8
Your Security is Our Business
zomer 2010
u p d a t e www.madison-gurkha.com
DE COLUMN
2
Walter Belgers
HET NIEUWS
3
• Madison Gurkha sponsort ‘De Lage Landen & Friends’ bij Alpe d’HuZes • Eth0:2010 Summer-Sponsorship • ‘Niemand’ naar Jordanië
HET INTERVIEW
4-6
Antoin Verschuren over DNSSEC
DE KLANT
7
Uit de financiële dienstverlening
DE HACK
8-9
Remote desktops & applicaties: een open deur?
HET VERSLAG
10
Black Hat Sessions VIII
DE AGENDA
11
HET COLOFON
11
In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom ICT-beveiliging. Deze keer Walter Belgers over de wedloop tussen criminelen en beveiligers.
de column
De internetcrimineel van nu De bedreigingen in de IT-wereld zijn nogal veranderlijk. Aanvallers en verdedigers zijn continu bezig de ander een stap voor te zijn. Vroeger bestond criminaliteit op internet vooral uit pesterijen door virussen. Deze waren wel vervelend, maar vaak niet destructief (hoewel er ook waren die je harde schijf wisten). In die tijd waren aanvallers eigenlijk altijd begaafde computeraars en meestal niet écht crimineel. Geld verdienen was er ook niet bij, men brak in voor status, uit ideologie of om mensen te pesten. Hoeveel anders is het nu! We leven nu in een wereld waarin afstanden zijn verdwenen dankzij het internet. Er is een hele nieuwe lichting internetcriminelen opgestaan, die het internet als hulpmiddel gebruiken en geen technische kennis hebben. Ze kunnen hun activiteiten vanuit de luie stoel doen en vaak zelfs grotendeels automatiseren. Er is een schier oneindige voorraad aan doelwitten en de pakkans is miniem. De crimineel van nu heeft vaak de kennis niet om zelf een bug te vinden en die te misbruiken, dat werk wordt uitbesteed aan slimme criminelen. Die spenderen hun tijd aan het vinden van nog onbekende lekken in systemen en applicaties, die ze verkopen voor bedragen van 4 of 5 cijfers per bug. Eenmaal gekocht, hoef je alleen nog maar op de knop te drukken om het lek te misbruiken. Naast het gericht inbreken in bepaalde systemen, zoals webshops, is het ook lucratief om gewoon willekeurige systemen van eindgebruikers aan te vallen. Allereerst kunnen inloggegevens en andere informatie worden onderschept. Maar ook al is er weinig informatie te vinden, dan nog kan zo’n systeem interessant zijn. Als de crimineel veel systemen heeft gekraakt, kan hij deze namelijk inzetten om bepaalde opdrachten uit te voeren. We spreken dan over botnets. De opdrachten zijn via een eenvoudige webinterface in te geven, dus ook hier is geen intelligentie vereist. Diensten die kunnen worden geboden zijn bijvoorbeeld spamdiensten. Een botnet kan ook voor afpersing gebruikt worden. De aanvaller neemt daarbij contact op met een partij en vraagt om geld, in ruil voor het niet plat leggen van de infrastructuur. Een uurtje een botnet huren kost tegenwoordig evenveel als een bioskoopkaartje.
2
Madison Gurkha zomer 2010
Dit soort criminaliteit is erg moeilijk aan te pakken. Het is redelijk makkelijk om anoniem te blijven. Niet omdat internetverkeer niet traceerbaar is, maar omdat de criminelen van het ene naar het andere systeem hoppen. Het voorkomen van beveiligingslekken die misbruikt kunnen worden, zou een betere manier zijn om het internet veilig te krijgen dan het achteraf opsporen van de criminelen. Helaas is beveiligen moeilijker dan menigeen denkt. Het feit dat een stuk software werkt, is nog geen garantie dat het veilig is - net zoals een goed rijdende fiets onveilig geparkeerd kan worden. Als het gaat om het inbreken in specifieke systemen met interessante informatie, dan gaat de wedloop tussen criminelen en beveiligers op het technische vlak redelijk gelijk op. We kunnen apparaten met beperkte functionaliteit redelijk veilig maken (denk aan auto’s), maar voor een systeem zo complex als een computer is dat onmogelijk. Criminelen weten dit ook, daarom valt men nu vaker de eindgebruiker aan dan het systeem zelf. Veel eindgebruikers denken dat een virusscanner hen immuun maakt voor aanvallen, maar veel virussen worden niet gedetecteerd, met alle gevolgen van dien. Helaas kennen eindgebruikers zonder gedegen IT-achtergrond deze risico’s niet en handelen ze er niet naar. Daarmee worden ze een zwakke schakel. De wedloop tussen criminelen en beveiligers duurt dus voort. Als u als eindgebruiker uw verstand gebruikt en niet zomaar overal op klikt, geen schimmige sites bezoekt, niet met het beheerdersaccount werkt en altijd updates uitvoert, dan kunt u het risico in ieder geval beperkt houden. Het testen van systemen en software op lekken is echter een specialisme dat een eindgebruiker niet heeft, dit zal altijd werk blijven voor specialisten. Walter Belgers Partner, Principal Security Consultant
In “Het Nieuws” belichten we iedere Madison Gurkha Update belangrijke recente ontwikkelingen die in het beveiligingsnieuws zijn verschenen. Ook alle nieuwe ontwikkelingen rondom Madison Gurkha komen in deze rubriek uitgebreid aan bod.
het NIEU W S
Madison Gurkha sponsort
s Alpe d’HuZe
‘De Lage Landen & Friends’ bij Alpe d’HuZes Alpe d’HuZes is een evenement waarbij fietsers, alleen of in een team, geld bijeen fietsen waarmee zij een bijdrage leveren aan de strijd tegen de gevolgen van kanker. Op één dag wordt minstens zes maal de legendarische Alpe d’Huez beklommen. Een bijna onmogelijke opgave. Toch lukte het in 2006, 2007, 2008 en 2009 al heel veel deelnemers, zelfs een aantal (ex-) kankerpatiënten. In 2009 werd een recordbedrag van bijna zes miljoen euro opgehaald. De Lage Landen was één van de 424 teams die dit jaar streden voor het behalen van de 10 miljoen euro!
Tol en Froukje van
en Gezond te
Menno van Winden
. pe d’Huez op s keer de Al de or Wij fietsen ze vo te t �rote hoo� Stij� mee to op k�nker. overwinnin�
© Fotografie
Madison Gurkha draagt Alpe d’HuZes en haar doelstellingen een warm hart toe en heeft het team ‘De Lage Landen & Friends’ gesponsord om samen met hen de onmacht die door kanker ontstaat om te zetten in kracht. In de volgende Update leest u of ‘De Lage Landen & Friends’ de “onmogelijke” opgave hebben volbracht!
ker!
leven met K�n
3 JUNI 2010 d, Gelukki�
ireren om Goe
literen en Insp
Anderen F�ci
an initia tive
ie! Steun onze act
Kijk voor me
je aan als vri
jwilliger.
noptie.nl p�evenis�ee e op: www.o
Doe mee, spo
er inform�ti
nsor of meld
for
25-02-2010
13:35:55
ef.indd 1
[Flyer Alpe]d
971-100008
& F r ie n d s ’ n e d n a L e ‘D e L a g ! zet hem op
‘Niemand’ naar Jordanië
Eth0:2010 SummerSponsorship Eth0:2010 Summer is een internationaal outdoor computerevenement dat bedoeld is om mensen met verschillende computergerelateerde interesses en vaardigheden samen te brengen voor een informatieve en leuke tijd. Vier dagen van technologie, debatten, hands-on thinking, presentaties en veel [s|f]un! Het evenement wordt dit jaar van 10 t/m 13 augustus gehouden in het Boshuis te Wieringerwerf. De camping ligt in een afgelegen, bebost gebied waar de deelnemers kunnen genieten van hun ‘hacky’ manieren als nergens anders. Madison Gurkha is hoofdsponsor van het evenement.
Net zoals vele anderen zijn ook wij de dupe geworden van de vulkaanuitbarsting in IJsland. De jubileumreis naar Jordanië, die plaats zou vinden van 15 t/m 19 maart, is helaas niet doorgegaan vanwege het gesloten luchtruim. Maar Madison Gurkha laat zich niet door één tegenslag uit het veld slaan. Van 28 oktober t/m 1 november a.s. zullen wij een nieuwe poging wagen om het 10-jarig bestaan te vieren met een onvergetelijke reis.
Dit is Niemand
Niemand gaat met alle medewerkers naar Jordanië om het 10-jarig bestaan te vieren.
Niemand zit graag heel de dag te wachten in een vertrekhal op Schiphol Airport
Niemand vraagt om een aswolk!
Mist u een nieuws item, of heeft u nog ander opvallend of aanvullend security nieuws? Meld het aan ons door een mail te sturen naar:
[email protected]. En wie weet staat uw nieuwtje in de volgende Madison Gurkha update!
Madison Gurkha zomer 2010
3
Madison Gurkha Update interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld om zijn of haar visie te delen over dit steeds belangrijker wordende onderwerp. Ditmaal een interview met Antoin Verschuren, Technical Policy Advisor bij SIDN, over DNSSEC.
het interview
Antoin Verschuren DNSSEC signeert de data, niet het kanaal. Doordat het DNS hiërarchisch is opgebouwd, kun je deze handtekening verifiëren door te controleren of de handtekening bij het antwoord klopt, door één stapje hoger in de hiërarchie te controleren of die handtekening daar wordt vertrouwd. Uiteindelijk leidt dat ertoe dat je zelf maar één handtekening hoeft te kennen (die van de root) om alle handtekeningen die daaronder zitten te kunnen verifiëren. Een antwoord dat niet gevalideerd kan worden, kan worden geweigerd zodat mensen niet meer om de (DNS-) tuin geleid kunnen worden.
Kun je kort uitleggen wat DNSSEC is? Welk probleem moet het oplossen? Internet is ontstaan in een academische wereld waar iedereen elkaar vertrouwde op zijn mooie blauwe ogen. Bij het ontwerpen van de internettechnologie dacht niemand eraan dat het wel eens rendabel zou kunnen zijn om te liegen. Eén van die Internettechnologieën is het Domain Name System (DNS), die door mensen gemakkelijk te onthouden namen omzet in IP-adressen die computers onderling gebruiken om te communiceren. Het DNS werkt eigenlijk zo dat je een willekeurige name server een vraag stelt over een naam en het eerste antwoord dat terugkomt en aan de vraag voldoet, wordt geaccepteerd en verwerkt. Er wordt niet gekeken of het antwoord van een betrouwbare bron afkomt, omdat er een hele keten van name servers betrokken kan zijn bij het genereren van het antwoord. Indien je ergens in die keten in kunt breken en een verkeerd antwoord injecteert, dan kun je argeloze internetgebruikers omleiden naar andere websites, mailservers, of wat voor servers dan ook, zonder dat de gebruiker dat in de gaten heeft. Vaak zijn servers waar de gebruikers op terecht komen zo ingericht, dat het lijkt op de dienst waar ze naartoe wilden, maar in handen zijn van een andere eigenaar. Daar kun je dan de wachtwoorden van een gebruiker afhandig maken of foutieve informatie presenteren, kortom schade toebrengen. Domain Name System Security Extensions (DNSSEC) probeert dit probleem op te lossen, door het mogelijk te maken te kunnen verifiëren of het antwoord wel van de juiste bron afkomt. Omdat het niet schaalbaar is en het een zeker risico met zich meebrengt om de keten zelf te beveiligen, zorgt DNSSEC ervoor dat je het antwoord dat je terugkrijgt, een soort van handtekening meekrijgt.
4
Madison Gurkha zomer 2010
Er wordt nog maar heel weinig gebruik gemaakt van DNSSEC (net als IPv6). Blijkbaar is het moeilijk om aan te tonen wat de return on investment (ROI) is. Heb je goede argumenten waarom je DNSSEC zou moeten gebruiken? DNSSEC gaat waarschijnlijk nooit een ROI krijgen in de zin dat het je direct iets oplevert; autogordels hebben ook geen ROI voor autofabrikanten. Er is waarschijnlijk eerst een (internet-) ramp voor nodig om mensen te laten beseffen dat DNSSEC geen overbodige luxe is. We zien dat met de groei van het internet, net als in de gewone maatschappij, het aantal criminele activiteiten toeneemt. De enige remedie daartegen is een betere beveiliging. Het DNS is nog niet de zwakste schakel, maar wel één die een behoorlijke impact kan hebben, omdat het DNS overal gebruikt wordt en de meeste mensen niet eens weten dat het er is. Omdat het DNS zo eenvoudig is en dus ook zo eenvoudig te misbruiken, zien we dat het aantal aanvallen door middel van cache poisoning toeneemt. DNSSEC heeft een lange ontwikkeling gekend en is eigenlijk nog steeds in ontwikkeling. Hoewel de eerste activiteiten rondom DNSSEC al meer dan tien jaar oud zijn, is het protocol pas sinds twee jaar echt af. In de afgelopen twee jaar is het protocol geïmplementeerd in name server en andere software. We zijn nu in de fase dat we best practices en operationele vraagstukken aan het oplossen zijn, omdat het nu ook daadwerkelijk wordt geïmplementeerd. Dat laatste is misschien wel de belangrijkste hobbel, omdat het moeilijkste probleem voor DNSSEC een andere mindset vraagt. Vroeger kon je alles in het DNS publiceren en het werd geaccepteerd. De fouttolerantie was heel hoog. Nu moet je naast je data ook je sleutel publiceren en registreren en moet je jouw sleutel veilig bewaren zodat mensen vertrouwen kunnen hebben in de data die je publiceert voorzien van die sleutel. In de praktijk betekent dit, dat je je als eigenaar van een domeinnaam of DNS-zone moet realiseren dat die sleutel er is en wie erbij kan. Je moet je sleutel of zelf bewaren, of laten bewaren door iemand waarmee
het interview
je goede afspraken hebt gemaakt. Vroeger stond de deur van je huis altijd open en kon iedereen erin, maar niemand maakte daar misbruik van. Nu je een slot op je deur hebt gezet, moet je weten dat je een sleutel nodig hebt om je eigen huis binnen te komen en zul je moeten bepalen wie je binnen laat. Het complexere technische management van het DNS kan worden opgelost met slimme software, maar het besef dat je naast je data ook je sleutel, en dus het vertrouwen in je data door de buitenwereld moet gaan managen, en dat je daar zelf verantwoordelijk voor bent, is voor de meeste mensen iets nieuws. DNSSEC werkt met allerlei cryptografische sleutels die ook nog regelmatig wijzigen. Moet ik een expert zijn of experts inhuren om DNSSEC te kunnen opzetten en beheren? Je hoeft niet te weten hoe een USB-stick van binnen werkt om er een te kunnen gebruiken. Mijn dochter gebruikt er ook een en die weet echt niets af van chips, elektrische spanningen of geheugen. Het enige wat ze weet is hoe ze het ding kan gebruiken en dat ze hem vooral niet moet verliezen in de trein. Hetzelfde gaat ook op voor DNSSEC. Het is complexe materie als je echt alle ins en outs wil weten, maar het meeste wordt opgelost met software. Bij SIDN werken we mee aan de ontwikkeling van OpenDNSSEC (www.opendnssec.org). Dat is open source software die het hele sleutelmanagement en het zetten van handtekeningen over de data in je DNS-zone van je overneemt. Het is de bedoeling dat het ‘push the button technologie’ wordt. Installeer je de software, dan wordt je DNSdata automatisch voorzien van alle handtekeningen en houdt de software ook automatisch bij wanneer je sleutels aan vervanging toe zijn. Het enige wat je zelf nog moet doen, is zorgen dat je je eerste sleutel aanmaakt en niet kwijtraakt. Je moet je sleutel dus ergens veilig gaan bewaren. Verder is het enkel maar het zetten van een vinkje ‘ja, ik wil DNSSEC aanzetten’. Zelfs dat is voor de meeste mensen nog te veel gevraagd, dus die zullen het beheren van DNS-data en sleutels uitbesteden en overlaten aan hun ISP of hostingprovider. Let dan wel op dat je goede contractuele afspraken hebt gemaakt met een dergelijke 3e partij, zodat je niet de controle over jouw data kwijtraakt als je ruzie krijgt. Je leent je sleutel uit aan een 3e partij en als je op een bepaald moment niet meer wilt dat die 3e partij toegang heeft tot jouw data, dan zit er niets anders op dan alle sloten te vervangen. Het vervangen van een slot kan echter alleen als de deur open staat! In de eerste voorstellen voor DNSSEC had je negatieve bijeffecten zoals het kunnen opsommen
van alle hostnamen in een domein. Is dat in de definitieve versie opgelost en zijn er andere bijeffecten aan het gebruik van DNSSEC? Het zogenaamde ‘zone-walking’ is inderdaad grotendeels opgelost met de uitbreiding van DNSSEC met NSEC3. Het is niet meer triviaal om zone-walking te doen zoals met NSEC wel het geval was. Helemaal onmogelijk is het nooit, maar dat probleem heb je ook zonder DNSSEC. Het is overigens een misverstand dat zone-walking altijd een probleem is. Er bestaan genoeg zones waarvan algemeen bekend is wat de inhoud daarvan is of zou moeten zijn. Ik heb altijd een ontzettende hekel aan security audits die mij vertellen dat de inhoud van mijn zone openbaar is en dat dat per definitie fout is. Sommige zones bevatten slechts enkele records en daarvan wil je juist dat het openbaar is wat er in staat. De root zone is een mooi voorbeeld daarvan. Daar staan alle TLD’s in en die zijn toch al bekend. Vandaar dat de root zone gewoon NSEC gebruikt en niet het complexere NSEC3. Is Nederland een koploper als het gaat om de acceptatie van DNSSEC? Nederland is zwaar vertegenwoordigd als het gaat om DNS-kennis en expertise. De meeste open source DNS-software wordt ontwikkeld in Nederland. NLnetLabs is verantwoorde-
“Omdat DNS zo eenvoudig is en dus ook zo eenvoudig te misbruiken, zien we dat het aantal aanvallen door middel van cache poisoning toeneemt.”
lijk voor NSD en Unbound en ook PowerDNS is een Nederlands product. Ook bij de ontwikkeling van DNSSEC zijn relatief veel Nederlanders betrokken. Wat de acceptatie betreft hebben we dus wel een streepje voor, omdat we snel kunnen beschikken over kennis en ondersteuning. Maar Nederland kent wel een liberale en daardoor versnipperde markt. Er zijn vooral veel kleine partijen actief. Er zijn al ISP’s die DNSSEC-validatie doen zoals SurfNet. Die ervaring helpt de verdere ontwikkeling, maar zegt niets over wanneer alle partijen zover zijn. En dat is wel een beetje wat nodig is. Om DNSSEC succesvol te maken, moeten alle partijen in de keten het implementeren. Niet alleen de autoritatieve servers (de servers die de domein-
> Madison Gurkha zomer 2010
5
het interview >
namen hosten), maar ook de resolvers bij ISP’s die de validatie van DNSSEC-domeinnamen moeten gaan doen. We zien dat DNSSEC nu actief wordt geïmplementeerd bij de root zone en TLD’s. De volgende stap is dat access ISP’s hun resolvers gaan aanpassen en validatie gaan doen en ISP’s, DNS-providers en hosters DNSSEC ook standaard gaan aanbieden bij hun producten. Daar speelt zeker het businessconcept een rol, maar als er een paar grote spelers het aanbieden, dan kan de rest moeilijk achterblijven op de concurrentie. En we zien steeds meer vraag komen naar DNSSEC. Voordat DNSSEC werkt binnen bijvoorbeeld een .nl-domein, moeten de domeinen ‘.’ (de root) en ‘.nl’ ook DNSSEC ondersteunen. Is dit al het geval en zo nee, per wanneer gebeurt dat? Alle root servers zullen vanaf 5 mei 2010 een Deliberately Unvalidatable Root Zone (DURZ) key bevatten, een soort nep key. Dit doet men om te kunnen zien of de grotere responses met DNSSEC, ergens in de DNS-infrastructuur tot problemen gaat leiden zonder dat iemand nog DNSSEC kan gaan gebruiken en er afhankelijk van wordt. Dat wordt een spannend moment! Die key zal in juli 2010 worden vervangen
“Het besef dat je naast
je data ook je sleutel, en dus het vertrouwen in je data door de buitenwereld moet gaan managen, en dat je daar zelf verantwoordelijk voor bent, is voor de meeste mensen iets nieuws. ”
Kent u iemand die ook graag zijn of haar visie wil delen in een interview ( U mag uzelf natuurlijk ook opgeven)? Neem dan contact op met de redactie door een mail te sturen naar:
[email protected].
6
Madison Gurkha zomer 2010
door de échte key en vanaf dat moment kan de root zone gevalideerd worden. Een maand nadat dat is gebeurd en er geen problemen zijn opgetreden, zal ook de .nl-zone worden gesigneerd. Naar verwachting kan dus ergens in augustus 2010 ook de .nl-zone gevalideerd worden. Wij gaan het trust anchor van de .nl-zone enkel publiceren in de root zone, dus als je .nl wil kunnen valideren, dan zul je de trust anchors van de root moeten gebruiken. Dit doen we omdat we dan zelf niet op meerdere plaatsen bij moeten gaan houden wie onze key gebruikt en dat we bij een rollover van de key niet hoeven te wachten totdat we iedereen op de hoogte hebben gebracht. Om ervoor te zorgen dat mensen dat toch gaan doen, zullen we een aantal surprise rollovers doen om mensen te ontmoedigen om de .nl-key direct als trust anchor te configureren. Vervolgens zullen
we voor de .nl-zone een ‘friends and family programma’ opzetten, waarbij mensen die we goed kennen of mensen die willen experimenteren met DNSSEC, hun keys in de .nl-zone kunnen laten opnemen. Niet geautomatiseerd of volgens een gegarandeerde SLA, maar gewoon om te kijken tegen welke problemen we aanlopen of hoe we de procedures moeten inrichten. Als laatste stap zal het .nl-registratiesysteem en de procedures rondom registratie moeten worden aangepast, zodat iedereen DNSSEC kan gaan gebruiken. Dat houdt in dat we dan alle processen en procedures goed moeten krijgen. Daar hebben we nog wat openstaande vragen over, omdat we daarbij niet alleen met de technische mogelijkheden rekening moeten houden, maar ook met alle business- en administratieve processen die momenteel geïmplementeerd zijn. We hebben daarbij input nodig van de gemeenschap over hoe we die problemen het beste kunnen oplossen. Op het DNSSEC-platform (www.dnssec.nl) kan iedereen die betrokken is bij het DNS, domeinnamen, DNSSEC en security van gedachten wisselen om te komen tot de beste oplossing. Bevat de meest gebruikte DNS-software (zoals BIND) al volledige ondersteuning voor DNSSEC? De laatste versie van BIND, NSD en Unbound bevatten volledige ondersteuning van DNSSEC met de huidige cryptografische algoritmen. PowerDNS bouwt ook aan een DNSSEC versie, die naast ondersteuning ook nog eens het signeren wil laten automatiseren. Daar zitten de problemen niet zo. De grootste problemen zitten in middleware. De Taiwanese thuisroutertjes van de lokale computerwinkel, die in hun firmware ook ‘DNS-dingetjes’ doen en dat meestal fout doen. Die firmware is meestal gebaseerd op het DNSprotocol van 15 jaar geleden en nooit aangepast. Ook zien we het vaak fout gaan in de configuratie van firewalls. Omdat mensen niet weten dat het DNS naast UDP, als fallback ook gebruik maakt van TCP indien antwoorden te groot worden. Security experts die ervan uitgaan dat het DNS altijd UDP is en dat pakketjes altijd kleiner zijn dan 512 octets. Van DNS-uitbreidingen als EDNS0, waarmee onderhandeld kan worden over grotere pakketgroottes, hebben ze nooit gehoord, maar deze zijn met DNSSEC wel noodzakelijk. Dat zijn de installaties die straks problemen gaan krijgen als DNSSEC wordt geïmplementeerd. Het DNS is immers overal. Voor SIDN staat de kwaliteit en stabiliteit van de .nl-zone voorop en daarom willen we de oplossingen voor deze vraagstukken zo zorgvuldig mogelijk en geleidelijk implementeren. Meer informatie over hoe je kunt testen of jouw infrastructuur is voorbereid op DNSSEC kun je o.a. vinden op http://www.dns-oarc.net/oarc/services/replysizetest.
In elke Madison Gurkha Update vragen wij een klant het spreekwoordelijke hemd van het lijf met betrekking tot zijn of haar relatie met ICT-beveiliging. Voor eenieder herkenbare verhalen uit de praktijk, uiteraard zo onherkenbaar mogelijk gebracht. Deze keer het woord aan de heer X van instelling Y.
de klant
In welke branche is uw organisatie actief? Finance. Wat is uw functie? Information Security Officer. Hoeveel mensen houden zich in uw organisatie bezig met informatiebeveiliging? Binnen de afdeling die staat opgesteld voor informatiebeveiliging zijn zes mensen werkzaam, waarvan vier in Europa en twee in de Verenigde Staten. Echter naleving van het informatiebeveiligingsbeleid is een zaak van eenieder binnen het bedrijf, dus als het goed is zijn er heel veel mensen mee bezig! Hoe is de informatiebeveiliging opgezet binnen uw organisatie? Hoewel Information Security organisatorisch is ondergebracht binnen de IT-afdeling, is de scope breder dan alleen IT. Voor ons is het businessproces altijd het uitgangspunt. Op businessproces niveau worden de eisen ten aanzien van Information Security, d.w.z. de beschikbaarheid, integriteit en vertrouwelijkheid, vastgesteld in samenspraak met de proces owner. Dit resulteert in een securityclassificatie die vervolgens vertaald kan worden in een set van verplichte controls. Het betreft hier zowel organisatorische controls als IT-controls in ondersteunende informatiesystemen. Deze controls zijn gebaseerd op de ISO/IEC 27002-standaard. Er is een information security management system (ISMS) geïmplementeerd, om de opzet en
juiste werking van de key controls te bewaken. Verder is er een security governance framework opgezet om alignment tussen de informatiebeveiligingsstrategie en de bedrijfsstrategie te waarborgen.
wordt gezien. In mijn optiek is Information Security juist een business enabler. Dankzij Information Security zijn wij bijvoorbeeld als financiële instelling in staat om op een verantwoorde manier online zaken te doen.
Wat zijn de 3 belangrijkste kwaliteiten waarover men moet beschikken om deze functie met succes te kunnen uitoefenen? Binnen onze organisatie werk je als Information Security Officer op het snijvlak van business, informatie en technology. Het is daarom belangrijk dat je zowel de business als de techniek begrijpt. Je moet een goede gesprekspartner zijn voor collega’s uit de business, maar ook voor IT-collega’s binnen bijvoorbeeld de beheer- of ontwikkelingsafdeling. Verder moet je over een goed ontwikkeld analytisch vermogen beschikken. Je moet als het nodig is in detail kunnen gaan, maar op hetzelfde moment ook het overzicht kunnen bewaren. Verder moet een Information Security Officer sterk in zijn schoenen staan. Het belang van Information Security, d.w.z. ervoor waken dat de risico’s de risk appetite van de organisatie niet overschrijden, is bijvoorbeeld niet altijd in lijn met het belang van een projectmanager die zijn project kost wat kost wil afronden binnen budget en/of conform planning. Het is belangrijk hier de juiste balans te vinden.
Wat zijn in uw organisatie op dit moment de belangrijkste uitdagingen op het gebied van informatiebeveiliging? Een van de uitdagingen betreft het nog steeds groeiende aantal online diensten dat door onze organisatie wordt aangeboden. Het beschikbaar stellen van webapplicaties en webservices aan het Internet, gaat nu eenmaal gepaard met de nodige risico’s. Verder zien we dat er in toenemende mate gebruik wordt gemaakt van SaaS-oplossingen. Omgevingen worden complexer en grenzen verdwijnen.
Wat vind u de leuke en wat de minder leuke kanten van uw functie? Wat ik leuk vind aan mijn functie is de combinatie van business en techniek. Aan de ene kant moet je de businessprocessen begrijpen en aan de andere kant de techniek die gebruikt wordt in de oplossingen om die processen zo efficiënt mogelijk te laten verlopen. Wat ik minder leuk vind is dat Information Security nog te vaak als business disabler
Wat zijn uw ervaringen met Madison Gurkha? Ik heb tot nu toe altijd prettig samengewerkt met Madison Gurkha. De security consultants zijn absoluut ter zake kundig. Verder ben ik erg tevreden over de flexibele instelling van Madison Gurkha, bijvoorbeeld ten aanzien van de uitvoering van hun activiteiten bij wijzigingen in projectplanningen binnen onze organisatie.
Hoe gaat u deze aanpakken en hoe helpt Madison Gurkha daarbij? Madison Gurkha voert voor ons Security Assessments uit van IT-services die toegankelijk zijn via het Internet. Hierbij wordt zowel naar vulnerabilities gezocht in de gerelateerde infrastructuur als in de webapplicatie zelf. Vervult u nog nevenfuncties op IT-beveiligingsgebied buiten uw eigen organisatie? Nee.
Madison Gurkha voert per jaar tientallen ICT-beveiligingsaudits uit voor uiteenlopende organisaties: van verzekeraars tot banken, van pensioenfondsen tot de overheid en van technologiebedrijven tot internetwinkels. Al onze klanten hebben één ding gemeen: ze nemen ICT-beveiliging uitermate serieus. Zij weten als geen ander hoe belangrijk het is om zorgvuldig met kostbare en vertrouwelijke gegevens om te gaan. Zij laten hun technische ICT-beveiligingsrisico’s daarom dus ook structureel onderzoeken door Madison Gurkha.
Madison Gurkha zomer 2010
7
In de rubriek “De Hack” belichten we iedere Madison Gurkha Update een opmerkelijke situatie die tijdens een beveiligingsaudit werd aangetroffen. Deze keer vertelt Frans over de complexiteit van de beveiliging omtrent telewerken, waarbij er meer mogelijk blijkt te zijn dan bedoeld.
de hack
Remote desktops & applicaties: een open deur? De afgelopen jaren is het gebruik van “werken op afstand” (telewerken) toegenomen. Er zijn verschillende definities voor telewerken te vinden, maar één ding hebben ze in ieder geval gemeen: telewerken wordt mede mogelijk gemaakt door de aanwezigheid van telecommunicatievoorzieningen. Met behulp van informatie- en communicatietechnologie (ICT) wordt ervoor gezorgd dat gebruikers op afstand toegang hebben tot de applicaties en de gegevens waarover ze ook op hun werkplek kunnen beschikken. In dit artikel gaan we in op de risico’s van bepaalde telewerk oplossingen.
Virtuele applicaties en desktops Er zijn diverse producten op de markt die het mogelijk maken dat telewerkers op afstand kunnen beschikken over een toepassing die binnen het bedrijfsnetwerk actief is. Het enige dat de gebruiker in principe nodig heeft is een webbrowser, internetconnectiviteit en de benodigde authenticatiemiddelen. De beschikbare applicaties en desktops worden in een virtuele omgeving ingericht. De systeembeheerders die deze virtuele omgevingen beheren, beschikken over een heel arsenaal van middelen om de toegang te limiteren tot alleen datgene wat een gebruiker echt nodig heeft. In de praktijk blijkt dit heel lastig te zijn en Madison Gurkha wordt dan ook regelmatig benaderd om te onderzoeken of en in hoeverre de genomen veiligheidsmaatregelen kunnen worden omzeild. Onderstaand volgt een beschrijving van een dergelijk onderzoek waarbij we nu reeds de kanttekening plaatsen dat er, afhankelijk van de inrichting, meerdere paden te bewandelen zijn.
8
Madison Gurkha zomer 2010
De situatie De opdracht is om te onderzoeken in hoeverre de interne infrastructuur is afgeschermd voor gebruikers die via een access gateway toegang hebben tot een virtuele desktop. De enige applicatie die daarbij beschikbaar is, is het programma “notepad.exe”. Voor het onderzoek hebben wij de beschikking over een authenticatie-token en de benodigde credentials. Stap
1
We starten de virtuele desktop op en gaan allereerst op verkenning uit. Via de menuopties File -> Open, kunnen we het bestandsysteem benaderen. Het browsen is beperkt tot alleen de desktop directory van de gebruiker. Het menu onder de rechtermuisknop is uitgeschakeld. We zien wel een aantal shortcuts naar applicaties zoals Word, Excel, Outlook en PowerPoint. Ook zien we een shortcut naar het intranet. Op dit punt van het onderzoek laten we deze
shortcuts echter nog met rust. Stap
2
Via de menuopties Help -> Help Topics kunnen we de helpteksten van notepad opvragen. Op zich is dit niet zo bijzonder, maar in deze helptekst is een link opgenomen naar de website van het Microsoft TechCenter. Als we op de link klikken, wordt er een Internet Explorer instantie opgestart en blijken we toegang te hebben tot het internet. We hebben dus toch de beschikking over Internet Explorer zonder dat deze beschikbaar is gemaakt. Door verbinding te maken met bijvoorbeeld http:// www.myip.nl, komen we te weten op welke wijze onze virtuele desktop het internet benadert. Zodra we de instellingen van Internet Explorer willen bekijken, dan blijkt dit niet mogelijk te zijn omdat we hiervoor niet geautoriseerd zijn. Ook via de optie vanuit de helpfunctie van “notepad.exe” via Options -> Internet Options ..., is dit niet mogelijk.
de hack
Stap
3
We gaan verder met het onderzoeken van de mogelijkheden die Internet Explorer, opgestart via de helpfunctie van “notepad.exe”, ons biedt. Het File menu blijkt niet beschikbaar te zijn. Via Tools ->Internet Options en Temporary Internet Files -> Settings -> View Files, zien we toch de inhoud van de verschillende directories. We kunnen hiervoor met behulp van de optie Favorites -> Add to Favorites, bookmarks creëren. De rechtermuisknop op de zojuist gecreëerde bookmark, geeft toegang tot de Explorer functie waardoor de directory structuur op het systeem zichtbaar wordt. Dit levert nuttige informatie op. Stap
4
Doordat de directory structuur benaderbaar is, komen we er al snel achter dat we via een link, het programma “word.exe” kunnen opstarten. Dit betekent weer een mogelijk aanvalspad. Doordat we beschikking hebben over Microsoft Word en een toegang tot het internet hebben, is het triviaal om een geprepareerd document vanaf het internet op te halen. We gebruiken hiervoor een Worddocument dat een macro bevat om programma’s in userland uit te voeren, waarbij de opgelegde policy-restricties worden omzeild. Overigens is het ophalen van een document niet per se noodzakelijk; de macro kan ook handmatig worden ingevoerd. Stap
5
Nadat we het geprepareerde document hebben opgehaald binnen Microsoft Word, wordt de macro uitgevoerd waardoor we een uitvoerbaar bestand (bijvoorbeeld C:\ windows\system32\cmd.exe), voorzien van eventuele parameters, kunnen opstarten. In eerste instantie krijgen we de melding dat het programma “cmd.exe” is ge-disabled (group policy). Deze beperking kunnen we echter omzeilen door de macro aan te passen zodat deze tijdens het laden van het programma “cmd.exe”, de instantie hiervan
in het geheugen aanpast (byte patch), waardoor een gemodificeerde “cmd.exe” zonder de eerdere beperking actief is. Vanaf dit punt hebben we een command shell actief en kunnen we hiermee alle beschikbare commando’s uitvoeren. Het commando “net. exe” levert hierbij veel nuttige informatie op. Uiteindelijk krijgen we toegang tot interne shares en bestanden. Tijdelijke bestanden en directories zorgen er met name voor dat andere aanvalspaden beschikbaar zijn waardoor we in staat zijn om bijvoorbeeld batchbestanden met daarin commando’s voor het toevoegen van Domain Admins te plaatsen. Zodra een Administrator inlogt, wordt het betreffende batchbestand uitgevoerd. Hierbij wordt de door ons opgegeven gebruiker toegevoegd aan de groep Domain Admins. Conclusie Het blijkt in de praktijk ontzettend moeilijk te zijn om de toegang tot de interne applicaties en gegevens, ontsloten via bijvoorbeeld virtuele applicaties en desktops, af te schermen. Sterke authenticatie moet ervoor zorgen dat alleen geautoriseerde personen toegang
krijgen. Maar wat als een aanvaller toegang krijgt door, in welke vorm dan ook, gebruik te maken van een geautoriseerde verbinding? De hierboven beschreven methoden waarmee stapsgewijs beveiligingsmaatregelen worden omzeild, vergen weliswaar meer dan gemiddelde kennis op dit gebied, maar deze informatie is tegenwoordig voor iedereen toegankelijk. Het is duidelijk dat in elk geval meerdere beveiligingslagen noodzakelijk zijn en dat er niet alleen kan worden vertrouwd op de toegangsbeveiliging via de virtuele omgeving. Additionele maatregelen dienen ervoor te zorgen dat de interne gegevens alleen voor geautoriseerde personen en systemen benaderbaar zijn. Detectie van misbruik en ongeautoriseerde toegang tot gegevens is eveneens van belang, evenals een adequate opvolging. Bij de aanschaf en implementatie van een product voor het ontsluiten van interne applicaties en gegevens, moet er niet alleen gelet worden op de veiligheid van het product zelf, maar op de gehele keten.
Madison Gurkha zomer 2010
9
In de rubriek “Het Verslag” laten wij u delen in onze ervaringen tijdens conferenties, seminars en trainingen. Deze keer doet Laurens Houben verslag van de Black Hat Sessions VIII, Hacking the Cloud, georganiseerd door Array Seminars en Madison Gurkha op 27 april jl.
het
verslag
Black Hat Sessions VIII Deze achtste editie van de Black Hat Sessions stond in het teken van het thema “Hacking the Cloud”. Op 27 april jl. kwamen veel geïnteresseerden naar het congrescentrum De Reehorst te Ede om zich te laten informeren over de gevaren die de cloud met zich meebrengt.
De conferentie werd geopend door de dagvoorzitter Walter Belgers (Madison Gurkha), waarna Ralph Moonen, Directeur IT Security eXperts (ITSX), het woord overnam en sprak over de “donkere kant” van Cloud Computing. Ralph liet zien hoe onder andere criminelen op dit moment de cloud kunnen gebruiken om hun acties nog omvangrijker en anoniemer uit te voeren. Ook kwam de opsporing hiervan aan bod. Hij gaf voorbeelden van welke obstakels forensisch onderzoekers tegen kunnen komen tijdens het onderzoeken van een stukje cloud, na bijvoorbeeld een succesvolle hack of aanval. Safe Harbor Na een korte koffiepauze gaf Arnoud Engelfriet (ICTRecht) een presentatie over de huidige wetgeving rondom computercriminaliteit , de cloud en andere algemene maar niet onbelangrijke zaken. Hij ging in op vragen zoals “Waar moeten mensen rekening mee houden en wat kunnen ze verwachten wanneer ze zich in de cloud bevinden?” Het publiek kreeg ook de gelegenheid om enkele vragen te stellen waar Arnoud helder antwoord op gaf. “Wat gebeurt er bijvoorbeeld met persoonsgegevens in de cloud wanneer deze zich in het buitenland bevindt?” Zijn er privacyregels/wetten waar je de buitenlandse partij aan kunt laten houden?” Arnoud gaf
10
Madison Gurkha zomer 2010
hierop vervolgens uitleg over de ‘International Safe Harbor Privacy Principles’ die de veiligheid van gegevens in het buitenland kunnen garanderen. Na deze presentatie verzorgde Johan van Gestel (Netasq) een vendorsessie waarbij hij ons een kijkje liet nemen onder de motorkap van hun ‘appliances’. Hij liet zien hoe Netasq nieuwe technieken toepast bij het opsporen van kwetsbaarheden. Kwetsbaarheden Na een uitgebreide lunch, waar de gasten de kans hadden te netwerken, oude bekenden te zien en de informatiestands te bekijken, was het de beurt aan Ferdinand Vroom en Martin Knobloch, (OWASP Dutch Chapter) om een inzicht te geven in verschillende type cloud modellen en de kwetsbaarheden die bestaan. De rol die OWASP speelt in de beveiliging van applicaties en de richtlijnen die zij hiervoor opstellen werden ook toegelicht. Mike Chung (KPMG) vertelde vervolgens over de opkomst van Cloud Computing, welke risico’s bedrijven op dit moment kunnen lopen met hun data in de cloud en wat ze met de huidige stand van zaken beter kunnen doen en laten. Hacks Na een korte koffiepauze ging Ian de Villiers (SensePost Information Security) in op de technische kwetsbaarheden van de cloud.
het
de agenda
verslag
Als u op de hoogte wilt blijven van de laatste ontwikkelingen in de ICT-beveiligingswereld, dan zijn beurzen en conferenties de ideale gelegenheid om uw kennis te verrijken en om contacten op te doen. Iedere Madison Gurkha Update presenteren wij in de agenda een lijst met interessante bijeenkomsten die de komende tijd plaats zullen vinden.
1 en 2 juli 2010
Hack in the Box
De cloud haalt zijn kracht uit het delen van een haast onbeperkt aantal resources. Wellicht deelt de applicatie of het systeem in de cloud resources met een concurrent. Wat gebeurt er wanneer je uit de applicatie kunt breken en toegang krijgt tot data van een andere partij? Hoe gaan cloud aanbieders hier mee om? Verder toonde Ian enkele Proof of Concepts voor cloud hacking, die veel verbazing en gelach veroorzaakte onder het publiek. Één daarvan ging over een hack waarbij de MobileMe-accounts van enkele hoge figuren bij Apple werden gehackt met behulp van publieke informatie dat zij zelf op het internet hebben geplaatst. Hiermee werd onder andere aangetoond hoe belangrijk bewustwording van de gebruikers is, met betrekking tot het aanbieden van persoonlijke informatie op het internet. Het was een zeer vermakelijke en interessante presentatie die velen niet snel zullen vergeten. Met een kort afsluitingswoord bedankte Walter Belgers iedereen voor zijn/haar aanwezigheid en inzet voor een geslaagde dag, in de vorm van een borrel in de wintertuin. We zien uit naar de volgende Black Hat Sessies!
Amsterdam, Nederland http://conference.hackinthebox. org/hitbsecconf2010ams/ De grootste beveiligingsconferentie van Azië, Hack in the Box (HITB), komt volgend jaar voor het eerst naar Amsterdam. Hack in the Box begon in 2003 in Maleisië en vindt sinds 2007 ook elk jaar in Dubai plaats. Daarbij richt het zich voornamelijk op security professionals die technisch goed onderlegd zijn. De conferentie begint met een training van twee dagen, gevolgd door twee dagen met lezingen. Door naar Europa te komen wil de organisatie de wereldwijde community bedienen. Een bijkomende reden om voor de hoofdstad te kiezen, is dat Black Hat Amsterdam naar Barcelona is verhuisd. Hack in the Box wordt namelijk vaak vergeleken met Black Hat.
29 juli t/m 1 augustus 2010
DEFCON18
Las Vegas, USA http://www.defcon.org/ DEFCON is één van de oudste en ook één van de grootste hackersconferenties. DEFCON is een unieke ervaring voor elke congresganger. Sommige mensen spelen Capture the Flag 24x7, terwijl veel mensen nooit een computer aanraken op DEFCON. Er is voor ieder wat wils:
van interessante toespraken tot IP-wedstrijden, filmmarathons, speurtochten, lock picking etc.
10 t/m 13 augustus 2010
Eth0:2010 Summer
Wieringerwerf, Nederland http://eth-0.nl/ Eth0:2010 summer is een internationaal outdoor computerevenement dat bedoeld is om mensen met verschillende computergerelateerde interesses en vaardigheden samen te brengen voor een informatieve en leuke tijd. Zie ook pagina 3.
3 en 4 november 2010
Infosecurity.nl 2010 Utrecht, Nederland http://www.infosecurity.nl/nl-NL/ Bezoeker.aspx Infosecurity.nl, dé toonaangevende vakbeurs op het gebied van IT-Security in de Benelux, bestaat dit jaar tien jaar. Al een decennium lang biedt Infosecurity.nl ICT-professionals een overzicht van de nieuwste beveiligingstechnieken, -producten en -diensten. Ruim 140 exposanten staan hierbij garant voor een breed expositieprogramma. De keynote sessies, het uitgebreide seminarprogramma en de overige beursactiviteiten bieden u verder veel inhoudelijke inspiratie voor al uw beveiligingsvraagstukken.
het colofon Redactie Tim Hemel Laurens Houben Remco Huisman Frans Kollée Maayke van Remmen Ward Wouts
Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan
Contactgegevens Madison Gurkha B.V. Postbus 2216 5600 CE Eindhoven Nederland
T +31 40 2377990 F +31 40 2371699 E
[email protected]
Bezoekadres Vestdijk 9 5611 CA Eindhoven Nederland
Redactie
[email protected]
Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.
Madison Gurkha zomer 2010
11
______________________________________________________________________________ Information Technology Security eXperts
its ______________________________________________________________________________
• • • • • •
•
o
•
•
o o o o o o o o o o o o o o
• • • • • • • •
______________________________________________________________________________