Laatst was er de InfoSecurity.nl beurs in de Jaarbeurs. Zoals de naam al
doet vermoeden is dit een op computerbeveiliging gerichte beurs. Lezingen,
een tradeshow en een rondje `spot the fed', wat wil je nog meer. Speciaal
voor de gelegenheid pakken we de zonnebril maar weer eens uit de kast en
gaat de lange regenjas aan. Valse identiteitskaart mee, valse snor
opgeplakt, we zijn helemaal klaar voor twee dagen security.

Dat vroeg opstaan voor mij niet makkelijk is wist ik al. Het was dan ook
niet verwonderlijk dat ik de eerste twee `lezingen' miste. Een uur later
dan gepland kwam ik dan in de Jaarbeurs aan. Wat ten eerste opviel was
de enorme rij aaaaaai-Macs waar je je eigen badge uit kon laten printen.
Jammer genoeg draaiden deze machines geen Mac OS X, spontaan hangende machines
en nog grotere wachtrijen tot gevolg hebbende. Ook handig als je voor twee
beurzen met veel bezoekers maar twee printers hebt om de badges uit te printen.
Erg opvallend was dat je een heleboel persoonsgegevens moest invullen,
maar waarvan niet gezegd werd wat er mee gedaan werd. Weigeren van
het gebruik van informatie (tegen spam) kon niet. Sjah, laat die mailtjes
op bla@bla.nl maar komen hoor :)

Dit voorval hebben we dus maar even bij de stand van de Registratiekamer
(die er ook stonden) gemeld.

Op de beurs aangekomen werden de eerste tassen met omgekapte bomen al in je
handen gedouwd. Wat me hier opviel was dat er erg veel mensen in pak rondliepen.
Hoezo security wordt gedaan door zweterige systeembeheerders met baarden?
Die liepen er dus verdacht weinig rond (op een paar na dan).

Voordat ik naar de tweede ronde lezingen ging liep ik nog de mensen van
Security.nl tegen het lijf. Snel nog
even naar een of andere e-Business beurs die tegelijkertijd was om bedrijven
wat goodies te ontfutselen en het feest kon beginnen.

Omdat ik mezelf als techneut placht te omschrijven ging ik naar de
`technische' lezingen. De eerste lezing was van Bart Bokhorst en ging over
het Platform Informatiebeveiliging (PI). Behalve dat het geluid van een
dermate slechte kwaliteit was (moeilijk he, boxen goed aansluiten?), wat ook
te danken was aan de fantastische isolatie waardoor beursgeluiden totaal niet
doordrongen tot de zaal (NOT!), dacht ik even dat ik bij de management
lezing was. Euh...wat heeft een reclame praatje voor PI te maken met
techniek? Sorry hoor, maar dit was echt gewoon puur management.

De tweede lezing was gelukkig al een stuk beter. Job de Haas van ITSX had het
over penetratietesten (`lekker hacken' zeg maar). Jammer dat ook hier de
echt harde technische kant niet naar voren kwam, maar in ieder geval een
stuk interessanter dan het vorige praatje. Gelukkig hoorde ik dat Job op
de NLUUG najaarsconferentie 2000 een technischer verhaal gaat vertellen
(met sourcecode in de presentatie!). Voor het href="http://e-zine.nluug.nl/" target=_blank>European Unix Platform e-zine proberen we
het paper te pakken te krijgen (en dat gaat zeker lukken).

Verder waren er nog allerlei vendor sessies waar ik niet heen ben geweest.
Stands aflopen en met mensen praten geeft je eigenlijk een veel beter idee
hoe het is gesteld in de huidige (commerciële) securitywereld. Als ik
eerlijk mag zijn is de stand diep droevig. Nieuwste buzzwords? VPN
(Virtual Private Networks) en PKI (Public Key Infrastructure). Aanpassen die
bingo kaarten!

Natuurlijk heb ik gevraagd of producten op Linux draaiden. Oh ja, iedereen
had VPN software voor Linux, maar nee, het was niet Open Source. Iedereen
had een eigen implementatie. Zucht...hallo mensen! Wel eens gehoord van
FreeS/WAN of href="http://tinc.nl.linux.org/" target=_blank>tinc? Het `meest open source' (of het
minst closed source) product dat ik zag was iets dat OpenSSL gebruikte. Voor
de rest, alles closed. Waar ik me ook enorm aan geërgerd aan heb is
de belachelijk simpele oplossingen die als super geavanceerd gepresenteerd
worden en die voor veel geld verkocht worden. Er was een product met een vette
Oracle database, iPlanet (voorheen Netscape) webserver en Sun Solaris dat
ik binnen een dag zelf implementeer op een willekeurig platform, Perl (of
Java), Apache en PostgreSQL. Nee, Apache werd niet ondersteund, maar toen ik
ze meldde dat Apache op meer dan 50% van de webservers draaiden stonden ze
even met de spreekwoordelijke mond vol tanden. Vermoeiend hoor...

Na nog meer goodies gescoord te hebben (toppunt: PGP poster, schroevendraaier
op penformaat en een speelgoed gorilla) zijn we met een aantal mensen naar
de deelnemers borrel wat bier gaan drinken. Hoe kom je als `gewone sterveling'
nou op zo'n borrel alleen voor deelnemers? Social engineering? Bruut geweld?
Neuh, veel simpeler, er zat een bug in het systeem (geen controle op
deelnemerkaarten). Hop, exploiten die biertap :)

Daarna met twee mensen van Security.nl even nagetafeld in een Utrechtse
pizzeria. Daarna naar huis gegaan voor de broodnodige slaap, goeie muziek
en het maken van dit verslag (niet per se in die volgorde). Okee, op naar
dag twee.

Dag twee...natuurlijk weer veel te laat. Op dat moment zelf vond ik het niet
echt erg dat ik allerlei lezingen gemist had, gezien mijn ervaringen van de
dag ervoor. Achteraf hoorde ik dat ik een leuke lezing had gemist over het
hacken van mobiele telefoons. De spreker had namelijk een nmap
op een mobiele telefoon uitgevoerd en zo het hele ding laten crashen.

Nou ja, dus maar gewoon de resterende stands afgegaan voor de ontbrekende
spulletjes. Om 3 uur was het tijd voor een extra seminar over ``secure
Operating Systems''. Pieter Uittenbogaard van Microsoft gaf een lezing over
de security zoals deze geregeld was in Windows 2000. Alle technieken die in
UNIX al jaren gemeengoed zijn (maar die altijd netjes voor de gebruiker
verborgen blijven) passeerden de revue. Bijna bij elke slide beleefde ik een
deja-vu.

Het toppunt blijft toch nog wel de opmerking dat ook Windows 2000 Open Source
is omdat ze de broncode bij meer dan 80 universiteiten hebben liggen voor
externe controle. Sjah...hij zei er alleen niet bij dat de mensen die met
deze code werken wel een Non Disclosure Agreement moeten tekenen.

Hierna vertelde Jeroen Baten van Stone IT over Linux en Open Source. Heerlijk
zoals Jeroen dat kan brengen. Hij liet (figuurlijk gesproken dan) de
Microsoft vertegenwoordiger alle hoeken van de kamer zien. Alle misstanden
over Open Source software ruimde hij, soms subtiel, soms met de botte bijl,
uit de weg. Het enige minpunt dat ik kon bedenken is dat niet echt duidelijk
uit de verf kwam waarom Open Source software veiliger is. Ik weet het
natuurlijk al, maar voor de `leek' mag het er toch wel wat dikker opliggen.
Ook het beloofde stuk vlaai na afloop ging aan mijn neus voorbij. Naja,
volgende keer beter.

De beurs was deze dag stukken rustiger dan de dag ervoor. Toch heeft zo'n
laatste dag zo zijn voordelen. Allerlei spulletjes worden veel makkelijker
weggegeven. Niet echt iets spectaculairs gevonden dat ik nog niet had.

Terugkijkend op de beurs moet ik zeggen dat het aantal bekenden dat rondliep
wel wat tegenviel. Van NL.Linux.org ben
ik maar één ander persoon tegengekomen. Van de href="http://www.nlfug.nl/" target=_blank>NLFUG liepen er wel wat meer mensen rond.
Waar de rest was weet ik niet. Te druk met het werk? Beurs niet interessant
genoeg (te weinig techneuten, te veel sales-droids)? Wie weet. Voor mijzelf
was het eigenlijk weinig meer dan een groot graaifestijn en een hoop ergernis
over het veel te duur verkopen van allerlei simpele software (over hardware
heb ik niets gezegd, daar zaten wel een paar erg geile dingen bij). Volgende
keer weer? Misschien wel, misschien niet...

Verder rest mij weinig meer dan Patrick en Martijn van href="http://www.security.nl/">Security.nl te bedanken voor de
interessante gesprekken, de `security van mijn jas en tas', het bier en
de fles wijn en wat ik nog vergeten mocht zijn.

Dit artikel verscheen eerder in het NLUUG e-zine