Hardwear.io – want van de talks kunnen we zoveel leren

Afgelopen week werd in Den Haag de jaarlijkse training-conferentie Hardwear.io gehouden. ISP Today is trouw mediapartner van die kleinschalige event dat uniek is voor de Nederlandse markt. De pers, ook de IT titels, schrijft er niet over. Wij doen dat wel, we laten ons niet afschrikken door de locatie (een hotel in Den Haag) of de hoofdmoot van het programma (hardware hacken).

Dat ISP Today dit event live volgt en niet achteraf de videos doorscrollt volgt heeft een hele simpele reden. Hardware zorgt er voor dat elke hoster en elk datacenter zijn business kan doen. Hardware die niet deugt is een risico. Waar het gaat om hardware zoals routers en switches zit dat zo dicht op de core business van de lezers dat daarover berichten nuttig en zelfs noodzakelijk is.

In het verlengde daarvan is er nog een valide reden hier aan te schuiven. Dit is het type events waar ook wordt stilgestaan bij de reacties van vendoren die fouten maken. Soms is dat heel professioneel, en dan zal de zaal ook applaudisseren. Soms is dat zo tenenkrommend slecht dat zelfs de makers van Kassa of Radar TV verbaasd zouden staan.

Voor de editie 2018 zijn van beiden zaken een voorbeeld te geven. Het was voor het eerst dat een spreker die twee voorbeelden kon geven. Andrew Tierney (beter bekend onder de twitterhandle aksCyberGibbons) sprak voor de pauze over een irritant en mogelijk onderschat risico van Z-Wave apparatuur. The Hackernews heeft er voor de zomer al uitgebreid bij stil gestaan, op Reddit is er ook een hoop over te vinden. Z-Wave is een protocol om smart dingen aan te sturen. Gloeilampen, thermostaten, deursloten, brievenbussen, inbraaksystemen, gazon sproei installaties. Een breed scala dus en de kans bestaat dat dit soort typische enduser zaken ook in zakelijke omgevingen wordt toegepast.

Het Z-Wave protocol is lek, al jaren trouwens. Een upgrade naar versie 2.0 zou verbetering moeten brengen op in theorie is dat ook het geval. Maar als je op The Hackernews komt met je product is dat wel een indicatie dat die upgrade niet zo tof is als gedacht. Andrew en zijn team hebben dat ook uitgevonden. Met een minimale inspanning in tijd en kosten is het mogelijk elk geupgrade device remote te downgraden. Daarna is het kinderspel. Je kunt midden in de nacht gazonsproeiers aanzetten of de verlichting van de buren voluit zetten en nog veel meer. Enige beperking is dat je op maximaal 30~50 meter van het object moet staan. Een beetje inbreker die smart home of smart office beveiligingen wil omzeilen zal die afstand geen probleem vinden.

Het mooie aan deze talk was dat een van de software vendors in de keten in de zaal zat, zich kenbaar maakte en ook aangaf op welke punten verder verbeteringen worden doorgevoerd. Quasi in het hol van, toegeven dat iets stuk is en zonder marketing praat uit kunnen leggen wat je gaat fixen. Zo iemand krijgt applaus.

Na de lunch kwam Andrew nog eens aan het woord. Deze keer over een onderwerp dat iedereen welk bekend zal zijn. De affaire Bitfi, of hoe een stel onderzoekers het aan de stok kregen met John “I invented CyberSecurity” McAfee.

Deze talk duurde 45 minuten, de zaal zat stampvol en luisterde aandachtig. De video is echt de moeite van het kijken waard. Wat je dan in ieder geval leert is hoe je niet moet reageren. Fake identiteiten van de mensen achter Bitfi, het terugtrekken van een bugbounty programma, zelfs het online bedreigen, alles komt voorbij.

Na het zien van de video weet je in ieder geval een ding: als je ooit door security testers het vuur aan de schenen wordt gelegd maak dan geen gebruik van fake identiteiten om vals nieuws te verspreiden. Die strijd ga je nooit winnen, ook niet als je John McAfee heeft. Het enige dat je dan bereikt is een Google ranking waar je heel erg lang last van hebt.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.