Ik ben al jaren abonnee van Computer en Techniek. Dit jaar bestaat het blad 25 jaar. Tijd voor een feestje, het blad organiseerde “c’t LIVE”, een evenement in de jaarbeurs in Utrecht op 8 oktober 2022.
Om 7.00 uur vertrokken, om 9.00 uur de auto geparkeerd. Hierna een stukje lopen, er is meer activiteit in de jaarbeurs, zoals de “camper en caravan jaarbeurs” en “GameForce NL”: games en cosplay (er zijn inderdaad verklede mensen).
Na de jas bij de garderobe ingeleverd te hebben een keycord om met naam en functie omgedaan te hebben: eerst een cappuccino! Hierna gaan we naar de grote zaal waar Noud van Kruysbergen de opening doet. Hij heet ons welkom en neemt nog even het programma door.
Ook de historie, hoe het ooit gestart is op een zolderkamer in Nijmegen (op basis van het Duitse blad) en hoe ze nu in het karakteristieke hoge gebouw in Nijmegen zitten (wat ik gezien heb toen ik van de parkeerplaats met alle anderen naar het Goffertpark liep voor het concert van Rammstein).
Omdat Patrick Lemmens ziek geworden is (hij zou een verhaal houden over monitorkalibratie) schuift de sessie die ook op dat tijdstip gehouden zou worden (Hackshield) door naar de grote zaal waar we nu zitten.
We starten meteen met de eerste sessie: Eric van Uden (van AVM) die spreekt over “recente ontwikkelingen op netwerkgebied”. AVM kennen we van de Fritzbox. Die ondersteunt alle typen modems, zowel ADSL als kabelmodem (coax) als glasvezel. Volgens Eric zijn providers verplicht om ook andere modems op hun netwerk toe te laten (dat heb ik ook ergens gelezen) en zitten in hun eigen modems ook de componenten zoals die ook in de Fritzboxen zitten.
Eric heeft een prima verhaal. Zo verwacht hij dat de set-up boxen die sommige providers nog gebruiken “end-of-life” worden, op tv’s komen ethernetaansluitingen en dan is die box niet meer nodig. De voordelen van Wi-Fi 6 komen voorbij (stabieler, geoptimaliseerde data transmisse, sneller, betere beveiliging, minder latency en een langere batterijduur (door slaapmode van devices)).
Een tijdsoverzicht met de verschillende Wi-Fi-standaarden (vanaf 1997 tot 2023: verwacht dat de definitieve specs voor Wi-Fi 7 opgeleverd worden). We zien een grafiek waarin de voorspelling staat hoe het verkeer op de Wi-Fi opgebouwd wordt, qua Home Computing blijft dat redelijk stabiel, maar er komen steeds meer andere apparaten op de lijn: smart TV, smart home. We zien hoe in Europa alleen het onderste deel van de 6 GHz band gebruikt mag worden (in de US mag de hele band gebruikt worden).
Door naar zaal 1 waar Sander Raaijmakers van Signify spreekt over “Connectivity Standards Alliance Zigbee Direct”.
Ik doe niets met Home Automation en deze sessie is voor mij meer een “filler”. Maar op zich wel interessant hoe je rechtstreeks met een lamp in je netwerk kunt “praten”. En hoe dat via het interne netwerk dan doorgaat. Voor de mensen die het interesseert, hier is meer informatie te vinden: link.
Hierna kan ik blijven zitten, want in zaal 1gaat Leo Rozendaal van Signify spreken over “Matter 1.0, ready to launch”. Matter is ook voor Home Automation, is gebaseerd op de principes van Zigbee, maar is een eigen pad opgegaan. Met Matter kun je zaken aansturen waar je met Siri (Apple) zou moeten zetten lamp.on, bij Cortana (Microsoft) lamp-active en via Google lamp.start = true, via Matter heb je 1 syntax om zaken aan te sturen. En via een switch kun je ook de zaken die Zigbee gebruiken aansturen. We zien hoe je op de app op een mobieltje de verschillende aangesloten onderdelen kunt zien. Als je een dev bent er meer mee wilt doen, er is een SDK voor Matter: link.
Hierna gaan we naar het “Juliana Plein” waar de lunch is. Broodjes met eiersalade, met makreel en ook nog met een kroket. Heel goed geregeld!
Daarna gaan we weer naar de centrale zaal. Jochen den Ouden spreekt hier over “Wat te doen tegen cybercriminelen”. Hij begint met HUE lampen en de vraag of we die kopen.. van Philips. Of Ali Express. Jochen noemt dat bij Defcon als proof of concept gekeken is of ze die kunnen hacken en dat is gelukt. Je zou er een massale DDOS-aanval mee kunnen starten: ik weet niet of dit het juiste artikel is: link.
We zien een filmpje van gasten die in dure auto’s voor het Kremlin rondscheuren, dat zijn hackers van Conti die met ransomware mensen/bedrijven afpersen.
Hierna komt Jochen met de term “Google Dorking”. Je gebruikt Google om te zoeken, maar je kunt ook zoeken op zaken waar Google zelf geen resultaten terug zou moeten geven. We gaan naar de Exploit Database.
Zo zien we hoe je open-directories kunt zoeken waar .sql-bestanden (met mogelijk credentials) zo in te kijken zijn. Zo vond Jochen eens een excel-bestand met wachtwoorden van een school. Toen hij dit meldde kreeg hij de reactie: “daar moet u vanaf blijven”.
En dat is dus het probleem. Er werken teveel mensen met computers die het “alleen” zien als een tool om op internet te surfen, te mailen en een briefje te typen. Een computer kan gebruikt (of misbruikt) worden om met een zwerm andere computers een server plat te leggen. Of als mensen bij je computer kunnen komen ransomware installeren om je daarmee af te persen: “wil jij je bestanden terug? Dan moet je betalen.”
Wat voor tools zijn er?
Zo komt KALI voorbij, een Linux distrubutie met 600+ tools.
De pine apple. Dat is een soort “valse router” die doet alsof hij een hotspot is. Heeft je mobiel eerder verbinding gemaakt met “mcdonalds” en checkt ie of deze er is, kan de pine apple doen “alsof” hij die hotspot is. Via http worden al je gegevens gelezen. Via https zul je een melding over een certificaat krijgen. Maar er zijn nog genoeg mensen die denken “het zal wel” en gewoon doorklikken.
Jochen heeft nog wat tips. Zo gaat Microsoft in Windows goed om met alle rechten e.d. op basis van Active Directory. Maar onder Linux kun je soms toch meer.
- Cracknet access
- Responder
- NTLMv2
- Hashcat om te kraken.
Jochen gebruikt de tool “phished” om te zien of mensen in phishing trappen. Hij kan niet de echte wachtwoorden zien, maar wel de hashes. En zo ziet hij dat iemand echt 4x dezelfde credentials ingevoerd heeft, ook al krijg je bij succesvol inloggen (altijd) te zien dat je “phished” bent. Dit was een KPN mail… waar deze gemeente niet eens zaken mee doet!
Daarna komt RDP ter sprake. Daar zat een bepaalde bug in, waar je door een buffer-overflow kon zorgen dat je als admin ingelogd in het systeem kwam, RDP bluekeep.
Met Metasploid framework kun je veel dingen doen.
Een ander systeem, waar Jochen mocht proberen om binnen te komen: de command-prompt was uitgeschakeld… maar met powershell kon hij nog gewoon een console openen. Via nmap kijken naar de poorten. Zoeken naar groups.xml, waar soms nog wat credentials in staan. Via de verkenner/command prompt mocht/kon hij er niet bij. Maar door het in de browser te openen, daar kon hij wel browsen…
Met Gpp-decrypt kun je bepaalde tokens decrypten. En omdat dit op een systeem 1 standaard waarde is werkt dat vanaf een ander account (dat begreep ik hier tenminste uit). Jochen kon bepaalde zaken open zetten met een stukje powershellscript, waardoor de pc op poort 1234 staat te luisteren (en hij vanuit huis daar zaken op kon vragen). Firewalls checken meestal niet op de lagere poorten…
Mallware blijft meestal rond de 100 dagen actief in je netwerk. Dat heeft te maken met het wissen van sporen en ook door de circulatie van backups, als die gedraaid worden is dat vaak om de 30 dagen. Dus als je langer blijft wachten is de kans groter dat backups als vervuild zijn en dus niet terug gezet kunnen worden.
- Dark net sheep – is niet meer online
- Premium cards – koop voor een spotprijs gestolen kaarten, loop je tegen de lamp: jouw risico, niet die van de hacker (die heeft mooi jouw geld al binnen)
- The paypal cent
- Telegram
Jochen laat nog een foto zien van een terminal bij Albert Heijn. Stond gewoon open. Handig voor de bijvullers. Maar als “langslopende klant” zou je hier mogelijk misbruik van kunnen maken. Overlegd met AH, ga je gang: score van 100%.
Dan zien we nog een filmpje, deur van de bank is dicht, man staat er voor met een glas whiskey. Dan spuugt hij op een bepaald moment die whiskey door de kier van de deur en trekt deze open: een sensor heeft de beweging gedetecteerd en bepaald dat de deur open kan/mag. Hier op Youtube te bekijken: link.
En in deze sessie kwam natuurlijk ook een oude bekende terug: Shodan.
We kunnen blijven zitten in de grote zaal, Tim Murck van Hackshield spreekt over “Cybersecurity met HackShield”. Mooie aanvulling op het vorige verhaal. Want we moeten met zijn allen nog veel wantrouwender worden als we online zijn (en offline ook trouwens, als die “bankmedewerker” belt om je pinpas op te halen). Hackshield is een online game voor kids tussen 8 en 12 jaar om “cyber skills” te ontwikkelen. Een soort 3D platform-spel met keuze-momenten. Kies je voor wachtwoord “Konijn2020” of “@f34MaBC#23#”. Dit kan ook in de klas behandeld worden, daarvoor is een 8-delig lespakket opgezet, per les 35 minuten op het digi-bord. Het stimuleert de kinderen om ook met hun ouders, buren, familie in gesprek te gaan over veilige wachtwoorden en andere cybersecurity zaken.
Hoewel het geen Fortnite is, moet het hier wel mee concurreren. Hoe zorg je dat kids dit spel zo leuk vinden dat ze het gaan (en blijven) spelen? In Nederland zijn nu 80.000 kids actief.
Er zijn plannen om dit uit te breiden naar België, Brazilië en Duitsland. En er wordt gewerkt aan een versie voor 13 tot 16 jarigen (als het goed is vanaf november live).
Er wordt ontwikkeld in Unity (iemand uit het publiek vraagt of klasgenoten van hem die nog een stageplek zoeken bij Hackshield aan de slag zouden kunnen gaan: ja dus). Hackshield heeft net een prijs gewonnen. En ik moet zeggen: ik vind het een geweldig initiatief. In plaats van kinderen leren “code te maken”, eerst maar eens alle gevaren en “best practices” leren, zodat we vanuit de basis al “secure software” krijgen.
Weer terug naar het “Juliana Plein” met een cappuccino en dan door naar zaal 4 waar Kelli van der Waals spreekt over “Hoe technologie ons anders naar onszelf doet kijken”. Op de slide staat trouwens “Het publieke leven van de smartphone-generatie”. Kelli heeft een aantal boeken geschreven, Picture Perfect en Koud Water. En ze schrijft onder andere voor Vrij Nederland, Trouw en de Volkskrant.
Kinderen van nu groeien op met Internet, die weten niet van een tijd “voor internet”. En omdat je (meer) deelt, bang bent zaken te missen, je de “perfecte” foto wilt delen (en dat de volgende keer en de keer daarop ook wilt doen) zijn kids nu bezig om zichzelf als een merk neer te zetten. Kelli is met een groepje pubers op pad geweest, de foto die gemaakt is, is met de juiste belichting, juiste hoek. En de dames wisten ook precies wanneer het juiste tijdstip was om die foto te delen: niet op dat moment, vrijdag 18.00 uur!
Het boek Forever Employable van Jeff Gothelf wordt genoemd. En ook Weapons of Mass Destruction van Cathy O’ Neil. Het feit dat de IT-bazen hun eigen kinderen naar scholen brengen zonder sociale media, zou toch al aan moeten tonen, dat het niet gezond is om jouw kinderen daar al op een vroege leeftijd aan bloot te stellen. En de film “The Social Dilemma” wordt genoemd, waarin je kunt zien hoe de grote bedrijven proberen de aandacht van hun “klanten” zo lang mogelijk vast te houden.
En dan de laatste sessie in de grote zaal, Pieter Dubelaar spreekt over “blockchain: de zin en onzin van crypto, smart-contracts, NFTs en Web3”.
We zien een aantal verschillende methodes om teksten te versleutelen. De simpelste, door het verschuiven van de letters (5 naar rechts, dus A wordt F, Z wordt E), de Enigma-code.
Adam Beck werd gek van SPAM en bedacht iets om ervoor te zorgen dat het met een stukje berekening moeilijker werd om ongewenste mail te versturen.
Bij de start van Bitcoins was ook al redelijk snel de ransomware uitgevonden. Zo meldt Pieter dat op 7 oktober Binance via een hack veel geld verloren is: link.
We zien de overzichten met energieverbruik. En ook dat Ethereum nu geswapped is en daardoor 99.95% minder verbruik heeft.
De blockchain was wat nieuws en heeft veel developers geïnspireerd, maar waarbij ook een mogelijke “normale” oplossing met een database prima gewerkt had. Maar het koppelen van “iets” met een time-stamp, daar is de blockchain uitermate geschikt voor. Pieter behandelt zijn eigen uitwerking om iets te registreren (als hij een goed idee had en iemand kwam later met hetzelfde idee: kijk ik was de eerste). Maar zo heb je nu dus ook foto’s uit de Oekraïne, zodat je kunt zeggen: dit was de situatie op dit tijdstip. Het is nog zoeken naar een online centrale identiteit. Want het “inloggen via Facebook/Google”, daarbij liggen jouw credentials eigenlijk nog steeds bij een andere partij. We zien nog even een screenshot van het inloggen via Ethereum, misschien wordt dat straks “de” oplossing?
En we zien nog hoe je een “life experience” bij kunt houden, via poap.xyz zet je dat op de blockchain!
Via zijn LinkedIn zag ik dat Pieter zijn slides gedeeld heeft, dus mocht je deze nog willen bekijken, via Google Docs: link.
Rond 16.00 uur is het programma afgelopen. Er wordt nog een winnaar bekend gemaakt die wat gewonnen heeft en dan lopen we terug naar het “Juliana Plein”. Nog even een biertje en terug naar de auto: om 18.30 uur ben ik weer thuis.
CT heeft zelf ook nog een korte samenvatting met foto's geplaatst, voor de oplettende kijker, die ziet mij ook op een aantal staan: proof I was there: link.