Security in onderzoek en onderwijs TouW-symposium 24 november 2012 Harald Vranken Met Metdank dankaan: aan: Marko Markovan vanEekelen Eekelen Arjan ArjanKok Kok Julien JulienSchmaltz Schmaltz Freek FreekVerbeek Verbeek Jens JensHaag Haag Sven SvenKiljan Kiljan Carlos CarlosMontes MontesPortela Portela afstudeerders afstudeerders
Agenda •
Onderwijs – Security en IT – Software security – CPP IT security engineer
•
Onderzoek – afstudeeropdrachten – promotie-onderzoeken – post-doc onderzoek
2
Cursus Security en IT •
Breed overzicht van vakgebied IT security – Cryptografie – Beveiliging van software – Beveiliging van besturingssystemen en databases – Beveiliging van computernetwerken – Aspecten van beheer en privacy
Cursus Security en IT •
Nadruk op beveiliging in technische zin – Welke kwetsbaarheden zijn er in computersystemen? – Welke aanvallen zijn daardoor mogelijk? – Hoe kunnen we deze aanvallen voorkomen? – Hoe kunnen we geslaagde aanvallen ontdekken?
Cursus Security en IT
Doelen van security Confidentiality
•
Confidentialiteit – beschermen van vertrouwelijkheid, privacy
•
Integriteit – beschermen tegen modificeren (aanpassen, verwijderen)
•
Integrity
Beschikbaarheid – beschermen van toegankelijkheid
Availability
Security
Cursus Security en IT
Cryptografie: oudheid (1) •
1900 vChr. hiëroglyfen in Egypte
•
50 vChr. Caesar-cijfer – monoalfabetische substitutie – Voorbeeld: Klare tekst: HOI Cijfertekst: KRL
A B C D E F G H I D E F G H I
J K L M N O P Q R S T U V W X Y Z
J K L M N O P Q R S T U V W X Y Z A B C
Cursus Security en IT
Cryptografie: oudheid (2) •
WO II: Enigma – polyalfabetische substitutie – Voorbeeld: Klare tekst: HOI Cijfertekst: NXO
Cursus Security en IT
Cryptografie: tegenwoordig •
Gefundeerd op wiskunde – AES – RSA
klare tekst
encryptiealgoritme E
Dit is geheim
cijfertekst
decryptiealgoritme D
Dit is geheim
Kbh bq azszbg encryptiesleutel Ke
klare tekst
decryptiesleutel Kd
Cursus Security en IT
Beveiliging van databases Voorbeeld: SQL-injectie
Vranken RAbn3%cd
' OR 1=1 -' OR 1=1 --
SELECT Username FROM Users WHERE (Username = 'Vranken‘) AND (Password = 'RAbn3%cd‘)
SELECT Username FROM Users WHERE (Username = '' OR 1=1 --') AND (Password = '' OR 1=1 --')
Cursus Security en IT
Virtueel security lab •
Zelf aan de slag in een computernetwerk als hacker, beveiliger en gebruiker
Cursus Security en IT
Virtueel security lab •
Voorbeeld van opdracht: DMZ en firewalls
firewall internet
demilitarized zone
firewall
intranet
Cursus Security en IT
Access control
Agenda •
Onderwijs – Security en IT – Software security – CPP IT security engineer
•
Onderzoek – afstudeeropdrachten – promotie-onderzoeken – post-doc onderzoek
13
Cursus Software security •
Software security – engineering software so that it continues to function correctly under malicious attack – understanding software-induced security risks and how to manage them
•
Kernprincipe: building security in
Cursus Software security •
•
Vulnerabilities
•
Language-based security
–
Validatie van invoer en uitvoer
–
Safety
–
Buffer overflow
–
–
Excepties en privileges
Language-based access control
–
Informatieflowanalyse
Ontwikkelen van beveiligde software –
Risicomanagement en risicoanalyse
–
Statische codeanalyse
–
Security testing
•
Ethiek van software security
Cursus Software security
Oorzaken security-problemen •
Connectivity, extensibility, complexity
•
50% implementation-level bugs, 50% design-level flaws
6,000 5,000 4,000 3,000 2,000 1,000
Year
12 20
11 20
10 20
09 20
08 20
07 20
06 20
20
05
04 20
03 20
02 20
01 20
00 20
99 19
98 19
97 19
96 19
95
0 19
Number of vulnerabilities
7,000
Cursus Software security
Beste practices
Cursus Software security
Vulnerabilities •
Meest voorkomende kwetsbaarheden met grote impact – SQL injection – buffer overflow – path manipulation – command injection – cross-site scripting (XSS) – HTTP response splitting …
OWASP TOP 10
Cursus Software security
Buffer overflow •
Arrays in C/C++
system data
user data 1 2 3 4 5 6 7 8 X char invoer[8]
returnadres programma code
Cursus Software security
Vulnerabilities in webapplicatie
Cursus Software security
Cross-site scripting
Cursus Software security
Cross-site scripting
Cursus Software security
Statische codeanalyse: Fortify
Cursus Software security
Statische codeanalyse
Cursus Software security
Language-based access control •
Java security – Sandbox – Code signing – Security policies
Agenda •
Onderwijs – Security en IT – Software security – CPP IT security engineer
•
Onderzoek – afstudeeropdrachten – promotie-onderzoeken – post-doc onderzoek
26
CPP IT Security Engineer •
Gebaseerd op Security en IT en Software security
•
Talrijke extra’s – uitvoerige begeleiding (19 bijeenkomten) – extra onderwerpen (aansluitend op actualiteit) – practica
Agenda •
Onderwijs – Security en IT – Software security – CPP IT security engineer
•
Onderzoek – afstudeeropdrachten – promotie-onderzoeken – post-doc onderzoek
28
Onderzoek •
Afstudeeropdrachten – BPM&IT afstudeerders
•
Promotie-onderzoeken – gedistribueerd virtueel security lab – digitaal betalingsverkeer – smart grids
•
Post-doc onderzoek
29
Afstudeeronderzoek
Afstudeeropdrachten BPM&IT Organisatie en beheer –
De organisatie van botnetbestrijding in Nederland (Timo Schless; 2013)
–
Security-beleid en maatregelen rondom BYOD en de invloed op de privacy van werknemers (André Schild; 2013)
–
–
•
Beweegredenen van overheidsorganisaties voor outsourcing naar cloud computing en de effecten op de informatiebeveiliging (René van Giersbergen; 2013)
•
Risico’s door de cloud: organisatorische en juridische aandachtspunten en maatregelen (Yvonne van Boxmeer; apr. 2012)
•
Databeveiliging in de cloud: maatregelen en aandachtspunten voor IaaS cloud computing (Jeroen Verhoeven; jun. 2012)
•
Technische impact van hybride cloud computing op IAM (Gert Kiewiet; dec. 2011)
•
Succesfactoren voor implementatie van cloud IAM (Tim Piepers; 2013)
Cyberbeveiliging als bedrijfsproces (Gert-Jan Schouten; 2013)
Social engineering –
Security van cloud computing
Online hengelen zonder vergunning: mogelijkheden, effectiviteit en acceptatie van maatregelen tegen phishing in financiële sector (Koen Dreijer; sep. 2012) Beveiliging tegen social engineering bij de Limburgse gemeenten (Jack van der Goes; dec. 2012)
30
Promotieonderzoek
Gedistribueerd virtueel security lab •
Jens Haag (buitenpromovendus)
•
Uitbreiden van virtuele security lab (stand-alone) naar gedistribueerd virtueel security lab
student virtual internet docent
student
31
Promotieonderzoek
Architecturen: decentraal/centraal VH
VH
UNIX-Socket UML-Switch
VH GH RBE
GH RBE
VH
UNIX-Socket UML-Switch
32
Promotieonderzoek
Toepassing in onderwijs •
Inzet bij cursussen – Welke opdrachten; wat vinden studenten ervan?
•
Automatische feedback/grading
33
Promotieonderzoek
Digitaal betalingsverkeer Kennisprogramma Veiligheid Digitaal Betalingsverkeer (KVDB) •
doel: verbeteren van veiligheid, beveiliging en vertrouwen in digitale betalingsverkeer
•
samenwerking tussen banken, justitie en universiteiten
•
interdisciplinair onderzoek op 4 deelgebieden (4 AIO’s) – criminologie/politiekunde – psychologie – informatica – rechtswetenschap
34
Promotieonderzoek
Digitaal betalingsverkeer •
Sven Kiljan (AIO)
•
Technische beveiliging van digitaal betalingsverkeer – beveiliging – bruikbaarheid van de beveiliging
•
Plan – verkenning van gebruikte technische principes – analyse of principes voldoende veiligheid bieden – ontwerp van veilige(re) oplossingen – evaluatie van toekomstige verbeteringen
35
Promotieonderzoek
Smart grids •
Carlos Montes Portela (buitenpromovendus )
•
Elektriciteitsvoorziening nu: statisch en voorspelbaar – aanbod volgt vraag: van centrales naar verbruikers – elektriciteitsnetten ontworpen voor piekbelasting
•
Elektriciteitsvoorziening in toekomst: dynamisch en onvoorspelbaar – vraag volgt aanbod: decentrale productie, andere vraag – dynamische, duurzame productie (weersafhankelijk)
36
Promotieonderzoek
Smart grid •
Netwerk met componenten en technologieën die – informatie beschikbaar maken over toestand en energiestromen in het netwerk – energiestromen stuurbaar maken
•
Onderzoek naar ICT-architectuur voor smart grid: functionaliteit + privacy + security
37
Promotieonderzoek
Smart grid: privacy en security by design
38
Promotieonderzoek
Smart grid •
voorbeeld
39
Post-doc onderzoek
Formele verificatie •
Freek Verbeek (post-doc) en Julien Schmaltz (UD)
•
EURO-MILS project (Multiple Independent Level of Security) – Europees consortium van 14 partners (8 bedrijven, 3 onderzoekinstituten, 3 universiteiten)
•
Online embedded systemen in kritische systemen (avionica en automotive) – vereist juiste mix van security en safety maatregelen – security architectuur gebaseerd op mechanismen voor separatie (virtualisatie) en gecontroleerde informatiestromen – OU: formele verificatie ten behoeve van security certificering
Afronding •
Security: spannend, relevant en actueel
•
Meer weten? – Volg onderwijs! – Security en IT, Software security, CPP IT security engineer
•
Zelf onderzoek doen? – Doe een afstudeer- of promotieonderzoek! – Master BPM&IT, CS of SE
41