Die conclusie trekken verschillende sprekers op de Hack in the Box-conferentie in Amsterdam, een aanhoudende demonstratie van onvermogen van de grootste leveranciers. Daarbij was de centrale boodschap dat er eigenlijk te weinig getest is om zwakheden te ontdekken.

Apple Macs, iPhones en iPads kwetsbaar

Zo toonde Ilja van Sprundel zwakenheden in de IOKit van Apple, een API (interface) om allerhande drivers aan MacOS X toe te voegen. Hij concludeert dat er mooie mogelijkheden in de kit zitten, maar dat deze ook wel erg diep in het besturingssysteem ingrijpt. Het zwakke daarbij is dat er op beveiligingsgebied toch wel erg weinig kritisch is gekeken. Het resultaat laat hij zien in een paar regels broncode C++. “Dit moet wel wat ruimte voor nader onderzoek bieden”, grapt hij tegen de verzamelde techneuten.

Zijn onderzoek is nog niet afgerond maar de tussentijdse resultaten zijn schokkend. Doordat er weinig misbruik gedetecteerd wordt, is het mogelijk dat hardwarefabrikanten drivers voor hun oplossingen schrijven. Maar de eenvoud maakt misbruik wel erg eenvoudig. “Dit is duidelijk een onderdeel van het besturingssysteem waar wel heel weinig onderzoek naar is gedaan”, concludeert hij dan ook.

Van Sprundel besteed weinig tijd aan het fundamentele karakter, maar zijn onderzoek zet niet alleen vraagtekens bij Mac OS X. Ook een iPod Touch, iPhone en iPad zijn kwetsbaar.

Meerdere telefoons gekraakt

Daarvoor moest de Apple gadgets het ook anders ontgelden. Tijdens twee simultane lezingen werden nieuwe beveiligingslekken in zowel de iPad als de iPhone gepresenteerd. Ook Opera op HTC-telefoons blijken zwakheden te hebben. De conclusie van de onderzoekers? Beter onderzoek naar beveiliging had de problemen eenvoudig kunnen voorkomen.

Dat lijkt toch wel het centrale thema, want de voorbeelden volgen elkaar in snel tempo op. Van websites met onvoldoende beveiliging, tot demonstraties hoe je met de juiste woordcombinaties creditcardnummers of andere gevoelige gegevens kunt kopen. Tot een hacker die voor 80 euro belooft voor een dag Twitter plat te leggen.

Virtualisatie

Jonathan Brossard presenteerde het resultaat van zijn onderzoek naar virtualisatie. Ook hij merkt dat het ontbreekt aan voldoende kritisch onderzoek. “We zijn in een rap tempo aan het overstappen op virtualisatie, maar niemand lijkt te twijfelen aan de beveiliging”, vertelt hij Webwereld. “Toch is het feit dat het software betreft en dat ik geen oplossing ken waar ik nog geen fouten in heb ontdekt. Dat betekent dat het mogelijk is om op afstand tienduizenden servers plat te leggen of vanuit een sessie soms bij de buurman in te breken. Dat verdient toch een beetje aandacht.”

Hij maakte een methodiek om zwakheden te vinden en daarbij hoort nu ook een tool. Tijdens een demonstratie hoe hij geautomatiseerd zwakheden ontdekt. “Daarmee kunnen bedrijven zelf hun niveau van zwakheid bepalen”, vertelt hij. Maar voor hem is duidelijk dat virtualisatie zakelijk gezien aantrekkelijk is, maar alles behalve echt veilig te boek dient te staan.