart uit. Hij heeft zelfs een app op zijn nfc smart-phone die in staat is hetzelfde te doen. In zijn lezing legde hij uit hoe een smartcard werkt, en hoe de beveiliging van verschillende smartcards te kraken is. Dit kan softwarematig, maar het is ook mogelijk om de beveiliging bloot te stellen door er fysiek met een laser op te schieten. Er zijn volgens Erik veel smartcard makers die een eigen encryptie methode maken. Dit zijn precies de smartcards die eenvoudig te kraken zijn, want deze voldoen niet aan het "principe van Kerckhoff".

Om je niet helemaal ongerust te maken: Walter en Erik zien wel dat er steeds beter wordt gelet op beveiliging. De beveiliging verbeterd en de methodes om software en hardware te kraken worden steeds ingewikkelder en duurder. Hierdoor wordt het minder aantrekkelijk om dit deel van de keten te misbruiken. Kwaadwillende stappen dan, onder de naam "social engineering", over op andere methodes. Bij deze techniek maken hackers gebruik van de zwakste schakel in computerbeveiliging, namelijk de mens.

Slides

Hacking Smartcards RFID

Foto's

{artsexylightbox flickrNumberOfImages="26" flickr="Devnology" flickrSet="72157631962267281/"} {/artsexylightbox}

News @devnologynl

There you have it: Devnology predicts 2027. Thanks all for sticking with us over the years! https://t.co/pMmr5PCztx

19-04-2017 at 20:01

Nerds talking the last 8 years, and making predictions for the next. https://t.co/VGT8XIFQ0j

19-04-2017 at 18:37

@_angelos opening the last Devnology meeting with a tweet of the first one he attended https://t.co/ufAYScx3cn

19-04-2017 at 17:08

Qwan 5dff39510bacfcefb54e89f953eddfc1a7a21185b7128d96ff6b466f56acb6d9
Macaw 06e9331a5321067b592bf45ea39db7df6792dc976000d24d3ee4043d99203514
Finalist e304343cdbeb0996cc1e7a26527993a5fa2db87ca53a81fb15dca22a35d7f28c

Devnology is a non-profit organisation and thus depends on sponsors. Thanks to our wonderful sponsors all Devnology events are free!