Start today, secure tomorrow.

Japan 2016

By Barry Nov 01, 2016

Een bezoek aan Japan eerder dit jaar was geweldig! Dit kwam mede door het kunnen bezoeken van zowel Codeblue, AVTokyo en Pacsec , maar ook door de mogelijkheid om met Aziatische communities te spreken alsmede internationale sprekers aan te horen. Tot het bezoek behoorde ook het meespelen van een aantal CTF’s, diners en/of café bezoeken binnen de community.
Natuurlijk kan ik roepen dat een bezoek aan Japan, één van de meest technologische geavanceerde landen ter wereld, synoniem staat voor het gebruik van technologie. Dit is merkbaar aan kleine zaken zoals hoe de gemiddelde Japanner alles doet met zijn/haar mobiel. Sommige mensen gebruiken überhaupt geen PC meer. Het is ook te zien aan hoe het gebruik is geïntegreerd binnen de infrastructuur technologie, zoals in het treinsysteem, waarbij vertragingen direct worden doorgegeven aan Google Maps.
De technologie maakt de hele wereld natuurlijk een stuk slimmer (smart-devices), maar het maakt ons ook een heel stuk kwetsbaarder.

Op Codeblue werd een wedstrijd gehouden waarbij deze smart-devices voor thuis beschikbaar werden gesteld om te mogen hacken, o.a. een NAS (Network Attached Storage), IP Camera en een Remote USB adapter waren beschikbaar. Indien er een kwetsbaarheid werd gevonden, dan was er prijsgeld beschikbaar voor de 3 beste kwetsbaarheden. Mijn focus stond op de Remote USB, een apparaat waarbij het mogelijk is om een USB apparaat via het netwerk op afstand te kunnen benaderen. Al direct viel mijn oog op het bevriezen (DOS) van het apparaat bij het aanpassen met vreemde tekens en grote lengte van de hostname. Na onderzoek is dit de start van een bufferoverflow waarvan nog verder onderzocht gaat worden wat hier nu werkelijk de impact van is.

Enabling vs Disabling Tech
In het verlengde van deze “enabling technology”, werd een interessante keynote presentatie gegeven over hoe Estland bezig is met het automatiseren van haar overheidsprocessen. Van elektronisch te mogen stemmen tot elektronische patiëntendossiers is het mogelijk om via je digitale paspoort (welke in een pasje kan zitten of in je telefoon) je (overheids)zaken te regelen. Een mooie functionaliteit, echter waar ikzelf wel mijn vraagtekens bij heb is juist niet de “enabling side” maar meer de “disabling side”.
Als ik het heb over disabling technology, dan denk ik niet aan het niet mogelijk maken van technologie maar vooral het bepalen tot hoever technologie mag gaan zoals:
- Detectie wanneer iets wordt misbruikt
- Stoppen van functionaliteit bij misbruik
- Denken in lagen van functionaliteit (adapted security) en de daarbij horende redelijke middelen
- Fallback en integriteitscontrole
- Weten waar de grens ligt.

Een voorbeeld: Estland maakt het mogelijk om digitaal te stemmen. Om er zeker van te zijn dat de uitkomst te vertrouwen is, vraag ik mij af of het werkelijk mogelijk is om de integriteit van de verkiezingen vast te stellen. Wat mij betreft, zit het probleem in het gebruik van veel onzekere schakels zoals de endpoints. Stel dat deze schakels en/of de endpoints geïnfecteerd zijn, hoe kan ik dan als stemmer vaststellen dat mijn stem daadwerkelijk is uitgevoerd en niet een zogenaamde versie die wordt getoond? Persoonlijk zou ik toch liever teruggaan naar papier, waarbij de uitgebrachte stem fysiek te controleren is. Het antwoord van Estland hierop is het gebruik van een keychain, waarbij integriteit aantoonbaar is. Maar… kan een gebruiker dit zelf ook? Ik hoop het wel…!
Een ander punt in dit voorbeeld is de vraag wie de stemmingen in kan zien. Dit zou namelijk een belangrijk privacy punt zijn.

Gelukkig zijn er ook mooie voorbeelden te noemen waarbij ik ervan uitga dat het zelfs in de toekomst ons leven alleen maar beter gaat maken, maar ik prefereer om ons eerst te focussen op de minder gevaarlijke functionaliteit..