DE COLUMN HET NIEUWS HET INTERVIEW DE KLANT DE AGENDA HET COLOFON. Arjan de Vet

9

Your Security is Our Business

herfst 2010

u p d a t e www.madison-gurkha.com

DE COLUMN

2

Arjan de Vet

HET NIEUWS

3

Madison Gurkha wint Aanbesteding Recordbedrag opgehaald bij Alpe d’HuZes Madison Gurkha nu wel naar Jordanië Klantendag Madison Gurkha

HET INzicht

4-5

Het fenomeen ‘IPv4-mappedIPv6-adressen’

HET INTERVIEW

6

Jaap van Oss, First Officer High Tech Crime Europol

DE KLANT

7

Uit de transportsector

DE HACK

8-9

Mensen hacken met behulp van social engineering

HET VERSLAG

10-11

Eth-0, outdoor hackerconferentie

DE AGENDA

11

HET COLOFON

11

In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom ICT-beveiliging. Deze keer Arjan de Vet over privacy.

de column

Privacy: uw verantwoordelijkheid richting anderen Op het moment dat ik deze column schrijf lees ik in de media berichten over bodyscanners op vliegvelden die toch beelden kunnen opslaan, over Google Streetview auto’s die aangepast zijn zodat ze niet meer ‘per ongeluk’ WiFi-signalen onderscheppen en vastleggen, Blackberry’s die wel of niet verboden worden omdat veiligheidsdiensten de communicatie niet kunnen onderscheppen en wildgroei van kentekenregistratiesystemen in Nederland. De gemene deler bij al deze nieuwsberichten is: privacy. Voor wat betreft die bodyscanners zal iedereen die enigszins technisch onderlegd is en snapt hoe die dingen werken daar niet echt verbaasd over kunnen zijn. Natuurlijk is het technisch zo dat beelden van de bodyscanner ergens tijdelijk in een geheugen zitten en is het voor testdoeleinden noodzakelijk dat die opgeslagen en offline bekeken kunnen worden. Maar je zou toch denken dat die dingen zo ontworpen zijn dat ze bij normaal gebruik de voor de afbeelding gebruikte geheugenruimte meteen overschrijven na gebruik. Hoewel, kopieermachines en scanners doen dit normaliter ook niet; een eventuele harddisk in dat soort apparaten is dus ook erg boeiend. Interessant met betrekking tot die Google Streetview auto’s is dat in Duitsland Google huurders en eigenaren van huizen de mogelijkheid geeft om hun woningen onherkenbaar te maken. Maar zelfs dat is nog niet voldoende om de ophef in Duitsland, waar men zich duidelijk meer zorgen maakt over de privacy dan bijvoorbeeld in Nederland, te verminderen. In Zuid-Korea is inmiddels een inval bij Google geweest vanwege de illegaal verzamelde data en ook het College Bescherming Persoonsgegevens (CBP) is met een onderzoek begonnen. De voorbeelden hierboven geven wel aan dat leveranciers van dit soort diensten met een grote IT-component (en welke dienst heeft dat tegenwoordig niet?) ook hun verantwoordelijkheden hebben voor wat betreft de privacy van de gebruikers van die diensten. Madison Gurkha komt bij haar werkzaamheden natuurlijk onvermijdelijk in aanraking met privacygevoelige data, want een goede beveiliging is noodzakelijk om privacy te waarborgen. Maar is het altijd onvermijdelijk? Het is meerdere keren voorgekomen dat we systemen in de gezondheidszorg moesten testen waarbij de medische data en bijbehorende persoonsgegevens aantoonbaar niet geanonimiseerd waren. Daar maken we bij rapportages (in de managementsamenvatting) uiteraard een opmerking over. Bij dit soort gevoelige data zou het inrichten van een testsetup met geanonimiseerde

2

Madison Gurkha herfst 2010

data eigenlijk (wettelijk) verplicht moeten zijn, zo dat al niet uit de huidige wetgeving volgt. In sommige gevallen hoeven we niet eens een beveiliging te doorbreken om aan privacygevoelige data te komen. Een laptop aansluiten op een intern netwerk en alles loggen dat langskomt levert soms al zeer verrassende resultaten op, zo is onlangs gebleken. Sommige netwerkswitches blijken zich soms als netwerkhubs te gedragen waardoor het onderscheppen van (onversleuteld) netwerkverkeer triviaal is geworden. Mocht u nog twijfelen over de noodzaak van netwerkprotocollen die versleuteling gebruiken op uw interne (switched) netwerk, dan weet u nu wellicht het antwoord. Madison Gurkha gaat zoals u mag verwachten uiterst zorgvuldig om met gevoelige data. Versleuteling wordt daar waar mogelijk gebruikt voor opslag en transport. Als een klant benodigde data alleen op een onversleutelde USB-stick kan zetten, wordt de data eerst gekopieerd naar versleutelde opslag en daarna meteen met speciale tools overschreven. Verder verwijdert Madison Gurkha data op veilige wijze zodra deze niet meer nodig is: data die je niet meer hebt kan ook niet meer gestolen worden of uitlekken. Maar hoe gaat u om met privacy bij de diensten die u aanbiedt? Laat u door (een bedrijf als) Madison Gurkha wel testen of privacygevoelige gegevens bij uw organisatie in veilige handen zijn? En als u dat doet, kunnen deze testen dan worden uitgevoerd zonder dat daarbij privacygevoelige of niet-geanonimiseerde data gebruikt wordt? Bewaart u data langer dan noodzakelijk is? Heeft u een policy voor de opslag en verwerking van klantgegevens en zorgt u ervoor dat derden zoals hostingproviders en SAAS-leveranciers zich daar ook aan houden? Wat vindt u verder in deze Update? Laurens Houben vertelt (geanonimiseerd) over een geslaagde social engineering aanval die we onlangs in opdracht uitvoerden. Frans Kollee vervolgt zijn IPv6-serie in de rubriek ‘Het Inzicht’ met dit keer een verhaal over IPv6-tunnels en IPv4-mapped-adressen. Walter Belgers doet verslag van de eth-0 outdoor hackerconferentie en verder uiteraard weer een interview met een Madison Gurkha-klant, ditmaal uit de transportsector. Arjan de Vet, Partner, Principal Security Consultant

In “het Nieuws” belichten we iedere Madison Gurkha Update belangrijke recente ontwikkelingen die in het beveiligingsnieuws zijn verschenen. Ook alle nieuwe ontwikkelingen rondom Madison Gurkha komen in deze rubriek uitgebreid aan bod.

het NIEU W S

Madison Gurkha wint Europese Aanbesteding Belastingdienst Met trots delen wij u mee dat uit alle inschrijvingen, de prijs-kwaliteitverhouding van Madison Gurkha geresulteerd heeft in de gunning van de opdracht perceel 3 ‘Audits ICT services’ uit de Europese aanbesteding ‘Beveiligingstooling en aanverwante dienstverlening’. Op maandag, 30 augustus 2010, heeft de Belastingdienst/ Centrum facilitaire dienstverlening met het tekenen van de contracten de gunning definitief gemaakt.

Recordbedrag opgehaald bij Alpe d’HuZes “De Lage Landen & Friends” beklom, in het kader van de Alpe d’HuZesactie voor het KWF Kankerfonds , de beroemde Tour de France berg maar liefst 70 keer, en haalde hiermee een geweldig bedrag op van 49.497,26 euro. De fietsactie voor kankerpatiënten heeft nu al de doelstelling van 10 miljoen bereikt en er is inmiddels een

Madison Gurkha nu wel naar Jordanië Zoals u wellicht in onze vorige Update heeft gelezen, is onze jubileumreis naar Jordanië die plaats zou vinden van 15 t/m 19 april niet doorgegaan vanwege het gesloten luchtruim. Madison Gurkha laat zich niet door één tegenslag uit het veld slaan. Wij gaan van 28 oktober t/m 1 november a.s. opnieuw een poging wagen om ons 10jarig bestaan te vieren met een onvergetelijke reis. Wij zullen daarom van 28 oktober t/m 1 november gesloten zijn. Wij zullen u hierover nader informeren.

Mist u een nieuws item, of heeft u nog ander opvallend of aanvullend security nieuws? Meld het aan ons

nieuw recordbedrag van 10.132.938,26 euro opgehaald! In oktober zal de 2010-editie officieel worden afgesloten en zal bekend worden gemaakt hoeveel geld in er in totaal bijeengebracht is voor het goede doel. Tot die tijd kunt u net als wij uw steentje bijdragen via www.opgevenisgeenoptie.nl. Het geld wordt voor 100% gedoneerd aan de Nederlandse Stichting tegen Kanker: ‘Het Koningin Wilhelmina Fonds’.

Klantendag Dit jaar viert Madison Gurkha haar 10-jarig jubileum. Onze kwaliteit, flexibiliteit en pragmatische aanpak wordt nog altijd zeer goed gewaardeerd. Graag willen wij onze klanten bedanken voor de waardering en het vertrouwen in de afgelopen 10 jaar tijdens een klanten(mid)dag op 14 oktober a.s. in het Van Abbemuseum met interessante sprekers, cultuur en een hapje en drankje. Onze klanten hebben hiervoor een persoonlijke uitnodiging ontvangen. Heeft deze uitnodiging u onverhoopt niet bereikt, maar wilt u graag aanwezig zijn, neem dan contact met ons op via [email protected].

door een mail te sturen naar: [email protected]. En wie weet staat uw nieuwtje in de volgende Madison Gurkha update!

Madison Gurkha herfst 2010

3

In de rubriek “Het Inzicht” stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Deze keer geeft Frans Kollée vervolg op een eerder verschenen artikel in onze nieuwsbrief over IPv6 en bespreekt hij het fenomeen ‘IPv4-mapped-IPv6-adressen’.

het in z icht

IPv6-tunnels en IPv4-mapped-adressen Ongewenste functionaliteit die standaard geactiveerd is of gewoon een handige feature? IPv6-netwerkstacks Bij nieuwe installaties van besturingssystemen is IPv6 steeds vaker geactiveerd. Wat betekent deze standaard, out-of-the-box functionaliteit voor bijvoorbeeld de toegankelijkheid van de services die op een systeem actief zijn? In dit artikel bespreken we het fenomeen ’IPv4-mapped-IPv6-adressen’, maar eerst gaan we kort in op het gebruik van IPv6-in-IPv4-tunnels die eveneens out-of-the-box actief kunnen zijn. Hiermee kunnen IPv6-services worden benaderd, zonder dat er intern een IPv6-infrastructuur aanwezig is.

myipv6.com/ uit te voeren. Op deze wijze zou een gebruiker dus in staat kunnen zijn om lokale beveiligingsmaatregelen ten aanzien van het websurfen, te omzeilen. Maatregelen om het gebruik hiervan tegen te gaan zijn bijvoorbeeld het uitschakelen van Teredo op het systeem. Zorg er dan wel voor dat een gebruiker geen rechten heeft om dit weer te activeren. Een tweede maatregel is het blokkeren van IPv4-UDPverkeer naar poort 3544 op de corporate firewallsystemen. Dit is namelijk de poort die vooralsnog door Teredo wordt gebruikt.

Over het algemeen wordt gedacht dat, zolang er maar geen gebruik wordt gemaakt van een interne IPv6-infrastructuur, dit geen gevolgen heeft voor bijvoorbeeld services die door het systeem zelf worden aangeboden of services die via IPv6 op het internet beschikbaar zijn. Niets is minder waar. Er zijn twee standaard features in IPv6 die tot onaangename verrassingen kunnen leiden.

‘IPv4-mapped-IPv6-adressen’ Een tweede feature die standaard geactiveerd wordt en is beschreven in RFC 3493 (http:www.rfc-editor. org/rfc/rfc3493. txt) zijn zogenaamde IPv4-mapped-adressen. Deze socketuitbreidingen voor IPv6 zijn standaard geïmplementeerd in alle Windows besturingssystemen vanaf Vista en ook in alle gangbare Unixen Linux-besturingssystemen.

IPv6-in-IPv4-tunnels Voor services die via het internet op basis van IPv6 benaderbaar zijn, bijvoorbeeld een webserver, zien we in toenemende mate dat standaard implementaties van bijvoorbeeld Teredo (Windows) of Miredo (Linux en Unix), ervoor zorgen dat deze services benaderd kunnen worden door systemen die zich niet op een IPv6-infrastructuur bevinden. Hierbij zijn IPv6-connecties in IPv4pakketten getunneld en worden de services benaderd via een Teredo-server. Niet alleen de IPv6-webserver wordt op deze wijze ontsloten, maar mogelijk wordt ook een op IP-filters gebaseerde screening webproxy omzeild, omdat deze alleen IPv4-regels bevat. Of dit het geval is, kan eenvoudig getest worden vanaf bijvoorbeeld een Windows 7 systeem: open de webbrowser en surf naar http://www.kame.net/. Indien er geen IPv6-infrastructuur is, zal deze website doorgaans via het IPv4-protocol worden benaderd en wordt er een Kame getoond die niet beweegt. Het IP-adres van de webserver is dan (op het moment van schrijven) 203.178.141.194. Op een systeem waar Teredo actief is en de IPv6-in-IPv4-tunneling niet geblokkeerd wordt, kan dezelfde website via IPv6 benaderd worden. Dit kan door in de browser (Internet Explorer) het adres: http://[20 01:2f0:0:8800:206:5bff:fe8d:940]/ op te vragen. Indien de Teredo-tunnel actief is, wordt er een bewegende Kame getoond. Een minder “spectaculaire” test is via de website http://test-

4

Madison Gurkha herfst 2010

In sectie 3.7 van RFC 3493 vinden we het volgende: Applications may use AF_INET6 sockets to open TCP connections to IPv4 nodes, or send UDP packets to IPv4 nodes, by simply encoding the destination’s IPv4 address as an IPv4-mapped IPv6 address, and

De standaard schrijft dus voor dat er te allen tijde IPv6-sockets worden gebruikt en dat een IPv4-georiënteerde connectie deze IPv6-sockets mag gebruiken. Het voordeel hierbij is dat er geen twee, maar één generiek socket hoeft te worden gemaakt. Dit socket kan dan (transparant voor de gebruiker) voor zowel IPv4als IPv6-connecties worden gebruikt.

het inz icht

In de praktijk betekent dit dat indien er een service luistert op een bepaalde poort, deze service via IPv4 en IPv6 kan worden benaderd. Vaak is dit niet bekend waardoor het kan voorkomen dat er op IPv4 gebaseerde restricties voor het gebruiken van een service actief zijn, maar vervolgens kunnen worden omzeild door een connectie via een IPv6(local)-adres. Het commando netstat toont informatie over IPv4/IPv6 LISTEN-sockets, maar verschillende implementaties geven deze informatie op een andere wijze weer waardoor niet eenduidig kan worden vastgesteld welke LISTEN-sockets er daadwerkelijk gebruikt kunnen worden. Er zijn socket-opties die dit gebruik van dual-sockets beperken, maar deze worden in de praktijk niet vaak gebruikt. Dit zou namelijk een inperking van functionaliteit zijn. Zie bijvoorbeeld sectie 5.3 van RFC 3493 voor meer informatie. Het aanzetten van deze socket-opties verschilt per besturingssysteem. FreeBSD De meeste besturingssystemen ondersteunen standaard de dual-sockets. Het besturingssysteem FreeBSD 8.0 heeft er echter voor gekozen om hier van af te wijken en standaard de ‘IPv4mapped-IPv6-adressen’ uit te schakelen. In het bestand / etc/rc.d/network_ipv6 dat tijdens het opstarten wordt aangeroepen en ervoor zorgt dat IPv6-ondersteuning wordt geactiveerd, zien we onder andere het volgende: #  Support for IPv4 address tacked onto an IPv6 address  if checkyesno ipv6_ipv4mapping; then  echo ‘IPv4 mapped IPv6 address support=YES’  ${SYSCTL_W net.inet6.ip6. v6only=0 >/dev/null else

De standaardwaarde voor de variabele ipv6_ipv4mapping is “NO” waardoor de ‘IPv4-mapped-IPv6-address-support’ wordt uitgeschakeld. Bij toepassingen die bijvoorbeeld gebaseerd zijn op Java VM’s, waarbij de IPv4- en IPv6-protocollen actief zijn en netwerkfuncties gebruiken, is het vaak verplicht om de IPv4- naar IPv6-mapping aan te zetten. De reden hiervoor is dat Java(tm) hier functioneel voor gekozen heeft.

Vrij vertaald vinden we in de Java documentatie het volgende: “indien IPv6 op het systeem actief is, worden standaard IPv6sockets gebruikt. Hierdoor kunnen er connecties worden gemaakt met zowel IPv6- als IPv4-hosts”. Voorbeelden hiervan zijn op Java gebaseerde applicaties zoals Burp Suite en Azureus. Dit is overigens uit te schakelen door bijvoorbeeld de optie java.net.preferIPv4Stack op “true” te zetten (de standaardwaarde is “false”). Dit betekent dan wel weer dat de onderliggende applicatie niet met IPv6-systemen kan communiceren. Er zijn weinig op Java gebaseerde applicaties die dit toepassen. Linux en Windows Linux en Windows besturingssystemen houden zich aan de standaard en gebruiken de dual-sockets. De IPv6-sockets worden dus ook gebruikt voor het maken en accepteren van IPv4verbindingen. Indien een service niet specifiek is ingesteld om uitsluitend via IPv4 te worden benaderd en/of IPv6-verkeer niet wordt gefilterd, dan kunnen op deze wijze op IPv4-gebaseerde filters (blacklisting) worden omzeild. De dual-sockets functionaliteit is voor Linux systemen uit te schakelen via /proc/sys/net/ipv6/bindv6only (system wide). Dit is echter per Linux distributie weer anders. Het commando man 7 ipv6 geeft hier meer informatie over. Voor het uitschakelen van de dual-sockets functionaliteit onder Windows, hebben we nog geen mogelijkheden gevonden. IPv6-Ready? Al geruime tijd zijn systemen standaard voorzien van actieve IPv6-netwerkstacks. Met name voor interne netwerken is deze functionaliteit vaak (nog) niet nodig omdat er simpelweg geen IPv6-infrastructuur aanwezig is. Gesteld kan worden dat vanuit beveiligingsoogpunt deze functionaliteit zelfs onwenselijk is omdat op de interne netwerken vaak geen IPv6-filters aanwezig zijn en tunnels naar buiten niet altijd geblokkeerd worden, laat staan gedetecteerd. We zien een toename van het gebruik van IPv6, mede doordat leveranciers IPv6-standaard meeleveren. Veel organisaties zien de noodzaak voor het hebben van een IPv6-infrastructuur echter niet en besteden hier verder geen aandacht aan. Hierdoor wordt er geen rekening gehouden met beveiligingsproblemen die hiermee samenhangen terwijl deze er wel degelijk zijn. Investeren in IPv6-kennis is (hard) nodig om de interne netwerken te kunnen blijven beveiligen.

Heeft u onderwerpen die u graag een keer terug zou willen zien in deze rubriek? Laat het dan weten aan onze redactie via: [email protected].

Madison Gurkha herfst 2010

5

Madison Gurkha Update interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld om zijn of haar visie te delen over dit steeds belangrijker wordende onderwerp. Ditmaal een interview met Jaap van Oss, First Officer High Tech Crime bij Europol.

het interview

Jaap van Oss* Wie kan Europol inschakelen? Europol is de Europese politieorganisatie (www.europol.europa.eu); dat wil zeggen dat Europol er is voor politieorganisaties in de 27 lidstaten. Het is de primaire taak van Europol om de politie in de lidstaten te ondersteunen in hun gevecht tegen de georganiseerde misdaad. Overigens moet je politieorganisaties niet te strikt nemen: het gaat om alle overheidsorganen met opsporingbevoegdheden, bijvoorbeeld ook de douane en de Fiod. Als Europees burger kun je dus niet direct aangifte doen van hacking bij Europol, dat gaat via de politie in de lidstaat. Mocht er echter een probleem zijn met een hackersbende die actief is in Europa, dan kunnen de lidstaten Europol inschakelen om hierbij te helpen. Wanneer wordt Europol ingeschakeld? Europol heeft als taak de bestrijding van serieuze en georganiseerde misdaad in de EU. Dus als bepaalde criminele groeperingen in de EU opereren dan zal Europol in samenwerking met de betrokken landen die groeperingen in kaart brengen, waarna de lidstaten de criminelen kunnen arresteren. Het gaat om criminele activiteit waar de EU last van heeft. Dat impliceert al bijna dat er meerdere landen bij betrokken moeten zijn. Dat kun je ook zien aan de criminaliteitsterreinen waar Europol voor gemandateerd is, bijvoorbeeld drugssmokkel, mensensmokkel of witwassen. Dat is allemaal criminaliteit met veel internationale aspecten waar vaak een hele reeks van landen (ook niet-Europese landen) bij betrokken zijn. Overigens is cybercrime ook een mandaatgebied van Europol en zoals we allemaal weten is dat per definitie internationaal. Je zou zelfs kunnen zeggen virtueel, wat weer een hele nieuwe dimensie toevoegt. Het feit dat de criminaliteit impact op de EU moet hebben is weliswaar significant; het zegt echter niet dat de criminaliteit het stempel “made in EU” moet hebben om aangepakt te kunnen worden. Het gaat erom dat er EU-lidstaten bij betrokken zijn en dat het grensoverschrijdende criminaliteit is. Dus een hack op een Amerikaanse server met financiële data vanuit een EU-domein waarbij vervolgens de gestolen gegevens in ondermeer EU- landen misbruikt worden, is een heel geschikte zaak voor Europol.

6

Madison Gurkha herfst 2010

Met wat voor high tech crime houdt Europol zich bezig? Omdat Europol zich bezig houdt met serieuze of georganiseerde internationale criminaliteit, geldt dat natuurlijk ook voor de cybercrimeonderzoeken die ondersteund worden. Het gaat dus voornamelijk om internetgerelateerde en georganiseerde cybercrime waarbij het motief geld verdienen is. Daarbij moet je denken aan malware-aanvallen op e-banking systemen, geavanceerde phishingaanvallen of hacks van databases met financiële gegevens. Eigenlijk gaat het om alle criminele feiten die beschreven staan in de eerste acht artikelen van de “Cybercrime Convention” (Raad van Europa) en dat loopt van hacking tot en met internetgerelateerde fraude. En als het dan georganiseerd en grensoverschrijdend is, zal Europol er vroeg of laat mee te maken krijgen Wat zijn de belangrijkste trends die Europol ziet in Cybercrime? Ik denk dat iedereen het er over eens is dat Cybercrime de kinderschoenen ontgroeid is en dat het een serieuze vorm van criminaliteit geworden is. Ook de flair waarmee de hacker van weleer zijn kunsten tentoonspreidde is er wel vanaf. Het gaat nu om georganiseerde criminelen die het om het geld te doen is en daarbij wordt niets of niemand ontzien.

worden gerichter. Zelfs de nieuwe Zeusvarianten zijn gericht op een specifiek land of branche, en dan per land zelfs specifiek gericht op bijvoorbeeld een bepaalde regio, bedrijf of bank. Tegelijkertijd zijn het zeer geavanceerde aanvallen en dat is zorgwekkend. Bovendien worden botnets nog steeds gezien als één van de grote dreigingen op het internet. Alle anti-virus, firewalls en securitymaatregelen ten spijt, zijn er dagelijks honderden verschillende botnets actief en zij vormen de drijvende kracht achter een geautomatiseerde vorm van criminaliteit. Duidelijk is dat alles in het werk gesteld moet worden om de botnets te ontmantelen en daarmee het instrumentarium van de cybercrimineel onklaar te maken. Dit kan alleen kan door nauwe samenwerking van de internetcommunity, industrie en law enforcement. Een andere ontwikkeling is dat er momenteel een zichzelf bedruipende ondergrondse digitale economie is, waar gestolen persoonlijke en financiële gegevens de illegale digitale handel is. Deze handel is de drijvende kracht achter een hele reeks van criminele activiteit, zoals Phishing, Pharming, malware verspreiden en het hacken van databases. Heeft een aanvaller vanuit Zwitserland of Noorwegen een voordeel, aangezien deze landen niet binnen de EU vallen? Je zou verwachten dat aanvallers uit Zwitserland of Noorwegen een voordeel hebben omdat ze geen lid zijn van de Europese Unie. Gelukkig heeft Europol samenwerkingsovereenkomsten met een grote groep van nietEU-lidstaten en internationale organisaties voor strategische en operationele samenwerking. Zwitserland en Noorwegen zijn daar voorbeelden van. Durf je zelf nog wel te internet bankieren? Haha! Zolang bedrijven zoals Madison Gurkha er voor zorgen dat de banksytemen en netwerken goed beveiligd zijn, durf ik het e-bankieren wel aan! Daarnaast zijn de Nederlandse banken ver gezakt op de prioriteitenlijsten van de cybercriminelen. Maar dat kan natuurlijk ieder moment veranderen. * Jaap van Oss is één van de sprekers op onze klantendag (zie pag.3). Heeft u zich nog niet

Eigenlijk worden cybercriminelen steeds professioneler. En dat kun je zien aan de volgende ontwikkelingen: Malware-aanvallen

aangemeld of onverhoopt de uitnodiging niet ontvangen, meld u dan aan via jubileum@ madison-gurkha.com.

In elke Madison Gurkha Update vragen wij een klant het spreekwoordelijke hemd van het lijf met betrekking tot zijn of haar relatie met IT-beveiliging. Voor eenieder herkenbare verhalen uit de praktijk, uiteraard zo onherkenbaar mogelijk gebracht. Deze keer het woord aan de heer X van instelling Y.

de klant gesteld wat er door operatie aan beveiligingsmaatregelen genomen moet worden. Zo hebben we nu een aantal architecten/ontwerpers in dienst die de nodige securitykennis (CISSP-ISSAP) bezitten. Diverse zaken die in de eenheid operaties worden opgemerkt, worden op beleidsniveau zeker opgepakt, maar het ontbreekt soms nog aan een goede vertaalslag terug. Daarom denk ik dat het belangrijk is om allereerst een duidelijk raamwerk op te stellen van eisen waaraan beveiliging dient te voldoen, bijvoorbeeld door het opstellen van policies. Zo heeft Madison Gurkha laatst meegewerkt bij het opzetten van een firewall policy.

In welke branche is uw organisatie actief? Transport Wat is uw functie? Security Officer Hoeveel mensen houden zich in uw organisatie bezig met informatiebeveiliging? Aangezien informatiebeveiliging bij onze ICT-beheerorganisatie sterk verweven is met onze dagelijkse taken en verantwoordelijkheden, zijn er dus heel veel mensen die zich (deels) met informatiebeveiliging bezig houden. We hebben op dit ogenblik binnen de ICT-beheerorganisatie 2 security officers die hier dedicated opzitten. Organisatiebreed gezien zijn er meer security officers en natuurlijk ook een chief information security officer (CISO). Hoe is de informatiebeveiliging opgezet binnen uw organisatie? Binnen onze organisatie hebben we een stuurgroep opgezet die bestaat uit zowel business- als technische managers. Strategische beslissingen worden door deze stuurgroep genomen. Op operationeel niveau worden door onze ICT-beheerorganisatie de nodige beveiligingsmaatregelen doorgevoerd. De informatiebeveiliging op tactisch niveau was echter onderbelicht. Hier wordt de vraag

Wat zijn de belangrijkste kwaliteiten waarover men moet beschikken om deze functie met succes te kunnen uitoefenen? Het is belangrijk dat je als security officer niet met een politiepet op gaat zitten en zegt wat wel en niet mag, maar dat je onderbouwt waarom bepaalde eisen zo gesteld worden. Het moet voor iedereen inzichtelijk zijn wat de risico’s zijn, wat er mis zou kunnen gaan en wat de consequenties zijn. Op die manier kun je iets losmaken bij de belanghebbenden. In mijn functie moet je bovendien zowel de belangen van de business als de techniek in ogenschouw nemen en deze ook kunnen overbrengen. Wat vind u de leuke en wat de minder leuke kanten van uw functie? Ik vind het leuk te merken dat het tegenwoordig niet meer zo is dat het management overtuigd moet worden van het nut van informatiebeveiliging. Inmiddels beseffen bedrijven dat ICT een echte business enabler is. Binnen deze organisatie merk ik dat er nog wel een stukje bewustwording nodig is, maar dat mensen daar ook voor open staan. Op het moment dat ik meer uitleg geef, is men wel vrij snel om. Als ze op dat moment denken “hier moeten we echt iets mee” is dat heel prettig om te zien en heb ik mijn werk goed gedaan. Waar ik nog wel eens tegenaan loop is dat de kwaliteit van IT-beveiliging pas te laat in beeld komt. Projecten hun voornaamste zorg is functioneel goed werkende producten, binnen het afgesproken budget, tijdig op te leveren. Dit vraagt de nodige inspanning. Het is hier dus zaak er voor te waken dat informatiebeveiliging binnen projecten niet op een lager plan komt te staan.

In onze organisatie ligt een groot deel van de focus op veiligheid (safety). Internationale standaarden worden gebruikt om hier goed invulling aan te geven. Op het gebied van informatiebeveiliging (security) wordt de ISO27000-serie gebruikt en voor procesautomatisering is ISA99 in beeld. We zien het als een uitdaging om deze verschillende standaarden te integreren binnen een bruikbaar framework geschreven naar onze organisatie. Daarnaast zien we, dat met de koppelingen van meerdere ICT-netwerken, defense-indepth steeds belangrijker wordt. Dus het meer gelaagd aanbrengen van informatiebeveiliging, denk aan beveiliging van data. Verder krijgt het vertrouwelijkheidsaspect binnen informatiebeveiliging veel aandacht. Toegang tot onze netwerken wordt nu generiek ingericht, zowel technisch als procesmatig. Identity en Access Management helpen ons hierbij. Hoe gaat u deze aanpakken en hoe helpt Madison Gurkha daarbij? Het is belangrijk om risico’s inzichtelijk te maken en risicoanalyses op te stellen. Vervolgens dienen er op basis daarvan beveiligingsplannen gemaakt en uitgevoerd te worden. En in dit laatste zit vaak nog de bottleneck. Bepaalde maatregelen worden wel opgepakt, maar het is zaak om te kijken of het werkt; is het geïmplementeerd en zo ja, werkt het ook zoals bedoeld? Daarom is het vaak verstandig de infrastructuur of applicatie door Madison Gurkha te laten testen. Vervult u nog nevenfuncties op IT-beveiligingsgebied buiten uw eigen organisatie? Ik vertegenwoordig mede mijn organisatie bij overleggen van GOVCERT.NL en NICC. Deze eerste staat voor het Computer Emergency Response Team van de Nederlandse overheid. NICC staat voor Nationale Infrastructuur ter bestrijding van Cybercrime. Wat zijn uw ervaringen met Madison Gurkha? De ervaring met Madison Gurkha is nog redelijk recent en het is goed bevallen. Ik merk ook dat een prettig persoonlijk contact de werkrelatie ten goede komt. Naarmate onze samenwerking vordert, krijgt Madison Gurkha een beter beeld van onze lopende projecten en wij krijgen meer inzicht in de kwaliteiten en mogelijkheden van Madison Gurkha.

Wat zijn in uw organisatie op dit moment de belangrijkste uitdagingen op het gebied van informatiebeveiliging?

Madison Gurkha herfst 2010

7

In de rubriek “De Hack” belichten we iedere Madison Gurkha Update een opmerkelijke situatie die tijdens een beveiligingsaudit werd aangetroffen. Deze keer vertelt Laurens Houben over social engineering en hoe snel en eenvoudig deze aanvallen uitgevoerd kunnen worden.

de hack

Mensen hacken door middel van social engineering “Social engineering is een heel breed begrip; het is de verzamelnaam voor een methode die enkel op basis van communicatie tussen aanvaller en slachtoffer, mensen kneedt en manipuleert zodat ze hun onbedoelde steentje bijdragen in een grotere aanval: het stelen van waardevolle informatie. Het maakt gebruik van psychologie, identiteitsfraude, computer- telefoon- en faxtechniek en van de onwetendheid van de slachtoffers. Maar boven alles maakt social engineering gebruik van de zwakste schakel in de beveiliging: de menselijke factor.”

Madison Gurkha voert geregeld social engineering aanvallen uit in opdracht van klanten. Deze verlopen in het algemeen succesvol, wat wil zeggen dat we duidelijke risico’s weten te traceren die bij een echte aanval voor aanzienlijke economische schade zouden kunnen zorgen. Tijdens dit soort audits staan wij regelmatig versteld hoe snel en eenvoudig we een dergelijke aanval kunnen opzetten en uitvoeren. De situatie De opdracht die we hebben gekregen vanuit de klant is om een gebruikersnaam en wachtwoord te achterhalen. Allereerst hebben wij op internet gezocht welke interne telefoonnummers publiekelijk beschikbaar zijn. Deze bleken eenvoudig te achterhalen met aangepaste Google-zoekstrings. Vervolgens hebben wij via de website van de klant alle PDF en DOC bestanden gedownload met daarin zeer veel metadata. Deze data bevat interne gebruikersnamen, lokale serverpaden en andere voor een aanvaller nuttige informatie. Aan de hand van deze data is het mogelijk te achterhalen hoe de gebruikersnamen zijn

8

Madison Gurkha herfst 2010



opgebouwd. Nu moeten we alleen nog het wachtwoord zien te achterhalen. Mag ik je wachtwoord hebben? In het volgende voorbeeld gaan we in op de telefonische aanval die we hebben gedaan om het bijbehorende wachtwoord van de gebruiker te achterhalen. We hebben al gezien dat deze gebruiker volgens het smoelenboek met zwangerschapsverlof was, wat alles vergemakkelijkt omdat je hierdoor als aanvaller langer onopgemerkt kan blijven. Een leuk detail: de aanval duur niet langer dan 4 minuten. (zie kader op de volgende pagina). Aanvallen! Nu we ook het laatste ‘puzzelstukje’ hebben, is het onder andere mogelijk om met de verkregen gebruikergegevens via een webmail of een ‘telewerken’-oplossing in te loggen en vervolgens vertrouwelijke informatie te stelen. Deze gegevens kunnen vervolgens ook weer gebruikt worden bij een volgende aanval.

bron: www.socialengineer.nl

Wat nu? Het is van belang dat de hele organisatie bewust is van de eenvoud en de gevaren van een social engineering aanval. We zien vaak dat bij algemene security awareness sessies de gedachte is: “Dat komt bij ons niet voor!”. Wanneer we echter de, over de klant, verzamelde gegevens van een social engineering aanval toevoegen aan de sessie, wordt deze ineens heel direct en persoonlijk. Security awareness is geen patch die je kunt toepassen om het probleem op te lossen maar een continu proces. “Because There Is No Patch To Human Stupidity”. Uiteraard kun je verschillende maatregelen treffen om de impact van een social engineering aanval te verkleinen. Hieronder hebben we drie belangrijke regels opgesomd. Uiteraard zijn dit geen gouden regels die altijd werken; ze zullen je wel in de goede weg leiden naar beveiligingsbewustzijn. Logisch nadenken en gezond verstand zijn echter onmisbaar. - Zorg ervoor dat bezoekers en vast personeel verschillende badges dragen en deze

de hack

S: Slachtoffer A: Aanvaller **Om privacyredenen is de bedrijfsnaam weggelaten en de naam van het slachtoffer aangepast.**

duidelijk zichtbaar zijn (bezoekers dragen bijvoorbeeld fluorescerende gele badges); -Z  org ervoor dat gasten te allen tijde worden geëscorteerd door het gebouw. Dit betekent onder andere dat de gasten worden opgehaald en naar buiten worden gebracht bij bezoeken; -G  eef nooit je wachtwoord en gebruikersnaam, ook al zegt diegene een beheerder te zijn; -V  raag bij twijfel het (vaste) nummer van de beller om hem/haar op een later tijdstip terug te kunnen bellen. Verifieer of de naam (van het bedrijf) klopt bij het nummer. Ik wil meer weten Kijk ook eens op: http://www.social-engineer.org/ http://en.wikipedia.org/wiki/Social_ engineering_%28security%29 http://www.security.nl/artikel/34028/1/ FBI_bezorgd_over_hackerwedstrijd.html Voor meer informatie kunt u natuurlijk altijd vrijblijvend contact opnemen met Madison Gurkha.

S: Goedemorgen, . A: Goedemorgen, met Laurens van de automatisering. Is Anita Jans aanwezig? S: Nee, die is met zwangerschapsverlof. A: We hebben problemen gehad met één van de bestandservers en willen deze opnieuw opstarten, maar wij zien dat Anita nog een Word bestand open heeft staan. S: Wat vreemd, ze is niet aanwezig. A: Ze logt in onder gebruikersnaam ``ajans’’? S: Ja dat klopt. A: Wellicht is een van jullie onder haar naam ingelogd? S: Nee A: Misschien voor het afgelopen weekeinde? Afgelopen donderdag of vrijdag? S: Nee zover ik weet niet, maar ik kan wel inloggen onder haar naam. Kunt u zien welk bestand nog in gebruik is? A: Nee dat kan ik niet zien helaas, ik zie alleen dat een Word sessie actief is onder haar gebruikersnaam en een bestand in gebruik heeft. Ik kan deze afsluiten zonder dat er gegevensverlies optreed. S: Ja dat is goed, maar hoe kan dat dan? A: Wanneer Anita voor het laatst Word heeft afgesloten, dacht Word dat hij klaar was met het opslaan en heeft zichzelf afgesloten. De sessie bleef echter actief op de server, vandaar. Ik probeer hem nu af te sluiten Hebben jullie onlangs last gehad van jullie systemen? Traag reageren, rare foutmeldingen of iets dergelijks? S: Nee, niet dat ik weet A: Het lukt mij even niet, maar u zei dat u kunt inloggen als Anita? S: Ja, klopt A: Kunt u mij het wachtwoord geven? Hier wordt namelijk om gevraagd S: Ja natuurlijk, dat is <weggelaten> A: Is dat met allemaal kleine letters geschreven? S: ja, klopt A: Ja, het is gelukt. S: Weet u nu om welk bestand het gaat? A: Misschien kan ik het zien. Momentje Nee helaas dit kan ik niet zien. S: Oké, jammer maar toch bedankt. A: Geen probleem, alles is weer in orde! Bedankt voor de moeite. S: Geen dank, een fijne dag nog A: Insgelijks <einde gesprek>

Madison Gurkha herfst 2010

9

In de rubriek “Het Verslag” laten wij u delen in onze ervaringen tijdens conferenties, seminars en trainingen. Deze keer doet Walter Belgers verslag van zijn bezoek aan eth-0, dat plaatsvond van 10 tot en met 13 augustus in Wieringerwerf.

het

verslag

Als ik om 10 uur ‘s ochtends over het campingterrein loop, zie ik vrijwel niemand en hoor ik alleen de generator. Bij de douches staat een rij van twee personen, maar er zijn ook maar twee douches. Aan de andere kant van de dijk, die langs het terrein loopt, zou ik in het IJsselmeer kunnen baden.

Ik ben op eth-0, een outdoor hackerconferentie. Elke vier jaar vindt er een hele grote hackerconferentie plaats in Nederland, georganiseerd door de nestors uit de Nederlandse IT-wereld. De laatste keer was daar veel nieuw bloed bij, mensen die ook een eigen, kleinere, versie van een hackerconferentie op poten hebben gezet: eth-0. Madison Gurkha is dit maal hoofdsponsor. Veel (oudere) jongeren hebben de tocht ondernomen naar Wieringerwerf, om vier dagen met elkaar te praten over techniek en internet. Dagelijks zijn er veel lezingen te volgen vanaf ‘s middags tot in de nacht. De onderwerpen variëren van hoe je zelf met elektronica aan de slag kunt tot hoe je invloed kunt uitoefenen op het overheidsbeleid. Een groepje gaat ondertussen op pad met GPS-apparatuur om de wegen rondom het evenement precies in kaart te brengen. OpenStreetMap heeft inmiddels van heel veel plaatsen op de wereld beter kaartmateriaal dan TomTom, en dat onder een open source licentie. Beetje nerdy Voor de goede orde: een hacker is geen crimineel, maar iemand die inventief met techniek omspringt. Soms een beetje nerdy, maar altijd vriendelijk. Hier kun je je laptop gewoon in je tent laten liggen zonder dat deze gestolen wordt. Het technische aspect zie je terugkomen in enkele speciale tenten op het terrein. In de hardwaretent struikel je over de soldeerbouten en zie je mensen allerlei apparatuur ontleden en onderzoeken. Er is altijd wel iemand die je kan helpen. Het FabLab is een oude DAF-truck die is ingericht als mobiele fabriek. Binnenin staat onder andere een apparaat dat hout en perspex kan zagen met een laser. Je kunt in de bus een ontwerp maken en laten uitsnijden. Ook heeft men de apparatuur om T-shirts te bedrukken en een 3D-printer. Die laatste kan driedimensionale voorwerpen printen uit een plastic draad, door ze laag voor laag op te bouwen. Deze apparaten zijn tegenwoordig erg geliefd in de hackerscene.

10

Madison Gurkha herfst 2010

het

de agenda

verslag

De retrotent biedt de mogelijkheid om spelletjes te spelen op ouderwetse spelcomputers. Als laatste is er de hackerspacetent. Hackerspaces zijn sterk in opkomst. Het zijn ruimtes waar gelijkgezinden bij elkaar komen om met techniek te spelen. In Nederland zijn Den Haag, Utrecht en Arnhem de meest bekende, maar er zijn er meer zoals de net opgerichte hackerspace ‘Sk1llz’ in Almere (gesponsord door Madison Gurkha en dochterbedrijf ITSX). Als je een technisch probleem wilt oplossen of iets wilt bouwen, dan kun je dat in de hackerspace doen. Anderen kunnen er dan ook van leren of wellicht jou iets leren. Hackerspaces hebben, door hun coöperatieve structuur, de mogelijkheid om interessante apparatuur (zoals een 3D-printer) aan te schaffen. Hackerspacetent Bovenal is eth-0 een sociaal evenement. Het is een weerzien van oude bekenden of een eerste ontmoeting met mensen die je alleen uit de digitale wereld kent. Bij de hackerspacetent wordt tot diep in de nacht gebarbecued. De speciaal gebouwde lounge met zitzakken, tafeltjes met stopcontacten en groene aankleding (schoenen mogen niet) zit vol met mensen. Je hoort er af en toe verhitte discussies over wereldpolitiek. In het gebouw waar de lezingen plaatsvinden is op zolder een heuse radiostudio gebouwd. Op HAR’2009 was die er ook, toen met FMlicentie, nu wordt alleen een internetstream aangeboden (het regelen van een FM-licentie is nogal wat werk). Ik ga eens buurten en voor ik het weet vul ik een paar uur met mijn eigen radioshow. Zo gaat dat op zo’n conferentie: je bent geen bezoeker maar medevrijwilliger. Vier dagen lang help je mee en steek je van anderen die dat ook doen, veel op.

Als u op de hoogte wilt blijven van de laatste ontwikkelingen in de ICT-beveiligingswereld, dan zijn beurzen en conferenties de ideale gelegenheid om uw kennis te verrijken en om contacten op te doen. Iedere Madison Gurkha Update presenteren wij u in de agenda een lijst met interessante bijeenkomsten die komende tijd plaats zullen vinden.

9 en 10 september 2010

SEC-T

http://www.sec-t.org SEC-T is een jaarlijkse conferentie voor iedereen die in technische informatiebeveiliging is geïnteresseerd. Het doelpubliek zijn softwareontwikkelaars, IT-security professionals en hackers. SEC-T vindt plaats in het Näringslivets Hus in Stockholm, Zweden. Een lezing en workshop lockpicking worden verzorgd door Walter Belgers van Madison Gurkha. Hij leert je alle nieuwe ontwikkelingen op het gebied van sloten, zoals bijvoorbeeld folie-impressie. SEC-T is een non-profit evenement. 24 en 25 september 2010

BruCON

http://2010.brucon.org BruCON is een jaarlijkse conferentie voor iedereen met interesse in computerbeveiliging, privacy en IT. Dit jaar wordt de Belgische securityen hackersconferentie gehouden in De Surfhouse in Brussel en biedt een hoge kwaliteit line-up van sprekers, veiligheidsuitdagingen en interessante workshops. Een workshop lockpicking wordt verzorgd door Walter Belgers van Madison Gurkha. Hij leert je hoe je een willekeurig hangslot in een afzienbare tijd kunt openen zonder het te forceren (of natuurlijk de sleutel te gebruiken). 27 t/m 29 oktober 2010

Hack.lu

http://2010.hack.lu Hack.lu is een open conventie/conferentie, waar men kan discussiëren

over computerbeveiliging, privacy, informatietechnologie en de culturele/ technische gevolgen hiervan op de samenleving. De conferentie vindt plaats in het Parc Hotel Alvisse in Luxemburg en heeft als doel om de verschillende actoren in de computerbeveiligingswereld dichter tot elkaar te brengen. 11 november 2010

NLUUG

http://www.nluug.nl/activiteiten/events/ nj10/index.html Op 11 november 2010 vindt de najaarsconferentie ‘Security & Privacy ‘ plaats in De Reehorst in Ede. Naast tutorials, technische en productgerichte lezingen en exposities op het gebied van security en privacy, biedt deze conferentie ruimschoots de gelegenheid om in contact te komen met medegebruikers, leveranciers en onderzoekers. Madison Gurkha participeert op deze najaarsconferentie met een eigen beursstand en Hans Van de Looy verzorgt een presentatie over Security Awareness. 3 en 4 november 2010

Infosecurity.nl 2010 http://www.infosecurity.nl/nl-nl/ Bezoeker.aspx Al een decennium lang biedt Infosecurity.nl ICT-professionals een overzicht van de nieuwste beveiligingstechnieken, -producten en -diensten. Infosecurity.nl vindt in 2010 plaats op 3 en 4 november in de Jaarbeurs Utrecht. Infosecurity.nl vindt gelijktijdig plaats met de vakbeurzen Storage Expo (dataopslag en - beheer) en het Tooling Event (IT Beheer).

het colofon Redactie Tim Hemel Laurens Houben Remco Huisman Frans Kollée Maayke van Remmen Ward Wouts

Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan

Contactgegevens Madison Gurkha B.V. Postbus 2216 5600 CE Eindhoven Nederland

T +31 40 2377990 F +31 40 2371699 E [email protected]

Bezoekadres Vestdijk 9 5611 CA Eindhoven Nederland

Redactie [email protected]

Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.

Madison Gurkha herfst 2010

11

Safe?

Goede IT-beveiliging is niet zo eenvoudig als vaak wordt beweerd. Bovendien blijkt keer op keer dat deze beveiliging van strategisch belang is voor organisaties. Alle IT-beveiligingsrisico's moeten op een acceptabel niveau worden gebracht en gehouden. Professionele en gespecialiseerde hulp is hierbij onmisbaar. Kies voor kwaliteit. Kies voor de specialisten van Madison Gurkha.

Your Security is Our Business

tel: +31(0)40 237 79 90 - www.madison-gurkha.com - [email protected]