DE COLUMN 2 HET NIEUWS 3 HET INZICHT 4 DE HACK 6-7 HET INTERVIEW 8 DE KLANT 9 HET VERSLAG DE AGENDA 11 HET COLOFON 11

7

Your Security is Our Business

voorjaar 2010

u p d a t e www.madison-gurkha.com

DE COLUMN

2

Hans van de Looy

HET NIEUWS

3

Wachtwoorden e-banking per SMS Google-hack schudt wereld wakker Madison Gurkha 10-jarig bestaan Nieuwe collega’s gezocht

HET INZICHT

4

Cloud Computing

Het EVENT

5

Black Hats Sessions part VIII

DE HACK

6-7

Webservices vaak onvoldoende beveiligd

HET INTERVIEW

8

Arnoud Engelfriet van ICTRecht

DE KLANT

9

Uit de transport en logistiek

HET VERSLAG

10-11

Industrial Control Systems Cyber Security Training

DE AGENDA

11

HET COLOFON

11

In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom ICT-beveiliging. Deze keer Hans van de Looy over IPv6.

de column

IPv6 voor het te laat is... In de voorgaande Update hebben we een artikel geplaatst met de pakkende titel “IPv6: nieuwe bedreiging?” (zie http:// www.madison-gurkha.com/press/UPDATE_MG_winter_2009. pdf als u het artikel nog niet gelezen heeft). Niet om de lezers af te schrikken, maar juist om u bewust te maken van deze oude standaard waarvan de invoering nog steeds niet op grote schaal plaatsvindt, maar waarvan de noodzaak tot invoering wel steeds nijpender wordt. Zelfs nu.nl heeft in november 2009 een artikel (http://bit.ly/1HpKWT -- heeft u ook zo’n hekel aan lange URL’s?) opgenomen waarin een aantal interessante opmerkingen wordt geplaatst die eigenlijk toch wel ergens de alarmbellen zouden moeten laten afgaan. Ik citeer hier een aantal losse uitspraken die zijn overgenomen uit een onderzoek van de Europese Commissie en TNO: “IPv4 internetadressen zullen in 2011 op zijn”, “Slechts 17% van de overheidsorganisaties en bedrijven in Europa, het Midden-Oosten en Azië maakt gebruik van IPv6”, “Een tijdige, wereldwijde overstap op IPv6 is noodzakelijk om de groei en stabiliteit te waarborgen”. Dat zijn stuk voor stuk uitspraken die op zijn minst zouden moeten uitnodigen om stappen te gaan ondernemen om te investeren in IPv6, en toch gebeurt dat minder dan dat wenselijk wordt geacht. De redenen ervoor zijn natuurlijk ook voor de hand liggend. We hebben net een financiële crisis achter de rug, en wellicht moet er nog een tweede gedeelte van de “W-curve” komen, dus we zitten niet te wachten op nieuwe, mogelijk dure, investeringen. We hebben nu toch al toegang tot het interweb, dus wij zullen geen last hebben van het tekort aan beschikbare IPv4 adressen. IPv4 kennen we en die andere adressen zijn veel te moeilijk. Allemaal op zich logische verklaringen, maar van de andere kant zijn het ook stuk voor stuk redenen die worden ingegeven door tunnelvisie en oogkleppen. Dus heb ook ik, ondermeer ingegeven door deze column, wat onderzoek gedaan. Natuurlijk zijn onze scansystemen al voorzien van IPv6, zodat we onze klanten ook via dat protocol kunnen bereiken en testen, maar onze eigen webserver is, op het moment van schrijven, nog niet voorzien van een IPv6 adres (dit zou wel eens anders kunnen zijn op het moment dat u dit leest). Dus er zijn al vooruitstrevende ISP’s die gewoon IPv6 aanbieden, mocht u hiervan gebruik willen maken. Dus aan

2

Madison Gurkha voorjaar 2010

de serverkant zit het vaak wel goed. Daar kunnen we relatief eenvoudig overstappen. De volgende stap is dan natuurlijk om te zien hoe het met de internetverbinding voor clients is gesteld. Daar zie ik een geheel ander beeld. Een van de bekendste providers XS4ALL geeft aan dat ze haar netwerk in 2002 al geschikt heeft gemaakt voor IPv6, maar dat inbel- en ADSL-diensten allen op IPv4 zijn gebaseerd. IPv6 is daar wel mogelijk, maar alleen via een experimentele tunneldienst. Ook de verschillende kabelaars en zelfs glasvezelleveranciers bieden alleen IPv4 aan en als je ze vraagt naar het aanbieden van (native) IPv6 kan geen van hen aangeven wanneer dit het geval zal zijn. Waarom dan nu toch al aandacht besteden aan IPv6? Niemand vindt het een aantrekkelijk idee om (te) vroeg met iets nieuws te starten. Maar IPv6 is niet nieuw meer. Het protocol is al in december 1998 gespecificeerd. Op dit moment geen aandacht besteden aan IPv6 kan, zoals het eerder vermelde artikel in de vorige Update al aangaf, betekenen dat er nu al een risico wordt gelopen dat bepaalde systemen onbewust toch al bereikbaar blijken te zijn via dit protocol, met alle gevolgen van dien. En wellicht de belangrijkste reden om nu aandacht te gaan besteden aan IPv6 is dat er nu goed over kan worden nagedacht. Nu kunnen er goed doordachte plannen gemaakt worden voor een (geleidelijke) overgang. Een overgang waarbij de regie wordt ingegeven door kennis en opgedane ervaring en niet door tijdsdruk. Of zal uiteindelijk toch blijken dat mensen niets willen leren van het verleden en uiteindelijk toch weer worden opgejaagd door de volgende deadline. Misschien niet in 2011 als het laatste IPv4 adres wordt uitgedeeld (zie http://penrose.uk6x.com/ voor de IPv4 countdown) maar ook niet lang daarna. Waarbij ik nog de kanttekening wil plaatsen dat de Maja kalender verkeerd geïnterpreteerd blijkt te zijn, dus zullen we ook na 2012 allemaal nog steeds bezig met het veilig houden van allerlei (gevoelige) gegevens -- of ze nu via IPv4 of IPv6 worden uitgewisseld dat maakt voor ons niets uit. Voor u wel? Hans Van de Looy Partner, Principal Security Consultant

In “Het Nieuws” belichten we iedere Madison Gurkha Update belangrijke recente ontwikkelingen die in het beveiligingsnieuws zijn verschenen. Ook alle nieuwe ontwikkelingen rondom Madison Gurkha komen in deze rubriek uitgebreid aan bod.

het NIEU W S

- hack schudt wereld wakker Een golf van bezorgdheid over netwerkbeveiliging trok over de wereld als gevolg van de gedeeltelijk succesvolle aanval op de zwaarbeveiligde systemen van Google. Een team hackers gesteund door de Chinese overheid, wordt daarvoor verantwoordelijk gehouden. Financiële instellingen in de Verenigde Staten, producenten en dienstverleners onderzoeken nu met experts koortsachtig of hun beveiligingssystemen ook zijn gekraakt zonder dat zij zich daarvan bewust waren. [...] Verder in het artikel in de Automatiserings Gids geeft Hans van de Looy zijn mening over computerinbraak bij bedrijven naar aanleiding van de Google-hack. Het volledige artikel is te lezen op de site van de Automatisering Gids: http://www.automatiseringgids.nl/artikelen/2010/4/google-hack%20schudt%20wereld%20wakker.aspx

Wachtwoorden e-banking per SMS ING-klanten hoeven vanaf 15 maart niet meer naar het postkantoor om een nieuw wachtwoord voor internetbankieren aan te vragen. Straks verstuurt ING een sms met de gegevens. Maar hoe veilig is deze methode?  Hans van de Looy geeft  in een Radio 1 uitzending antwoord op de vraag of het versturen van wachtwoorden per SMS veilig is. Het volledige interview is te beluisteren op de site van Radio 1: http://www.radio1. nl/contents/12263-versturen-sms-met-ingwachtwoord-veilig

Vacatures Madison Gurkha 10-jarig bestaan Madison Gurkha is opgericht tijdens de dot.com crisis: de internet zeepbel die leegliep. Dit jaar vieren wij ons 10-jarig jubileum tijdens de volgende - nu financiële - crisis. Madison Gurkha wordt hierdoor echter nauwelijks geraakt. Onze  kwaliteit, flexibiliteit en pragmatische aanpak wordt nog altijd zeer goed gewaardeerd. Madison Gurkha blijft zich positief ontwikkelen en beheerst groeien. Om ons 10 jarig bestaan te vieren gaan wij van 15 tot en met 19 april voor een korte trip naar Jordanië. Op 15, 16 en 19 april zullen wij daarom gesloten zijn. Wij zullen u hierover nader informeren.

Madison Gurkha is een jonge, groeiende en veelbelovende organisatie op het gebied van (technische) IT security. Madison Gurkha levert kwalitatief zeer hoogwaardige diensten aan grotere organisaties zoals landelijke opererende overheidsinstellingen, (beursgenoteerde) multi-nationals en financiële instellingen. Kijk voor meer informatie over de verschillende vacatures op onze website. Door onze aanhoudende groei zijn wij dringend op zoek naar: Junior Security Consultant (JSC) Security Consultant (SC) Senior Security Consultant (SSC)

g g g

Kandidaten met aantoonbare security kennis van Microsoft producten en technologieën hebben op dit moment onze voorkeur.

Mist u een nieuwsitem, of heeft u nog ander opvallend of aanvullend security nieuws? Meld het aan ons door een mail te sturen naar: [email protected]. Wie weet staat uw nieuwtje in de volgende Madison Gurkha Update!

Ben jij degene die we zoeken? Stuur dan snel je CV met sollicitatiebrief naar hrm@ madison-gurkha.com.

Madison Gurkha voorjaar 2010

3

In de rubriek “Het Inzicht” stellen wij meestal bepaalde technische beveiligingsproblemen aan de orde. Deze keer geeft Laurens Houben antwoord op de vraag wat Cloud Computing is, gaat hij in op de gevaren die daarbij optreden.

het inzicht

Cloud Computing Het fenomeen Cloud Computing bestaat al enige tijd. Maar wat is het nu precies? Het is een parallel computersysteem waarbij de software verdeeld is over meerdere computers op het internet. Cloud computing dient er voor om schaalbare en vaak gevirtualiseerde diensten aan te bieden over het internet. Deze zijn dan beschikbaar via een webbrowser terwijl de software en data op servers van de dienstverlener blijven. Bij Cloud Computing zijn de gebruikers geen eigenaar van de software die ze gebruiken. Ze betalen dus enkel voor de diensten die ze gebruiken in de vorm van prepaid of in abonnementsvorm. Dit bespaart hoge kosten voor de aanschaf van soft- en hardware. Cloud Computing wordt in 3 categorieën verdeeld: • Cloud Applicaties Bij Software as a Service (SaaS) staat de applicatie volledig onder controle van de dienstverlener. De gebruiker kan er gebruik van maken maar kan er niets aan veranderen. voorbeelden zijn: Webmail, Google Apps, Twitter, Facebook en salesforce.com. • Cloud Platforms Bij Platform as a Service (PaaS) wordt de gebruiker veel meer toegestaan. Er wordt hier vaak gewerkt met een ontwikkelingstaal of framework zoals Phyton, .NET of Java waarin de gebruiker zelf kan werken. In dit systeem wordt het framework en de infrastructuur beheerd door de dienstverlener en kan de gebruiker verder instaan voor de applicaties. voorbeelden zijn: PayPal, Google App Engine, Amazon S3 en Rackspace Cloud Sites. • Cloud Infrastructure: Bij Infrastructure as a Service (IaaS) wordt de infrastructuur aangeboden via een virtualisatie of hardware-integratie. In deze laag vinden we de servers, netwerken en andere hardwaretoepassingen. Dit laat de gebruiker volledige vrijheid toe over de hardware. voorbeelden zijn: Amazon CloudWatch, GoGrid en Amazon VPC.

4

Madison Gurkha voorjaar 2010

Al deze haast onbeperkte rekenkracht en mogelijkheden bieden nieuwe scenario’s voor veel bedrijven en individuen. Wat dacht u van wachtwoorden hacken door middel van Cloud Computing? De mensen achter http://www.wpacracker.com/ hebben handig gebruik gemaakt van de mogelijkheden die de cloud biedt. Ze maken gebruik van een cluster van 400 virtuele computers om WPAcodes te vergelijken tegen een database met 284 miljoen mogelijke wachtwoorden. Dit alles kunnen ze in slechts 20 minuten waar deze actie op een normale duo-core computer ongeveer 5 dagen zou duren. Het ontcijferen van een wachtwoord kost 17 dollar en wordt per e-mail toegestuurd wanneer deze wordt gevonden. Botnets Cybercriminelen hebben al jaren hun eigen clouds. Deze worden botnets genoemd en zijn zeer groot, krachtig en multifunctioneel. Ze worden gebruikt voor het versturen van spam, het stelen van financiële informatie, het aanbieden van malware of het versturen van enorme hoeveelheden data waardoor websites onbereikbaar kunnen worden. Deze functionaliteiten zijn net als bij Cloud Computing te koop en te huur in webshops voor botnets. Botnets vinden ook hun weg naar de cloud. Een nieuwe variant van de Zeus bot gebruikt de cloud van Amazon om geïnfecteerde computers aan te sturen. De malware verspreidt zich via email en verwijst gebruikers naar een website waar een bestand ter download wordt aangeboden. Wanneer dit bestand wordt uitgevoerd door de gebruiker zal er contact worden gelegd met de “command and control” server die zich in de Amazon EC2 cloud bevindt en instructies geeft aan de Zeus bot. De Zeus bot injecteert zichzelf in het systeem van de gebruiker en wacht

totdat er een bankrekening wordt ingevoerd. Cybercriminelen maken ook gebruik van RDS Managed Database Hosting van Amazon als een backup van hun data in het geval ze toegang verliezen tot het originele domain van waar de “command and control” server zich bevindt. Zo zijn ze er van verzekerd dat ze alle verzamelde financiële informatie niet verliezen. Speeltuin Is de cloud wel veilig? Indien een cloud provider zijn netwerk niet monitort kan een cybercrimineel de service misbruiken voor de eerder genoemde scenario’s. Amazon’s EC2 cloud is al een speeltuin geworden voor security onderzoekers. Door misbruik van het inschrijfsysteem is het voor hen mogelijk om het “20 computers per gebruiker limiet” te omzeilen. Ook hebben onderzoekers virtuele computer templates kunnen creëren die rootkits en malware bevatten. Wanneer een Amazon-klant dit template gebruikt is deze kwetsbaar voor aanvallen. De cloud biedt cybercriminelen een grote voorraad rekenkracht, ruimte en mogelijkheden. Indien dit niet goed wordt gemonitort door de aanbieders zal in de toekomst een hoop veranderen op securitygebied. Een aantal interessante websites die verder ingaan op de gevaren van de cloud zijn: http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/ at_download/fullReport http://www.security.nl/artikel/31783 http://www.readwriteweb.com/archives/ the_cloud_isnt_safe_or_did_blackhat_just_ scare_us.php

Heeft u onderwerpen die u graag een keer terug zou willen zien in deze rubriek? Laat het dan weten aan onze redactie via: [email protected].

+DFNLQJWKH&OR +DFNLQJWKH&ORXG DSULO'H5HHKRUVWLQ(GH %ODFN+DW6HVVLRQV3DUW9,,,

Deze achtste editie van de Black Hat Sessions wordt georganiseerd door Array Seminars en Madison Gurkha en staat in het teken van “Hacking the Cloud” Hierbij een overzicht van het programma.

'HJHYDUHQGLH|GHFORXG}PHW]LFKPHHEUHQJW het

event

6SUHNHUV]LMQ 'HJHYDUHQGLH|GHFORXG}PHW]LFKPHHEUHQJW

Black Hat Sessions VIII, 27 april 2010, De Reehorst Ede DSULO'H5HHKRUVWLQ(GH

$UQRXG(QJHOIULHW!5DOSK0RRQHQ!)HUGLQDQG9URRP!0DUW

Hacking the Cloud %ODFN+DW6HVVLRQV3DUW9,,, !,DQGH9LOOLHUV'DJYRRU]LWWHULV:DOWHU%HOJHUV

+DFNLQJWKH&ORX

6SUHNHUV]LMQ $UQRXG(QJHOIULHW!5DOSK0RRQHQ!)HUGLQDQG9URRP!0DUWLQ.QREORF Al aan het eind van de vorige eeuw !,DQGH9LOOLHUV'DJYRRU]LWWHULV:DOWHU%HOJHUV 08.30 u Ontvangst en registratie bezigde Sun Microsystems de slogan: “The network is the computer.” Dat was toen nog niet echt praktisch toepasbaar en tamelijk visionair. Nu, anno 2009/2010, lijkt het realiteit te zijn geworden. Na Application Service Providing (ASP) en SAAS (Software as a Service), hebben we het nu over “The Cloud”. Via de cloud kun je processorcapaciteit krijgen, extern Arnoud Engelfriet geheugen en software huren, zelfs voor de desktop. Dit maakt IT erg flexibel, maar is het ook veilig?

09.30 u 09.40 u

Opening door de dagvoorzitter Walter Belgers, Madison Gurkha Crime from the cloud Arnoud Engelfriet Ralph Moonen MartineXperts Knobloch Ian de Villiers Walter Belgers Ralph Moonen CISSP, Ferdinand DirecteurVroom IT Security Cloud Computing heeft de toekomst. Althans, als we de ICT- en businessanalisten mogen geloven. Maar Cloud Computing brengt ook risico’s met zich mee; immers, data bevindt zich niet meer onder controle van de gebruiker, maar in de cloud. En ook kunnen cybercriminelen de cloud gebruiken voor eigen kwaadaardige doeleinden. Deze achtste editie van de Black Hat Sessions staat in het teken van “Hacking the 'DWXP Over dit laatste is nog weinig bekend of geschreven maar toch zijn de eerste botnets Cloud” eninwordt georganiseerd door Array Seminars en Madison Gurkha. DSULO de cloud al aangetroffen. De cloud heeft grote voordelen voor cybercriminelen waaronder het vermogen zich snelIanen teWalter kunnen verplaatsen, en het spoorRalph Moonen Ferdinand Vroom Martin Knobloch denaadloos Villiers Belgers /RNDWL( Al aan hetloos eindkunnen van de vorige eeuw bezigde Sun Microsystems slogan: “The network verdwijnen. Ralph Moonen zal in dezedepresentatie een beeld schetsen van de Dat mogelijkheden deecht cloud biedt aan cybercriminelen, envisionair. de problemen waar 'H5HHKR is the computer.” was toen nogdie niet praktisch toepasbaar en tamelijk dit ons zoals de geworden. mogelijkheden en onmogelijkheden van forensics in de Nu, anno 2010, lijktvoor het stelt, realiteit te zijn Na Application Service Providing (ASP) cloud en of en hoe een aanval vanuit de cloud kan worden tegengegaan. 7LM' en (Software as a Service), we het over “Thethe Cloud”. Via de cloud kun je Deze achtste editie van deSAAS Black Hat Sessions staat inhebben het teken vannu “Hacking 'DWXP 10.40 u Pauze / Informatiemarkt Bestemd voor u processorcapaciteit krijgen, extern geheugen en software huren, zelfs voor de desktop. 11.10 u The of the cloud en Madison Gurkha. Cloud” en wordt georganiseerd doorlaw Array Seminars DSULO WR Dit maakt IT erg is het ook veilig? sprekersadviesbureau van deze editie van de Black De bijeenkomst wordt georganiseerd voor mr. ir. flexibel, Arnoud maar Engelfriet, Partner bijDe juridisch ICTRecht ,QIRUPDW EULAs niet rechtsgeldig. In Europa geldt vandaar de DMCA niet dus je Cloud”. mag kopieerbeveiHat Sessions gaanzijn in op risico’s van Cloud Computing, “Hacking the beheerders van systemen, netwerken /RNDWL( Al aan het eind van de vorige eeuw bezigde Sunde Microsystems de slogan: “The network ligingen omzeilen. Feitelijke informatie mag onbeperkt worden gekopieerd en hergeZZZDU Ook dit jaar hebben we weer een aantal bijzondere sprekers weten aan te trekken. Arnoud en applicaties, security officers,isinterne 'H5HHKRUVWLQ(GH the computer.” Dat was toen nog niet echt toepasbaar en tamelijk Het praktisch citaatrecht op afbeeldingen geldtvisionair. alleen als  je plaatje maximaal Engelfriet bruikt. van ICTRecht zal wederom op onnavolgbare wijze zijn ideeën met ons delen 194x155 auditors, het management en andere geïnNu, anno 2010, lijkt het realiteit te pixels zijn geworden. Providing (ASP) groot is. Na AlsApplication je server inService Thailand staat, val je niet onder Nederlands recht. De over de juridische aspecten van Cloud Computing. Naast juridische voetangels en klemteresseerden. Na dit seminar kunt u de (Software as a Service), 7LM' GPL is we eenhet licentie, geen overeenkomst. en SAAS hebben nu over “The Cloud”. Via de cloud kun je men zijn  erWie de technische risico’s. En wie zijn wat applicaties betreft hoogte %HVWHPGY denkt dat allemaal correct of geen idee heeftbeter waarop ditde over gaat, is van kansen die Cloud Computing biedt beter WRWXXU processorcapaciteit krijgen, extern geheugen endit software huren, zelfsis,voor de desktop. De bijeenkom Arnoud Engelfriet Ralph Moonen Ferdinand Vroom Martin Knobloch Iancloud de Villiers Walter Belgers dan de mensen van OWASP? Ralph Moonen van bekijktArnoud de vanuit een ander harte uitgenodigd bij deze lezing vanITSX ICT-jurist Engelfriet. Internetrecht is een afwegen tegen de risico’s. Dit maakt IT erg flexibel, maar is het ook veilig? De sprekers van deze editie van de Black voor beheer complex onderwerp waar veel misverstanden mythes over bestaan, perspectief, namelijk hoe kunnen cybercriminelen de clouden inzetten voor hun duistereen Arnoud werken en ap ,QIRUPDWLHHQUHJLVWUDWLH Hat Sessions gaan in op de risico’sgaat van Cloud Computing, vandaar “Hacking the Cloud”. proberen deze weg te nemen of in ieder geval zijn mening daarover te geven.  praktijken? Last but not least spreekt Ian de Villiers van het Zuid-Afrikaanse SensePost interne audi Het programma ZZZDUUD\VHPLQDUVQO Ook dit jaar hebben we12.10 weeru een Vendorsessie aantal bijzondere sprekers weten aan te trekken. Arnoud en andere ge Research Labs over “Clobbering the Cloud”. Wat zijn de problemen met Cloud Computing Het programma start om 9.30 uur en duurt u Lunch Informatiemarkt Engelfriet van ICTRecht12.40 zal wederom op /onnavolgbare wijze zijn ideeën met ons delen seminar kun Deze achtste editie van de Black Hatals Sessions staat in het teken van “Hacking the 'DWXP als we het hebben over zaken privacy en beveiliging? 13.40 van u Cloud OWASP: Cloud Security tot 16.40 uur. Aansluitend wordtover nogdeeen Computing b juridische aspecten Computing. Naast juridische voetangels en klemCloud” en wordt georganiseerd door Array Seminars Madison Gurkha. Ferdinand Vroom (Security Officer) enen Martin Knobloch (Software Architect en Secu- DSULO borrel georganiseerd. Registratie is mogemen zijn er de technische risico’s. En wie zijn wat applicaties betreft beter op de hoogte %HVWHPGYRRUÇ de risico’s. rity Consultant), OWASP Dutch Chapter De bijeenkomst wordt georganisee lijk vanaf 8.30 uur. dan de mensen van OWASP? Ralph Moonen ITSX bekijkt de cloud vanuit een ander Deze lezingvan bestaat uit twee Al aan het eind van de vorige eeuw bezigde Sundelen: Microsystems de slogan: “The network voor beheerders /RNDWL( van systemen, net perspectief, namelijk hoe kunnen cybercriminelen de cloud hun duistere Welke loopt als uinzetten uw datavoor toevertrouwt de “cloud”? presentatie werken en applicaties, security offic 'H5HHKRUVW is the computer.” Dat wasrisico’s toen nog nietu echt praktisch toepasbaar enaan tamelijk visionair.Deze Hat Sessions wordt georganiseerd door: standSensePost geeft huidige van beveiliging in de cloud en maakt een Kosten praktijken? Last but not Deze leastBlack spreekt Ianeen de overzicht Villiers vanvan hetde Zuid-Afrikaanse Nu, anno 2010, lijkt het realiteit te zijn geworden. Na Application Service Providing (ASP) interne auditors, het management vergelijking tussen privacy in de cloud en in de traditionele it modellen. Praktisch in en andere geïnteresseerden. Na dit De kosten voor deelname aan het seminar Research Labs over “Clobbering the Cloud”. Wat zijn de problemen met Cloud Computing 7LM' en SAAS (Softwarede asvorm a Service), hebben het nu overinfrastructuur “The Cloud”. Via de cloud kun je veilig van tips hoe uwe uw virtuele en webapplicaties kunt houseminar kunt u de kansen die Cloud bedragen € 295,-(excl.Engelfriet BTW) per per-het als we hebben over zaken als privacy en beveiliging? Arnoud Ralph Moonen Ferdinand Vroom Martin Knobloch Ian de Villiers Walter Belgers processorcapaciteit krijgen, extern geheugen en software zelfsDeze voorpresentatie de desktop.geeft den. Secure Software Development methuren, OWASP. een overzicht Computing biedtWRW beter afwegen teg soon. Documentatie, broodjes en koffie van OWASP documentatie projecten. zijn  SAMM, ASVS, OWASP Live de risico’s. Dit maakt IT erg flexibel, maar istooling het ookenveilig? De sprekers van dezeWat editie van de Black zijn inbegrepen. Speciaal voor alle relaties Wanneer en hoe gebruik je welke tooling“Hacking en wat vind je in welke documentatie.,QIRUPDWLHHQ Hat Sessions gaanCD...? in op de risico’s van Cloud Computing, vandaar the Cloud”. Tijdens deze presentatie wordt verteld hoe OWASP jou kan helpen veiliger software van Madison Gurkha geldt op dit bedrag BDGYBEODFNKDWBVHVVLHVB[BLQGG ZZZDUUD\V Ook dit jaar hebben we weer een aantal bijzondere sprekers weten aan te trekken. Arnoud applicaties te ontwikkelen. een korting van €Deze 35,--. Zo betaalt uvan dusVroom achtste editie de Black Hatwordt Sessions staat inzal het teken Walter van 'DWXP Arnoud Engelfriet Ralph Moonen Ferdinand Martin Knobloch Ian de Villiers Belgers the wijze zijn ideeën met Engelfriet van wederom op“Hacking onnavolgbare ons delen Deze Black Hat Sessions georganiseerd door: 14.40 u ICTRecht Vendorsessie maar € 260,-- (excl. BTW) persoon. Cloud” enper wordt georganiseerd door Array Seminars en Madison DSULO u Pauze / Informatiemarkt over de15.10 juridische aspecten van CloudGurkha. Computing. Naast juridische voetangels en klemGeef bij uw online-inschrijving aan dat u 15.30 u technische Clobbering the En Cloud men zijn er de risico’s. wie zijn wat applicaties betreft beter op de hoogte %HVWHPGYRRU Ian de Villiers, Security een relatie bent van Madison en eeuw /RNDWL( Al aan het eindGurkha van de vorige Sun van Microsystems deSecurity Analyst, SensePost slogan: “The network De bijeenkomst w danbezigde de mensen OWASP? Ralph Moonen van ITSX bekijkt deInformation cloud vanuit een ander   Cloud Computing dominates the headlines these days'H5HHKRUVWLQ(GH but like most paradigm chan- voor beheerders v de korting wordt isverrekend. the computer.” Dat was toen nog niet echt praktisch toepasbaar en tamelijk visionair. Deze achtste editie van de Black Hat Sessions staat in het teken van “Hacking the 'DWXP perspectief, namelijk cybercriminelen denew cloud inzetten voor hun geshoe thiskunnen introduces new risks and opportunities for us duistere to consider. Some deep werken en applica anno 2010, lijkt hetArray realiteit tepraktijken? zijn geworden. NaGurkha. Application Service (ASP)het Cloud” en wordtNu, georganiseerd door Seminars en Madison DSULO Last but not leastresearch spreekt IanProviding de Villiers Zuid-Afrikaanse SensePost technical has gone intovan the underlying technologies (like Virtualization) but interne auditors, h BDGYBEODFNKDWBVHVVLHVB[BLQGG  7LM'Computing Als u zich uiterlijkenvijf weken voor as heta Service), hebben SAAS (Software hetover nutoover “The Cloud”. Via de cloud kun jeproblemen some extent this serves only tode muddy the waters when considering the overall en andere geïntere Researchwe Labs “Clobbering the Cloud”. Wat zijn met Cloud WRWXXU seminar kunt u de processorcapaciteit krijgen, extern geheugen en software huren, zelfs voor de desktop. evenement registreert, ontvangt hieropSun threat landscape. During this talk, SensePost will attempt to separate fact from fiction /RNDWL( Al aan het eind van de vorige eeuw u bezigde Microsystems de slogan: “The network als we het hebben over zaken als privacy en beveiliging? Computing biedt b while walking through attacks on “the cloud”. Dit maakt IT erg flexibel, maar is het ook veilig? Deen sprekers van deze editieseveral van dereal-world Black 'H5HHKRUVWLQ(GH ook nog eens 10% Bij is the computer.” Datvroegboekkorting. was toen nog niet echt praktisch toepasbaar tamelijk visionair. noud Engelfriet Ralph Moonen Ferdinand Vroom Martin Knobloch Ian de  Villiers Walter Belgers Originally presented in the US, this talk will focus both on attacks against the cloud de risico’s.

'HJHYDUHQGLH|GHFORXG}PHW]LFKPHHEUHQJW DSULO'H5HHKRUVWLQ(GH %ODFN+DW6HVVLRQV3DUW9,,, DSULO'H5HHKRUVWLQ(GH 6SUHNHUV]LMQ %ODFN+DW6HVVLRQV3DUW9,,,

+DFNLQJWKH&ORXG +DFNLQJWKH&ORXG

$UQRXG(QJHOIULHW!5DOSK0RRQHQ!)HUGLQDQG9URRP!0DUWLQ !,DQGH9LOOLHUV'DJYRRU]LWWHULV:DOWHU%HOJHUV

'HJHYDUHQGLH|GHFORXG}PHW]LFKPHHEUHQJW DSULO'H5HHKRUVWLQ(GH %ODFN+DW6HVVLRQV3DUW9,,, 'HJHYDUHQGLH|GHFORXG}PHW]LFKPHHEUHQJW

6SUHNHUV]LMQ $UQRXG(QJHOIULHW!5DOSK0RRQHQ!)HUGLQDQG9URRP!0DUWLQ.QREORFK !,DQGH9LOOLHUV'DJYRRU]LWWHULV:DOWHU%HOJHUV 6SUHNHUV]LMQ $UQRXG(QJHOIULHW!5DOSK0RRQHQ!)HUGLQDQG9URRP!0DUWLQ.QREORFK 'HJHYDUHQGLH|GHFORXG}PHW]LFKPHHEUHQJW !,DQGH9LOOLHUV'DJYRRU]LWWHULV:DOWHU%HOJHUV

+DFNLQJWKH&ORXG

6SUHNHUV]LMQ $UQRXG(QJHOIULHW!5DOSK0RRQHQ!)HUGLQDQG9URRP!0DUWLQ.QREORFK ,DQGH9LOOLHUV'DJYRRU]LWWHULV:DOWHU%HOJHUV

,QIRUPDWLHHQUHJLVWUDWLH Hat Sessions in geworden. op de risico’s Cloud Computing, vandaar(ASP) “Hacking the Cloud”. gelijktijdige aanmelding van 4gaan personen Nu, anno 2010, lijkt het realiteit te zijn Navan Application Service Providing and on using these platforms as attack tools for general Internet mayhem. For purZZZDUUD\VHPLQDUVQO Ook jaar hebben wewe weer bijzondere sprekers weten aan te trekken. Arnoud ofenmeer een verlaagd tarief. Het 7LM' SAASgeldt (Software as adit Service), hebben heteen nu aantal over “The Cloud”.poses Via deofcloud kun je demonstration we will focus most of our demos and attacks against the big Engelfriet van ICTRecht zal wederom op onnavolgbare wijze zijn ideeën met onsdevelopments. delen WRWXXU inschrijfformulier kunt u vinden via onze processorcapaciteit krijgen, extern geheugen en software huren, zelfs voor de desktop. players, and highlight recent Deze Black Hat Sessions wordt georganiseerd door: en klemover demaar juridische van Computing. Naast voetangels 16.30 de dagvoorzitter website: Dit maaktwww.madison-gurkha.com IT erg flexibel, is hetaspecten ook(klik veilig? DeCloud sprekers vanu dezeAfsluiting editiejuridische vandoor de Black eze achtste editie van de Black Hat Sessions staat in het teken van “Hacking the 'DWXP Walter Belgers, Madison men zijn er de technische risico’s. En wie zijn wat applicaties betreft beter opGurkha de hoogte ,QIRUPDWLHHQUHJLVWUDWLH %HVWHPGYRRUÇ op de Black Hat banner). Hat Sessions gaan in op de risico’s van Cloud Computing, vandaar “Hacking the Cloud”. oud” en wordt georganiseerd door Array Seminars en Madison Gurkha. DSULO 16.40van u Borreluur /de Informatiemarkt De bijeenkomst wordt georganiseerd danwe deweer mensen OWASP? Ralphsprekers Moonen cloud vanuit een ander ZZZDUUD\VHPLQDUVQO Ook dit jaar hebben een van aantal bijzondere wetenITSX aanbekijkt te trekken. Arnoud voor beheerders van systemen, netperspectief, namelijkop hoe kunnen cybercriminelen de cloud inzetten Engelfriet van ICTRecht zal wederom onnavolgbare wijze zijn ideeën met ons delenvoor hun duistere werken en applicaties, security officers, /RNDWL( aan het eind van de vorige eeuw bezigde Sun Microsystems de slogan: “The network LastCloud but not least spreekt Ianjuridische de Villiersvoetangels van het Zuid-Afrikaanse SensePost over de juridischepraktijken? aspecten van Computing. Naast en kleminterne auditors, het management 'H5HHKRUVWLQ(GH the computer.” Dat was toen nog niet echt praktisch toepasbaar en tamelijk visionair. en andere geïnteresseerden. Na dit Researchrisico’s. Labs over “Clobbering the Cloud”.betreft Wat zijn de problemen met Cloud Computing men zijn er de technische En wie zijn BDGYBEODFNKDWBVHVVLHVB[BLQGG wat applicaties beter op de hoogte %HVWHPGYRRUÇ u, anno 2010, lijkt het realiteit te zijn geworden. Na Application Service Providing (ASP) seminar kunt u de kansen die Cloud De bijeenkomst wordt georganiseerd als OWASP? we het hebben over zaken privacy ende beveiliging? dan de mensen van Ralph Moonen vanals ITSX bekijkt cloud vanuit een ander 7LM' Computing biedt afwegen tegen n SAAS (Software as a Service), hebben we het nu over “The Cloud”. Via de cloud kun je Madison Gurkha voorjaar 2010 voor beheerders van systemen, net- beter perspectief, namelijk hoe kunnen cybercriminelen de cloud inzetten voor hun duistere de risico’s. werken en applicaties, security officers, WRWXXU ocessorcapaciteit krijgen, extern geheugen en software huren, zelfs voor de desktop. praktijken? Last but not least spreekt Ian de Villiers van het Zuid-Afrikaanse SensePost interne auditors, het management

5

In de rubriek “De Hack” belichten we iedere Madison Gurkha Update een opmerkelijke situatie die tijdens een beveiligingsaudit werd aangetroffen. Deze keer gaat Frans Kollée van Madison Gurkha in op de ontbrekende beveiliging bij het ontsluiten van webservices.

de hack

Webservices vaak onvoldoende of niet beveiligd Dit keer geen diepgaand voorbeeld van een specifieke hack, maar inzage in de ontbrekende beveiliging bij het ontsluiten van webservices, gebaseerd op diverse praktijkervaringen.

We constateren dat webservices steeds vaker worden ingezet om functionaliteit te bieden naast het gebruik van de reguliere webapplicaties. De aangeboden functionaliteit is over het algemeen overlappend met als doel om informatie tussen systemen uit te wisselen zonder dat daarvoor een webbrowser voor nodig is. Hoewel de functionaliteit vaak overlappend is, kan dit niet worden gezegd met betrekking tot de beveiliging. Tijdens onze beveiligingsonderzoeken zien we vaak dat er ruimschoots aandacht is besteed aan de beveiliging van de webapplicatie, maar dat de webservices onvoldoende en soms helemaal niet zijn beveiligd. Het lijkt erop alsof de fouten die vroeger gemaakt werden bij het ontwikkelen en aanbieden van webapplicaties, nu opnieuw worden gemaakt bij webservices. Bij de ontwikkeling en implementatie van webapplicaties zien we dat er steeds meer aandacht is voor beveiligingsaspecten zoals versleutelde communicatie, authenticatie, autorisatie, invoervalidatie en het afschermen van administratieve interfaces. Overbodige informatie zoals stacktraces en debuginformatie wordt steeds vaker afgeschermd zodat ook hier geen informatie uitlekt. Bij de ontwikkeling van webservices is het ineens anders en zien we regelmatig dat authenticatie niet of nauwelijks is geïmplementeerd, autorisatiecontrole onvoldoende is en dat er geen invoervalidatie plaatsvindt. De stacktraces en debug-informatie geven in veel gevallen onnodig veel informatie weg. Webservices kunnen op verschillende manieren worden aangeboden. We gaan in dit artikel uit van het aanbieden van webservices via de SOAP/XML interface. Het creëren van

6

Madison Gurkha voorjaar 2010

op SOAP/XML gebaseerde webservices is met de huidige frameworks een stuk eenvoudiger geworden. Allerlei ondersteunende processen en informatie worden automatisch gegenereerd zodat een webservice al snel in gebruik kan worden genomen. In de navolgende paragrafen geven we een overzicht van zaken die we regelmatig tegen komen. Hieruit blijkt dat, juist doordat de frameworks veel zaken automatisch regelen en dus de time-to-market een stuk korter is geworden, de aandacht voor beveiliging is afgenomen. Informatie over webservices In de meeste gevallen krijgen we van klanten de informatie dat er een of meerdere webservices actief zijn. Vaak vinden we deze informatie ook terug in de publieke zoekmachines of zijn er aanwijzingen op de website van de klant zelf over de aanwezigheid hiervan. De URL voor de service ziet er dan bijvoorbeeld zo uit: http://services.customer.com/info/ personal.asmx. Indien we deze opvragen, zien we in veel gevallen een overzicht van de aangeboden webservices. Deze informatie is niet afgeschermd. Dit overzicht geeft op zich al veel informatie onnodig weg. Ook de WSDL-informatie is dan vaak beschikbaar. Hiertoe breiden we de URL uit met: http://services.customer.com/info/personal.asmx?WSDL Alle informatie voor het maken van een SOAP-request is hierdoor beschikbaar. Invoervalidatie Met de verkregen informatie gaan we vervolgens zelf berichten maken. Hierbij testen we bijvoorbeeld wat er

de hack

gebeurt indien er ongeldige berichten worden verstuurd. In veel gevallen levert dat uitgebreide debug-informatie op die we later weer kunnen gebruiken. De inzet van geautomatiseerde fuzzing technieken is vaak niet eens nodig. Ook het meesturen van een zogenaamd SOAP-attachment, levert vaak ongewild veel informatie op. Dit komt omdat de ontvangende webservice helemaal geen attachment verwacht en er geen additionele beveiligingsmaatregelen zijn genomen. Autorisatie Indien we geldige berichten opsturen, waarbij we bijvoorbeeld identificatiegegevens aanpassen, blijkt vaak dat er gegevens kunnen worden opgevraagd die niet voor ons bestemd zijn. Ter illustratie het volgende voorbeeld. Stel dat er een webservice wordt aangeboden aan klanten. Iedere klant krijgt een inlogcode en in het bericht wordt het klantnummer opgenomen. Voor het gebruik van de webservice wordt om een geldige inlogcode op basis van HTTPS-authenticatie gevraagd. Nadat er succesvol is geauthentificeerd, wordt de gevraagde informatie geleverd. Hierbij wordt er volledig vertrouwd op de eerdere authenticatie. Zodra we authenticeren als klant A, en in het bericht het klantnummer van klant B opnemen, zien we de informatie van klant B. Hierbij is er dus duidelijk sprake van het ontbreken van autorisatiecontrole. Deze controle is er overigens meestal wel als dezelfde functionaliteit via de webapplicatie wordt aangeboden. Een andere kwetsbaarheid in bovenstaand voorbeeld is het ontbreken van integriteitcontroles. Manipulaties van het XML-

bericht worden niet gedetecteerd. Met name in een SOA georiënteerde omgeving is het belangrijk dat integriteitcontroles en end-to-end versleuteling zijn geïmplementeerd. XML validatie De inhoud van het XML-bericht wordt vaak onvoldoende gevalideerd. Dit opent mogelijkheden voor aanvallen zoals XML-Entity-Expansion en XPATH-injection. Behalve Denial of Service aanvallen, kan er op deze wijze informatie uit de database worden gehaald. Een Denial of Service aanval voeren we in de praktijk niet uit, maar we tonen wel aan de mogelijkheid aanwezig is. Het rechtstreeks opvragen van allerlei informatie uit de achterliggende database is ons meerdere malen gelukt. History repeating Bij het ontsluiten van webapplicaties wordt er bij de ontwikkeling steeds meer aandacht besteed aan de risico’s en beveiligingseisen. Over het algemeen wordt niet alleen vertrouwd op de applicatie zelf, maar zijn er additionele beveiligingsmaatregelen genomen op de webserver zelf en wordt er gebruik gemaakt van applicatiefirewalls. Bij het ontsluiten van de webservices zien we vaak dat er op applicatieniveau minder beveiligingsmaatregelen zijn genomen. Additionele beveiligingsmaatregelen op de webserver ontbreken vaak in zijn geheel, evenals de bescherming door een applicatiefirewall. Dit komt overeen met de in het verleden gemaakte fouten die we zagen bij webapplicaties die via het internet werden aangeboden.

Madison Gurkha voorjaar 2010

7

Madison Gurkha Update interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld om zijn of haar visie te delen over dit steeds belangrijker wordende onderwerp. Ditmaal een interview met mr. ir. Arnoud Engelfriet, partner bij juridisch adviesbureau ICTRecht.

het interview

Arnoud Engelfriet

Waarom heb je je als jurist gespecialiseerd in ICT? Tijdens mijn studie informatica (1993-1999) raakte ik geïnteresseerd in de relatie tussen internet en recht. Ik beheerde o.a. een FAQ over PGP, encryptiesoftware waar allerlei juridische problemen aan kleefden. De computerstudentenvereniging waar ik toen voorzitter van was, kreeg eerst te maken met auteursrechten en Scientology en daarna met aanbieden van het Anarchist Cookbook. Ik ben daar toen met twee medestudenten dieper ingedoken want we wilden uitzoeken hoe dat juridisch zat. In december 2001 begon ik de site Iusmentis.com. met uitleg over intellectueel eigendom. Van de oorspronkelijke twaalf artikelen is de site ondertussen gegroeid naar meer dan 350 in het Nederlands en Engels. Het begon als hobby, mijn opgedane kennis over het onderwerp delen. Ik vind dat kennis over IT en recht breed beschikbaar moet zijn, en via deze site kan ik dat uiten. In 2008 maakte ik van deze hobby mijn werk door partner te worden bij juridisch adviesbureau ICTRecht.nl. Wat is de gemiddelde kennis van juristen over IT? IT is echt een specialisme, net zoals huurrecht, arbeidsrecht of faillissementsrecht. Het is dus niet gek dat niet iedere jurist daar verstand van heeft. Jammer vind ik wel dat veel advocaten claimen het te kunnen maar in de praktijk maar bar weinig verstand van zaken hebben. Dat is onnodig werk voor iedereen en een hoop verspild geld.

8

Madison Gurkha voorjaar 2010

en van rechters? Veel mensen geven af op rechters die “niets van IT” weten. Ik vind dat onzin. Rechters zijn er om recht te spreken, niet om te weten hoe ze zerodayexploits in Acrobat kunnen ontdekken. Het is de taak van de partijen die voor de rechter staan om uit te leggen hoe het technisch zit, en op basis daarvan besluit de rechter wat rechtens is. Verder moet je niet vergeten dat rechters altijd met een concreet geval zitten waar NU een knoop moet worden doorgehakt. Er is niet altijd tijd voor een elegante oplossing die voor de lange termijn werkt. In IT termen is de rechter de bugfixer die NU een systeem weer aan de gang moet krijgen, en niet de architect die versie 3.0 geheel van de grond af opnieuw gaat ontwerpen. Welke juridische ICT problemen kom je het meest tegen? Ik krijg veel vragen over auteursrechten. Mensen weten niet wat er wel en niet mag van die wet, en ze staan elke keer versteld als ik aangeef wat er allemaal niet mag. Nee, je mag geen logo’s of foto’s op je Hyve plakken, software van internet plukken of teksten hergebruiken - tenzij je toestemming hebt. En als je de auteur niet kunt vinden, dan heb je pech. Bijzonder frustrerend. In de ‘harde’ IT gaat het vaak om downtime en storingen in software. Dat kan soms tot miljoenen euro’s schade lijden, en dat moet natuurlijk verhaald worden. Over smaad op forums en blogs krijg ik ook veel vragen. Daar is alleen heel weinig aan te doen, zulke scheldpartijen en geruzie zijn lastig te ontwarren en juridisch zijn het nauwelijks zinvolle zaken.

ICTRecht hanteert een keurmerk voor websites. Kun je daar wat meer over vertellen? Er is veel wet- en regelgeving voor bedrijven die elektronisch zakendoen. Zo moet je allerlei informatie over jezelf op je site zetten, bijvoorbeeld je KVK- en BTW-nummer *wacht tot lezer heeft vastgesteld of zijn bedrijf dat doet*. Ook moeten je algemene voorwaarden op een bepaalde manier worden aangeboden om rechtsgeldig van kracht te zijn als je klant iets koopt of een dienst afneemt. Webwinkels zijn verder nog gebonden aan wetgeving uit het consumentenrecht, zoals de Wet Koop op Afstand en de Wet Oneerlijke Handelspraktijken. Zo moet een webwinkel een uitprobeerrecht van zeven werkdagen geven, en mag een spelletjessite niet kinderen aanzetten om bij hun ouders te gaan zeuren om iets te kopen. Voor ons keurmerk controleren we sites in diverse branches op deze informatieplichten en andere relevante wetgeving. Als men voldoet, dan mag men ons logo voeren. De komende Black Hat Sessions hebben als Thema Hacking the Cloud. Jij spreekt ook tijdens dit evenement. Kun je alvast een tipje van de sluier oplichten van de juridische voetangels en klemmen in “the Cloud” ? Ik noemde net al storingen en downtime, dat is natuurlijk bij de cloud een probleem net zoals bij ‘gewone’ websites. Maar ook heel belangrijk gaat faillissement worden: wat gebeurt er als je cloudapplicatieaanbieder failliet gaat en zijn hostingrekening niet meer betaalt? Daar sta je dan met je login voor documentbeheer, agenda of boekhoudprogramma dat ineens offline is. Welke ontwikkelingen zie je op het gebied van IT en recht de komende jaren? Rond auteursrechten hebben we een paar stevige noten te kraken. Wat gaan we doen met de verspreiding van muziek, films en dergelijke via internet? Hoe gaan we dat legaliseren, en hoe leggen we dat de rechthebbenden uit? Ook privacy moet zichzelf uitvinden. Het idee van volledige controle over je eigen informatie (zoals de privacywet nu nastreeft) werkt niet en kan niet meer werken. Daar moet een nieuwe aanpak voor komen, maar dat is wel een heel fundamenteel probleem.

In elke Madison Gurkha Update vragen wij een klant het spreekwoordelijke hemd van het lijf met betrekking tot zijn of haar relatie met ICT-beveiliging. Voor eenieder herkenbare verhalen uit de praktijk, uiteraard zo onherkenbaar mogelijk gebracht. Deze keer het woord aan de heer X van instelling Y.

de klant Security. Dat heb je niet om het bedrijf stil te zetten, maar om bepaalde risico’s die groot zijn te kunnen managen en op die manier meer mogelijkheden te hebben. Wat vind u de leuke en wat de minder leuke kanten van uw functie? Leuke kanten: leuke dynamiek. Minder leuke kanten: dat je na een aantal jaren bij wisseling van het management hetzelfde verhaal steeds weer opnieuw moet vertellen. Hoewel je wel heel duidelijke vooruitgang binnen het bedrijf merkt. Mensen worden zich meer bewust van informatiebeveiliging. Een aantal jaren geleden waren het virussen, hackers en whizzkids die een beetje speelden, maar inmiddels is het een ander spel geworden. Het is een serieuze misdaad geworden die ook om een serieuze aanpak vraagt.

In welke branche is uw organisatie actief? Logistiek en Transport. Wat is uw functie? Information Security Officer. Hoeveel mensen houden zich in uw organisatie bezig met informatiebeveiliging? Er is geen specifieke security-organisatie. Per unit is er een aanspreekpunt die zich vaak in deeltijd hiermee bezighoudt. Bij elkaar opgeteld gaat het in totaal om ongeveer 7-8 personen, maar in feite hebben alle lijnmanagers security als taak binnen hun functie. Wat zijn de drie belangrijkste kwaliteiten waarover men moet beschikken om deze functie met succes te kunnen uitoefenen? Gevoel en inzicht in de business hebben. Redelijk inzicht in techniek en hype van realiteit kunnen scheiden. Goed met mensen om kunnen gaan. Het is meer dan alleen het strak handhaven van beleid, je moet snappen wanneer je moet afwijken van het bestaande beleid omdat het in het belang van de business is. Information Security is er om de business te enablen en niet om de business tegen te gaan. Of zoals een Canadese professor het eens zei: “waarom zitten er remmen op een auto? Dat is niet om te stoppen, maar om harder te kunnen rijden.” Zo is het ook met Information

Wat zijn in uw organisatie op dit moment de belangrijkste uitdagingen op het gebied van informatiebeveiliging? Een van de uitdagingen voor elk bedrijf is het omgaan met lekke software. Leveranciers van software maken hun software achteraf pas veiliger, door fouten achteraf te herstellen en (d.m.v. het uitbrengen van updates en patches). Naarmate je eigen IT-omgeving ingewikkelder wordt, wordt ook de samenhang tussen al die elementen groter en wordt het lastiger om bijvoorbeeld updates door te voeren. Je wordt afhankelijker van verschillende partijen die elk in een ander tempo ontwikkelen. Welke maatregelen worden genomen om deze lekke software tegen te gaan? Alle trucs die we hebben (protocolfiltering etc.) worden daar waar nodig toegepast, waardoor een omgeving wordt gecreëerd waar een virus of worm niet dieper in de organisatie kan doordringen dan de plek waar het op dat moment zit. Ik zie het als een uitdaging om de organisatie dusdanig in te richten dat je eventuele problemen kunt inkapselen en daarmee beperken tot een bepaalde omgeving. Dit is lastig omdat omgevingen steeds complexer worden en de afhankelijkheid van softwareleveranciers en de onderlinge afhankelijkheid van hun software groter wordt. Vervult u nog nevenfuncties op IT-beveiligingsgebied buiten uw organisatie? Ik heb genoeg interessante nevenfuncties, onder andere de participatie in een aantal overleggen met andere grote bedrijven, over-

heids- en universitaire instellingen. Welke ontwikkelingen vind je het meest bedreigend? Het meest bedreigende is vaak ook de grootste kans. Als het meest bedreigende zie ik het feit dat de muren van bedrijfsnetwerken gaan vallen. Dit heeft twee effecten: enerzijds dat de bedrijfsnetwerken open worden en dat er allerlei apparaten binnenkomen die je niet meer onder controle hebt. Aan de andere kant heeft dat het effect dat allerlei data in SAAS-achtige toepassingen op het internet terecht komen bij partijen die soms niet eens onder dezelfde wetgeving vallen als wij en daardoor compleet buiten je invloedssfeer komen. Het is een uitdaging om als bedrijf over voldoende middelen en methoden te beschikken om controle te houden over al die situaties. Hoe helpt MG het onder controle houden van deze risico’s? Door het regelmatig op vakkundige wijze testen van de systemen om te kijken of die nog steeds veilig zijn. En dat kunnen dan systemen binnen onze invloedssfeer zijn, maar – met toestemming van de eigenaars – ook systemen buiten onze invloedssfeer.

Madison Gurkha voert per jaar tientallen ICT-beveiligingsaudits uit voor uiteenlopende organisaties: van verzekeraars tot banken, van pensioenfondsen tot de overheid en van technologiebedrijven tot internetwinkels. Al onze klanten hebben één ding gemeen: ze nemen ICT-beveiliging uitermate serieus. Zij weten als geen ander hoe belangrijk het is om zorgvuldig met kostbare en vertrouwelijke gegevens om te gaan. Zij laten hun technische ICT-beveiligingsrisico’s daarom dus ook structureel onderzoeken door Madison Gurkha.

Madison Gurkha voorjaar 2010

9

In de rubriek “Het Verslag” laten wij u delen in onze ervaringen tijdens conferenties, seminars en trainingen. Deze keer doet Pieter de Boer verslag van zijn deelname aan de training Industrial Control Systems Cyber Security voor gevorderden in Idaho.

het

verslag

Industrial Control Systems Security Training Nog voordat de barre winter Nederland binnentrok, mocht ik vorig jaar november op uitnodiging van het NICC (zie Update 6) naar het koude Idaho Falls afreizen. Daar werd namelijk een training gegeven met de naam `Industrial Control Systems Cyber Security Advanced Training’. Deze training werd verzorgd door mensen van het Idaho National Laboratory (INL), een overheidsinstelling waar veel onderzoek plaatsvindt, met name op nucleair gebied. Testen te risicovol Madison Gurkha heeft klanten in allerlei sectoren, waaronder de industrie en nutsbedrijven. Deze klanten hebben vaak naast het gebruikelijke kantoornetwerk een productienetwerk waar kritieke procesaansturing op plaatsvindt. Denk hierbij aan zaken als het besturen van waterpompen voor drinkwatervoorziening, het openen van kranen om chemicaliën samen te laten komen, of het opschalen van stroomleverantie door energiecentrales. Veelal kunnen slechts zeer beperkt beveiligingsonderzoeken worden uitgevoerd op de procesnetwerken. Mocht er iets misgaan, dan kan dat immers verstrekkende gevolgen hebben. Het testen zelf is zo risicovol dat het in een aantal gevallen op de koop toegenomen wordt dat onbekende lekken blijven bestaan omdat ze niet getest kunnen worden. Het leek ons goed meer te leren over de specifieke bedreigingen voor procesnetwerken en mogelijkheden om beveiliging hiervan te verbeteren. De training door INL bood deze mogelijkheid.

van. De eerste drie dagen waren gevuld met uitleg over hoe procesnetwerken gebouwd worden, uit welke componenten ze bestaan en welke beveiligingsrisico’s specifiek gelden voor deze netwerken. Ook werd aandacht

Met adrenaline gevulde dag Het was een met adrenaline gevulde dag. Al snel had het rode team lekken gevonden in systemen van het blauwe team en probeerden we toegang te krijgen tot het netwerk. Doordat het blauwe team erg snel patches uitrolde en handmatig lekken dichtte, bleek het niet eenvoudig verder te komen. Uiteindelijk werd gedurende de dag op meerdere manieren toch toegang verkregen en kon zelfs, (helaas) laat in de middag, het productieproces verstoord worden. Dit lukte doordat het systeem waar de aansturing van het chemische proces op plaatsvond overgenomen kon worden. Voor elke gelukte aanval kreeg het rode team punten; voor elke afgeslagen aanval of het dichten van lekken kreeg het blauwe team punten. Aan het eind van de dag had het rode team net wat minder punten dan het blauwe, waardoor het blauwe team officieel als winnaar uit de bus kwam.

De groep van ongeveer dertig personen bestond uit security consultants zoals ik, werknemers van industriële- en nutsbedrijven en werknemers van bedrijven die industriële apparatuur maken. Het was een zeer gemengde club, waardoor er veel kennis en ervaring gedeeld kon worden. Red/Blue team exercise De training zelf duurde vijf dagen en bestond uit drie dagen instructie, het uitvoeren van een zogenaamde ‘red team/ blue team exercise’ en een evaluatie daar-

10

Madison Gurkha voorjaar 2010

De gehele donderdag stond in het teken van een `exercise’. De groep was eerder in de week opgesplitst in een blauw (verdedigend) team en een rood (aanvallend) team. Het blauwe team kreeg de verantwoordelijkheid om een simulatie van een bedrijfsnetwerk met daarin een chemische installatie in stand te houden en ervoor te zorgen dat de productie van een geheim chemisch product doorgang vond. Het rode team was zogenaamd aangenomen door een concurrent van het bedrijf om enerzijds het recept van het product te achterhalen en anderzijds de productie te verstoren. Ik was ingedeeld in het rode team.

besteed aan technieken en tools die aanvallers en testers tot hun beschikking hebben om procesnetwerken aan te vallen.

Vrijdag volgde de evaluatie van de vorige dag. Het moment om lessen te leren voor

het het dagelijkse leven en deze hopelijk later in de praktijk te brengen. Het gesimuleerde netwerk kende allerlei beveiligingsproblemen en manieren waarop aanvallers toegang konden krijgen tot het procesnetwerk. Helaas is dat de dagelijkse praktijk. Via problemen in websites of door het laten bezoeken van gevaarlijke PDF-bestanden weten aanvallers toegang te krijgen tot bedrijfsnetwerken. Door het ontbreken van patches kan vervolgens verder ingebroken worden op systemen. Wanneer productienetwerken gekoppeld zijn aan kantoornetwerken, hetgeen steeds meer voorkomt, kunnen aanvallers daarna overgaan tot het aanvallen van het procesnetwerk. Het blauwe team merkte dat het niet eenvoudig is om een groot netwerk te overzien en duidelijk te krijgen welke beveiligingsproblemen op welke wijze opgelost kunnen worden. In de simulatie was, heel realistisch, ervoor gezorgd dat documentatie van het te beheren netwerk niet geheel overeen kwam met de werkelijkheid. Ook was er een managementteam aanwezig dat niet zonder goede reden toestemming gaf om systemen af te sluiten, patches uit te voeren of netwerkpoorten te sluiten. Al met al kwamen allerlei facetten van de dagelijkse praktijk terug in de simulatie. Belangrijkste lessen Voor mij was de belangrijkste les dat procesnetwerken vaak erg statisch van karakter zijn. Ze zijn veelal jaren geleden gebouwd en worden daarna niet meer aangepast. Systemen die het proces aansturen zijn tegenwoordig vaak gebaseerd op Windows, waar door de jaren heen honderden beveiligingslekken in gevonden zijn, waarvan een groot

de agenda

verslag

aantal ook via het netwerk te misbruiken zijn. Patches kunnen vaak niet uitgerold worden, al was het alleen maar omdat softwareleveranciers dan geen garantie meer kunnen of willen geven op de correcte werking van de systemen. Verder wordt er veel gebruik gemaakt van netwerkprotocollen die slechts zeer beperkt of helemaal geen beveiligingsmogelijkheden kennen. Een aanvaller die eenmaal toegang heeft gekregen tot het procesnetwerk kan door eenvoudigweg de juiste pakketten te sturen het proces ernstig (of juist subtiel) verstoren. Het gebruik van dit soort protocollen is logisch gezien de leeftijd ervan. De wereld is veranderd en de dreigingen ook, maar de techniek loopt vaak achter. In kantoornetwerken worden systemen om de paar jaar vervangen of opnieuw ingericht, waardoor veiligere systemen eenvoudig intrede kunnen doen. In procesnetwerken kan dit al gauw vijf tot tien keer zo lang duren. Als ik iets van het geleerde aan u zou door moeten geven, dan is het wel het belang van goede isolatie tussen systemen en netwerken. Het beste is geen enkele communicatie tussen procesnetwerk en andere netwerken. Indien het dan toch echt nodig is, zorg ervoor dat een zo nauw mogelijk communicatiekanaal wordt gemaakt. Zelfs een uitgaande databaseverbinding vanuit het procesnetwerk kan een aanvaller al de mogelijkheid geven vanuit het kantoornetwerk het procesnetwerk op te komen. Het is dus zaak om de kanalen die er zijn goed te monitoren en de gebruikte software up-to-date te houden. Wees gerust creatief in uw oplossingen, en probeer er voor te zorgen dat uw leveranciers security net zo serieus nemen als uzelf.

Als u op de hoogte wilt blijven van de laatste ontwikkelingen in de ICT-beveiligingswereld dan zijn beurzen en conferenties de ideale gelegenheid om uw kennis te verrijken en om contacten op te doen. Iedere Madison Gurkha Update presenteren wij in de agenda een lijst met interessante bijeenkomsten die de komende tijd zullen plaatsvinden.

27 april 2010

Black Hat Sessions VIII Ede, Nederland http://madison-gurkha.com Deze achtste editie van de Black Hat Sessions wordt georganiseerd door Array Seminars en Madison Gurkha en staat in het teken van “Hacking the Cloud” De bijeenkomst wordt georganiseerd voor beheerders van systemen, netwerken en applicaties, security officers, interne auditors, het management en andere geïnteresseerden. Na dit seminar kunt u de kansen die Cloud Computing biedt beter afwegen tegen de risico’s. Het programma start om 9.30 uur en duurt tot 16.40 uur. Aansluitend wordt nog een borrel georganiseerd. Registratie is mogelijk vanaf 8.30 uur. Zie voor het uitgebreide programma het artikel Het Event elders in deze Update.

1 en 2 juli 2010

Hack in the Box Amsterdam, Nederland http://conference.hackinthebox.org/hitbsecconf2010ams/ De grootste beveiligingsconferentie van Azië, Hack in the Box (HitB), komt volgend jaar voor het eerst naar Amsterdam. Hack in the Box begon in 2003 in Maleisië en vindt sinds 2007 ook elk jaar in Dubai plaats. Daarbij richt het zich voornamelijk op security professionals die technisch goed onderlegd zijn. De conferentie begint met een training van twee dagen, gevolgd door twee dagen met lezingen.

het colofon Redactie Walter Belgers Tim Hemel Laurens Houben Remco Huisman Frans Kollée Ward Wouts

Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan

Contactgegevens Madison Gurkha B.V. Postbus 2216 5600 CE Eindhoven Nederland

T +31 40 2377990 F +31 40 2371699 E [email protected]

Bezoekadres Vestdijk 9 5611 CA Eindhoven Nederland

Redactie [email protected]

Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.

Madison Gurkha voorjaar 2010

11

DSULO'H5HHKRUVWLQ(GH %ODFN+DW6HVVLRQV3DUW9,,,

+DFNLQJWKH&ORXG 'HJHYDUHQGLH|GHFORXG}PHW]LFKPHHEUHQJW

6SUHNHUV]LMQ $UQRXG(QJHOIULHW!5DOSK0RRQHQ!)HUGLQDQG9URRP!0DUWLQ.QREORFK !,DQGH9LOOLHUV'DJYRRU]LWWHULV:DOWHU%HOJHUV

Arnoud Engelfriet

Ralph Moonen

Ferdinand Vroom

Martin Knobloch

Ian de Villiers

Walter Belgers

Deze achtste editie van de Black Hat Sessions staat in het teken van “Hacking the Cloud” en wordt georganiseerd door Array Seminars en Madison Gurkha.

'DWXP

Al aan het eind van de vorige eeuw bezigde Sun Microsystems de slogan: “The network is the computer.” Dat was toen nog niet echt praktisch toepasbaar en tamelijk visionair. Nu, anno 2010, lijkt het realiteit te zijn geworden. Na Application Service Providing (ASP) en SAAS (Software as a Service), hebben we het nu over “The Cloud”. Via de cloud kun je processorcapaciteit krijgen, extern geheugen en software huren, zelfs voor de desktop. Dit maakt IT erg flexibel, maar is het ook veilig? De sprekers van deze editie van de Black Hat Sessions gaan in op de risico’s van Cloud Computing, vandaar “Hacking the Cloud”. Ook dit jaar hebben we weer een aantal bijzondere sprekers weten aan te trekken. Arnoud Engelfriet van ICTRecht zal wederom op onnavolgbare wijze zijn ideeën met ons delen over de juridische aspecten van Cloud Computing. Naast juridische voetangels en klemmen zijn er de technische risico’s. En wie zijn wat applicaties betreft beter op de hoogte dan de mensen van OWASP? Ralph Moonen van ITSX bekijkt de cloud vanuit een ander perspectief, namelijk hoe kunnen cybercriminelen de cloud inzetten voor hun duistere praktijken? Last but not least spreekt Ian de Villiers van het Zuid-Afrikaanse SensePost Research Labs over “Clobbering the Cloud”. Wat zijn de problemen met Cloud Computing als we het hebben over zaken als privacy en beveiliging?

/RNDWL(

Deze Black Hat Sessions wordt georganiseerd door:

DSULO 'H5HHKRUVWLQ(GH 7LM'

WRWXXU ,QIRUPDWLHHQUHJLVWUDWLH

ZZZDUUD\VHPLQDUVQO %HVWHPGYRRUÇ De bijeenkomst wordt georganiseerd voor beheerders van systemen, netwerken en applicaties, security officers, interne auditors, het management en andere geïnteresseerden. Na dit seminar kunt u de kansen die Cloud Computing biedt beter afwegen tegen de risico’s.