U P D A T E

2

Your Security is Our Business

WINTER 2008

U P D A T E WWW.MADISON-GURKHA.COM

DE COLUMN

2

Hans Van de Looy

HET NIEUWS E-mail inbraak onopgemerkt

3

Simon Kort Einde aan anonimiteit

5

Gezocht: account manager

DE KLANT

4-5

Uit het onderwijs

HET INTERVIEW

6

Bart Jacobs

HET INZICHT

7

Clickjacking

DE HACK

8-9

De menselijke factor in informatiebeveiliging

HET VERSLAG

10-11

Hack.lu

DE AGENDA

11

HET COLOFON

11

In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom ICT-beveiliging. Deze keer vertelt Hans Van de Looy over het ontstaan van onze huidige bedrijfsnaam.

D E C O L U MN

What’s in a name? Vooral als ik bij klanten kom, of een lezing heb gegeven, wordt me regelmatig de vraag gesteld waar de naam “Madison Gurkha” eigenlijk vandaan komt en wat de betekenis erachter is. Het standaard antwoord dat ik al sinds die brainwave eind 2000 gebruik is: “Wil je het marketingverhaal of de volledige waarheid?”. Waaraan ik bijna altijd direct toevoeg: “Vooruit ik zal ze beiden vertellen”. En nu me gevraagd is om de openingscolumn van deze tweede uitgave van onze Update te vullen, denk ik dat het geen kwaad kan om die informatie hier aan het papier toe te vertrouwen. Laat ik beginnen met de achterliggende marketinggedachte. In alle eerlijkheid, deze is pas na de keuze van onze naam toegevoegd. Maar de ideeën blijven zorgen voor een duidelijke focus en beeldvorming naar de markt toe. Wellicht dat sommigen van u weten dat Madison de achternaam was van de vierde president van de Verenigde Staten van Amerika. Wat over het algemeen veel bekender is, zijn de plaatsen die zijn naam dragen. Te denken valt aan “Madison Square Garden” en “Madison Avenue”. Het beeld daarbij is vaak een grootstedelijke omgeving waar de top-500 van bedrijven gevestigd is. Tegenwoordig communiceren deze bedrijven, zowel onderling als met hun klanten en prospects, vooral door gebruik te maken van netwerken. Een duidelijker beeld van onze klanten kunnen we niet eenvoudiger overbrengen. Gurkha verwijst niet naar “Kama Gurkha” (hoewel we de humor zeker wel kunnen waarderen), maar is een verwijzing naar de befaamde Gurkha’s. Vooral bekend als moedige strijders die ondermeer enkele regimenten hebben in het Britse leger. Het feit, dat als de Gurkha’s ingezet worden de bevelhebbers niet meer hoeven te twijfelen aan het succesvol afronden van het gestelde doel, is legendarisch. Daarnaast keren deze militairen vaak terug in de maatschappij in functies waarin ze hun kennis delen met anderen. De combinatie mag nu duidelijk zijn. Door middel van de naam Madison Gurkha willen we duidelijk maken dat onze medewerkers en wij ervoor staan om de ICT-omgeving (in de meest brede zin van het woord) zo veilig mogelijk te maken door middel van het testen van deze omgeving. Hierbij speelt het actief bijhouden van de bijbehorende technische kennis natuurlijk een grote rol. Tot zover de marketing. De waarheid is natuurlijk veel eenvoudiger. Toen we, Mark Huizer, Guido van Rooij en ondergetekende, eind 2000

2

Madison Gurkha winter 2008

een bedrijf begonnen dat zich moest gaan richten op het testen van de technische ICT-beveiliging werden we natuurlijk geconfronteerd met het verzinnen van een naam voor dit bedrijf. Zoals uit het bovenstaande ook mag blijken is tegenwoordig alleen een naam niet meer voldoende. Er moet tevens aandacht worden gegeven aan domeinnamen, zodat ook via het internet informatie kan worden gedeeld en contact kan worden opgenomen. Helaas bleken de namen die we konden verzinnen al bezet te zijn of te veel te lijken op bestaande namen. Uiteindelijk heb ik toen op een avond de voornamen van de oprichters genomen en door een anagramgenerator gehaald, waarbij het voornaamste resultaat de nu welbekende naam was. De kwaliteit achter de naam die we nu al ruim acht jaar keer op keer waar maken blijkt ook een beetje in de naam zelf te zitten. Hoewel we de naam regelmatig moeten herhalen (en ik zal hier niet ingaan op hoeveel verschillende foute manieren men de naam uiteindelijk weten te spellen), blijft de naam daarna wel hangen. Een bijkomend voordeel is dat mij regelmatig gevraagd wordt waar ons hoofdkwartier eigenlijk gevestigd is en hoeveel mensen er wereldwijd voor Madison Gurkha werken. Ook daarop antwoord ik altijd heel eerlijk dat we op dit moment slechts een officieel kantoor hebben in Eindhoven en dat we wereldwijd met 16 (binnenkort 18) personen onze service in de markt zetten. Hoe we dit doen kunt u lezen in de Madison Gurkha Update, waarin we iedere editie onze ervaringen en die van onze klanten met u delen. Ook ditmaal zit de Madison Gurkha Update weer boordevol leuke artikelen. In deze editie leest u wederom een interview met één van onze klanten. Hoe onze consultants een geslaagde social engineering aanval hebben uitgevoerd vindt u terug in “De Hack”. Verder wordt in “Het Inzicht” meer informatie over het opkomende fenomeen clickjacking gegeven en praten we in “Het Interview” met hoogleraar Bart Jacobs, over het misbruik van creditcard gegevens. Tenslotte kunt u een uitgebreid artikel lezen over de Hack.lu in “Het Verslag”. Het einde van het jaar is alweer in zicht en hopelijk kunt u allemaal binnenkort weer gezellig de feestdagen gaan vieren met vrienden en familie. Samen met de rest van het Madison Gurkha team wil ik graag van deze gelegenheid gebruik maken om al onze lezers prettige feestdagen en een voorspoedig 2009 te wensen. Wij hopen u allen weer te ontmoeten volgend jaar! Hans Van de Looy Partner, Principal Security Consultant

In “Het Nieuws” belichten we iedere Madison Gurkha Update belangrijke recente ontwikkelingen die in het beveiligingsnieuws zijn verschenen. Ook alle nieuwe ontwikkelingen rondom Madison Gurkha komen in deze rubriek uitgebreid aan bod.

HET NIE U W S

E-mail inbraak onopgemerkt

Simon Kort

- SAMENVATTING -

De diefstal van gegevens uit de mailbox van oud Ajax-preses Jaakke, staat niet op zich. Ook Sarah Palin overkwam het bijvoorbeeld. [...] Loopt daarmee iedereen die gebruikt maakt van e-mail het gevaar digitaal te worden bestolen? En, wat is er tegen te doen? Gratis providers [...] “In de regel zijn grote bedrijfscomputersystemen inderdaad beter beveiligd dan die van een individuele gebruiker”, zegt Walter Belgers van internetbeveiligingsbedrijf Madison Gurkha. Hoe vaak er onrechtmatig toegang wordt verkregen tot andermans e-mail en bij welke providers, is niet bekend. Betrouwbare cijfers ontbreken en schattingen van experts lopen ver uiteen. “Maar onze ervaring is dat het voornamelijk de gratis mailaccounts als Hotmail zijn, waar het misgaat”, zegt Belgers.[...] Ten onrechte bestaat het idee dat ‘gratis’ onveilig betekent, bevestigt ook Belgers. “Bij alle grote e-mailproviders is de veiligheid van het systeem in orde. Het probleem zit bij allemaal in de zwakste plek: het wachtwoord.” En als je dan zoals Hotmail wereldwijd bijna vierhonderd miljoen gebruikers hebt, is de kans dat er dan een keer een wachtwoord wordt geraden natuurlijk groter dan bij een kleine provider als XS4all met driehonderdduizend abonnees. [...] Bruut geweld “Menselijke zwakte is het grootste probleem bij de beveiliging van e-mail”, zegt Belgers. “Mensen vergeten uit te loggen of nemen een kinderlijk eenvoudig te raden wachtwoord.” Preventie begint dan ook met bewustwording, zeggen experts. Belgers: “Kijk met de ogen van een inbreker naar je eigen handelen. Dan ontdek je de zwakke plekken.” Maar hoe alert, achterdochtig en technisch vaardig je ook bent, uiteindelijk is iedere mailbox te openen voor buitenstaanders. Zelfs als je beschikt over de meest recente versies van antivirussoftware en besturingssystemen. Zogenoemde brute force-programs (programma’s waarbij ‘bruut’ digitaal ‘geweld’ wordt gebruikt) kunnen het juiste wachtwoord achterhalen. Belgers: “Waren die middelen vroeger in handen van opsporingsdiensten, tegenwoordig haalt een beetje wizzkid een dergelijk programma binnen vijf minuten van internet.” U bent gewaarschuwd. Hoe minimaliseer je de kans op digitale inbraak? Kijk met de ogen van een inbreker naar uw eigen handelen 1. Reageer niet op wervende mails waarin u wordt gevraagd informatie of zelfs geld te retourneren in ruil voor ‘een unieke aanbieding’. 2. Verzeker u ervan dat u bent uitgelogd na beëindiging van uw werkzaamheden. Kies een voor anderen onmogelijk te raden wachtwoord Het beste is een combinatie van cijfers en letters waarbij ieder bestaand woord (ongeacht de taal!) moet worden voorkomen. Brute force-programma’s zoals ‘Brutus’ maken op basis van ingevoerde trefwoorden (de namen van u en uw partner/ gezinsleden, woonplaats, geboorte- en trouwdatum, etc.) miljoenen combinaties om zo uw wachtwoord te achterhalen. Maak bij vertrouwelijke mails gebruik van encryptie Dit is jargon voor geheimtaal. Je (vertrouwelijke) tekst is door middel van versleuteling onleesbaar te maken voor onbevoegden. De ontvanger kan met een decoder de oorspronkelijke tekst weer reproduceren. Let wel: het is lastiger in gebruik dan een onversleutelde tekst, het werkt alleen met mensen met wie je al contact hebt en een (veilige) sleutel hebt uitgewisseld en het helpt niet tegen mensen die op uw thuis-pc inbreken en zo zien wat u intikt voor u uw tekst versleutelt.

Sinds het begin van deze maand is er een nieuwe consultant aan het team van Madison Gurkha toegevoegd. Zijn naam kort maar krachtig: Simon Kort. De basis van zijn technische kennis is gelegd tijdens zijn studie Hogere Informatica aan de Hogeschool te Enschede. Hoewel hij daar als specialisatie Beveiliging heeft gekozen, is hij niet meteen in die richting verder gegaan maar als software tester gaan werken. Die combinatie van studie en werkervaring levert nu de perfecte combinatie voor een carrière als Security Consultant bij Madison Gurkha. Zoals in de IT-wereld wel vaker het geval is, is ook Simon in zijn vrije tijd vaak achter de computer te vinden. Natuurlijk houdt hij zo zijn kennis en kunde op peil, maar ook een spel spelen ter ontspanning of het wereldnieuws bijhouden via internet wordt vanaf de PC gedaan. Vanzelfsprekend brengt hij zijn tijd niet alleen in de digitale wereld door, maar zorgt zijn passie voor films en de ondertussen uitgebreide collectie films die in zijn kast staat, dat hij nu en dan ook terugkeert in de “echte” wereld. Daarnaast doet hij aan theater en is hij voorzitter van de groep mensen waarmee hij speelt. Kortom een veelzijdig persoon met de technische bagage om een goede aanvulling te zijn op ons team om u, als klant, nog beter te ondersteunen.

Mist u een nieuwsitem, of heeft u nog ander opvallend of aan-

Update uw virusscanners en besturingssystemen regelmatig

vullend security nieuws? Meld het aan ons door een mail te sturen naar: [email protected]. Wie weet staat

Bron: Intermediair nummer 39, jaargang 2008

uw nieuwtje in de volgende Madison Gurkha Update!

Madison Gurkha winter 2008

3

In elke Madison Gurkha Update vragen wij een klant het spreekwoordelijke hemd van het lijf met betrekking tot zijn of haar relatie met ICT-beveiliging. Voor eenieder herkenbare verhalen uit de praktijk, uiteraard zo onherkenbaar mogelijk gebracht. Deze keer het woord aan meneer X van instelling Y.

DE KLANT

stelling te maken met veel verschillende groepen mensen en bedrijfsculturen. Ze hebben allemaal een andere kijk op de zaken en dan heb je wel eens geduld nodig. Omdat je helaas niet alles kunt realiseren, moet je vol voor de dingen gaan die echt van belang zijn. Hierbij zijn doorzettingsvermogen en creativiteit erg belangrijk. Heeft u hiervoor een specifieke opleiding genoten? Via jarenlange ervaring in de ICT-dienstverlening heb ik gaandeweg een interesse ontwikkeld voor ICT-beveiliging. De koppeling tussen gebruiker en ICT vond ik altijd al erg interessant. Vanuit deze interesse heb ik op een gegeven moment de master opleiding informatiebeveiliging gevolgd en mijn carrière in de informatiebeveiliging voortgezet. Een belangrijk punt om te melden is dat ervaring in de ICT-dienstverlening een goede basis blijft voor werken in de ICT-beveiliging. Wat is volgens u het belangrijkste aspect van ICTbeveiliging? De menselijke factor is toch wel het belangrijkste aspect van ICT-beveiliging. De mens moet het doen. Als de gebruiker, beheerder of leidinggevende nergens aandacht voor heeft, schiet het niet op. De mens is dus de kritieke factor en doorslaggevend voor het slagen van een oplossing. Hij/zij moet deze willen gebruiken, want niet alles is technisch af te dwingen.

In welke branche is uw organisatie actief? In het onderwijs Hoeveel mensen houden zich in uw instelling bezig met ICT-beveiliging? Het liefst heb ik dat er 5.000 mensen bezig zijn met ICT-beveiliging, dat zou natuurlijk ideaal zijn. Maar puur beroepsmatig zijn er 10 personen binnen de instelling hiermee bezig. Wat is uw functie? Mijn functie is Information Security Manager. Ik ben verantwoordelijk voor de informatiebeveiliging van de gehele instelling. Wat zijn de drie belangrijkste kwaliteiten waarover men moet beschikken om deze functie met succes te kunnen uitoefenen? Voor mijn functie binnen deze instelling zijn er eigenlijk vier eigenschappen belangrijk. Je moet mijns inziens namelijk beschikken over: een olifantenhuid, een eindeloos geduld, doorzettingsvermogen en creativiteit. De olifantenhuid heb je nodig omdat veel mensen binnen de instelling het beter denken te weten en soms ook niet voor een gemeenschappelijk oplossing willen gaan. Je moet dus tegen kritiek kunnen en je niet van de wijs laten brengen door anderen. Met mijn dagelijkse werkzaamheden heb ik binnen de in-

4

Madison Gurkha winter 2008

Hoe is uw belangstelling voor ICT-beveiliging ontstaan? In de ICT-dienstverlening heb ik veel gewerkt met infrastructuren en van daaruit ook met lijnmanagement, zo is deze interesse ontstaan. Ik zie het nog steeds als een gebied met veel potentie. Wat vindt u het leukste aan uw functie? Het leuke aan mijn functie is dat geen dag hetzelfde is. Dat maakt plannen vrij lastig, er is namelijk altijd wel iets. Ook ontmoet je veel verschillende mensen, zowel van binnen als buiten de instelling. Daarnaast ben ik ook buiten het werk veel met ICT-beveiliging bezig. Ik ben betrokken bij een samenwerkingsproject met onze brancheorganisatie en lid van de bestuursgroep voor de branchevereniging voor informatiebeveiliging. Wat is het meest uitdagende probleem geweest waar u mee te maken heeft gehad tijdens de uitvoer van uw functie? Het is niet een specifiek probleem maar eigenlijk een probleem dat zich meerdere malen voordoet. Namelijk voor iets wat niet direct operationeel nodig is, maar in de toekomst wel van groot nut kan zijn, dingen voor elkaar te krijgen. Dus anderen overtuigen van het nut om zo de besluitvorming te beïnvloeden. Op welke manier heeft de opgedane kennis van uw vakgebied invloed op uw dagelijkse leven? Ik ben heel voorzichtig op internet. Dit betekent niet dat ik

DE KL A N T Madison Gurkha voert per jaar tientallen ICTniets doe, ik internetbankier en koop geregeld iets online, maar ik let wel goed op wat ik doe. Ik houd ook in de gaten wat mijn gezin doet op het internet. Dit omdat je zelf weet hoe makkelijk het fout kan gaan. Omdat je vanuit je vakgebied zo goed op de hoogte bent van de risico’s word je nu eenmaal achterdochtig en zoek je snel overal dingen achter. Eigenlijk is dit niet goed, want je moet vertrouwen blijven houden in de maatschappij. Dat is iets wat heel belangrijk is, zeker in deze tijden.

beveiligingsaudits uit voor uiteenlopende

Hoe helpt Madison Gurkha daarbij? Madison Gurkha heeft hele specifieke expertise die inzetbaar is bij kennisoverdracht en specifieke audits. Ze hebben voor ons trainingen georganiseerd en audits uitgevoerd. Deze vorm van toegespitste kennis kom ik weinig tegen.

ICT-beveiliging uitermate serieus. Zij weten als

organisaties: van verzekeraars tot banken, van pensioenfondsen tot de overheid en van technologiebedrijven tot internetwinkels. Al onze klanten hebben één ding gemeen: ze nemen

geen ander hoe belangrijk het is om zorgvuldig met kostbare en vertrouwelijke gegevens om te gaan. Zij laten hun technische ICT-beveili-

Wat zijn uw ervaringen met Madison Gurkha? Madison Gurkha reageert snel als er iets is. Ze zijn eerlijk en zeggen het dus als ze iets niet kunnen. Tegelijkertijd geven ze wel de richting aan waarin de oplossing gezocht moet worden. Madison Gurkha is voor ons de expert en een leuke open organisatie om mee te werken.

gingsrisico’s daarom dus ook structureel onderzoeken door Madison Gurkha.

HET NIE U W S

Einde aan anonimiteit - SAMENVATTING -

De International Telecommunication Union (ITU) stelt in een ontwerpresolutie voor het traceren van datapakketten te vereenvoudigen. Doel van de maatregel is de veiligheid op internet te verbeteren doordat kwaadwillenden zich niet kunnen verschuilen achter valse adresinformatie. Elk datapakket op internet heeft in zijn adreslabel informatie over de afzender en de geadresseerde. De afzenderinformatie kan echter gemanipuleerd worden, waardoor de afzender bijvoorbeeld bij Denial of serviceaanvallen of cyber-stalking, niet meer te achterhalen is. Internetaanbieders krijgen een nieuwe rol in de conceptaanbeveling X.tb-ucr (Trace back use case and requirements ). Zij worden verantwoordelijk voor het controleren van het afzenderadres bij elk pakket dat door klanten via zijn netwerk wordt verstuurd. Voorstanders menen dat de maatregel de aanvallers ontmoedigd. Privacydeskundigen vrezen echter dat de mogelijkheid anoniem op internet te bewegen, dat als een

van de verworvenheden van internet geldt, in het gedrang komt door de maatregel. Walter Belgers, ethisch hacker bij IT-beveiligingsbedrijf Madison Gurkha, denkt dat het voorstel niet veel effect heeft. Voor Denial of service-aanvallen worden namelijk in de regel een groot aantal gekaapte computers (botnets) ingezet. “Wanneer het IP-adres adres daarvan niet meer vervalst kan worden, zullen de aanvallers er geen moeite mee hebben gewoon de originele adressen van de computers te laten staan. Bij je onderzoek weet je dan bijvoorbeeld dat er een reeks gekaapte computers in Kazachstan bij betrokken zijn. Maar wat doe je met die informatie?” Hij vraagt zich bovendien af of het effect op de anonimiteit groot is. In de regel creëer je nu anonimiteit door via verschillende stappen een computer of server te benaderen waardoor het lastig is de afzender te traceren. “Die mogelijkheid blijft gewoon bestaan”. Bron: Automatiseringsgids nummer 38,

Gezocht: Account Manager Madison Gurkha is dringend op zoek naar een (senior) Account Manager die enthousiast de schouders eronder wil zetten en die mee wil groeien in onze organisatie. In een klein team is de account manager mede verantwoordelijk voor het binnenhalen van nieuwe klanten en het verder ontwikkelen van de relatie met bestaande (zeer) grote klanten. De (senior) accountmanager waarnaar wij op zoek zijn heeft een HBO/WO werk- en denkniveau en minimaal enkele jaren werkervaring in een commerciele functie binnen de IT en het liefst binnen de IT security. Wij bieden een leuke afwisselende en uitdagende baan in een kleine maar snel groeiende en succesvolle onderneming. Geïnteresseerd? Stuur dan een sollicitatiebrief met CV per email naar Remco Huisman ([email protected]), of bel voor meer informatie 040-2377990.

19 september 2008

Madison Gurkha winter 2008

5

Madison Gurkha Update interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld om zijn of haar visie te delen over dit steeds belangrijker wordende onderwerp. Deze editie een interview met Bart Jacobs.

H E T I N T E RVIEW

Bart Jacobs

Kun je in het kort vertellen wie je bent? Ik heb wiskunde en filosofie gestudeerd in Nijmegen en ben daar in 1991 gepromoveerd op het gebied van de theoretische informatica. Daarna heb ik een typisch academische carrière doorlopen, met tijdelijke aanstellingen aan de universiteiten van Cambridge (Engeland) en Utrecht, en aan het Centrum voor Wiskunde en Informatica in Amsterdam. In 1996 kwam ik terug in Nijmegen waar ik sinds 2002 hoogleraar ben op het gebied van security en correctheid van software. Sinds 2005 ben ik tijdelijk ook voor een dag in de week hoogleraar aan de Technische Universiteit Eindhoven. Ik doe enerzijds abstract wetenschappelijk onderzoek, en ben anderzijds betrokken bij verschillende maatschappelijk relevante security onderwerpen, zoals paspoorten, stemmen, OV-chipkaarten, rekeningrijden en privacy. Over dat soort kwesties heb ik een algemeen toegankelijk (gratis online) boekje geschreven, “De Menselijke Maat in ICT” zie: www.cs.ru.nl/B.Jacobs/MM/ Kun je vertellen met welke onderzoeken je momenteel bezig bent? Ik werk op dit moment enerzijds aan abstracte modellen en logica’s voor berekeningen, en anderzijds aan een innovatieve architectuur voor rekeningrijden* en ook aan een privacyvriendelijke chipkaart op basis van zero-knowledge proofs. Onlangs was er een aflevering van Zembla waarin je te zien was. Deze aflevering ging over misbruik van creditcardgegevens en de eenvoudige manier om aan geldige gegevens te komen op het internet. Kun je aangeven wat jullie in deze uitzending deden? Zembla is een van de weinige tv-program-

6

Madison Gurkha winter 2008

ma’s waarbij nog enige vorm van onderzoeksjournalistiek voorkomt. De maker van dit item is er een paar maanden mee bezig geweest. Hij heeft in een vroeg stadium contact opgenomen voor een aantal oriënterende achtergrondgesprekken. Later is hij een uur op bezoek geweest om opnames te maken en een interview af te nemen (van ongeveer 20 min). Uiteindelijk zijn daar maar een paar stukjes uit gebruikt. De beelden in het programma van mijn collega Peter van Rossum en mij waren geconstrueerd. We deden niet echt zoveel. We hadden wel wat gezocht naar de hoofdpersoon in het programma (de schrijver Charles den Tex), maar er stond weinig openlijk op het internet. We hadden toen wel zijn tweede huis in Frankrijk gevonden. Hoe kijk jij aan tegen de huidige manier van creditcardbetalingen op het internet? Als klant loop je niet zo een groot financieel risico omdat, als je op tijd klaagt, creditcardbetalingen gewoon teruggedraaid worden. Het lijkt erop dat vooral de (online) winkeliers nog wel eens slordig zijn met creditcardgegevens, waardoor ze door hackers gestolen kunnen worden. Zoals bleek uit de uitzending, zijn de gegevens dan gewoon op internet te koop voor weinig geld. Wat ik wel zorgelijk vind, en dat noem ik ook in de uitzending, is de mogelijk ernstige identiteitsfraude die er mee gepleegd kan worden. Als jouw gestolen creditcardgegevens gebruikt worden in de context van terrorisme of kinderporno, kan de politie bij jou met veel geweld de trap op komen rennen. De zaak zal dan uiteindelijk wel rechtgezet kunnen worden, maar dat kan gepaard gaan met veel moeite, reputatieschade en stress. Denk je dat de nieuwe generatie creditcards met een ingebouwde chip kan bijdragen aan een veiliger vorm van internetbetalingen? Ik verwacht niet dat die chip op korte termijn ook gebruikt zal gaan worden voor online betalingen, want daarvoor hebben mensen thuis kaartlezers nodig. Tot die tijd verandert er dus niets bij het webwinkelen en blijven risico’s onveranderd.

(EPD). Wat is jouw (security)visie op het concept EPD? Bij de voordelen van het EPD wordt steeds gewezen op het aantal mensen dat jaarlijks sterft door medische fouten. Maar het is helemaal niet gezegd dat het EPD bijdraagt aan de reductie van dat aantal. Als verplegers bijvoorbeeld beter kunnen rekenen en dus minder vaak een foutieve dosis toedienen scheelt dat ook al heel wat. Daarnaast introduceert zo een EPD natuurlijk nieuwe risico’s, niet alleen m.b.t. de vertrouwelijkheid (privacy) maar ook integriteit van die gegevens. Als er geen goede authenticatie plaatsvindt, komen gegevens van anderen misschien in mijn dossier. Via koppelingen propageren fouten veel sneller. Het is natuurlijk moeilijk om een goede afweging te maken tussen de voor en nadelen zolang het over een hypothetisch systeem gaat. Pas in de praktijk zal duidelijk worden hoe die balans uitvalt. Wat vind je van de manier waarop dit in Nederland wordt geïmplementeerd? Ik heb daar geen kijk op; ik ben daar ook niet bij betrokken geweest. Ga je jezelf afmelden voor het EPD? Ik meld me nu niet af omdat de procedure op dit moment belachelijk lastig en kostbaar is, zeker als je kinderen hebt. Maar er komen nog een aantal momenten waarop om toestemming gevraagd moet worden. Die ga ik voorlopig niet geven. Hoe zie jij de toekomst op securityen privacygebied? Somber. Architecture is politics en informatie is macht. Degenen die daar beslissingen over nemen, doen dat op zodanige wijze dat het ze zelf het meeste oplevert. Dat proces verloopt niet transparant. Het individu is daar het slachtoffer van. Individuele autonomie wordt in de toekomst alleen maar minder, via continue monitoring, datamining en behavioural targeting. * Zie het artikel: http://www.cs.ru.nl/~bart/PAPERS/ETPprivacy.pdf

Kent u iemand die ook graag zijn of haar visie wil delen in een interview (u mag uzelf natuurlijk ook opgeven)?

Een ander hot item op dit moment is het Elektronisch Patiënten Dossier

Neem dan contact op met de redactie door een mail te sturen naar: [email protected].

In de rubriek “Het Inzicht” stellen wij bepaalde technische beveiligingsproblemen aan de orde. Wat is nu eigenlijk het probleem en welke risico’s brengt dat met zich mee? Dit maal het woord aan Ward Wouts, consultant bij Madison Gurkha.

HET INZ I C H T

Clickjacking Sinds het verschijnen van onze vorige nieuwsbrief zijn er weer allerlei nieuwe aanvalstechnieken bekend geworden. Één van de nieuwe sterren aan het firmament draagt de naam clickjacking. Hierover ontstond aanvankelijk nogal wat commotie, vooral omdat de details van de aanval stil gehouden werden. In dit artikel wil ik ingaan op wat clickjacking nu eigenlijk is, hoe het werkt en wat er tegen gedaan kan worden.

Wat is clickjacking nu eigenlijk? Clickjacking is een techniek waarbij een aanvaller een pagina maakt die een gebruiker verleidt ergens op te klikken. De pagina die de gebruiker te zien krijgt, bestaat echter uit twee pagina’s die door de browser over elkaar heen worden geprojecteerd. De bovenste pagina is echter onzichtbaar en daardoor ziet de gebruiker enkel de onderste pagina. De aanvaller kan in de onzichtbare pagina links plaatsen precies boven de voor de gebruiker zichtbare links. Wanneer de gebruiker denkt op een link te klikken in de onderste, zichtbare pagina, wordt de link in de bovenste pagina aangeroepen. En dat is dan de link die door de aanvaller is aangebracht. Een aanvaller laat bijvoorbeeld een link zien om een leuke desktopachtergrond te downloaden, maar wanneer de gebruiker er op klikt, blijkt dit te resulteren in een one-click aankoop van een set van 1000 doorzichtige groene dobbelstenen bij Amazon. Een dergelijke aanval kan ook via flash plaatsvinden: bijvoorbeeld via een spelletje waarbij de gebruiker zo snel mogelijk met een vliegenmepper rondvliegende bureaustoelen uit de lucht moet zien te slaan. In werkelijkheid stuurt de aanvaller meerdere opeenvolgende clicks naar een target site. Waarin verschilt het van bestaande technieken als Cross Site Request Forgery? Bij Cross Site Request Forgery (CSRF) is het nodig dat de aanvaller de exacte doel-URL kan voorspellen. Een goed verdedigingsmechanisme hiertegen is dan ook er voor te zorgen dat de exacte doel-URL onvoorspelbaar wordt gemaakt. Dit kan door er een willekeurig gegenereerd component aan toe te voegen, waarvan de server de aanwezigheid en correctheid controleert bij aanroep. Clickjacking stapt om deze verdediging heen door de target site direct te laden in de browser van de gebruiker. Daardoor wordt per definitie de juiste URL door de gebruiker aangeklikt.

In plaats van naar Google te gaan wordt de vorige Madison Gurkha Update gedownload. Het iframe is in bovenstaande afbeelding bewust niet volledig doorzichtig gemaakt. En, toegegeven, er zijn eenvoudigere manieren om iemand de MG Update te laten downloaden, het gaat hier om het concept. Bij een wat meer uitgewerkte aanval zal de aanvaller rekening moeten houden met de grootte van het browservenster om de plaatsing kloppend te krijgen. De aanvaller kan JavaScript gebruiken om de plaatsing voor iedere browsergrootte in orde te maken. Ook kan een aanvaller JavaScript gebruiken om in de gaten te houden waar de muiscursor zich exact bevindt en direct de plaatsing van de aan te vallen site daarop aanpassen. Wat kan ik er tegen doen? Zorg dat je flash player up to date is. Tijdens het schrijven van dit artikel heeft Adobe een nieuwe versie uitgebracht die onder andere clickjackingproblemen aanpakt. Wanneer je Firefox als browser gebruikt kun je de NoScript plug-in installeren. Deze plug-in bevat clickjackingbeveiligingen, maar kan wel het normale webgebruik behoorlijk in de weg zitten. Wanneer NoScript geïnstalleerd is, wordt een clickjackingpoging als volgt herkend:

Hoe werkt het? Om een clickjackingaanval succesvol op te zetten is het nodig om de doellink onzichtbaar boven een aantrekkelijk klikdoel te plaatsen. Een manier om dit uit te voeren is het gebruik van een transparant iframe in een webpagina. In dit iframe kan dan de targetpagina zo geplaatst worden dat de plaatsing overeenkomt met een kliklokker. Een minimale implementatie hiervan is de volgende: <iframe src=”http://www.madison-gurkha.com/nl/nieuws_detail.php?nieuws=17” style=”width:1000px;height:400px;position:absolute;top:-200px;left:-450px;filter: alpha(opacity=0.5);z-index:-1;opacity:0.3;”>

Verder kun je nog een aparte browser gebruiken voor (bijvoorbeeld) je bankzaken. Dit is in alle gevallen verstandig aangezien het ook helpt tegen andere mogelijke webaanvallen.

GOOGLE

Heeft u onderwerpen die u graag een keer terug zou willen zien in deze rubriek? Laat het dan weten aan onze redactie via: [email protected].

Madison Gurkha winter 2008

7

In de rubriek “De Hack” belichten we iedere Madison Gurkha Update een opmerkelijke situatie die tijdens een beveiligingsaudit werd aangetroffen. Deze keer het woord aan Frans Kollée die een recent uitgevoerde social engineering aanval beschrijft.

D E H AC K

De menselijke factor in informatiebeveiliging Informatiebeveiliging kent vele aspecten waarbij in veel gevallen de focus wordt gelegd op technische hulpmiddelen en maatregelen. Er is echter ook een aandachtsgebied dat niet technisch van aard is en een grote invloed heeft op het algehele beveiligingsniveau van een organisatie, namelijk de van nature behulpzame mens. Het begrip “Social engineering” is inmiddels gemeengoed geworden. Er zijn vele verschillende definities in omloop die uiteindelijk op hetzelfde neerkomen, namelijk het verkrijgen van toegang en/of informatie waarbij technieken worden gebruikt die inspelen op menselijke zwakheden. De toegang en/of informatie die een aanvaller hierbij krijgt, wordt vervolgens gebruikt voor het uitvoeren van de volgende aanvalsfase zodat het uiteindelijke doel wordt bereikt. Inmiddels wordt er door organisaties veel gedaan om ook dit aspect van informatiebeveiliging op een hoger peil te brengen. Enerzijds gebeurt dit door zogenaamde “Security Awareness” trainingen te geven, met als doel het verhogen van het beveiligingsbewustzijn bij de medewerkers. En anderzijds door het onderzoeken van de bestaande omgeving middels het (laten) uitvoeren van een aanval gebaseerd op social engineering. De uitkomsten van deze aanval zijn overigens uitermate geschikt als lesstof tijdens de “Security Awareness” trainingen. Madison Gurkha wordt regelmatig gevraagd om dit soort opdrachten uit te voeren. Dit artikel beschrijft de uitvoering van een dergelijk onderzoek waarbij het doel was ongeautoriseerde toegang te verkrijgen tot de bedrijfsgebouwen. Vervolgens was het van belang om een indruk te krijgen van de impact indien een dergelijke aanval zou slagen. Er zijn altijd meerdere scenario’s mogelijk voor een social engineering aanval. Afhankelijk van het aanvalsdoel (persoon en/of organisatie) en de beschikbare middelen wordt invulling gegeven aan één of meerdere scenario’s. De fase van informatie verzamelen is dan al geweest en medebepalend voor de strategie. Voor de rest geldt dat de menselijke fantasie de enige beperking vormt. Voor het verzamelen van informatie is gebruik gemaakt van verschillende publiekelijk beschikbare bronnen zoals de bedrijfswebsite, verschillende zoekmachines, sociale netwerken en foldermateriaal. De organisatie in kwestie bleek het een en ander geregeld te hebben

8

Madison Gurkha winter 2008

ten aanzien van de toegang tot de gebouwen. Alle medewerkers zijn voorzien van passen die nodig zijn om de verschillende toegangsdeuren te openen. Bezoekers moeten zich melden bij de receptie waar een bezoekerspas wordt overhandigd die vervolgens zichtbaar moet worden gedragen. De bezoekerspas is niet geschikt voor het openen van de deuren. Een interne medewerker moet de bezoeker op komen halen en deze mag nooit zonder begeleiding door de gebouwen lopen. De volgende scenario’s werden uiteindelijk ingezet om het eerder opgegeven doel te bereiken: 1. Het aanmelden van een bezoeker met permissies om zonder begeleiding verder te mogen; 2. Het zonder afspraak binnenkomen met bepaalde voorkennis; 3. Gebruikmaken van “tailgating”, afhankelijk van de situatie; 4. Onaangemeld komen voor onderhoud van een apparaat waar geen intern persoon bij betrokken is. Scenario 1: De aangemelde afspraak Hierbij probeerden we via e-mail een bezoeker bij de receptie aan te melden. De afzender hierbij was een “student” die zijn afstudeerbegeleider wilde aanmelden voor een gesprek met mevrouw XYZ. De student was op dat moment niet binnen de organisatie aanwezig en verstuurde zijn email vanaf een extern adres. Ook wist de student zogenaamd niet meer precies welk ontvanger e-mailadres hij hiervoor moest gebruiken en hoopte op een bereidwillige receptionist. Zijn interne contactpersoon, mevrouw XYZ, kon de aanmelding niet doorvoeren omdat deze “op vakantie” was. Na een aantal e-mails op en neer was iemand bereid om de aanmelding naar mevrouw XYZ te sturen. Er waren echter meerdere personen met deze naam en onze student werd gevraagd welk mevrouw XYZ het was. Een dag later werd er door onze student uit naam van mevrouw XYZ een e-mail inclusief de eerdere e-mailberichten gestuurd naar de receptionist die een dag eerder om meer informatie vroeg. Hierop is echter nooit meer een

DE H AC K

reactie geweest omdat intussen intern het een en ander werd geëscaleerd omdat men de gang van zaken niet vertrouwde. Deze poging was dus mislukt. Scenario 2: Niet aangemelde afspraak Hierbij was sprake van enige voorkennis. Een tijd terug was er door ons een introductietraining gegeven en zodoende kenden we de weg. Twee minuten voordat zogenaamd een vervolgtraining zou beginnen, meldde onze infiltrant zich als cursusleider bij de receptie. Hij noemde een aantal namen van medewerkers die op hem zaten te wachten en wist zelfs het nummer van de ruimte en hoe hij daar moest komen. Hij was al aan de late kant vanwege files en wilde toch op tijd beginnen. De receptionist was overdonderd toen de infiltrant zich ook nog eens op de bezoekerslijst wilde inschrijven en begreep de situatie waarna een bezoekerspas werd overhandigd en de toegangsdeur werd geopend. Eenmaal uit het zicht van de receptie verdween de bezoekerspas in de broekzak en promoveerde onze infiltrant zichzelf tot medewerker. Intussen werd door twee andere infiltranten het volgende scenario uitgevoerd. Scenario 3: Tailgating Tailgating is het meeliften door iemand met medewerkers zodra deze een pand betreden. Door het bestuderen van de omgeving bleek al snel een achteringang te worden gebruikt door pauzerend personeel. Zodra het even wat drukker werd, besloten onze twee infiltranten om gebruik te maken van de situatie. Druk pratende werd de ingang, waar zich op dat moment een grote groep van medewerkers bevond, benaderd. Op ongeveer 15 meter afstand ging de mobiele telefoon van één van de infiltranten over, waarna er technisch overleg werd gevoerd met “de beller”. Uiteraard stoor je iemand die aan het bellen is niet, vooral niet als deze anderen probeert uit te leggen hoe ze een netwerkapparaat moeten aansluiten. Tijdens dit zogenaamde telefoongesprek ging de draaideur open en één van de infiltranten pakte de deur vast en hield deze zelfs behulpzaam open voor medewerkers die naar binnen wilden. Hierna konden de infiltranten, druk bezig, naar binnen lopen zonder dat ze werden tegengehouden. Het gebouw via de achterdeur verlaten was overigens geen probleem. Scenario 4: Onderhoud In plaats van het maken van een afspraak voor iemand, kozen we voor een scenario waarbij we voor een voorwerp kwamen en niet voor een persoon. Ieder groter gebouw heeft de beschikking over liftinstallaties

die regelmatig gekeurd dienen te worden. Daarbij wordt een sticker aangebracht op de liftinstallatie. De infiltrant had zich verkleed waarbij kleding was gebruikt die was voorzien van logo’s van een liftfabrikant. Aan attributen zoals pennen, foldermateriaal en een eigenhandig gemaakt “stickervel” met daarop keuringsstickers was ook gedacht. Bij de receptie aangekomen werden de attributen duidelijk zichtbaar vastgehouden en het verhaal verteld dat een collega-monteur vorige week was geweest en hij de keuringsstickers toen niet bij zich had. De infiltrant wilde zijn collega een dienst bewijzen en de fout herstellen. Daarnaast was het natuurlijk ook in het belang van de organisatie dat iedereen kon zien dat de liftinstallatie in orde was. Een onderzoekende blik van de medewerker volgde, waarbij de logo’s en meegebrachte attributen werden bekeken. Dit maakte een betrouwbare indruk waarna de deuren voor de infiltrant werden geopend en deze zonder verdere begeleiding kon doorlopen. Het verlaten van het pand was verder geen probleem. Voor alle scenario’s gold dat, eenmaal binnen, de infiltranten ongehinderd de algemene ruimtes zoals het trappenhuis, de gang en conferentiezalen konden betreden. Doordat er geen verplichting was om personeelspassen zichtbaar te dragen, viel het ontbreken daarvan niet op. Ook bij een bezoek aan de koffiecorner werden ze door niemand aangesproken. Hun aanwezigheid werd als normaal ervaren. In kantoorruimten die door de gebruiker(s) tijdelijk waren verlaten werden niet-gelockte systemen, toegangspassen, sleutels en diverse documenten aangetroffen. De resultaten van de uitgevoerde aanval zijn gebruikt voor de Security Awareness sessies in het vervolgtraject. Door gebruik te maken van praktijkvoorbeelden uit de eigen werkomgeving, werd de impact van dergelijke aanvallen nog duidelijker. Ook de acceptatie van diverse tegenmaatregelen zoals het zichtbaar dragen van toegangspassen met pasfoto en het beveiligen van zij- en achteringangen werd hierdoor verhoogd. Het tegenhouden van social engineering aanvallen is bijzonder moeilijk, vooral bij grotere organisaties waarbij er vaak ook nog gebruik wordt gemaakt van inhuurkrachten. De inzet van alleen technische hulpmiddelen is niet afdoende. Een op regelmatige basis uitgevoerde training van alle medewerkers is dan ook noodzakelijk.

Madison Gurkha winter 2008

9

Regelmatig zult u in deze nieuwsbrief een verslag aantreffen van één van onze specialisten die aanwezig was op een interessante bijeenkomst. Deze keer is onze collega Tim Hemel naar Luxemburg afgereisd om daar de hack.lu conferentie te bezoeken.

HET

V E R SLAG

Hack.lu Er zijn twee soorten conferenties waar hackers en masse naar toegaan: de professionele conferenties, met een passend prijskaartje, en de bijeenkomsten die door hacker clubs georganiseerd worden. Hack.lu zit daar min of meer tussen in. Vergeleken met een conferentie als Black Hat Europe (niet te verwarren met de Black Hats sessies die door Madison Gurkha georganiseerd worden) is deze conferentie best betaalbaar. In een hotel op een busrit afstand van het centrum van Luxemburg-stad vond hack.lu afgelopen oktober voor de vierde keer plaats. Wat meteen opviel aan hack.lu was de kleinschaligheid, er waren zo ongeveer 200 bezoekers. Dat had als gevolg dat de sfeer wat informeler was dan op de gemiddelde conferentie. Aangezien een groot deel van de bezoekers in hetzelfde hotel bleef overnachten, was er ook na afloop van het officiële programma nog voldoende activiteit. De organisatie had een ‘capture the flag contest’ opgezet, die een aantal hackers tot diep in de nacht bezighield met het proberen in te breken in websites, reverse engineering, en het oplossen van hacker trivia puzzels. Als in de hotelbar het draadloze netwerk ontvangen kon worden, hadden veel hackers zowel de behoefte aan puzzelen als de behoefte aan drank kunnen bevredigen, wat de gezelligheid nog meer ten goede was gekomen.

Soms is het handig je paspoort te kunnen wijzigen.

De informele sfeer maakte het niveau van de presentaties niet minder professioneel. Het programma van 22 lezingen en een aantal lightning talks was een mix van technische uitleg, creativiteit, demonstraties van aanvallen en humor. De aandacht werd vooral getrokken door Adam Laurie, die liet zien hoe een elektronisch paspoort te klonen is. Hij legde uit dat de achilleshiel van het systeem zich bevond in het controleren van de certificaten en illustreerde dit door een paspoort te klonen van een bezoeker. Een relatief groot aantal van de lezingen richtte zich op clientside security: computervirussen, browser security, memory

10

Madison Gurkha winter 2008

access via firewire en clients met beperkingen zoals Citrix en internet kiosken. Paul Craig demonstreerde met succes hoe eenvoudig het is om uit een dergelijke omgeving te ontsnappen en ontving daarvoor een daverend applaus. Het grote probleem van dergelijke omgevingen is het brede scala aan mogelijkheden binnen een Windows omgeving dat afgeschermd moet worden. Om het een en ander makkelijker te maken, heeft Paul Craig de “interactive Kiosk Attack Tool” (iKAT) beschikbaar gesteld, wat in 90% van de gevallen succesvol werkt. Een demonstratie hiervan ging gepaard met veel verbazing en gelach uit de zaal. In de wat serieuzere lezingen viel op dat steeds vaker een wetenschappelijke benadering wordt gekozen voor het analyseren van bepaalde fenomenen: kansrekening, maar ook bepaalde visualisaties die meer inzicht geven in bepaalde patronen. Een

DE AGE N DA Als u op de hoogte wilt blijven van de laatste ontwikkelingen in de ICT-beveiligingswereld dan zijn beurzen en conferenties de ideale gelegenheid om uw kennis te verrijken en om contacten op te doen. Iedere Madison Gurkha Update presenteren wij in de agenda een lijst met interessante bijeenkomsten die de komende tijd zullen plaatsvinden.

Het openen van sloten opende de ogen voor fysieke security. interactief tool dat gebruikt kan worden voor het vergaren van informatie is Maltego. De Zuid-Afrikaanse Roelof Temmingh gaf hiervan een indrukwekkende demonstratie waarbij in korte tijd interessante patronen te zien waren over bepaalde organisaties. De meeste aandacht gaat vaak naar sprekers die bepaalde kwetsbaarheden laten zien. Er zijn echter ook specialisten die onderzoeken hoe deze kwetsbaarheden op te lossen zijn. Shaumil Shah uit India beschreef een aanpak waarmee browser malware gedetecteerd en geëlimineerd kan worden. Hoewel de implementatie hiervan nog niet was geperfectioneerd, was de aanpak innovatief en waren de resultaten veelbelovend. Een andere aandachtstrekker was Walter Belgers (Principal security consultant en partner bij Madison Gurkha), die een workshop lockpicking gaf. Voor veel bezoekers, die alleen maar bekend waren met IT-security, was het een eyeopener om te zien dat fysieke security minstens zo interessant kan zijn. Hack.lu is een goed verzorgde conferentie en een uitstekende manier om up-to-date te blijven en contacten te leggen met mensen uit de hele wereld.

27 t/m 30 december 2008 CCC, Berlijn http://events.ccc.de/ congress/2008/ In de winter is er eigenlijk maar een conferentie die alle aandacht trekt: het CCC congres (Chaos Communication Congress). Je kunt op dit congres een gevarieerd publiek verwachten, van professionals en script kiddies tot artistieke hippies en advocaten. Met als thema ‘Nothing to hide’, belooft het een interessante bijeenkomst te worden.

Tweede kwartaal 2009 Black Hats Sessions, Nederland De Black Hats Sessions is een seminar dat jaarlijks wordt georganiseerd door Madison Gurkha. Ook aankomend voorjaar zal er weer een Black Hats Sessions plaatsvinden. Het belooft weer een zeer informatieve bijeenkomst te worden voor iedereen in de ICT-beveiligingsbranche. Wij hopen u dan ook persoonlijk te mogen verwelkomen tijdens de Black Hats sessions 2009.

5 februari 2009 IT security 2009, Hoevelaken http://it-security.heliview.nl/ 5 februari 2009 vindt de vijfde editie van IT security plaats. Het congres biedt u concrete handvatten die u direct kunt toepassen in uw eigen organisatie. Dit unieke evenement is dé informatie- en netwerkdag voor iedereen die betrokken is bij beveiliging van bedrijfsinformatie. Naast vele workshops en expertsessies zal ook Madison Gurkha aanwezig zijn op het congres en onder andere een live demosessie verzorgen.

13 t/m 16 augustus 2009 Hacking at Random, Nederland http://har2009.org/ Aankomende zomer is er weer een hacker camp gepland op Nederlandse bodem. Hacking at Random (HAR) belooft een vier dagen durend feest van onder andere “technoanarchisme”, ideologische debatten en hands-on tinkering te worden. Specifieke informatie over dit event is nog niet bekend, houd dus de website in de gaten voor de laatste ontwikkelingen.

HET COLO F O N Redactie Marnix Aarts Tim Hemel Remco Huisman Frans Kollée Caroline van de Wiel Ward Wouts

Vormgeving & productie Hannie van den Bergh / Studio-HB

Contactgegevens Madison Gurkha B.V. Postbus 2216 5600 CE Eindhoven Nederland

T +31 40 2377990 F +31 40 2371699 E [email protected]

Bezoekadres Vestdijk 9 5611 CA Eindhoven Nederland

Redactie [email protected]

Madison Gurkha winter 2008

11

Safe?

Goede IT-beveiliging is niet zo eenvoudig als vaak wordt beweerd. Bovendien blijkt keer op keer dat deze beveiliging van strategisch belang is voor organisaties. Alle IT-beveiligingsrisico's moeten op een acceptabel niveau worden gebracht en gehouden. Professionele en gespecialiseerde hulp is hierbij onmisbaar. Kies voor kwaliteit. Kies voor de specialisten van Madison Gurkha.

Your Security is Our Business

tel: +31(0)40 237 79 90 - www.madison-gurkha.com - [email protected]