6
Your Security is Our Business
WINTER 2009
U P D A T E WWW.MADISON-GURKHA.COM
2
DE COLUMN Remco Huisman
3
HET NIEUWS Cyber Security training Idaho
Review boek Wil Allsopp Black Hat Sessions VIII, 27 april 2010
HET INZICHT
4-5
IPv6: nieuwe bedreiging?
DE HACK
6-7
Reverse HTTP-proxies
HET INTERVIEW
8-9
Annemarie Zielstra van NICC
DE AGENDA DE KLANT
9 10
Uit de Overheid
HET EVENT
11-12
Hack.lu 28-30 oktober 2009
HET COLOFON
12
In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom ICT-beveiliging. Deze keer Remco Huisman over: Wat werkt er nog zonder IT?
D E C O L U MN
Wat werkt er nog zonder IT? Uit het feit dat ik weer aan de beurt ben om deze column te schrijven, mogen we de conclusie trekken dat het al vijf afleveringen gelukt is om de Update te laten verschijnen. Eigenlijk is het ook best meegevallen. Dat komt denk ik doordat we een goede redactie hebben en er over technische IT-security nu eenmaal veel te schrijven is. Ook deze aflevering van de Update liet zich weer makkelijk vullen.
Het testen van de IT-security risico’s van de SCADA/EMS systemen is nog niet zo eenvoudig omdat het zulke afwijkende en kritische systemen zijn. Dit is ook de reden dat onze consultant drs. ing. Pieter de Boer op uitnodiging van het NICC in november naar de USA is geweest voor de training: Industrial Control Systems Cybersecurity Advanced Training, georganiseerd door de US Department of Homeland Security.
We zijn ons er inmiddels wel aardig bewust van dat er vrijwel niets is dat nog werkt zonder elektriciteit. Waar we misschien wat minder bij stilstaan, is dat heel weinig dingen nog werken zonder IT. Het woord “Dingen” moeten we ruim zien. Zo hebben we IT nodig om vliegtuigen te laten vliegen, ze te begeleiden in de lucht, de toegang tot gebouwen wordt met RFID kaarten en databases met toegangsrechten geregeld, fabrieken worden bediend met IT, maar ook elektriciteitscentrales, kernreactoren, raffinaderijen, waterzuiveringsinstallaties, bruggen, sluizen …. De lijst is vrijwel eindeloos.
Door de veranderende techniek ontstaan ook nieuwe risico’s. Zo is IPv6 onder andere in het leven geroepen om de schaarste aan IP-adressen op te heffen. Het is in het ontwerp ook veiliger dan IPv4, maar het kan ook zorgen voor onbedoelde connecties met de buitenwereld. In Het Inzicht kunt u hier mee over lezen.
Vroeger waren deze IT-systemen “stand-alone”: ergens in de fabriek stond wellicht een “PC” waarmee processen werden bediend of gemonitord. Er was geen verbinding met het internet of het kantoornetwerk. Dat was een relatief veilige situatie omdat het verkrijgen van fysieke toegang tot deze systemen niet eenvoudig was. Het bedienen van kleppen en het monitoren van sensors (dit soort systemen staan bekend als SCADA/EMS) is natuurlijk veel prettiger vanuit een geairconditioneerde kantooromgeving dan vanuit een stoffige, warme (of zeer koude) en lawaaiige fabriekshal. Uiteraard is het ook handig om e-mail te ontvangen in die kantooromgeving en dingen op te kunnen zoeken op het world wide web. Dus werd er ook een koppeling met het internet tot stand gebracht. De vroeger zo geïsoleerde systemen zijn nu opeens bereikbaar geworden vanaf een intern netwerk en het interne netwerk is bereikbaar vanaf het internet. Dit alles brengt geheel nieuwe IT-security risico’s met zich mee, die ook drastische impact kunnen hebben op het functioneren van een land. Onze overheid heeft dat gelukkig ook ingezien en daarom de Nationale Infrastructuur ter bestrijding van Cybercrime, kortweg NICC, opgezet. (http://www.samentegencybercrime.nl/). In Het Interview, dat deze aflevering is gewijd aan Annemarie Zielstra, de programmamanager van het NICC, kunt u meer lezen over deze organisatie.
2
Madison Gurkha winter 2009
We hebben deze Update ook een voorbeeld waarin een veiligheidsmaatregel in sommige gevallen juist zorgt voor extra risico’s. In De Hack gaan we deze keer in op de risico’s van reverse proxies. De risico’s van IPv6 en reverse proxies kunnen uiteraard gevolgen hebben voor SCADA/EMS systemen en daarmee voor kritieke voorzieningen. Dit maakt ook duidelijk dat het een goede gewoonte is om regelmatig technische IT-securitytesten/audits te laten uitvoeren. Omdat IT-technologie snel verandert, er dagelijkse nieuwe fouten in software en nieuwe aanvallen worden ontdekt, is het voor Madison Gurkha van groot belang om deze ontwikkelingen te volgen. Naast eigen R&D, is het bezoeken van “Hackers”conferenties een goede manier om op de hoogte te blijven. Zo is een aantal van onze consultants naar Hack.Lu geweest. In deze Update een verslag. 2010 wordt een interessant en ook feestelijk jaar. Madison Gurkha bestaat het komende jaar namelijk alweer 10 jaar. Dat gaan we vieren door met onze medewerkers en aanhang een interessante reis naar Jordanië te maken. Interessant wordt ook de Black Hat Sessions (VIII) die dit jaar in het teken staat van “Hacking the Cloud”. In de rubriek Het Nieuws vindt u meer informatie over dit interessante seminar over een zeer actueel onderwerp. Rest mij u fijne feestdagen te wensen en alvast een gelukkig en veilig 2010. Remco Huisman - Partner, commercieel directeur
In “Het Nieuws” belichten we iedere Madison Gurkha Update belangrijke recente ontwikkelingen die in het beveiligingsnieuws zijn verschenen. Ook alle nieuwe ontwikkelingen rondom Madison Gurkha komen in deze rubriek uitgebreid aan bod.
HET NIE U W S
Hacking the Cloud ��������������������������������������������������������������������������������� ������������������������������������������������������������������������������ ������������������������������������������������������������������������� ����������������������������������� ����� ��� ��������� ������ ������������ ��� �������� ��������� ���� �������� ����� ����� ���� �������� �� �������� ����� ���� ������� ������ ��� ���������� ������� �������������� ������������ ���������� ���������� ������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������������������� ������������������������������������� ������������� ������� ��������� ���� ����� ������ ��� ��������� ���� ����������� ��������� ������������ ��������������������������������������������������������������������������������������������������� ������������������������������������������������������������������������������������������������������ ��������������������������������������������������������������������������������������
�������������������������������������������������� ��������������������� �������������������������������������������������������������������������������� ������������������������������������������������� �������������������������� ���������������������������������������������� ������������������������������������������������������������������������� ��������������������������������������� ����������������������������������������� ���������������������������� ������������������������������
���������������������������� ����������������������������������������������������
Bestemd voor u De bijeenkomst wordt georganiseerd voor beheerders van systemen, netwerken en applicaties, security officers, interne auditors, het management en andere geïnteresseerden. Na dit seminar kunt u de kansen die Cloud Computing biedt beter afwegen tegen de risico’s. Black Hat Sessions VIII, 27 april 2010, De Reehorst Ede, Nederland
Cyber Security training Het Control Systems Analysis Centre, onderdeel van het Idaho National Laboratory, is gespecialiseerd in Cyber Security. Speciaal voor Nederland werd van 9 tot en met 13 november 2009 een vijfdaagse training Industrial Control Systems Cyber Security voor gevorderden georganiseerd. Het NICC (Nationale Infrastructuur ter bestrijding van Cybercrime) acht de training van grote waarde voor Nederland en is gevraagd Nederlandse deelnemers voor de training uit te nodigen. Met name voor leveranciers, systeembeheerders, ICT’ers en managers die zich bezig houden met procesbesturingssystemen in de vitale infrastructuur is deze training zeer interessant. In de USA hebben reeds veel (internationale) partijen hun voordeel gedaan met het volgen ervan.
�����������
zijn er de technische risico’s: en wie zijn wat applicaties betreft beter op de hoogte dan de mensen van OWASP? Ralph Moonen van ITSX bekijkt de cloud vanuit een ander perspectief, namelijk hoe kunnen cybercriminelen de cloud inzetten voor hun duistere praktijken? Last but not least hebben we een spreker van het Zuid-Afrikaanse SensePost Research Labs over “Clobbering the Cloud”. Wat zijn de problemen met Cloud Computing als we het hebben over zaken als privacy en beveiliging?
� � �� � � � � � � � � � ��� ���
Deze achtste editie van de Black Hat Sessions wordt georganiseerd door Array Seminars en Madison Gurkha en staat in het teken van “Hacking the Cloud”. Al aan het eind van de vorige eeuw bezigde Sun Microsystems de slogan: “The network is the computer.” Dat was toen nog niet echt praktisch toepasbaar en tamelijk visionair. Nu, anno 2009/2010, lijkt het realiteit te zijn geworden. Na Application Service Providing (ASP) en SAAS (Software as a Service), hebben we het nu over “The Cloud”. Via de cloud kun je processorcapaciteit krijgen, extern geheugen en software huren, zelfs voor de desktop. Dit maakt IT erg flexibel, maar is het ook veilig? Tijdens deze editie van de Black Hat Sessions gaan we in op de risico’s van Cloud Computing, vandaar “Hacking the Cloud”. Het programma is nog onder voorbehoud, maar ook dit jaar hebben we weer een aantal bijzondere sprekers. Zo zijn wij blij te kunnen aankondigen dat Arnoud Engelfriet van ICT en Recht weer op onnavolgbare wijze zijn ideeën met ons zal delen over de juridische aspecten van Cloud Computing. Naast juridische voetangels en klemmen,
������������ � �� � � � � � � �� � � � �� � � � � � �� � � � � � � �� � � � � � � � � � � � �� � �� � � �
����������� �������������������������
Review Het boek “Unauthorised Access” van Wil Allsopp, medewerker van Madison Gurkha, heeft een uitstekende recensie ontvangen. Deze is na te lezen op http:// www.information-age.com/channels/security-and-continuity/. Hieronder een paar quotes uit de recensie:
“Approaching things from the criminals’ perspective is certainly instructive – some data centre managers encountered by Information Age have been known to break into their own facilities to test their security.” “The enjoyment Allsopp clearly derives from his work is reflected in his book; he writes with that particular tone of repressed glee common among ‘white hat’ hackers. This, together with his tendency to adopt a ‘boy’s own adventure’ narrative style, makes the book very readable but occasionally somewhat glib.”
Mist u een nieuwsitem, of heeft u nog ander opvallend of aanvullend security nieuws? Meld het aan ons door
Vanuit Madison Gurkha is drs. ing. Pieter de Boer naar Idaho geweest om hieraan deel te nemen. In de volgende MG Update zal hiervan verslag worden gedaan.
een mail te sturen naar: redactie@madison-gurkha. com. Wie weet staat uw nieuwtje in de volgende Madison Gurkha Update!
Madison Gurkha winter 2009
3
In de rubriek “Het Inzicht” stellen wij meestal bepaalde technische beveiligingsproblemen aan de orde. Deze keer geeft Pieter de Boer antwoord op de vraag of de nieuwe versie van IP tot nieuwe bedreigingen leidt.
H E T I N Z I C HT
IPv6: nieuwe bedreiging? Lang geleden, om precies te zijn op 29 oktober 1969, verstuurde een computer in Los Angeles de eerste twee letters van het woord ‘login’ naar een andere computer. De ‘gin’ kwam nooit aan: een van de systemen crashte. Hoewel deze eerste communicatie tussen computers niet heel succesvol verliep, wordt het wel gezien als de geboorte van het internet.
4
Madison Gurkha winter 2009
Het toenmalige ARPANET groeide langzaam uit van een viertal systemen tot de huidige 600-700 miljoen systemen op het internet. Van het internet protocol was in die dagen nog geen sprake. Pas op 1 januari 1983 werd de procotol suite TCP/IP in gebruik genomen. Dat bleek een groot succes: anno 2009 is het in de basis nog steeds ongewijzigd volop in gebruik. De grondleggers van het Internet Protocol versie 4 (IPv4) voorzagen een flinke groei van het netwerk en zagen in dat er voor elk aangesloten systeem een adres zou moeten zijn. Daarom trokken ze 32 bits uit voor een IP-adres: genoeg om zo’n vier miljard systemen een adres te geven. Mede door de uitgifte van enorme reeksen adressen in de jaren ‘80 en ‘90 aan enkele bedrijven (en vooral het Amerikaanse ministerie van defensie), en de toch ietwat onstuimige groei van het internet, blijken de 32 bits zo langzamerhand op te raken. Gelukkig is er een opvolger ontwikkeld: IPv6. IPv4 en IPv6 verschillen in een aantal opzichten. Allereerst heeft IPv6 meer adressen: er zijn 128 bits voor een adres gereserveerd, genoeg om elke vierkante millimeter aardoppervlak van bijna een miljard miljard adressen te voorzien. Daardoor kunnen adressen hiërarchischer worden uitgegeven, wat voor routeringsvoordelen zou moeten zorgen. Sommige mensen beweren dat IPv6 ook de veiligheid verhoogt omdat de IPv6-standaarden IPSEC verplichten. IPSEC is een protocol-suite waarmee IP-pakketten kunnen worden gecodeerd en/of gesigneerd. IPSEC wordt ook prima ondersteund voor IPv4, wat dit betreft is IPv6 dus niet veiliger. Belangrijke verschillen zijn verder dat in IPv6 het protocol ‘ARP’ niet meer gebruikt wordt, dat standaard gebruik maakt van link-local en anycast-adressen en dat er stateless autoconfiguration mogelijk is. Mooie termen, maar wat betekent het nu allemaal? Router Een modern IPv6-ondersteunend besturingssysteem zal automatisch een IPv6-adres in de fe80::/16-reeks configureren op alle netwerkkaarten waar IPv6 op
HET INZ I C H T
aan staat. Dit is het link-localadres, dat gebaseerd wordt op het hardware-adres van de desbetreffende netwerkkaart. IP-pakketten met dergelijke adressen worden niet gerouteerd, dus communicatie is alleen mogelijk met systemen die directe buren zijn. Het betekent echter wel dat een systeem via IPv6 bereikbaar kan zijn terwijl er niks geconfigureerd is en er wellicht zelfs geen IPv4-adres aanwezig is. Met behulp van de functie ‘autoconfiguration’ kan een IPv6-systeem een ‘echt’ IPv6-adres aanvragen bij de dichtsbijzijnde router. Deze router dient geconfigureerd te zijn om deze toewijzing mogelijk te maken. Op deze manier is het erg eenvoudig om een heel netwerk IPv6 te geven: zodra de router is ingesteld krijgen alle verbonden systemen automatisch een IPv6-adres. Ook zijn er mooie voorzieningen in IPv6 opgenomen om relatief eenvoudig een heel netwerk te hernummeren. Teredo Omdat het nog steeds niet zo eenvoudig is om een eigen IPv6-verbinding met een eigen IP-reeks te krijgen als met IPv4, heeft Microsoft een protocol bedacht waarmee systemen eenvoudig toegang kunnen krijgen tot het IPv6-internet. Dit protocol heet Teredo (vernoemd naar een zeedier dat gaten boort in hout) en wordt op Windowssystemen vanaf Windows Vista en Windows 2008 standaard ingeschakeld. Wanneer Teredo is ingeschakeld, zal het desbetreffende systeem automatisch een IPv6-adres in de reeks 2001:0000::/32 voor zichzelf configureren. Alle verkeer van en naar dit adres wordt in UDP-pakketten geplaatst die vervolgens in IPv4-pakketten worden geplaatst. Zodoende wordt IPv6 over IPv4 getunneld. Zolang deze UDP-pakketten niet worden tegengehouden door firewalls, kan dus IPv6 binnen UDP van en naar het publieke IPv4-internet worden gestuurd. Het praktische gevolg is dat het systeem met Teredo opeens vanaf het internet toegankelijk is op een IPv6-adres, zonder dat een centrale firewall daar invloed op uitoefent. Teredo boort dus een gat dwars door firewalls heen. Dit kan nogal een risico vormen voor het desbetreffende systeem en de daarop opgeslagen informatie. Een voorbeeld van hoe Teredo systemen en gegevens in gevaar kan brengen is het volgende. Een kennis van me vertelde een e-mail van een klant te hebben ontvangen vanaf een IPv6-adres, terwijl die klant voor zover hij wist niks met IPv6 deed. Het IPv6-adres van de Exchange-server van zijn klant bleek een Teredo-adres te zijn, dat dus zonder dat iemand daarvan wist toegewezen was aan het systeem. Ik vermoedde dat het systeem op allerlei
poorten toegankelijk zou kunnen zijn, de beheerders waren zich immers niet bewust van het gebruik van Teredo. Een kleine test wees uit dat de Exchangeserver op dat adres inderdaad ook toegankelijk was op TCP-poort 445, waar het `Common Internet File System’ (CIFS, beter bekend als `bestands- en printerdeling’) op aangeboden wordt. Die poort wordt normaal gesproken goed afgeschermd vanaf het internet. Het openstaan van TCP-poort 445 over IPv6 was dus waarschijnlijk niet helemaal de bedoeling. Geruststellen Voordat u nu in paniek, al dan niet gillend, overal IPv6 gaat uitschakelen, kan ik u misschien nog wat geruststellen. Windows biedt op verschillende manieren bescherming tegen inkomend verkeer op Teredo-adressen. Applicaties kunnen aangeven zulk verkeer niet te willen ontvangen door een `protection level’ op te geven. Ook kan de Windows firewall toegang tot applicaties over de Teredo-tunnel blokkeren. Het hoeft dus niet zo te zijn dat al uw Windows 2008 en Vista-systemen nu wijd openstaan. Wel is het zo dat de standaard `protection level’-instellingen verschillen tussen Windows-versies, zelfs tussen Windows 2008 en Windows 2008 R2. Ook zijn er interacties tussen de standaard Windows firewall of een ander firewallproduct met het ingestelde `protection level’ mogelijk. Ik zou daarom aan willen raden altijd goed te controleren dat applicaties niet onverwacht beschikbaar worden gesteld op een publiek bereikbaar IPv6-adres. De constante groei van het internet betekent dat we allemaal uiteindelijk over moeten op IPv6. Misschien dat het overgaan op nieuwere Windows-versies een goede aanleiding kan zijn IPv6 echt te gaan gebruiken, al is het alleen maar om systeem- en netwerkbeheerders in deze crisistijd aan het werk te houden met het leren onthouden van adressen als 2001:6b0:1:ea:202:a5ff:fecd:13a6.
Heeft u onderwerpen die u graag een keer terug zou willen zien in deze rubriek? Laat het dan weten aan onze redactie via:
[email protected].
Madison Gurkha winter 2009
5
In de rubriek “De Hack” belichten we iedere Madison Gurkha Update een opmerkelijke situatie die tijdens een beveiligingsaudit werd aangetroffen. Deze keer het woord aan Frans Kollée over reverse HTTP-proxies.
D E H AC K
Aanva
llen!
In deze “De Hack” aandacht voor de reverse HTTP-proxy. Mits goed geconfigureerd en voorzien van de laatste patches, een extra beveiligingslaag. Het tegenovergestelde is echter ook van toepassing: extra mogelijkheden voor aanvallers om ongeautoriseerde toegang te krijgen tot (interne) informatie.
Informatiesystemen die voorheen alleen binnen een organisatie beschikbaar waren, moeten steeds vaker via het internet toegankelijk zijn. Enerzijds voor de eigen medewerkers, die vanaf een externe werkplek toegang tot de informatie moeten hebben, en anderzijds voor externe gebruikers zoals consumenten en leveranciers. Hierbij wordt gebruik gemaakt van web-georiënteerde oplossingen. Op een hoog abstractieniveau zijn hierbij de volgende drie onderdelen te onderscheiden: u de informatie die veelal is opgeslagen in een database systeem; u de webserver die de verzoeken van de gebruiker ontvangt, de benodigde informatie verzamelt en vervolgens naar de gebruiker retourneert; u de webbrowser van de gebruiker. In een gelaagd beveiligingsmodel zijn meerdere toegangslagen actief (multi-tierarchitectuur). Zo wordt er vaak gebruik gemaakt van een presentatielaag, een business-logicalaag en een datalaag. De presentatielaag kan hierbij weer onderverdeeld worden in bijvoorbeeld een presentatie gedeelte en een applicatiedeel. Daarbij wordt vaak gebruik gemaakt van een reverse HTTP-proxy die het presentatie gedeelte verzorgt. De reverse HTTP-proxy is vaak gepositioneerd voor de verschillende webservers en kan voor meerdere functies
6
Madison Gurkha winter 2009
worden gebruikt: het verdelen van inkomende verzoeken over verschillende achterliggende webservers (load balancing), het cachen en retourneren van statische informatie, het afhandelen van SSL-versleuteling en overige optimalisaties. Tijdens onze onderzoeken treffen we de reverse HTTP-proxy vaak aan in een zogenaamde transparante opstelling. Hierbij wordt inkomend HTTP-verkeer voor verschillende webservers door een en dezelfde HTTP-proxy afgehandeld. Hierbij maakt het niet uit of de webservers via verschillende IP-adressen benaderbaar zijn of dat er virtuele webservers worden gebruikt. Vaak zijn we er niet van op de hoogte gebracht dat een dergelijke proxy wordt gebruikt maar stellen we dit zelf vast. Een methode die we hiervoor gebruiken is het bestuderen van de IP-pakketten in het geval dat meerdere IP-adressen in eenzelfde netwerkreeks geadresseerd worden. De tweede en meest simpele methode is het bekijken van de door de webserver geretourneerde HTTP-headers. In het geval dat gebruik wordt gemaakt van een reverse proxy wordt vaak de “Via: “ HTTP-header meegegeven zoals te zien is in listing 1 - HTTPheaders. De in listing 1 gebruikte informatie is overigens gefingeerd.
DE H AC K
----------------------------------------------------------------HTTP/1.0 200 OK X-Powered-By: Servlet 2.2; APPLServer (build: date=200710155129)/Tomcat-5.6 Content-Type: text/html Content-Length: 4321 Date: Sat, 25 Oct 2009 15:02:21 GMT Server: Mijnwebsite X-Cache: MISS from proxy.mijnwebsite.mg
Door het manipuleren van deze “Host: “-header, kunnen we onderzoeken of er bijvoorbeeld gebruik wordt gemaakt van white- of blacklisting. Het komt regelmatig voor dat we op deze wijze toegang krijgen tot webservers die niet vanaf het internet benaderbaar mogen zijn. Denk hierbij aan testomgevingen, webservers die afgeschermd zijn op basis van het afzenderadres (extranetten), maar ook aan interne (intranet-) webservers. Hierdoor is interne informatie toegankelijk voor iedereen die in staat is om de “Host: “-header op een juiste wijze te manipuleren.
Via: 1.1 proxy.mijnwebsite.mg:80 (squid/2.6.STABLE5) Connection: close - - - - - - - - - - - - - - - - - - - - - - Listing 1 - HTTP-headers - - - - - - - - - - - - - - - - - - - - -
Zodra we hebben geconstateerd dat er gebruik wordt gemaakt van een reverse proxy, onderzoeken we in hoeverre we deze kunnen gebruiken voor het maken van verbindingen naar andere systemen. Hierbij zijn er verschillende mogelijkheden. Een transparante reverse proxy is vaak afhankelijk van de informatie in de “Host: “-header. Deze is volgens de specificaties verplicht, indien er gebruik wordt gemaakt van het HTTP/1.1-protocol. Dit is het HTTP-protocol dat tegenwoordig standaard door de moderne webbrowsers wordt gebruikt. Indien een gebruiker bijvoorbeeld de URL http://www.mijnwebsite.mg/ in de adresbalk van zijn/haar browser invoert, dan zal de browser een verbinding maken met het IP-adres waarop het systeem www.mijnwebsite.mg zich bevindt, en vervolgens een aantal headers toevoegen, waaronder de “Host: “-header met daarin de naam van de website die bezocht moet worden. Een dergelijk verzoek van de webbrowser ziet eruit zoals te zien is in listing 2 - HTTP/1.1-request.
-----------------------------------------------------------------GET / HTTP/1.1 Host: www.mijnwebsite.mg User-Agent: Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.9.0.10) Gecko/2009071014 Firefox/3.0.10
Maar wat gebeurt er indien we geen “Host: “-header meesturen? Volgens de specificatie van het HTTP/1.1-protocol is een “Host: “-header verplicht en mag de waarde leeg zijn, maar volgens de specificatie van het HTTP/1.0- of HTTP/0.9-protocol niet. Wat doet de proxy met een dergelijk verzoek? Het antwoord zou moeten zijn: niets. In de praktijk blijkt echter dat een proxy probeert om zelf het verzoek
af te handelen. In het geval dat de proxy bijvoorbeeld voor het beheer zelf een webserver gebruikt die voor de interne beheerders benaderbaar is, dan wordt het verzoek dus doorgezonden naar deze web-management interface van de proxy. In de blacklist staat immers dat alleen internet systemen moeten worden geweigerd en omdat de proxy nu eenmaal niet tot de groep van internet systemen behoort, zijn connecties afkomstig van de proxy naar het web-management interface, wel toegestaan. Vervolgens is een aanvaller in staat om de proxy te configureren met alle gevolgen van dien. Hoe actueel is dit alles? Het komt regelmatig voor dat we bij het onderzoeken van een infrastructuur op deze wijze toegang krijgen tot interne informatie en web-management interfaces. Verder werd er op 23 februari van dit jaar “Vulnerability Note VU#435052” door het “US-CERT” uitgegeven. De titel hiervan is “Intercepting proxy servers may incorrectly rely on HTTP-headers to make connections” en de volledige tekst is terug te vinden op https://www.kb.cert.org/vuls/id/435052. Hierin staan verschillende systemen genoemd die kwetsbaar zijn, maar ook heel veel systemen waarvan niet bekend is of deze kwetsbaar zijn.
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/ *;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Zijn dit de enige aanvallen waarbij er gebruik wordt gemaakt van slecht geconfigureerde proxies? Nee, andere aanvallen zoals “response splitting” en “cache poisoning” zijn eveneens mogelijk. Hierbij zijn echter de gebruikers het doelwit.
Keep-Alive: 300 Connection: keep-alive - - - - - - - - - - - - - - - - - - - - - Listing2 - HTTP1/1 request - - - - - - - - - - - - - - -
Voor iedereen die gebruik maakt van dergelijke proxies: houd je software up-to-date met de laatste beveiligingsupdates en controleer regelmatig de configuratie op lekken.
Madison Gurkha winter 2009
7
Madison Gurkha Update interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld om zijn of haar visie te delen over dit steeds belangrijker wordende onderwerp. Ditmaal een interview met Annemarie Zielstra over het NICC.
H E T I N T E RVIEW
Annemarie Zielstra samenwerking is georganiseerd volgens het bloemblaadjesmodel. Dat houdt in dat iedere sector een eigen overleg heeft (de bloemblaadjes) en informatie via de kern van de bloem uitgewisseld wordt met andere sectoren. Wat zie je als de belangrijkste bedreigingen de komende jaren op het gebied van informatiebeveiliging en hoe reëel zijn die? Iedere bedreiging is reëel en de meeste bedreigingen die je kunt verzinnen komen ook voor. Maar daar gaat het niet echt om. Het gaat er om of organisaties zichzelf zo hebben ingericht dat ze op deze bedreigingen kunnen reageren. Dat kan alleen maar als je goed geïnformeerd bent. En dat laatste is steeds lastiger. Nieuwe bedreigingen volgen elkaar heel snel op. Het is onmogelijk om dat nog vanuit één punt te overzien en te beheersen. Je moet dus samenwerken en met zo veel mogelijk mensen kennis delen. Niet alleen nationaal maar ook internationaal.
Wanneer is het NICC opgezet en waar staat de afkorting voor? Het programma NICC is gestart in 2006. De afkorting staat voor Nationale Infrastructuur ter bestrijding van CyberCrime. Het programma heeft tot doel deze nationale infrastructuur tot stand te brengen. Het programma is tijdelijk, dé NICC blijft. Voor wie is het NICC bedoeld? Voor iedereen die een bijdrage kan en wil leveren aan de bestrijding van cybercrime. Het NICC brengt partijen uit de overheid en het bedrijfsleven bij elkaar in de strijd tegen cybercrime. Wat waren de belangrijkste redenen dat het NICC is opgezet? Dé reden om met het programma NICC te starten was de overtuiging dat cybercrimebestrijding alleen zou gaan lukken als er een permanente nationale infrastructuur tot stand zou komen. Een infrastructuur waarin de partijen die een functie vervullen in de bestrijding van cybercrime elkaar kennen en weten te vinden. Deze infrastructuur is de belichaming van samenwerking en deze samenwerking - zo was de overtuiging - zou nooit vanzelf tot stand komen. Daarom is het programma NICC in het leven geroepen. Het NICC faciliteert samenwerking en werkt op die manier als katalysator. Hoe is het NICC georganiseerd? Zo klein en eenvoudig mogelijk. Er is een kernteam van ongeveer 10 personen. Binnen de infrastructuur is het Informatieknooppunt Cybercrime het belangrijkste voertuig voor samenwerking. In het Informatieknooppunt delen vertegenwoordigers van vitale sectoren en relevante publieke partijen kennis en good practices en wisselen informatie uit in een vertrouwde setting over incidenten, kwetsbaarheden, risico’s en dreigingen. Deze
8
Madison Gurkha winter 2009
Welke rol spelen marktpartijen zoals Madison Gurkha bij het beveiligen van de nationale IT-infrastructuur en de bestrijding van cybercrime? De rol van marktpartijen zoals Madison Gurkha is dus heel belangrijk, vooral als er grote bereidheid is om samen te werken met anderen. En dat laatste is voor marktpartijen niet altijd eenvoudig. De markt floreert immers door concurrentie en dat laatste moeten we in het kader van de cybercrimebestrijding soms loslaten. Onlangs is van onze medewerkers naar de US geweest voor een speciale training over Industrial Control Systems (SCADA/EMS) op uitnodiging van het NICC. Wat maakt deze systemen zo specifiek dat er een aparte training voor wordt georganiseerd? Industrial Control Systems besturen fysieke processen in organisaties. Die fysieke processen zijn op zichzelf vaak heel goed beveiligd. Kijk naar olieraffinaderijen,waterzuiveringsinstallaties en nucleaire fabrieken. De control systems zijn tegenwoordig geautomatiseerde systemen en deze computers hebben niet zelden externe verbindingen via het internet. Daar ligt een nieuw soort kwetsbaarheid en daar moet je alert op zijn. Cybercrime betekent in de industrie niet alleen verstoring van een productieproces, maar mogelijk ook grote maatschappelijke schade. Het gaat immers om vitale processen. Bedenk even wat er gebeurt als er geen schoon water meer uit de kraan komt of als het totale verkeer ontregeld wordt. Dat is desastreus. Deze training levert een bijdrage en is bovendien een beproefd concept. Vandaar dat we de mogelijkheid hebben geboden om daar mensen naar toe te laten gaan. Wat zijn de trends de komende jaren als je kijkt naar Cybercrime? Je kunt op verschillende manieren naar trends kijken. De tijd van de virussen die computers platlegden is wel achter ons. Daar kunnen criminelen gewoon geen geld mee verdienen. Het is veel interessanter om
HET INTERVIEW
DE AGE N DA Als u op de hoogte wilt blijven van de laatste ontwikkelingen in de ICT-beveiligingswereld dan zijn beurzen en conferenties de ideale gelegenheid om uw kennis te verrijken en om contacten op te doen. Iedere Madison Gurkha Update presenteren wij in de agenda een lijst met interessante bijeenkomsten die de komende tijd zullen plaatsvinden.
ongemerkt binnen te dringen in organisaties en geld te verdienen aan zaken zonder dat iemand het ooit merkt. Identiteitsfraude is daar een mooi voorbeeld van. Maar interessanter is dat cybercrime steeds internationaler wordt en dat de ontwikkelingen in een exponentieel tempo gaan. We moeten heel veel investeren in internationale samenwerking en zullen er steeds vaker achterkomen dat de techniek nooit voor een sluitende oplossing kan zorgen. Het gaat ook om de sociale infrastructuur. Het gaat er om dat je opereert in een netwerk waarin vertrouwen de centrale waarde is, je elkaar kent en weet te vinden. Welke vooruitgang heeft NICC er geboekt? Veel. We hebben samenwerking tot stand gebracht die vier jaar geleden nog voor onmogelijk werd gehouden. Het goede aan die samenwerking is dat die niet louter afhankelijk is gemaakt van het programma. Het programma is al die jaren klein gebleven. We hebben veel onderzocht en concreet ook een aantal zaken tot stand gebracht, maar de samenwerking zelf is het grootste succes. Het Informatieknooppunt Cybercrime is wat dat betreft het mooiste voorbeeld. Een tiental sectoren is inmiddels aangesloten en het Informatieknooppunt Cybercrime is niet alleen het kloppend hart van de Nationale Infrastructuur geworden, maar ook het makel- en schakelpunt en de netwerkorganisatie waar professionals op het terrein van cybersecurity samenkomen. Hoe zie je de toekomst voor het NICC? Hét NICC gaat verdwijnen. Dé NICC blijft. De noodzakelijke facilitering zal binnenkort worden verzorgd vanuit een permanent publiek privaat platform. Hét NICC draagt alle kennis aan dat platform over. Daarmee is de opdracht van het NICC voltooid. Er is toekomst voor de cybercrimebestrijding en daar ging het allemaal om. Heb je wel eens wakker gelegen van (bijna) IT-security incidenten die je hebt vernomen vanuit je functie binnen het NICC? Eigenlijk niet. Ik lig alleen maar wakker van stroef lopende samenwerking, van mensen die het probleem onderschatten. Een enkel incident is erg, maar een reeks incidenten omdat partijen de ernst niet onderkennen; dat is veel erger. Maar ook daar heb ik nooit erg veel nachtrust door hoeven missen. Gelukkig onderkennen de meeste mensen het probleem wel degelijk en doen steeds meer mensen mee in de Nationale Infrastructuur. Ik vind dat we daar met elkaar erg trots op mogen zijn!
Het programma NICC is een ICTU programma. De opdrachtgever is het Ministerie van Economische Zaken. Meedoen of meer info? Kijk op www.samentegencybercrime.nl of mail naar
[email protected]
27 t/m 30 december 2009
Chaos Communication Congress Berlijn, Duitsland http://events.ccc.de/congres/2009/ Traditioneel vindt tussen Kerst en Oudjaar het CCC-congres plaats in Berlijn, Duitsland. Dit jaar is het de 26e editie. Vier dagen lang (van 27 t/m 30 december 2009) komen allerlei technische onderwerpen aan bod. Het thema van dit jaar zal zijn “Here be Dragons”. Ook buiten de lezingen is er veel te beleven. Overal lopen mensen rond die met allerlei interessante projecten bezig zijn. In MG Update 3 (voorjaar 2009) is een verslag opgenomen van het CCC-congres van december 2008.
4 februari 2010
IT Security 2010 Hoevelaken, Nederland it-security.heliview.nl Op donderdag 4 februari 2010 vindt de zesde editie plaats van het congres IT Security; hét toonaangevende jaarcongres over IT-beveiliging met uitgebreide expositie. Madison Gurkha zal hieraan deelnemen.
27 april 2010
Black Hat Sessions VIII De Reehorst Ede, Nederland http://madison-gurkha.com Hacking the Cloud Deze achtste editie van de Black Hat Sessions wordt georganiseerd door Array Seminars en Madison Gurkha en staat in het teken van “Hacking the Cloud”. Kijk voor meer informatie op: http:// www.arrayseminars.nl/site/seminars/2010/voorjaar/Black_Hat_Sessions/index.html. Op deze website van Array Seminars kunt u zich ook inschrijven voor dit unieke evenement.
Kent u iemand die ook graag zijn of haar visie wil delen in een interview (u mag uzelf natuurlijk ook opgeven)? Neem dan contact op met de redactie door een mail te sturen naar:
[email protected].
Madison Gurkha winter 2009
9
In elke Madison Gurkha Update vragen wij een klant het spreekwoordelijke hemd van het lijf met betrekking tot zijn of haar relatie met ICT-beveiliging. Voor iedereen herkenbare verhalen uit de praktijk, uiteraard zo onherkenbaar mogelijk gebracht. Deze keer het woord aan de heer X van instelling Y.
DE KLANT
medewerker de verplichting om incidenten te melden. Doet u aan scholing op het gebied van informatiebeveiliging voor medewerkers? Nieuwe medewerkers krijgen een introductieprogramma van een dag, waarin 20 minuten aan informatiebeveiliging wordt besteed. Onderwerpen die dan aan de orde komen zijn o.a.: zorgvuldig omgaan met gegevens, incidenten die gemeld moeten worden, alertheid op vreemde dingen die in de organisatie wellicht zijn ingesleten zijn, maar in de ogen van nieuwe medewerkers beter kunnen (de frisse blik). Daarnaast heeft Informatiebeveiliging door audits en rapportages voldoende aanknopingspunten om bij het management op de juiste momenten de awareness weer aan te wakkeren.
In welke branche is uw organisatie actief? In de overheidssector. Wat is uw functie? Mijn functie is adviseur Informatiebeveiligingsmanagement. Vroeger waren we gewoon beveiligingsmanager, maar omdat we geen echte lijnfunctie bekleden, zijn we adviseur gaan heten. Concreet betekent dit dat onze taak niet is veranderd. Wij adviseren het management over beveiliging, maar rapporteren ook aan de directies en de Raad van Bestuur over de status van de beveiliging. Hoeveel mensen houden zich in uw organisatie bezig met informatiebeveiliging? Fulltime zijn er twee personen die zich met informatiebeveiliging bezig houden. Verder heeft iedere directeur een coördinator die voor hem de beveiliging binnen de directie coördineert en dat is ook ons directe aanspreekpunt voor rapportages, het maken van de verbeter- en beveiligingsplannen en de opvolging van verbeteracties. Daarnaast is er bijvoorbeeld bij het datacenter nog een teamleider die beveiliging in zijn portefeuille heeft. Dit is geen fulltime functie, maar het is een gedelegeerde taak van het hoofd Datacenter. Ook de lijnmanagers houden zich er op zijn tijd mee bezig en natuurlijk heeft iedere
10
Madison Gurkha winter 2009
Wat zijn de 3 belangrijkste kwaliteiten waarover men moet beschikken om deze functie met succes te kunnen uitoefenen? De volgende drie skills vind ik erg belangrijk: 1. Een goed risico-analytisch vermogen; 2. Communicatieve vaardigheden; Je praat immers met zowel directeuren en raad van bestuur, als met bijvoorbeeld een medewerker die acties aan het invoeren is. Als adviseur informatiebeveiligingsmanagement loop je door de hele organisatie heen en je moet met al die mensen kunnen communiceren om je taak goed te kunnen vervullen. Je hebt je vertrouwensband met de werkvloer nodig om risico’s te kunnen zien en je hebt directe toegang tot het hoger managementniveau nodig om, indien nodig, te kunnen escaleren; 3. Vakkennis. Wat vindt u de leuke en wat de minder leuke kanten van uw functie? De uitdaging om de informatiebeveiliging op orde te houden tegen de laagst mogelijke kosten zie ik als de leukste kant van mijn functie. Ik vraag me steeds af: ben ik effectief bezig, heb ik het risico met het hoogste profiel te pakken? Minder leuk aan mijn functie vind ik dat je continu bezig moet zijn om de awareness op het juiste niveau te handhaven. Wat zijn in uw organisatie op dit moment de belangrijkste uitdagingen op het gebied van informatie beveiliging?
Onlangs heeft een reorganisatie binnen ons bedrijf plaatsgevonden. Het is dan heel belangrijk om de organisatie opnieuw in te richten, je ziet dat de prioriteit van beveiliging wat inzakt. Dat komt nu weer terug en het is een uitdaging om die grotere betrokkenheid vanuit het management naar de toekomst toe vast te houden. Hoe pak je dat aan? Door te proberen de “plan-do-check-act-cyclus” rond te houden. En af en toe kan het zijn dat je een externe partij nodig hebt om aan te tonen dat er nog eventuele hiaten zitten en de organisatie overtuigd te laten raken van de noodzaak of het nut. Daarnaast heeft Madison Gurkha ons geholpen om de kwaliteit van de programmatuur op gebied van informatiebeveiliging te verbeteren. Madison Gurkha heeft in dit verband een code review uitgevoerd. De resultaten werden teruggekoppeld aan de makers van de code hetgeen tot een kwaliteitsverhoging heeft geleid en daarnaast tot een beter inzicht in de risico’s van een (web)applicatie. Volgen uw medewerkers Secure Programming trainingen? Secure Programming trainingen worden niet structureel toegepast. Dit is een keuze van het management. Voor ons is het ook hier de uitdaging om het management de juiste informatie te verstrekken zodat op grond daarvan een bewuste keuze gemaakt kan worden. Wat zijn uw ervaringen met Madison Gurkha? Onze ervaringen met Madison Gurkha zijn prima te noemen. Met name: de goede kwaliteit en de vakkennis van de medewerkers van Madison Gurkha, de to-the-point bevindingen, de heldere korte samenvatting van de managementrapportage en de bereidheid om de bevindingen mondeling te komen toelichten en zo nodig te motiveren. Ook het brainstormen met Madison Gurkha om tot een effectieve opdracht te komen vind ik erg prettig. De manier waarop dit gebeurt, leidt tot een efficiënt en effectief onderzoek. Als je kijkt naar de manier waarop Madison Gurkha binnen onze organisatie in vrij korte tijd de IT-infrastructuur heeft doorgelicht is dit een efficiënte manier van het besteden van geld omdat je daarna heel gefundeerd met de juiste prioriteitsstellingen een aantal dingen kunt oppakken en situaties kunt verbeteren.
Op 28 t/m 30 oktober 2009 kwam een groot aantal hackers naar Luxemburg voor het HACK.LU congres. Wij vonden dat we u een verslag, gedaan door Frans Kollée, niet mochten onthouden.
HET
EV E N T
Hack.lu 2009
Van woensdag 28 tot en met vrijdag 30 oktober 2009 is in Luxemburg de Hack.lu 2009 conferentie gehouden. Het was inmiddels de vijfde editie van dit driedaagse evenement. De conferentie bestaat uit workshops, die voornamelijk op de eerste dag zijn gehouden, en een aantal zeer interessante presentaties. Gedurende de hele conferentie was er voldoende gelegenheid om met elkaar van gedachten te wisselen over een heel scala van onderwerpen. De bezoekers van Hack.lu komen voornamelijk uit de omringende landen van het hertogdom Luxemburg. Je vindt hier niet alleen hackers wiens motivatie bestaat uit het zoeken naar (creatieve) oplossingen voor diverse problemen. Ook mensen die willen leren van de gevonden oplossingen en onvolkomenheden, zijn hier in grote getale aanwezig. Het deelnemersveld is weliswaar divers, maar voor iedereen geldt de “oneliner” waarmee de conferentie zich profileert: “A three days conference in the centre of Europe for bridging ethics and security in computer science.” De workshops De eerste dag van de conferentie stond
in het teken van de diverse (deels) parallelle workshops. Het idee achter dergelijke workshops is om zelf aan de slag te gaan. Zo was er een visualisatie workshop om enerzijds grote aantallen data te visualiseren en daardoor inzichtelijk te maken. Anderzijds kunnen deze visualisatietechnieken helpen bij het snel inzichtelijk maken van complexe relaties. Hierdoor vallen zaken op die normaal door de grote aantallen of door onoverzichtelijke datastructuren niet zouden zijn opgevallen. Voor alle deelnemers waren virtuele machines beschikbaar met daarop de tooling die gebruikt werd. Hetzelfde geldt voor de VoIP workshop waarin de zwakheden van VoIP-systemen werden gedemonstreerd. Hiervoor werd door de deelnemers ad-hoc een compleet netwerk inclusief verschillende VoIP-servers en IP-telefoons (hard- en software) ingericht. De verschillende scenario’s werden toegelicht en vervolgens uitvoerig getest. Nadat de verschillende onderdelen afzonderlijk waren behandeld werd alles tot een
geheel samengevoegd. Het resultaat was dat een willekeurige gebruiker met toegang tot een IP-telefoon in een alledaagse opstelling, ongemerkt de IP-telefoon van een willekeurige gebruiker (lees: directeur, manager e.d) kon gebruiken als afluisterapparaat, zonder dat dit werd opgemerkt. De standaard beveiliging werd hierbij volledig omzeild. Ook bij VoIP-systemen is additionele hardening van de gehele inrichting bittere noodzaak. Na de lunch waren er nog een aantal kortere workshops en een workshop die de rest van de dag duurde. In deze workshop was er aandacht voor de zwakheden aan de kant van de gebruikers van (inter)netwerken. Ook hier werden de virtuele machines onder de deelnemers verspreid en konden de verschillende scenario’s getest worden waarbij niet de beveiliging van de servers, maar die van de (nietsvermoedende) clients het doelwit was. De nadruk hierbij was het gebruik van malafide PDF-bestanden. Op de laatste dag van de conferentie werd er een workshop lockpicking gegeven door Walter Belgers, principal security consultant van Madison Gurkha en oprichter van Toool Eindhoven. Door de deelnemers aan de workshop werden diverse sloten met een scala aan lockpick gereedschap te lijf gegaan. Euforie bij iedere deelnemer die het >
Madison Gurkha winter 2009
11
H E T E V E NT
> presteerde om een slot te openen was het resultaat. De conferentie Op de tweede dag werd de conferentie officieel geopend door de minister van economische zaken en handel, Jeannot Krecké. Zijn departement ondersteunt de Hack.lu conferentie. Op het laatste moment werd een aantal wijzigingen in het programma doorgevoerd. Door de pragmatische aanpak ontstonden er echter geen hiaten. Het merendeel van de presentaties ging over de verschillende analyses van bestanden die gebruikers zonder meer downloaden. Denk hierbij aan PDF-bestanden, maar ook aan Office-bestanden. Zo was er een presentatie over de analyse van gecrypte Word- en Exceldocumenten, gevolgd door een presentatie over malafide code in (alweer) Office-documenten en PDF-documenten. Niet alleen
analyses, maar ook tooling om hiermee aan de slag te gaan kwamen aan bod. Met name het gevaar van malafide PDF-bestanden is vaak onderschat. Veel gebruikers hebben nog steeds een gevoel van veiligheid indien het om PDF-bestanden gaat. Iedere bezoeker van deze conferentie zal het tegendeel beweren. Niet alleen PDF-bestanden worden argeloos door gebruikers gedownload. Wat te denken van de Firefox plugins? Het aantal downloads hiervan is meer dan 17 miljoen per dag, inclusief de updates. Iedereen installeert/accepteert deze updates, zonder er bij na te denken. De presentatie hierover benadrukte de mogelijkheden die plug-ins hebben indien ze eenmaal binnen de context van de browser worden uitgevoerd. Andere opvallende onderwerpen waren fuzzing en WiFi-security. Voor het fuzzing onderwerp werd het
framework “Fuzzgrind” verder uitgediept. Fuzzgrind is een framework dat voornamelijk gebruik wordt voor het testen van software met behulp van fuzzing-technieken. Met betrekking tot WiFi-security was er de presentatie van “HostileWRT” die WiFi-security audits in een gecontroleerde omgeving mogelijk maakt. Het betreft hier de combinatie van een aantal scripts, beschikbare open source software en een op FON2 gebaseerd accesspoint. Al met al een geslaagde conferentie en voldoende stof tot nadenken. Op de website http://hack.lu/ tref je meer informative aan over de conferentie. Bezoek de URL http://2009.hack.lu/archive/2009/ voor een impressie en een aantal van de presentaties in, jawel, PDF-formaat....
HET COLO F O N Redactie Walter Belgers Tim Hemel Laurens Houben Remco Huisman Frans Kollée Cindy Mobron Ward Wouts
12
Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan
Madison Gurkha winter 2009
Contactgegevens Madison Gurkha B.V. Postbus 2216 5600 CE Eindhoven Nederland
T +31 40 2377990 F +31 40 2371699 E
[email protected]
Bezoekadres Vestdijk 9 5611 CA Eindhoven Nederland
Redactie
[email protected]
Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.