Afgelopen week was ik in Las Vegas voor Black Hat en Def Con, twee van de grootste hackerconferenties ter wereld. Het is een voorrecht om een week lang tussen duizenden hackers te mogen rondlopen. En ik ik vond het een goed moment om deze nieuwsbrief na een halfjaar radiostilte weer tot leven te wekken, om met jullie te delen wat mij opviel in Las Vegas.

Op conferenties als Def Con en vooral Black Hat gaat het vaak over ingewikkelde hacks. Bijvoorbeeld een aanval op Intel-processors, waarbij een aanvaller fouten in het fysieke ontwerp van de chip kan misbruiken om in het ernstige geval wachtwoorden of andere gevoelige gegevens buit te maken.

We gaan dit soort hacks waarschijnlijk nog wel vaker zien, want sinds Meltdown en Spectre is de interesse van onderzoekers voor processor-bugs gewekt.

Maar het is ook goed om daarbij in je achterhoofd te houden dat de risico’s in potentie ernstig zijn, maar dat dat niet betekent dat internetcriminelen volgende week massaal phishing hebben ingeruild voor het kraken van processors.

Niet alleen heb je voor zo'n aanval al aanwezigheid op een systeem nodig, door middel van een ander lek of door een gebruiker om de tuin te leiden; ook is het een aanval die veel expertise en geduld vereist.

Dat maakt het niet erg waarschijnlijk dat de gemiddelde internetter hier ooit slachtoffer van wordt. En zelfs meer geavanceerde hackaanvallen beginnen vaak met phishing. Vaak zullen er ook bij die aanvallen – gericht op de kritieke infrastructuur of mensen als politici, mensenrechtenactivisten en journalisten – simpeler manieren zijn om bij een doelwit te komen dan door een processor te kraken.

Dat betekent niet dat Intel (en in mindere mate andere processorfabrikanten) geen werk aan de winkel hebben, maar ik denk wel dat het goed is om uit te leggen dat mensen niet in paniek hoeven te raken. Dat deed ik dus in een artikel op NOS.nl.

Voor verkiezingen geldt weer een heel ander threat model. Voor de meeste thuisgebruikers is het niet zo realistisch om rekening te houden met een aanvaller bij hen thuis inbreekt, malware installeert op een laptop of telefoon en vervolgens weer vertrekt. Toch is dat iets waar veel mensen dankzij technologieën als secure boot in uefi en de T2-chip in de Mac redelijk tegen zijn beschermd.

Je zou dan ook verwachten dat dat bij stemcomputers niet anders is. Toch wisten hackers op Def Con fysiek eenvoudig toegang te krijgen tot elke stemcomputer die de organisatoren van de voting village op die conferentie hadden ingevlogen.

De organisatoren waren dan ook niet te spreken over de beveiliging van de stemcomputers. Eén deelnemende hacker, Rachel Tobac van SocialProof Security, slaagde erin om binnen een halfuur in te breken op een stemcomputer.

Als een stemcomputer Nyan Cat afspeelt, weet je dat er iets niet helemaal goed gaat: dan heb je toegang tot het systeem en zou je ook minder prettige dingen kunnen doen.

Weliswaar heb je voor de meeste van deze aanvallen fysieke toegang tot het apparaat nodig, maar dat is voor aanvallers die verkiezingen willen verstoren wellicht niet zo'n probleem. Door één stemcomputer te kraken zou je ongemerkt de stemmen van honderden tot zelfs duizenden mensen kunnen manipuleren.

Extra interessant dit jaar was het project van de leger-innovatiemachine Darpa, die bezig is met een systeem dat minder makkelijk te kraken zou moeten zijn. Dat systeem zou ook kunnen worden gebruikt voor stemcomputers en een prototype was aanwezig om te kunnen worden gehackt.

Het systeem zou minder vatbaar moeten zijn voor typische beveiligingsproblemen zoals buffer overflows, waarbij je het geheugen laat overlopen en bij de daaropvolgende crash eigen code probeert uit te voeren.

Helaas weigerde het systeem tot zondagochtend dienst, waardoor we weinig conclusies kunnen verbinden aan het feit dat geen hacker er met succes op heeft kunnen inbreken.

Heb je tips voor in deze nieuwsbrief of voor een verhaal op NOS.nl? Mail me op joost@schellevis.net. Of bekijk deze tips om me veilig te contacteren.