Security in onderzoek en onderwijs

Security in onderzoek en onderwijs TouW-symposium 24 november 2012 Harald Vranken Met Metdank dankaan: aan:  Marko Markovan vanEekelen Eekelen  Arjan ArjanKok Kok  Julien JulienSchmaltz Schmaltz  Freek FreekVerbeek Verbeek  Jens JensHaag Haag  Sven SvenKiljan Kiljan  Carlos CarlosMontes MontesPortela Portela  afstudeerders afstudeerders

Agenda •

Onderwijs – Security en IT – Software security – CPP IT security engineer

•

Onderzoek – afstudeeropdrachten – promotie-onderzoeken – post-doc onderzoek

2

Cursus Security en IT •

Breed overzicht van vakgebied IT security – Cryptografie – Beveiliging van software – Beveiliging van besturingssystemen en databases – Beveiliging van computernetwerken – Aspecten van beheer en privacy

Cursus Security en IT •

Nadruk op beveiliging in technische zin – Welke kwetsbaarheden zijn er in computersystemen? – Welke aanvallen zijn daardoor mogelijk? – Hoe kunnen we deze aanvallen voorkomen? – Hoe kunnen we geslaagde aanvallen ontdekken?

Cursus Security en IT

Doelen van security Confidentiality

•

Confidentialiteit – beschermen van vertrouwelijkheid, privacy

•

Integriteit – beschermen tegen modificeren (aanpassen, verwijderen)

•

Integrity

Beschikbaarheid – beschermen van toegankelijkheid

Availability

Security

Cursus Security en IT

Cryptografie: oudheid (1) •

1900 vChr. hiëroglyfen in Egypte

•

50 vChr. Caesar-cijfer – monoalfabetische substitutie – Voorbeeld: Klare tekst: HOI Cijfertekst: KRL

A B C D E F G H I D E F G H I

J K L M N O P Q R S T U V W X Y Z

J K L M N O P Q R S T U V W X Y Z A B C

Cursus Security en IT

Cryptografie: oudheid (2) •

WO II: Enigma – polyalfabetische substitutie – Voorbeeld: Klare tekst: HOI Cijfertekst: NXO

Cursus Security en IT

Cryptografie: tegenwoordig •

Gefundeerd op wiskunde – AES – RSA

klare tekst

encryptiealgoritme E

Dit is geheim

cijfertekst

decryptiealgoritme D

Dit is geheim

Kbh bq azszbg encryptiesleutel Ke

klare tekst

decryptiesleutel Kd

Cursus Security en IT

Beveiliging van databases Voorbeeld: SQL-injectie

Vranken RAbn3%cd

' OR 1=1 -' OR 1=1 --

SELECT Username FROM Users WHERE (Username = 'Vranken‘) AND (Password = 'RAbn3%cd‘)

SELECT Username FROM Users WHERE (Username = '' OR 1=1 --') AND (Password = '' OR 1=1 --')

Cursus Security en IT

Virtueel security lab •

Zelf aan de slag in een computernetwerk als hacker, beveiliger en gebruiker

Cursus Security en IT

Virtueel security lab •

Voorbeeld van opdracht: DMZ en firewalls

firewall internet

demilitarized zone

firewall

intranet

Cursus Security en IT

Access control

Agenda •

Onderwijs – Security en IT – Software security – CPP IT security engineer

•

Onderzoek – afstudeeropdrachten – promotie-onderzoeken – post-doc onderzoek

13

Cursus Software security •

Software security – engineering software so that it continues to function correctly under malicious attack – understanding software-induced security risks and how to manage them

•

Kernprincipe: building security in

Cursus Software security •

•

Vulnerabilities

•

Language-based security

–

Validatie van invoer en uitvoer

–

Safety

–

Buffer overflow

–

–

Excepties en privileges

Language-based access control

–

Informatieflowanalyse

Ontwikkelen van beveiligde software –

Risicomanagement en risicoanalyse

–

Statische codeanalyse

–

Security testing

•

Ethiek van software security

Cursus Software security

Oorzaken security-problemen •

Connectivity, extensibility, complexity

•

50% implementation-level bugs, 50% design-level flaws

6,000 5,000 4,000 3,000 2,000 1,000

Year

12 20

11 20

10 20

09 20

08 20

07 20

06 20

20

05

04 20

03 20

02 20

01 20

00 20

99 19

98 19

97 19

96 19

95

0 19

Number of vulnerabilities

7,000

Cursus Software security

Beste practices

Cursus Software security

Vulnerabilities •

Meest voorkomende kwetsbaarheden met grote impact – SQL injection – buffer overflow – path manipulation – command injection – cross-site scripting (XSS) – HTTP response splitting …

OWASP TOP 10

Cursus Software security

Buffer overflow •

Arrays in C/C++

system data

user data 1 2 3 4 5 6 7 8 X char invoer[8]

returnadres programma code

Cursus Software security

Vulnerabilities in webapplicatie

Cursus Software security

Cross-site scripting

Cursus Software security

Cross-site scripting

Cursus Software security

Statische codeanalyse: Fortify

Cursus Software security

Statische codeanalyse

Cursus Software security

Language-based access control •

Java security – Sandbox – Code signing – Security policies

Agenda •

Onderwijs – Security en IT – Software security – CPP IT security engineer

•

Onderzoek – afstudeeropdrachten – promotie-onderzoeken – post-doc onderzoek

26

CPP IT Security Engineer •

Gebaseerd op Security en IT en Software security

•

Talrijke extra’s – uitvoerige begeleiding (19 bijeenkomten) – extra onderwerpen (aansluitend op actualiteit) – practica

Agenda •

Onderwijs – Security en IT – Software security – CPP IT security engineer

•

Onderzoek – afstudeeropdrachten – promotie-onderzoeken – post-doc onderzoek

28

Onderzoek •

Afstudeeropdrachten – BPM&IT afstudeerders

•

Promotie-onderzoeken – gedistribueerd virtueel security lab – digitaal betalingsverkeer – smart grids

•

Post-doc onderzoek

29

Afstudeeronderzoek

Afstudeeropdrachten BPM&IT Organisatie en beheer –

De organisatie van botnetbestrijding in Nederland (Timo Schless; 2013)

–

Security-beleid en maatregelen rondom BYOD en de invloed op de privacy van werknemers (André Schild; 2013)

–

–

•

Beweegredenen van overheidsorganisaties voor outsourcing naar cloud computing en de effecten op de informatiebeveiliging (René van Giersbergen; 2013)

•

Risico’s door de cloud: organisatorische en juridische aandachtspunten en maatregelen (Yvonne van Boxmeer; apr. 2012)

•

Databeveiliging in de cloud: maatregelen en aandachtspunten voor IaaS cloud computing (Jeroen Verhoeven; jun. 2012)

•

Technische impact van hybride cloud computing op IAM (Gert Kiewiet; dec. 2011)

•

Succesfactoren voor implementatie van cloud IAM (Tim Piepers; 2013)

Cyberbeveiliging als bedrijfsproces (Gert-Jan Schouten; 2013)

Social engineering –

Security van cloud computing

Online hengelen zonder vergunning: mogelijkheden, effectiviteit en acceptatie van maatregelen tegen phishing in financiële sector (Koen Dreijer; sep. 2012) Beveiliging tegen social engineering bij de Limburgse gemeenten (Jack van der Goes; dec. 2012)

30

Promotieonderzoek

Gedistribueerd virtueel security lab •

Jens Haag (buitenpromovendus)

•

Uitbreiden van virtuele security lab (stand-alone) naar gedistribueerd virtueel security lab

student virtual internet docent

student

31

Promotieonderzoek

Architecturen: decentraal/centraal VH

VH

UNIX-Socket UML-Switch

VH GH RBE

GH RBE

VH

UNIX-Socket UML-Switch

32

Promotieonderzoek

Toepassing in onderwijs •

Inzet bij cursussen – Welke opdrachten; wat vinden studenten ervan?

•

Automatische feedback/grading

33

Promotieonderzoek

Digitaal betalingsverkeer Kennisprogramma Veiligheid Digitaal Betalingsverkeer (KVDB) •

doel: verbeteren van veiligheid, beveiliging en vertrouwen in digitale betalingsverkeer

•

samenwerking tussen banken, justitie en universiteiten

•

interdisciplinair onderzoek op 4 deelgebieden (4 AIO’s) – criminologie/politiekunde – psychologie – informatica – rechtswetenschap

34

Promotieonderzoek

Digitaal betalingsverkeer •

Sven Kiljan (AIO)

•

Technische beveiliging van digitaal betalingsverkeer – beveiliging – bruikbaarheid van de beveiliging

•

Plan – verkenning van gebruikte technische principes – analyse of principes voldoende veiligheid bieden – ontwerp van veilige(re) oplossingen – evaluatie van toekomstige verbeteringen

35

Promotieonderzoek

Smart grids •

Carlos Montes Portela (buitenpromovendus )

•

Elektriciteitsvoorziening nu: statisch en voorspelbaar – aanbod volgt vraag: van centrales naar verbruikers – elektriciteitsnetten ontworpen voor piekbelasting

•

Elektriciteitsvoorziening in toekomst: dynamisch en onvoorspelbaar – vraag volgt aanbod: decentrale productie, andere vraag – dynamische, duurzame productie (weersafhankelijk)

36

Promotieonderzoek

Smart grid •

Netwerk met componenten en technologieën die – informatie beschikbaar maken over toestand en energiestromen in het netwerk – energiestromen stuurbaar maken

•

Onderzoek naar ICT-architectuur voor smart grid: functionaliteit + privacy + security

37

Promotieonderzoek

Smart grid: privacy en security by design

38

Promotieonderzoek

Smart grid •

voorbeeld

39

Post-doc onderzoek

Formele verificatie •

Freek Verbeek (post-doc) en Julien Schmaltz (UD)

•

EURO-MILS project (Multiple Independent Level of Security) – Europees consortium van 14 partners (8 bedrijven, 3 onderzoekinstituten, 3 universiteiten)

•

Online embedded systemen in kritische systemen (avionica en automotive) – vereist juiste mix van security en safety maatregelen – security architectuur gebaseerd op mechanismen voor separatie (virtualisatie) en gecontroleerde informatiestromen – OU: formele verificatie ten behoeve van security certificering

Afronding •

Security: spannend, relevant en actueel

•

Meer weten? – Volg onderwijs! – Security en IT, Software security, CPP IT security engineer

•

Zelf onderzoek doen? – Doe een afstudeer- of promotieonderzoek! – Master BPM&IT, CS of SE

41