Terugblik Hardwear.io: de hoogtepunten voor de hostingsector 1/2

Wie het twitteraccount van ISP Today met een schuin oog volgt zal het zijn opgevallen: vorige week was in Den Haag de 2017 editie van Hardwear.io. Als mediapartner hebben we er vooraf aandacht voor gevraagd. Na afloop kijken we er met dit en een volgend artikel nog eens op terug.

Chronisch onderschatte security risico’s

De veel gesteld vraag was ook dit jaar weer: waarom zou een hoster, provider of datacenter medewerker überhaupt iets met Hardwear.io moeten doen? De conferentie – en de twee daaraan voorafgaande dage met trainingen – draait om het hacken van hardware. Dat lijkt voor velen te abstract en een “te ver van mijn bed show” om van directe waarde te kunnen zijn.

Net als vorig jaar is ISP Today van mening dat iedereen die dat denkt de plank misslaat. Deels de plank misslaat, want er zaten ook dit jaar meerdere talks in het conferentie gedeelte dat voor iedereen in de sector relevant is. We doelen dan op talks die concrete uitleg geven over bestaande en chronisch onderschatte security risico’s. Doel van Hardwear.io is risico’s en zwakheden die onderschat worden bekend te maken en te bespreken zodat ze gefixed kunnen worden.

Uit de talks die een directe link met de hosting sector hebben worden er drie kort beschreven. Van twee ervan zullen later nog YouTube opnames beschikbaar komen. Als het goed is worden de slides van alle drie de talks online gezet.

De eerste talk waar we bij stilstaan is de keynote van Dr. Christof Paar van de Ruhr Universiteit in Bochum. Zijn talk (“Hardware Trojans and the Internet of Things”) draaide om trojans in hardware. Trojans en andere vormen van malware worden tot zo ver bekend bijna uitsluitend via software verspreid, maar is het ook mogelijk dat echt in de hardware te integreren. Een typische academische vraag, maar na de nodige experimenten op Intel i7 CPU’s is de conclusie: ja dat kan en het is verdraaide lastig te detecteren.

Het slechte nieuws is dus dat het kan en terugblikkend in de literatuur is er tenminste een case bekend die daardoor verklaard kan worden. Het goede nieuws is dat terwijl in Bochum het onderzoek werd afgerond en een verdedigingsstrategie werd uitgedacht een team uit Japan met een eerste methode is gekomen trojans in hardware te detecteren.

Het presentatie was indrukwekkend en ook voor niet diehard hardware hackers te volgen. Als het goed is zal niemand uit die zaal met ruim 200 aanwezigen nu nog uit een onbekende bron hardware (componenten) aanschaffen. Dat is ook de boodschap voor de sector.

Arduino – niet YubiKey

Tweede talk was stukken concreter Joe FitzPatrick presenteerde in sneltreinvaart een aantal “experimenten” om bestaande security devices te klonen of na te maken. De bekende RSA SecurID dongel heeft hij omgebouwd tot een sniffer en van die fake uitvoeringen heeft hij er op beurzen een aantal “per ongeluk” laten slingeren. Je kunt je voorstellen wat daarvan de impact is als die meegenomen. Nog erger is de geslaagde test op basis van een Arduino Nano board een YubiKey na te maken. Het werkt en stelt de aanvaller in staat een bestaande Yubikey ID met succes te klonen.

Joe vroeg de zaal nog eens goed na te denken hoe men aan de eigen Yubikey is gekomen, want als hij dit kan vervalsen dan is de kans aanwezig dat ook anderen het kunstje beheersen.

Twee cases die toch aardig aangegeven waarom Hardwear.io ook voor de medewerkers van de hostingsector interessant en relevant is. Woensdag deel 2 van de terugblik op Hardwear.io 2017.

 

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen