Cyber security Het nieuwe wereldprobleem?
Erik Poll Digital Security
Cyber security @ Radboud University • Master specialisatie in Cyber Security sinds 2006 • Bachelor specialisatie in Cyber Security sinds 2013
Cyber security
2
Cyber security in de jaren 60-70 Joe Engressia (aka Joybubbles) kon het telefoonnetwerk hacken met phone phreaking: fluiten op de goede frequentie http://www.youtube.com/watch?v=vVZm7I1CTBs
Voor de oprichting van Apple met Steve Jobs, verdiende Steve Wozniak geld met het verkopen van Blue Boxes voor phone phreaking.
Cyber security
3
Cyber security in de jaren ’10 Basisprincipe van hacken is onveranderd: met rare input kun je software laten ontsporen Niet met fluiten, maar met bijv. • misvormde Flash filmpjes of JPG op website • kwaadaardige javascript op website • misvormde attachment bij een email • kwaadaardig SMSje • ... Hierbij zijn de twee fundamenten van de informatica betrokken: • data-representaties van allerlei soorten informatie - HTML, JPEG, Flash, PDF, SMS, ... • software die zulke data verwerkt
Cyber security
4
Leuke demo voor in de klas: paspoortchip uitlezen met ‘NFC passport app’ of ‘eClown’ Cyber security
5
Slammer worm (zaterdag 25 januari 2003, 5:29)
Cyber security
6
Slammer worm (zaterdag 25 januari 2003, 6:00)
Cyber security
7
Veranderende aanvallers
hackers, nu
hackers, 1983 [film War Games]
Cyber security
8
Fraude met internetbankieren in Nederland 2008
2.1 M€
2009
1.9 M€
2010
9.8 M€ (7100€ per incident)
2011
35.0 M€ (4500€ per incident)
2012
34.8 M€
2013
9.5 M€ (4.8 M€ malware, 4.7 M€ phishing)
2014
4.7 M€ (900k€ malware, 3.9 M€ phishing)
[Bron: NVB]
Betere detectie & reactie, ook van katvangers
En: criminelen stappen over op betere verdienmodellen?
Cyber security
9
Betere verdienmodellen? Ransomware!
Cyber security
10
Cyber crime as a service!
Cyber security
11
Huur een Denial-of-Service aanval
Cyber security
12
Huur een Denial-of-Service aanval
Cyber security
13
Andere doelwitten?
Cyber security
14
Ons onderzoek naar cybersecurity incl. het gebruik van wiskundige modellen om software te begrijpen
Hoe bepaal je of iets goed beveiligd is? Probeer de beveiliging te doorbreken! • Dit vereist het nodige gepuzzel • Hierbij moet je creatief zijn! • Maar... eigenlijk we willen dit systematisch doen We hebben oa. gekeken naar
Cyber security
16
Cyber security
17
Fout handmatig gevonden door afstudeerder Arjan Blom
Kunnen we dit soort fouten automatisch vinden? Of liever nog, uitsluiten?
Ter geruststelling, internetbankieren hiermee is niet onveiliger dan met andere apparaten
Cyber security
18
Mijn nieuwe computer
Cyber security
19
Mijn nieuwe computernetwerk
netwerkverbinding
Cyber security
20
Probleem: hoe bedien ik dat ding?
Twee mogelijkheden om hierachter te komen 1. de handleiding lezen 2. wat aanklooien om te ontdekken hoe ’t werkt
Cyber security
21
Puzzelen aan mijn nieuwe computer rechterknop
linkerknop
linkerknop draaiknop 2 klikjes
rechterknop
Cyber security
rechterknop
draaiknop
22
Puzzelen aan mijn nieuwe computer? Met wat aanklooien kan ik leren hoe mijn cv werkt: • Ik verken de toestandsruimte, dwz de toestanden en overgangen tussen toestanden • Dit gedrag is beschrijven als eindige automaat of toestandsdiagram Elk computerprogramma heeft gedrag dat als toestandsdiagram te beschrijven is.
Cyber security
23
Puzzelen is slim een toestandsruimte doorzoeken
Cyber security
24
Welke is ingewikkelder?
Als er meer dan 8 bytes geheugen in de cv ketel zit, dan is de cv mogelijk ingewikkelder! Rubik’s kubus: 43.252.003.274.489.856.000
≈ 4.3 x 1019 mogelijke toestanden 9 bytes geheugen heeft 272 ≈ 4.7 x 1021 toestanden
Cyber security
25
Puzzelen mét een computer? Soms wordt puzzelen saai... • Net als het aanklooien met mijn cv-ketel, om al het mogelijke gedrag te verkennen • Maar: om te kijken of een systeem goed beveiligd is, moeten we alle paden van de toestandsruimte verkennen
Kunnen we geen computers inzetten om dit te doen? • Hiervoor moeten we software maken die leert
Cyber security
26
De eerste hacker uit
Cyber security
27
Cyber security
28
Cyber security
29
De eerste hacker uit
oude e.dentifier
losgelaten op
vs
nieuwe e.dentifier2
Youtube filmpje http://tinyurl.com/legolearn
Cyber security
30
Met software leren hoe je paspoortchip werkt
Cyber security
31
Met software leren hoe je paspoortchip werkt
pasfoto van chip lezen
vingerafdruk van chip lezen
Cyber security
32
Cyber security in onderwijs? • Scholieren – en later studenten – met interesse in & verstand van cyber security hebben we hard nodig! • Cyber security is een aansprekend & hot topic - Bij cyber security wordt ook grote maatschappelijk impact van ICT (pijnlijk) duidelijk? - Iets ‘hacken’ is de ultieme manier om te begrijpen hoe iets werkt • Een eerste aanzet tot lesmateriaal: NLT module cybersecurity http://module-cybersecurity.cs.ru.nl
Cyber security
33
Bedankt voor jullie aandacht!
