Your Security is Our Business
25
Aug 2015
u p d a t e DE COLUMN
2
HET COLOFON
2
HET NIEUWS
3
HET interview
4
het verslag
7
Hans Van de Looy
• Programma vakbeurs Infosecurity.nl • Hands-on Hacking workshop • Wij zijn verhuisd
Diepte-interview met Eric Luiijf, Principal Consultant bij TNO, over vitale infrastructuur
Black Hat Sessions Part XIII: Hoe veilig is (IT in) Nederland?
Het inzicht
10
de klant
12
De hack
14
ITSX
18
Mandy van Oosterhout over Social Engineering
5 vragen aan bekend schrijver en columnist Arnon Grunberg
Remco Sprooten over het misleiden c.q. ontduiken van virusdetectie
• Ivan Mercalina over de Baseline voor Informatiebeveiliging Waterschappen • Meer over Privacy, Governance & Risk Management
i
T
S
X
In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer laten we Hans Van de Looy aan het woord.
de column
Vakantietijd Niet direct een tijd om over het managen van je tijd na te denken, meer een tijd voor rust en mogelijk interne en externe reflectie. Maar ik loop vooruit op mijn verhaal. Vandaag werd ik er fijntjes op gewezen dat de deadline voor dit stukje was overschreden. Het werd dus hoog tijd om achter een blanco scherm te gaan zitten en een aantal gedachten in bit-reeksen om te zetten. Wellicht had een online test die ik recentelijk had ingevuld (http://programs. clearerthinking.org/how_rational_are_you_really_take_the_ test.html) het toch niet helemaal bij het verkeerde eind. Zo zie je maar: je bent nooit te oud om te leren, en zo kom ik dan alsnog op de reflectie. Aan het einde van 2000 ben ik samen met Guido van Rooij en Mark Huizer het bedrijf Madison Gurkha gestart. In de afgelopen vijftien jaar zijn we uitgegroeid van een paar nerds die hun kennis en kunde wilden inzetten om ICTomgevingen veilig te maken en te houden naar een bedrijf van bijna veertig personen die hun passie voor informatiebeveiliging inzetten voor onze klanten. Het merendeel van de door ons uitgevoerde werkzaamheden bestaat uit kwetsbaarhedenscans en penetratietesten van veelal webomgevingen en -applicaties. Zo nu en dan wordt er een iets exotischer onderzoek van ons gevraagd en, heel eerlijk gezegd, zijn dit de echt interessante onderzoeken waar onze consultants naar uitkijken. In een vorige column heb ik het uitgebreid gehad over security by design en het inschakelen van specialisten in een veel vroeger stadium van de ontwikkeling van een ICT-omgeving. Op dit moment kan ik meedelen dat een aantal van onze klanten hier ook werkelijk handen en voeten aan geven. In een aantal gevallen zelfs in een zogenaamde “agile”-omgeving. Ook werken een aantal organisaties nauwer met ons samen zodat ze een betere grip krijgen op de veiligheid van hun ICT-omgeving. Dit zijn natuurlijk aanzienlijk langdurigere projecten dan onze
normale onderzoeken, maar doordat informatiebeveiliging door de gehele organisatie gedragen wordt kan additionele dienstverlening ontwikkeld worden die eerder als te risicovol werd gezien. Uit het bovenstaande mag blijken dat Madison Gurkha continu probeert mee te denken met onze klanten en prospects. In veel gevallen proberen wij nieuwe diensten te ontwikkelen en die aan te bieden aan de markt. Maar vandaag wil ik dit eens omdraaien. Ik wil u, de lezer, onze klant, de vragen stellen: Waar kan Madison Gurkha u mee helpen? Welke dienstverlening heeft uw organisatie de komende jaren nodig? Welke dienstverlening mist u (nog) bij Madison Gurkha? Samen met onze dochterorganisatie ITSX en onze partners, waaronder SIG, willen mijn collega’s en ik graag met u in gesprek komen hierover. Ik wens u veel leesplezier met deze Update en natuurlijk een of meerdere weken om ook wat tijd door te brengen in een wat andere, wellicht minder hectische, omgeving waar u ook kunt reflecteren. En, wie weet spreek ik u dan na de vakantietijd om te horen aan welke beveiligingsdienstverlening uw organisatie behoefte heeft. Hans Van de Looy Partner, Principal Security Consultant
het colofon Redactie Daniël Dragicˇevic´ Laurens Houben Remco Huisman Matthijs Koot Maayke van Remmen Ward Wouts
2
Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan
Madison Gurkha augustus 2015
Contactgegevens Madison Gurkha B.V. Postbus 2216 5600 CE Eindhoven Nederland
T +31 40 2377990 F +31 40 2371699 E
[email protected]
Bezoekadres Vestdijk 59 5611 CA Eindhoven Nederland
Redactie
[email protected]
Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.
In ‘Het Nieuws’ belichten we dit keer ontwikkelingen rondom Madison Gurkha en een aantal interessante bijeenkomsten die de komende tijd zullen plaatsvinden.
het NIEU W S
Wegens succes herhaald
Programma Infosecurity.nl Op woensdag 4 en donderdag 5 november vindt de vakbeurs Infosecurity.nl plaats in de Jaarbeurs Utrecht. Ook dit jaar zijn Madison Gurkha en dochterbedrijf ITSX aanwezig. We ontmoeten u graag op onze stand C136. Daarnaast bent u van harte welkom om onze presentaties bij te wonen. Reserveer alvast de volgende momenten in uw agenda. Meer informatie volgt binnenkort. • W o 4 en do 5 nov - 13.15 - 13.45 uur Casestudy Madison Gurkha binnen het beursthema Cybersecurity • Wo 4 en do 5 nov - 11.45 - 12.15 uur Casestudy ITSX binnen het beursthema Privacy, Governance & Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de IT-beveiliging van mobiele applicaties waarbij inzicht wordt gegeven in de OWASP Top 10 Mobile Risks. • W o 4 nov - 14.00 uur Technische track door Madison Gurkha over mobiele applicaties Vanaf 1 september a.s. gaat de registratie voor bezoekers open. Toegang tot de beurs is gratis. Als u zich als bezoeker heeft geregistreerd kunt u zich via www.infosecurity.nl registreren voor deze en andere sessies. Let op: het aantal plaatsen is beperkt en een voorregistratie is geen garantie op een zitplaats. Ben er dus op tijd bij. Graag tot ziens op 4 en 5 november 2015 in de Jaarbeurs Utrecht!
Hands-on Hacking workshop: From XSS to Domain Admin
De workshop die we tijdens de afgelopen Black Hat Sessions hebben georganiseerd (zie ook Het Verslag in deze Update) is erg populair gebleken en zat binnen een mum van tijd vol. Gezien het grote animo en het beperkte aantal plaatsen, heeft niet iedereen de workshop kunnen volgen. Gelukkig hebben we de mogelijkheid gevonden om deze workshop nogmaals te organiseren. Deze vindt plaats op 8 oktober a.s. in ons nieuwe kantoorpand. De workshop wordt deze dag tweemaal aangeboden en per workshop is drie uur gereserveerd. De maximale groeps grootte is gereduceerd tot 15 personen (ben er dus snel bij!). Hierdoor is er voldoende ruimte voor discussie en het stellen van vragen. Voor meer informatie over de workshop en inschrijving zie de achterzijde van deze Update. Uiteraard kunnen wij ook een interactieve sessie op maat bij u op locatie organiseren. Als u hierin interesse heeft neem dan vrijblijvend contact met ons op via
[email protected].
Wij zijn verhuisd!
Hal 2 / Zibber
In de vorige Update heeft u kunnen lezen over onze verhuizing naar het nieuwe kantoorpand aan de Vestdijk 59. Inmiddels zijn alle dozen uitgepakt en zijn we helemaal gesetteld in ons nieuwe pand. We zijn erg blij met deze nieuwe, moderne werkomgeving met 700 m2 werkoppervlakte in het centrum van Eindhoven. Uiteraard mag ook in ons nieuwe kantoor de “Zen-ruimte” met flipperkast niet ontbreken.
Madison Gurkha augustus 2015
3
Madison Gurkha interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld om zijn of haar visie te delen. Dit keer een diepte-interview met Eric Luiijf, Principal Consultant bij TNO.
het inte rv iew In het kielzog van de Black Hat Sessions leggen we ir. Eric Luiijf, Principal Consultant bij TNO Cyber Security & Resilience, enkele dieptevragen voor over vitale infrastructuur.
Les voor de toekomst
4
Madison Gurkha augustus 2015
het interview
CV Nederland heeft ten behoeve van het in vertrouwelijke context delen van informatie sectorale ISACs, zoals voor energie, nucleair, drinkwater, haven en luchthaven. Amerika heeft dat ook, maar daarnaast ook een ‘horizontale’ ICS-ISAC die de ICS-beveiligings(deel)communities samenbrengt. Vindt in Nederland c.q. Europa ook samenwerking of overleg plaats tussen verschillende ICS-beveiligingscommunities? Tijdens de ontwikkeling van de ISACs onder de nationale infrastructuur tegen cybercrime (NICC) en het latere CPNI.NL heeft, voordat de ISACs organisatorisch onder het Nationaal Cyber Security Centrum zijn komen te vallen, een thematische ISAC voor procescontrolesystemen (PCS) bestaan. Gedurende een aantal jaren zijn succesvolle themamiddagen gehouden over bijvoorbeeld de impact van Stuxnet, hoe om te gaan met legacy, hoe krijg ik het management mee in investeringsbeslissingen en dergelijke. Verder zijn vanuit deze thematische benadering bewustwordingsboekjes ontwikkeld in zowel het Engels als het Nederlands1 en zijn binnen het process control security roadmap initiatief verschillende producten voor de ICS-veiligheid in onze vitale infrastructuren ontwikkeld. Sinds 2008 bestaat binnen Europa de ‘European SCADA and Control Systems Information Exchange’ (EuroSCSIE) waarin Engeland, Zweden, Nederland en Zwitserland de drijvende krachten zijn. Verder houdt een thematische werkgroep van het European Reference Network for Critical Infrastructure Protection (ERNCIP) zich bezig met de veiligheid van procescontrolesystemen en smart grids. Internationaal is er ook nog de ‘Meridian Process Control Security Information Exchange’ (MPCSIE) waar door overheden informatie over dit thema wordt gedeeld. In de publicatie van jou en Te Paske2 bij de Global Conference on Cyberspace 2015 wordt gesteld dat in Qatar een nationale beveiligingsstandaard van toepassing is, die minimumeisen bevat waaraan ICS-
operators moeten voldoen. Kun je daar iets over zeggen? En: hebben we zoiets ook in Nederland? De wijze en mate waarop een overheid regels stelt aan bijvoorbeeld vitale infrastructuurbeheerders, is sterk afhankelijk van de nationale historie en cultuur. Daarnaast is een EU-land verplicht om een Europese Directive om te zetten in nationale wet- en regelgeving. In Europa en ook daarbuiten zijn er landen waar niets gebeurd als er geen wet is. In andere landen wordt regelgeving of een maatregel van bestuur door een ministerie of toezichthouder gebruikt om het gewenste doel te bereiken. In Nederland wordt vaak het poldermodel gebruikt, waarbij de overheid en politiek na ‘ongelukken’ altijd nog de kaart van wet- en regelgeving kan trekken (‘stick and carrot’). Daarnaast kan een Nederlandse Norm minimumeisen stellen. In Qatar heeft het Ministerie van ICT3 gemeend om zo’n nationale norm te stellen. Duitsland en Frankrijk proberen via normen de fabrikanten en leveranciers van procescontrolesystemen te dwingen tot het leveren van veiliger producten. Duitsland heeft daarnaast vrij recent cybersecurity wetgeving aangenomen waaraan nog aan te wijzen vitale infrastructuurbeheerders moeten voldoen. In Nederland hebben we geen nationale procescontrole security standaard. Wel zijn Nederlandse gebruikers en leveranciers van procescontrolesystemen samen actief in de WIB en internationale gremia bij de ontwikkeling van klassen van veiliger en certificeerbare producten voor industriële automatisering. Ook wordt hard getrokken aan de internationale ontwikkeling van een Workforce Development Framework dat moet leiden tot gecertificeerde professionals. De verdergaande Nederlandse implementatie van de Europese wetgeving tot het verplicht melden van de cybersecurity-incidenten kan gezien worden als een vangnet dat organisaties dwingt om cybersecurity, zowel in het ICT- als ICS-domein, serieus te nemen. Zoals aangegeven in een paper van Allard Kern-
Eric Luiijf is sinds 1976 werkzaam bij het TNO, thans als principal consultant. Eric is een vooraanstaand deskundige op het gebied van veiligheid van vitale infrastructuur (en informatie-infrastructuur), en de militaire en civiele aspecten van cyberactivisme, -terrorisme en -conflicten. Eric ondersteunt de Nederlandse overheid en private partijen op de gebieden Cyber Operations en Bescherming Vitale (Informatie) Infrastructuren. In 2002/2003 was Eric met zijn projectteam betrokken bij de beleidsvorming rondom de Nederlandse vitale infrastructuur. Sindsdien onderzoekt hij in een reeks Europese projecten de bescherming van vitale (informatie)infrastructuren, onder andere tegen dominouitval (ACIP, IRRIIS, EURAM, EURACOM, DIESIS, RECIPE, CIPRNet, PREDICT, INTACT en SEGRID). Eric is auteur van vele wetenschappelijke en populaire artikelen, boekhoofdstukken en rapporten over cyberterrorisme, C(I)IP, SCADA/ICS beveiliging, information assurance en cyber operations. Hij wordt veelvuldig geïnterviewd door de media. Zie ook zijn publicaties via sciencedirect.com. Eric Luiijf was een van de keynote-sprekers tijdens de dertiende editie van ons jaarlijkse security congres “Black Hat Sessions” die op 18 juni jl. plaatsvond. Het verslag hiervan vindt u elders in deze Update.
Madison Gurkha augustus 2015
5
het inte rv iew
“We zijn nu bijna tien jaar verder, waarbinnen de externe dreiging behoorlijk is toegenomen”
kamp en mij4 moet daarin de juiste balans gevonden worden om ontwijkend gedrag te vermijden: melden van iedere inbraakpoging of virusdetectie dan wel pas na een heel langdurige analyse melden van de inbreuk. De overheid kan daarbij door het teruggeven van bruikbare informatie om incidenten voor te zijn, het tijdig melden van serieuze inbreuken stimuleren. Wat gaat er, op hoofdlijnen, in Nederland goed qua ICS-veiligheid, en wat niet? In 2006 is door TNO en KEMA een analyse uitgevoerd naar de mogelijke rol of rollen voor de overheid op het gebied van ICSveiligheid. We zijn nu bijna tien jaar verder, waarbinnen de externe dreiging behoorlijk is toegenomen. Binnen de vitale infrastructuren is de bewustwording groeiende en worden maatregelen genomen, al blijkt dit in de praktijk om een veelheid aan redenen2 lastig. Wat er niet goed gaat is wat ik in een eerdere publicatie “onbewust onveilig” noem. De wijze waarop ICS organisaties binnenkomt en onveilig geïnstalleerd wordt zonder dat er aan beveiliging gedacht wordt. Noch de ICT, noch de ICS-afdeling is daarbij betrokken; wel bijvoorbeeld de facilitair manager (gebouwbeheersing, toegangsbeheer, luchtbehandeling), een medisch specialist (bestraling, scanapparatuur) of een gemeentelijke verkeersafdeling. Kijk eens naar de uitkomsten van het SHodan INtelligence Extraction (Shine) project waarbij met Shodan in beeld gebracht is welke ICS in allerlei landen direct aan het internet liggen. Met 29.349 open aan het internet gekoppelde ICS staat Nederland op plaats 17. Waarschijnlijk is het merendeel van die systemen niet goed of zelfs geheel niet beveiligd, denk aan het Veere-incident in
6
Madison Gurkha augustus 2015
2012. Er bestaat nationaal dus nog een grote ICS-beveiligingsuitdaging. TNO heeft in december 2014 een inventarisatie en verkennende studie gepubliceerd in het kader van een Nationale Weerbaarheidsmonitor, dat is gericht op het meten van weerbaarheid. De ‘voorraden’ waarover wordt gesproken, moeten worden geoperationaliseerd via indicatoren. Kan daarbij ook worden gedacht aan indicatoren die betrekking hebben op ICSen/of ICT-beveiliging? Zo ja, kun je daar iets over zeggen? De TNO studie voor het WODC geeft een mogelijke structuur voor de Nationale Weerbaarheidsmonitor aan de hand van kapitalen/ voorraden waarvan ‘infrastructureel kapitaal’ er één is. Daaronder vallen voorraden die bijdragen aan de weerbaarheid. Beveiliging kan daar een onderdeel van zijn. De gedachte daarachter is dat de stand van zaken betreffende weerbaarheidsverhogende capaciteiten (‘voorraden’) gemeten zouden kunnen worden aan de hand van nader uit te werken indicatoren. Daarin zou wellicht een indicator als ICS- of ICT-beveiliging een rol kunnen spelen, mits die meetbaar te maken is voor ons land. Weerbaarheid is internationaal een ‘hot topic’, maar blijkt nogal lastig te operationaliseren te zijn. Dit is de reden waarom ook de EU een aantal onderzoeksvragen naar resilience in het Horizon 2020 programma opgenomen heeft. Op welke manier(en) zou je ‘t liefst zien dat bedrijven zoals Madison Gurkha in het algemeen bijdragen aan versterking van ICS-veiligheid in Nederland? (En eventueel: hoe vooral niet?) Ik zie vier rollen: Vergroten van de bewustwording van organisaties, o.a. door het houden van de Black Hat Sessions (BHS) en deze Update. Het helpen van jullie klantenkring om hun ICS veilig te houden, ook voor nieuwe dreigingen, waarbij naast de technische aspecten ook oog is voor de organisatorische aspecten van beveiliging waarvoor in de vaak nog onvolwassen ICSbeveiligingswereld onvoldoende aandacht is. Het bij elkaar brengen en elkaar leren begrijpen van de ICT- en de ICS-werelden waar op het snijpunt de integrale beveiliging de dupe is als dat niet goed geregeld is. Het leveren van de juiste producten die de beveiliging
kunnen verbeteren, maar dan vanuit het perspectief dat technische beveiliging slechts een beperkte bijdrage levert om het risico in te perken. De menselijke en organisatorische factoren moeten niet vergeten worden. Tijdens de BHS van 18 juni jl. zinspeelde je op de mogelijkheid dat de volgende grote IT-speler zomaar een fabrikant van TV’s of koelkasten kan zijn die met Internet of Things (IoT) aan de slag gaat. Is het niet hoog tijd voor wettelijke minimumeisen aan zulke apparaten? Bijvoorbeeld ten aanzien van veilige defaults, veilige updatemechanismen, enz.; of dat de apparaten bestand moeten zijn tegen bepaalde vormen van hacking en/of bepaald failsafe gedrag vertonen? Ja. Vergelijkbaar met de EU richtlijn voor elektromagnetische compatibiliteit (EMC) zou in een norm of richtlijn de minimum beveiligingseisen voor de toekomstige IoTontwikkelingen op handige wijze (zoveel mogelijk ‘technologieonafhankelijk’) vastgelegd kunnen worden. Dit overlapt het werkgebied van de Nederlandse Autoriteit Consument en Markt (ACM) en de NEN. Die zouden een voortrekkersrol kunnen spelen waarbij ook een aantal experts uit het bedrijfsleven, onderzoekswereld en TNO ingeschakeld worden. Het probleem is echter een wereldmarktprobleem, een dergelijk initiatief zou dus al snel door de Europese pendanten van de ACM en NEN omgezet moeten worden in Europese normen en regelgeving. Verder zou net zoals bij een energielabel op de smart koelkast of TV een beveiligings- en privacylabel kunnen staan, bijv. een E-label voor TV’s die gesprekken opnemen of het kijkgedrag naar Taiwan sturen. 1 Luiijf, H.A.M., “Process Control Security in het Informatieknooppunt. Cybercrime”, NICC, december 2009. 2 Eric Luiijf and Bert Jan te Paske (2015), Cyber Security of Industrial Control Systems, TNO. www. tno.nl/ICS-security 3 ICTQatar (2014) National Standards for Security of Critical. Industrial Automation and Control Systems. http://www.qcert.org/sites/default/ files/public/documents/national_ics_security_ standard_v.3_-_final.pdf 4 Eric Luiijf and Allard Kernkamp (2015), Sharing Cyber Security. Information, TNO. www.tno.nl/infosharing
Op 18 juni jl. vond de dertiende editie van de Black Hat Sessions plaats. Hierbij een kort verslag door medewerker Matthijs Koot, op basis van enkele van de lezingen die hij heeft bijgewoond.
Fotografie Props Creations
het v er slag
Hoe veilig is (IT in) Nederland? Deze dertiende editie van de Black Hat Sessions stond in het teken van het thema “Hoe veilig is (IT in) Nederland?” Op 18 juni jl. kwamen bijna 400 geïnteresseerden naar het congrescentrum de Reehorst in Ede om zich te laten informeren en met vakgenoten van gedachten te wisselen over de ontwikkelingen op het gebied van digitale veiligheid.
Verschillende nationale en internationale sprekers gaven tekst en uitleg over onder andere de vitale Nederlandse infrastructuur, DDoS-aanvallen, SCADA-systemen, ERP-systemen en Industrial Control Systems (ICS). De keynotes werden dit jaar verzorgd door Eric Luiijf van TNO en Hans de Vries van het Nationaal Cyber Security Centrum. Naast het uitgebreide
programma met een technische en een management track konden de deelnemers zich bovendien inschrijven voor een interactieve hands-on hacking workshop en tijdens de lunch werd een heuse PGP keysigning party georganiseerd. Vanuit Madison Gurkha mogen we terugkijken op een zeer geslaagde, informatieve dag met volop interactie tussen de
Madison Gurkha augustus 2015
7
het v e r slag
Waar anderen genieten van een uitgebreide lunch, gaan de deelnemers aan de PGP keysignig party enthousiast aan de slag met het controleren van de identiteit en PGP-sleutel van andere gebruikers om hun ‘web-of-trust’ verder uit te breiden.
Op verschillende momenten in de lezing was er een “dit kan niet wáár zijn”-momentje
deelnemers en veel positieve reacties. Matthijs Koot, senior security consultant bij Madison Gurkha, heeft de dag als toehoorder bijgewoond en doet hierbij kort inhoudelijk verslag van enkele van de lezingen die hij heeft bijgewoond. Inmiddels zijn er meerdere publicaties verschenen over deze editie. Deze vindt u op onze website www.madison-gurkha.com onder de rubriek ‘In de pers’. Keynote Eric Luiijf Eric Luiijf (TNO) deed in zijn openingslezing, met een voor IT-begrippen verre terugblik op de geschiedenis, de toch wat wrange constatering dat good practices die reeds in de 60s/70s ontstonden, anno 2015 nog steeds massaal niet worden opgevolgd --- denk aan gebrekkige invoervalidatie. Hij vroeg het publiek in welk jaar het bericht ‘Chantage om gegevens uit computer’ op de voorpagina van de Telegraaf stond: dat bleek 1977. Luiijf wijdde na een analyse van de situatie vandaag ook uit naar wat we mogelijk kunnen verwachten met opkomst van (wat wordt vermarkt onder het paraplubegrip) Internet of Things. Een belangrijke stap voor verbetering ziet Luiijf in het komen tot een wetenschap van cybersecurity, zoals de Amerikanen (NSA) en Britten (GCHQ) thans nastreven via samenwerking met en tussen universiteiten --- ten minste de universiteiten die in deze als ‘Center of Excellence’ zijn gekwalificeerd. Vooralsnog, zo wordt duidelijk uit Luiijf’s lezing, blijft te verwachten dat functionaliteit belangrijker wordt geacht dan veiligheid, laat staan privacy. Zie ook het diepte-interview met Eric Luiijf elders in deze Update. Teun van Dongen - De rol van IT in terrorisme(bestrijding) Na de eerste keynote volgt de managementlezing van Teun van Dongen (zelfstandig analist en spreker) over de rol van IT en inlichtingen in terrorisme en terrorismebestrijding. Bijvoorbeeld in de vorm van grootschalige gegevensverzamelingen. Van Dongen maakte duidelijk sceptisch te zijn over de neiging
8
Madison Gurkha augustus 2015
van inlichtingendiensten om steeds meer data te verzamelen (‘we zijn in het Westen een beetje aan het doorschieten’), en meer te zien in analyse op basis van combinatie van bestaande bestanden. Dat standpunt onderbouwde hij onder meer met een analyse van bekende casuïstiek van personen die zijn gepakt na of tijdens het voorbereiden van aanslagen, waarbij veelal bleek dat ze reeds in bestanden voorkwamen. Ook gaf Van Dongen voorbeelden van hoe aanslagen worden verijdeld via totaal andere wegen, zoals een jihadistische cel in Londen die nogal op is gaan vallen door confrontaties met extreem-rechts. K. Reid Wightman - Vulnerability Inheritance in Dutch Controllers Reid Wightman (directeur Digital Bond Labs) gaf na de eerste koffiepauze in een uitpuilende zaal een technische lezing over zijn werkzaamheden op het gebied van reverse engineering van ICS/SCADA-systemen, in het bijzonder de CoDeSyssoftware die onder meer in Europa wordt gebruikt. Op verschillende momenten in de lezing was er een “dit kan niet wáár zijn”-momentje. Bijvoorbeeld daar waar een combinatie bestond van een ernstige kwetsbaarheid die via een computernetwerk op afstand kan worden uitgebuit en waarvoor een patch ontbreekt c.q. traag en moeizaam beschikbaar komt van een vendor. Wightman’s lezing was een uitstekende opfrisser en heeft zonder twijfel bijgedragen aan het bewustzijn onder de toehoorders. Samaneh Tajalizadehkhoob - Reputation metrics for TLDs and hosting providers Samaneh Tajalizadehkhoob (promovenda bij TU Delft) lichtte na de lunch in haar managementlezing het lopende wetenschappelijke onderzoek ‘REMEDI3S-TLD’ toe, dat is gericht op het in kaart brengen van (on)veilig gedrag van, bijvoorbeeld, hosting- en DNS-providers binnen een (cc)TLD. Het
het v er slag IT is uiteraard niet meer weg te denken uit terrorismebestrijding, maar hoe belangrijk is het nu echt in vergelijking met meer traditionele opsporings- en inlichtingenmethoden? Tijdens zijn managementlezing zet Teun van Dongen het publiek aan tot een kritische reflectie over de manier waarop we in Nederland met nationale veiligheid en terrorismebestrijding omgaan.
onderzoek komt voort uit een vraagstelling van de Nationale Politie (‘wie zijn de slechtste hostingproviders in onze jurisdictie?’) en heeft een focus op de Nederlandse ccTLD (.nl). Eén van de kernproblemen in het onderzoek is het opzetten van betekenisvolle metrieken, en het compenseren voor eventuele onzuiverheden daarin. Er wordt onder meer gekeken naar het aantal URLs en het aantal domeinnamen waarop malware actief is of is geweest, en hoe lang. De beschikbaarheid van data voor dit onderzoek is een knelpunt; een constructieve oplossing vraagt medewerking van providers, en dat maakt het des te belangrijker dat providers zich niet onterecht ‘beschuldigd’ voelen op basis van gebruikte metrieken. Tijdens de lezing werden een aantal voorlopige resultaten getoond en besproken; daarbij is aangegeven dat een aantal van de uitkomsten wordt besproken met de betrokken providers. Het onderzoek wordt uitgevoerd met medewerking van onder meer SIDN. Dmitry Chastuhin - The Latest Changes to SAP Cybersecurity Landscape Dmitry Chastuchin (ERPScan) ging in zijn managementlezing in op kwetsbaarheden die in de afgelopen jaren zijn gevonden in verschillende SAP-softwareproducten. Daaronder bevonden zich een aantal ernstige kwetsbaarheden, waarbij Chastuhin in enkele gevallen een filmpje liet zien dat demonstreerde hoe de kwetsbaarheid kan worden uitgebuit. Hij gaf aan dat het steeds lastiger is ernstige kwetsbaarheden te vinden in SAP-software; dat is hoopvol. Het blijft van belang dat SAPsoftware niet alleen veilig is, maar ook veilig wordt gebruikt; immers kwetsbaarheden kunnen worden geïntroduceerd via maatwerkcode. Het blijft dus van belang aandacht te hebben voor de beveiliging van SAP-systemen.
Deze dertiende editie is erg goed ontvangen door de deelnemers. De drukbezochte technische presentaties en de hands-on hacking workshop “From XSS to Domain Admin” waren volgens velen absolute hoogtepunten. Gezien het grote animo en het beperkte aantal plaatsen verzorgen wij de workshop nogmaals op 8 oktober a.s. Zie het nieuwsitem en de achterzijde van deze Update voor meer informatie over de workshop en inschrijving. Uiteraard zijn er ook verbeterpunten te noemen. De verdeling van toehoorders over beide zalen heeft hierbij onze aandacht; die was dit jaar aanzienlijk ‘schever’ dan we anticipeerden. Deze en andere feedback die we van bezoekers hebben mogen ontvangen nemen we mee bij het organiseren van de volgende editie van de Black Hat Sessions. Hopelijk bent u er dan ook (weer) bij! Black Hat Sessions Part XIII is mede mogelijk gemaakt door veel sponsoren en media/kennispartners, waarvoor dank! Computable, Marqit, Fortinet, Hiscox, SIG, SCOS, ITSX, TSTC, Louwers IP|Technology Advocaten, Qi ict, AT Computing, ISOC24, SEEBURGER, NLUUG, Winmag Pro, PviB, Ngi-NGN, ISACA, NOREA, CYCO, Certified Secure, Waterforum en Infosecurity Magazine. Speciale dank gaat uit naar de sprekers van deze editie: Eric Luiijf (TNO), Hans de Vries (NCSC), Teun van Dongen (zelfstandig auteur en analist), Alex Bik (BIT), Ed de Myttenaere en Paul van der Ploeg (NRG), K. Reid Wightman (Digital Bond Labs), Samaneh Tajalizadehkhoob (TU Delft), Daniël Dragicˇevic´ (Madison Gurkha), Dmitry Chastuhin (ERPscan) en Erwin Kooi (Alliander).
Op www.blackhatsessions.com vindt u de aftermovie en een fotoselectie voor een sfeerimpressie van de dag. Ook kunt u hier terecht voor de video-opnames en handouts van alle lezingen.
Madison Gurkha augustus 2015
9
Dit keer geeft Mandy van Oosterhout, security consultant bij Madison Gurkha, inzicht in social engineering en hoe het wordt toegepast in de informatiebeveiliging.
het in z icht
Social Engineering In dit artikel legt Mandy van Oosterhout uit wat social engineering is, hoe cybercriminelen dit gebruiken en laat ze aan de hand van aansprekende voorbeelden zien hoe Madison Gurkha deze kwetsbaarheden in opdracht van de klant onderzoekt en wat de gevolgen kunnen zijn van een social engineering-aanval. Als laatste krijgt u tips mee hoe u veel voorkomende scenario’s zelf kunt herkennen en voorkomen. Bij hacking of cybercrime wordt vaak direct gedacht aan uitbuiting van technische kwetsbaarheden. Technisch goed beveiligd zijn is echter slechts het begin van de bescherming van uw data. De mens is zonder twijfel de zwakste schakel in informatiebeveiliging en precies de reden waarom aanvallers zich richten op het beïnvloeden (en vervolgens uitbuiten) van menselijk gedrag. We beschrijven de term social engineering algemeen (maar allesomvattend) als: “acties die een persoon beïnvloeden om handelingen te verrichten die, al dan niet, in diens eigen belang zijn”. Toen het nog niet gebruikelijk was dat iedereen thuis een computer had, laat staan een verbinding met het internet, werd social engineering ook al toegepast. Niet zozeer via e-mail of het internet zoals we dat nu zien. Maar onder andere in de vorm van kettingbrieven of piramidespellen. Deze manipulatietechnieken worden nog steeds gebruikt, maar worden nu toegepast op het internet. Voorbeelden hiervan komen later aan bod. In de wereld van informatiebeveiliging zien we vandaag de dag aanvallen waarin de social engineer de identiteit van een persoon gebruikt en inspeelt op karaktereigenschappen van de mens om gevoelige informatie in handen te krijgen via het internet, per telefoon of in persoon. Er zijn een groot aantal veelvoorkomende scenario’s waarmee een social engineer kan werken. Social engineering wordt niet alleen in de informatiebeveiliging, maar ook in het dagelijks leven toegepast. Waarschijnlijk zelfs in uw eigen omgeving: denk aan de overtuigingskracht van een autoverkoper
10
Madison Gurkha augustus 2015
of aan de manier waarop kinderen hun zin proberen krijgen. Dit artikel is gericht op hoe social engineering toegepast wordt in de informatiebeveiliging.
Aanvalstechnieken Phishing via e-mail De meest bekende vorm van social engineering is phishing. Onlangs heb ik een phishing-onderzoek uitgevoerd waarbij ik me voordeed als een fotografe. Met dat scenario heb ik de medewerkers van een organisatie een phishing e-mail gestuurd met de boodschap dat ze de laatste foto’s van het personeelsfeest nog niet hebben gezien. Via de link in de e-mail komen ze uit op de website van de fotografe waar de medewerkers een inlogformulier zien wat precies lijkt op het inlogformulier van die organisatie. Op de phishing-webserver zag ik de bedrijfsinloggegevens binnen komen. Deze gegevens gaven me toegang tot e-mail, intranet en Citrix werkstations van de target-organisatie. Phishing e-mails kunnen ook bijlagen met kwaadaardige code bevatten. Deze code zorgt ervoor dat bij het openen van de link of bijlage een verbinding wordt opgezet met de computer van de aanvaller. Wat opvalt is dat phishing e-mails steeds moeilijker te onderscheiden zijn van echte e-mails. Phishingaanvallen worden geloofwaardiger door een betere opmaak en de afname van spellings- en grammaticafouten.
tip
Kijk of een e-mail veel spellings- of grammaticafoutenbevat. Klik niet
zomaar op een link zonder eerst te controleren waar je naartoe gestuurd wordt. Dit laatste is te controleren door de muisaanwijzer op de link te plaatsen. In de linkeronderkant van het scherm verschijnt de URL. Vertrouwt u een e-mail of een bijlage niet? Meld dit dan bij het meldpunt in uw organisatie. Phishing via de telefoon Als mens helpen we graag anderen, zeker als ze hulp nodig hebben of we ze een dienst kunnen bewijzen: dat geeft ons een goed gevoel. Ik heb eens een telefonische phishing-aanval uitgevoerd waarvoor ik eerst op LinkedIn informatie heb verzameld over medewerkers bij de organisatie. Ik heb wat namen en telefoonnummers verzameld en daarmee de organisatie gebeld op het algemene telefoonnummer. De receptioniste schakelde me door met de medewerkster die ik had getarget. Ik deed me voor als Cindy van de helpdesk en ik had haar hulp nodig. Ik moest een server herstarten maar dat lukte niet omdat ze nog wat onopgeslagen werk open had staan. Om er voor te zorgen dat haar werk niet verloren ging had ik haar gebruikersnaam nodig zodat ik de service voor haar kon afsluiten. De medewerkster had haast en gaf me de gebruikersnaam die ze gebruikt voor toegang tot haar computer en e-mail. Met deze informatie belde ik de echte helpdesk van de organisatie op waarbij ik me voordeed als de medewerkster. Ik was mijn wachtwoord vergeten en vroeg de helpdesk dit te wijzigen naar een tijdelijk wachtwoord. De helpdesk vroeg naar mijn gebruikersnaam en wijzigde het wachtwoord naar het standaardwachtwoord van deze organisatie. Daarmee had ik toegang tot haar webmail en andere externe diensten van de organisatie.
het inz icht
Denk twee keer na voordat u informatie
tip
Voordat je vertrouwelijke informatie via de telefoon deelt is het verstandig je gesprekspartner te verifiëren door de persoon - indien mogelijk - terug te bellen op het bij jou bekende telefoonnummer. Denk twee keer na voordat u informatie toevertrouwt aan een vreemde, ook als die vreemde een overtuigend verhaal heeft. Fysiek Het gebouw en de directe omgeving van een organisatie zijn een bron van informatie voor de social engineer. Voor een organisatie heb ik eens een fysieke social engineering-aanval uitgevoerd waarbij ik eenvoudig het toegangssysteem kon omzeilen door achter medewerkers aan te lopen. Dit wordt ook wel tailgating genoemd. Eenmaal door de beveiligde deur zien medewerkers je als een vertrouwd persoon. Ik had toegang tot onafgesloten werkstations wanneer ik me voordeed als een medewerker van de IT-afdeling. Maar ik had ook toegang tot openstaande archieven, documenten op bureaus, wachtwoorden op een post-it aan het beeldscherm, afvalbakken, et cetera. Tijdens deze opdracht kon ik ook zelf mijn laptop aansluiten op het interne netwerk van de klant en ongestoord het netwerk bekijken en zoeken naar kwetsbaarheden. De medewerkers van de organisatie spraken mij niet aan op mijn aanwezigheid. Mocht dat wel gebeuren dan heb ik een goed verhaal achter de hand wat er in de meeste gevallen voor zorgt dat ik gewoon door kan gaan met de aanval.
De mens is zonder twijfel de zwakste schakel in informatiebeveiliging
Het volgende voorbeeld laat zien dat het fysieke voorkomen van de aanvaller bepalend kan zijn voor het succes van de social engineering-aanval. Het doel is om toegang op afstand te krijgen tot het werkstation en het netwerk van een organisatie. Een netjes geklede vrouw loopt naar de receptie van het kantoorgebouw met een (door haar) met koffie doordrenkt rapport in haar handen. Ze heeft een afspraak met het hoger management en heeft nu een nieuwe kopie van het rapport nodig. De receptionist gebruikt de USB-drive met het virus in diens werkstation dat vervolgens verbinding maakt met de computer van de aanvaller. Het voorkomen, de lichaamstaal en verbale vaardigheden van de vrouw hebben ervoor gezorgd dat de receptionist een uitzondering heeft gemaakt die grote gevolgen kan hebben. Een datacenter is een afgesloten ruimte waartoe alleen onder bepaalde voorwaarden toegang wordt geboden. Dit is een obstakel tenzij een social engineer erin slaagt met zelfvertrouwen zich voor te doen als een persoon die daar hoort te zijn. Een veelgebruikt scenario is dan ook die als technisch monteur. Met een uitspraak bij de receptie als: “Ik heb vernomen dat de lift de laatste tijd een vreemd geluidje maakt?” en een clipboard in de hand is het geen probleem om het gebouw binnen te komen. Met de deur naar het datacenter op het oog, komt de social engineer met zelfvertrouwen binnen door simpelweg te wachten tot iemand de deur voor hem uit beleefdheid openhoudt.
tip
Zorg dat bezoekers niet onbegeleid door het gebouw kunnen bewegen. Verleen geen toegang aan personen die geen afspraak of contactpersoon hebben. Voorkom dat een aanvaller informatie kan stelen uit hardware- of papierafval met een datavernietigingsbeleid dat streng nageleefd wordt. Leg tevens een clean desk-beleid vast om
toevertrouwt aan een vreemde
te voorkomen dat informatie rondslingert en stel de regel dat onbekende hardware niet gebruikt mag worden op bedrijfshardware. Kies bij twijfel voor zekerheid. Social engineering door de security consultant Aanvallers zullen niet twijfelen om normen en waarden aan de kant te zetten wanneer ze er zelf voordeel uit kunnen halen. Bij een social engineering-onderzoek wordt een scenario vooraf afgestemd met de opdrachtgever waarbij een goede balans wordt gezocht tussen (verwachte) effectiviteit van de test en de belangen van de personen die het ‘doelwit’ zijn in de test. Al deze scenario’s kosten voorbereiding en zullen niet altijd effectief zijn; het zijn slechts voorbeelden. Hoe kunt u toetsen of uw organisatie weerbaar is tegen social engineeringaanvallen? Madison Gurkha kan voor u op maat gemaakte social engineering-onderzoeken uitvoeren waarbij we een realistische social engineering-aanval nabootsen. We bereiden de mogelijke aanvallen zorgvuldig voor waarbij we de scenario’s uitgebreid met u bespreken alvorens ze uit te voeren. We analyseren de resultaten en stellen hier een rapport over op. Onderschat de gevolgen en de impact van een social engineering-aanval niet. Wees u ervan bewust wat dit voor de vertrouwelijke gegevens binnen uw organisatie kan betekenen. Laat het bewustzijnsniveau op het gebied van IT-beveiliging van uw organisatie onderzoeken en train uw organisatie door middel van bijvoorbeeld een periodieke security awareness training om social engineering te herkennen en te voorkomen door adequaat op te treden.
Madison Gurkha augustus 2015
11
Dit keer een inspirerend gesprek met bekend schrijver en columnist Arnon Grunberg over verschillende aspecten van informatiebeveiliging en aangrenzende gebieden.
D e k l ant
5 vragen aan ... ... Arnon Grunberg, schrijver en columnist Zoals u van ons gewend bent laten we in de Madison Gurkha Update ook altijd een relatie aan het woord over zaken die te maken hebben met IT-beveiliging in de meest brede zin van het woord. Dat zijn meestal personen die werkzaam zijn in het vakgebied. Tijdens de Black Hat Sessions waar we schrijver en columnist Arnon Grunberg als bezoeker mochten verwelkomen, kwamen we op het idee dat een (relatieve) buitenstaander wel eens een verfrissende kijk zou kunnen hebben.
1
Zou je jezelf willen introduceren voor onze lezers? Ik ben Arnon Grunberg, in 1994 debuteerde ik met mijn roman Blauwe maandagen. Sinds die tijd heb ik circa twintig boeken geschreven, waaronder een dozijn romans. Verder ben ik columnist, schrijf onder andere een dagelijkse column voor de Volkskrant en doe van tijd tot tijd tot journalistieke projecten, zo ben ik onder ander een paar keer in Irak en Afghanistan geweest, maar ook op Guantánamo Bay en heb ik in Beieren ‘undercover’ als kamerjongen gewerkt in een hotel. Om maar een greep te doen uit mijn projecten. In het kader van mijn novelle Het bestand ben ik een jaar of twee geleden begonnen met onderzoek naar cyber en alles wat daarbij hoort. Omdat ik het gevoel had dat ik nog niet klaar was met dit onderwerp – wanneer ben je ooit klaar met een onderwerp? – ben ik doorgegaan met het onderzoek ten behoeve van een artikel voor NRC Handelsblad.
2
Wat is de top-drie van interessante openbaringen die je tijdens je interviews bent tegengekomen? Ik heb niet de illusie dat ik op openbaringen ben gestuit die kenners niet zouden weten. Maar als ik een top-drie zou moeten maken, en ik kan niet alles verklappen wat ik in mijn artikel ga schrijven dat nog niet gepubliceerd is, dan valt mij op dat er radicaal tegenstrijdige geluiden te horen zijn. Sommigen zeggen dat het helemaal misgaat, op het gebied van privacy en op het gebied van kwetsbaarheden ten overstaan van zogenaamd vijandelijke organisaties, en dat het slechts een kwestie van tijd is voor het misgaat. Anderen verklaren dat het apocalyptische denken historisch gezien vrijwel altijd ongelijk heeft gekregen. Beide kampen hebben redelijk tot goede argumenten voor zover
12
Madison Gurkha augustus 2015
ik kan overzien. Verder geloof ik niet dat de gemiddelde burger beseft hoeveel informatie je volstrekt legaal van het internet kan plukken en dat je die informatie alleen maar hoeft te combineren om vrij gedetailleerde informatie over burger X of burger Y te krijgen. Het versleutelen van data zou op middellange termijn een oplossing kunnen zijn, maar zoals we weten doen de meeste burgers dat niet en we weten dat je ook maar één keer een foutje hoeft te maken en de versleuteling is niets meer waard. We brengen ons leven dus door, uitzonderingen daargelaten, in relatieve openbaarheid. Dat we ons daarvan niet bewust zijn komt omdat we de gluurders niet zien. Het derde wordt mooi samengevat door een man die internetbeveiliging bij een grote bank doet: mensen beseffen niet dat ze niet langer producten kopen, maar zelf het product zijn. [noot van de redactie: een vaak geciteerde bron van dit citaat is http://www. metafilter.com/95152/Userdriven-discontent#3256046]. Wij zijn dragers van informatie en die informatie kan waardevol zijn. Het ideaal is dat de mens doel is, maar het lijkt erop dat we een stukje de andere kant op zijn gegleden: we zijn meer en meer middel geworden.
“De nachtmerrie is niet: geen privacy. De nachtmerrie is: ongezien blijven”
de De kl a nt
3
Welke (ethische) risico’s zie jij bij het klakkeloos delen van persoonlijke informatie op sociale media? Die zijn hierboven al enigszins geschetst. Men vergeet nog altijd hoe makkelijk reputatieschade kan ontstaan en men lijkt ook niet te beseffen dat sociale media niet zo besloten zijn als een huiskamer of de toog van een kroeg. Maar, en dat heb ik ook als eens in de VPRO Gids geschreven: mensen vinden het minder erg om hun privacy op te geven én gezien te worden dan om niet gezien te worden en privacy te hebben. De nachtmerrie is niet: geen privacy. De nachtmerrie is: ongezien blijven. Het privacy-debat, voor zover het nog een debat is, gaat uit van de foute aanname dat iedereen op privacy zit te wachten. Dat valt wel mee. Vrees ik.
4
Bestaat privacy nog wel in onze huidige samenleving of is de geest uit de fles en krijgen we die er nooit meer in terug? Meer dan twee jaar geleden zei Rop Gonggrijp al: ‘Als je echt privacy wil, laat je telefoon thuis en ga wandelen in het Amsterdamse Bos.’ Dat is ook zo. Aan de andere kant, de stelling dat de overheid die niet weet waarnaar zij zoekt moeite heeft iets te vinden, is ook waar. We moeten van big data ook weer geen almachtmachines maken. Als je kijkt naar de advertenties die Google op je afstuurt, dan zie je dat het systeem toch nog wel erg ruw en ongenuanceerd werkt. Informatie verzamelen is een ding, informatie verwerken is iets heel anders. Ik denk juist omdat er zoveel unknown unknowns zijn om met Rumsfeld te spreken, niet alleen voor de leek maar zelfs voor de expert is mijn indruk, genereert cyberparanoia. Voor wie daarvoor gevoelig is. Zaak is om niet naïef te zijn maar ook om niet te vervallen in ziekelijke achtervolgingswaan. Ongemerkt een revolutie plannen is erg moeilijk, maar wie geen vijand van de staat is en bewust omgaat met sociale media e.d. kan rekenen op enige privacy. De duivel zit in die paar woorden ‘vijand van de staat’, want wie bepaalt wie de vijand van de staat is?
5
Wat zijn jouw denkbeelden over de nieuwe (Europese) wetgeving op het gebied van (het melden van) datalekken en gegevens-/privacybescherming? Volgens vrijwel alle experts die ik heb gesproken loopt de wetgeving achter de feiten aan en is die wetgeving op zijn best al verouderd als die geïmplementeerd wordt. Bovendien weet ik dat wetgeving geen problemen oplost, hooguit verplaatst.
© Boekface
Een debat over privacy zou moeten beginnen met de vraag wat privacy eigenlijk is. Wat zijn geheimen, wat mogen bedrijven van hun klanten weten, mogen ze die informatie doorverkopen, mag je zelf zeggen, in het kader van de vrije markt, mijn informatie is te koop? Nu lijkt het erop dat als we over privacy spreken iedereen het over iets anders heeft, een beetje zoals met liefde.
Madison Gurkha augustus 2015
13
Dit keer in rubriek De Hack vertelt security consultant Remco Sprooten uitgebreid over het misleiden c.q. ontduiken van virusdetectie.
de h ac k
Anti-virus is te
14
Madison Gurkha augustus 2015
de h ac k
eenvoudig omzeilen
Het doel van anti-virussoftware is het beschermen van computers en hun gebruikers tegen virussen en andere soorten malware. Het is alom bekend dat, in beginsel, elke computer voorzien moet zijn van een anti-virus oplossing. Natuurlijk zijn er meerdere manieren om een computer virusvrij te houden (geen internet, geen usb-sticks, volledig isoleren, etc). De anti-virussoftware is echter de meeste gebruikte oplossing. In de wereld van de penetratietester komt het regelmatig voor dat systemen aangevallen moeten worden waarop anti-virus aanwezig is. Welke middelen en technieken zijn er beschikbaar om hier langs te komen? Hoe werkt anti-virussoftware? Er zijn grofweg twee technieken te onderscheiden die gebruikt worden door anti-virusoplossingen voor de detectie van kwaadaardige programma’s: 1. Statische analyse. 2. Analyse op basis van gedrag, die op verschillende manier kan worden geïmplementeerd. Statische analyse Statische analyse (of signature analysis) is gebaseerd op het gebruik van blacklists. Dat wil zeggen dat er een lijst is van bekende kwaadaardige software. Wanneer er nieuwe kwaadaardige software wordt ontdekt, maken analisten hier een definitie (of handtekening) voor. Deze definitie kan worden gebaseerd op bepaalde gegevens of data in het betreffende stuk malware. Het is ook mogelijk dat de definitie niet bepaald wordt op basis van de inhoud van een kwaadaardig bestand maar op basis van patronen die vaak voorkomen in malware. We spreken dan van analyse op basis van heuristiek. Wanneer er data naar de harde schijf wordt geschreven (bijvoorbeeld bij het opslaan van een download of bijlage) dan wordt deze, door de anti-virusoplossing, vergeleken met de database van virusdefinities. Makers van anti-virus oplossingen onderhouden databases van dit soort virusdefinities. Deze definities komen in de vorm van periodieke updates terecht bij de gebruiker. Dit is de eenvoudigste manier om virussen te herkennen, en een manier die weinig foutgevoelig is.
In dit artikel worden een aantal technieken uiteengezet die antivirussoftwaremakers gebruiken om malafide software te detecteren en technieken die door aanvallers gebruikt worden om detectie te voorkomen.
Om statische analyse te kunnen omzeilen is het nodig om steeds nieuwe code te gebruiken of juist kleine stukken uit de code aan te passen zodat de signature niet meer overeenkomt. Hier wordt het direct duidelijk wat de kracht is van een polymorfisch virus. Deze virussen veranderen hun eigen code (vaak door het gebruik van encryptie) automatisch waardoor het onmogelijk is om één definitie vast te stellen dat alle versies van het virus kan herkennen. Analyse op basis van gedrag In dit geval zal de anti-virus oplossing code controleren op gedragingen waarvan bekend is dat deze vaak gebruikt worden door malware. De regels waarop detectie plaatsvindt, zijn niet publiek beschreven. Deze analyse kan plaatsvinden wanneer een programma wordt uitgevoerd (runtime analysis) of zonder dat de gebruiker dit door heeft in een virtuele omgeving (sandbox analysis). Het belangrijkste voordeel van analyse op
Madison Gurkha augustus 2015
15
de h ac k
basis van gedrag is dat het kan worden gebruikt om nieuwe vormen van malware te detecteren die nog niet voorkomen in de signature database. Het grootse nadeel van deze vorm van analyse is het risico op zogenaamde fout-positieven. Je weet tenslotte niets anders over het programma of bestand dan de (combinatie van) gedragingen die het schadelijk doen lijken. Laten we dat verduidelijken aan de hand van een voorbeeld. Veel malware zal na een infectie van het systeem andere bestanden downloaden. Ditzelfde gedag wordt ook vertoond door een browser. Na de installatie van bijvoorbeeld Firefox of Chrome zal deze primair andere bestanden (web pagina’s, plaatsjes en andere bestanden) downloaden. Wanneer een kwaadaardig programma zich dus kan voordoen alsof het een browser is, zal deze niet gedetecteerd worden. Andersom, wanneer een anti-virusoplossing niet accuraat genoeg is kan het zijn dat een legitieme browser wordt aangezien voor een virus. Een fout-positief kan vergaande gevolgen hebben. Een paar voorbeelden: • In april 2010 detecteerde McAfee VirusScan het bestand svchost. exe, in een bestand van Windows, als een virus op systemen draaiend op Windows XP met Service Pack 3. Dit had tot gevolg dat de computer moest herstarten en geen netwerktoegang meer had. • In december 2010 zorgde een update van AVG anti-virus ervoor dat 64 bit Windows 7 systemen niet meer konden opstarten. • In oktober 2011 verwijderde Microsoft Security Essentials (MSE) de browser van Google, Chrome. • In september 2012 verwijderde Sophos anti-virus verschillende belangrijke systeemonderdelen, waaronder haar eigen programma. • In februari 2015 zorgde Norton anti-virus ervoor dat Internet Explorer niet meer bruikbaar was op verschillende systemen. • En meest recent: in mei 2015 beschouwde Avast de browsers Chrome en Firefox alsook Microsoft Office als malware. Een fout-positief van de anti-virus kan dus grote gevolgen met zich mee brengen. Er zal dus vaak gekozen worden om technieken te gebruiken die zo min mogelijk fout-positieven opleveren.
initieel wordt aangemerkt als verdacht, kan deze worden opgestuurd naar een anti-virus maker waar vervolgens een uitgebreidere analyse plaatsvindt. Een voorbeeld hiervan is het Kaspersky Security Network (KSN). Het KSN maakt het mogelijk om analyse centraal in de cloud (om even een buzz-woord te gebruiken) te regelen, maar ook om snel van al zijn gebruikers informatie te verzamelen over wereldwijde infecties. De meeste anti-virus producenten beschikken inmiddels over vergelijkbare oplossingen. Dynamische analyse heeft een aantal beperkingen, waarvan de drie belangrijkste, dat wil zeggen degene die we kunnen uitbuiten, de volgende zijn: • Scans moeten initieel heel snel gebeuren. De eindgebruiker mag (of wil) niet merken dat een programma eerst in een virtuele omgeving wordt opgestart. • De virtuele omgeving is “niet echt”. Dat wil zeggen dat bepalende onderdelen (bestanden/mappen/processen) niet nagebootst kunnen worden. • Er zijn trucs om vast te stellen of een programma wordt uitgevoerd op een normale computer of in een virtuele omgeving. We leggen in de rest van dit artikel, aan de hand van praktische voorbeelden, uit hoe we deze beperkingen kunnen uitbuiten. AV-evasion: enkele simpele technieken Nu we weten hoe anti-virus producten detectie uitvoeren is de volgende vraag hoe we als aanvaller detectie kunnen voorkomen. We bespreken een aantal technieken. In de onderstaande voorbeelden zijn ook stukjes code opgenomen. Deze code is op zichzelf niet voldoende om een virusscanner te omzeilen maar zijn toegevoegd ter illustratie.
Voorbeeld 1: Gebruik 200 Megabyte aan geheugen Eerder gaven we aan dat de eindgebruiker niks mag merken van de anti-virus scans. Daarom zijn anti-virus producten gelimiteerd op de hoeveelheid code (en geheugen) die ze kunnen analyseren voordat de gebruiker een vertraging merkt. Zodoende is het mogelijk om detectie te kunnen voorkomen.
De makkelijkste manier om heuristische analyse te omzeilen is om ervoor te zorgen dat alle kwaadaardige code is verborgen. Code encryptie is de meest gebruikte methode hiervoor. Als vóór de ontcijfering van de malware geen functies worden aangeroepen die als gevaarlijk worden gezien, zal de malware niet worden gedetecteerd. Combinatie Tegenwoordig zullen de meeste anti-virus producten een dynamische aanpak prefereren waarbij meerder detectietechnieken worden gecombineerd. Wanneer een uitvoerbaar bestand wordt gedetecteerd, wordt deze – voor een korte tijd – uitgevoerd in een virtuele (sandbox) omgeving. Door dit te combineren met statische en heuristische analyse kan ook malware die gebruik maakt van encryptie om zichzelf te verbergen, opgespoord worden. Deze vorm van detectie hoeft niet altijd plaats te vinden op de computer van de gebruiker. Wanneer een bestand (of stuk code)
16
Madison Gurkha augustus 2015
In dit eerste voorbeeld maken we een programma dat eerst 200 Megabyte aan geheugen vraagt aan het systeem. Dit wordt vervolgens gevuld met waardes die niks betekenen en weer leeggemaakt. Het nadeel van deze methode is dat het opeens gebruik maken van zoveel geheugen relatief makkelijk te detecteren valt. We maken gebruik van Virustotal.com. Hier kan een bestand gescand worden door tientallen verschillende virusscanners. Tijdens het
de h ac k
Voorbeeld 3: Naam van het proces Wanneer het programma door de anti-virussoftware wordt opgestart in een virtuele omgeving is dit vaak merkbaar aan een aantal verschillende zaken. Deze maken het mogelijk om te detecteren of het programma op een echte computer draait of in een virtuele omgeving.
schijven van dit artikel werd dit voorbeeld herkend door 1 van de 57 virusscanners.
Een eenvoudig voorbeeld is dat wanneer een programma wordt uitgevoerd door een normale gebruiker, het programma altijd informatie ontvangt van de gebruiker. Of de gebruiker zich er nu wel of niet van bewust is: het eerste deel van die informatie is altijd de eigen bestandsnaam. In een virtuele omgeving (althans die van de antivirusoplossing) wordt het programma nooit echt opgestart en is deze informatie ook niet aanwezig.
(https://www.virustotal.com/en/file/21a10310e70790bf25379d7b0d7db35cdbfda6237da8010 a01075fe559879406/analysis/1431090915/ )
Voorbeeld 2: Voer twee miljard acties uit Vergelijkbaar met het vorige voorbeeld kunnen we ook ervoor zorgen dat de malware eerst erg lang bezig is met het uitvoeren van normale programmacode. De anti-virussoftware zal in de virtuele omgeving alleen maar niet-schadelijke acties kunnen uitvoeren.
In de bovenstaande code controleren we eerst of het eerste argument, ofwel de naam van het programma, gelijk is aan “isDitDeOrgineleNaam.exe”. Als dit niet het geval is wordt de malware niet ontsleuteld en uitgevoerd. Op Virtustotal.com werd dit voorbeeld door 0 van de 57 scanners opgemerkt. (https://www.virustotal.com/en/file/ed950a165c08f09301c975872d370b12d068fc7492a76454b81e545bd967d602/analysis/1431089828/)
In dit voorbeeld voeren we twee miljard keer een zogenaamde XOR-operatie uit. Welke operatie we uitvoeren maakt in wezen niet uit. Waar het hier om gaat is dat de processor gedurende meerdere seconden wordt beziggehouden. Uit experimenten blijkt dat tien seconden vaak al genoeg kan zijn om ervoor te zorgen dat de anti-virus niet verder kijkt naar het verloop van het programma. Dit voorbeeld werd op Virustotal.com nog herkend door 2 van de 57 virusscanners. Echter werden ze slechts als “verdacht” aangemerkt. In de praktijk zien we dat het uitvoeren van het bestand niet zal worden tegengehouden. We zouden tenslotte te maken kunnen hebben een fout-positief. Wanneer we hebben we het aantal “nutteloze” acties (de XOR of zelfs steeds opnieuw 1 plus 1) verhogen naar 10 miljard bereikten we detectieratio van 0 van de 57.
Complexere methoden Naast de beschreven voorbeelden zijn er nog tal van manieren om anti-virus oplossingen te omzeilen. Bijvoorbeeld: • Laat de malware een niet-bestaande webpagina opvragen. De virtuele omgeving van een anti-virus oplossing zal altijd een fictieve pagina weergeven. Ziet de code dus een pagina terug komen dan stopt de code met uitvoeren. • Anti-virus software zal in zijn virtuele omgeving zogenaamde “Sleep” commando’s overslaan om te zorgen dat er zo min mogelijk vertraging ontstaat. In je code kan je controleren of na bijvoorbeeld een “Sleep” van 10 seconden er ook echt 10 seconden voorbij zijn. • Door gebruik te maken van “code-injectie” kan programma A zijn code toevoegen aan programma B en vervolgens uitvoeren. Aangezien programma A al gestart is zal de anti-virus software deze niet zonder meer in de gaten blijven houden. Als aanvaller kan je dus kwaadaardige code injecteren in een bestaand en valide proces. De bovenstaande lijst is zeker niet compleet maar schetst hopelijk een beeld van de mogelijkheden die je als aanvaller hebt.
(https://www.virustotal.com/en/file/117e852f6ed043a1cdc483d4a8fdf030209815f22b9495ff9 19600a44035d33a/analysis/1432648610/)
Conclusie Met dit schrijven hebben we een blik geworpen op het misleiden c.q. ontduiken van virusdetectie. Sommige van de beschreven methoden werken momenteel nog bij veruit de meeste anti-virussoftware, maar professionele malware past ook andere methoden toe. Het is een katen-muisspel waarbij de muis vooralsnog in het voordeel is.
Madison Gurkha augustus 2015
17
Dit keer in de ITSX-rubriek vertelt Ivan Mercalina, senior IT security consultant bij ITSX, over de Baseline voor Informatiebeveiliging Waterschappen (BIWA).
ITSX
BIWA:
De nieuwe beveiligingsstandaard voor waterschappen “Ik kan nog niet helemaal overzien wat de impact zal zijn, maar laten we gewoon beginnen” sprak de manager. De Baseline voor Informatiebeveiliging Waterschappen (BIWA) is de nieuwe informatiebeveiligingsstandaard voor waterschappen. Dit roept veel vragen op. Hoever zijn we al? Waar te beginnen? Hoe krijgen ik mijn mensen mee? De waterschappen Aa en Maas, De Dommel en Brabantse Delta huurden een expert van ITSX in om de implementatie te begeleiden. In dit artikel vertelt Ivan Mercalina van ITSX, vanuit zijn toegewezen rol als Chief Information Security Officer (CISO) bij de drie waterschappen, hoe dit in zijn werk is gegaan en wat de resultaten tot nu toe zijn. Strategisch kader De Nederlandse waterschappen zijn reeds honderden jaren expert in het beheersen van risico’s en calamiteiten als het op water aankomt. De steeds grotere afhankelijkheid van informatiesystemen en informatiestromen brengt extra risico’s met zich mee. Betrouwbare, beschikbare en correcte informatie is nu eenmaal cruciaal voor de primaire processen en bedrijfsvoering van alle waterschappen. De scope van de BIWA omvat de bedrijfsfuncties, ondersteunende middelen en informatie van het waterschap in de meest brede zin van het woord. De BIWA is van toepassing op alle ruimten van een waterschaps-
18
Madison Gurkha augustus 2015
huis en aanverwante gebouwen. Alsmede op apparatuur die door waterschapsambtenaren gebruikt worden bij de uitoefening van hun taak op diverse locaties. De Baseline heeft betrekking op alle informatie die verwerkt wordt. Ook als informatiesystemen niet fysiek binnen het waterschap draaien of taken zijn uitbesteed aan derden is deze Baseline van toepassing. Kwartier maken In 2014 heeft Ivan Mercalina meegewerkt aan de uitvoer van een GAP-analyse bij verschillende waterschappen. Daarbij zijn beveiligingsrisico’s in kaart gebracht en ‘quick wins’ gedefinieerd. In april jl. is Ivan gestart als Chief Information Security Officer (CISO) bij de waterschappen Aa en Maas, De Dommel en Brabantse Delta. Het doel is drieledig: 1. Opzetten van een beveiligingsstructuur binnen de organisatie. 2. Begeleiden van de BIWA-implementatie. 3. Verhogen van de beveiligingsbewustwording onder de medewerkers.
Opzetten van een beveiligingsstructuur Als eerste wordt er een CISO aangesteld. De CISO rapporteert aan de directie. Hij bevordert en adviseert gevraagd en ongevraagd over de beveiliging van het waterschap, verzorgt rapportages over de status, controleert of met betrekking tot de beveiliging van het waterschap de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de informatiebeveiliging van het waterschap. Activiteiten voor informatiebeveiliging behoren te worden gecoördineerd door vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies. Deze vertegenwoordigers worden Operational Security Officers (OSO’s) genoemd en vallen onder de CISO. De OSO’s voeren de classificatie uit van data binnen hun afdeling. In samenwerking met de CISO voeren de OSO’s risicoanalyses uit op de data en de processen. Indien het risico hoger uitvalt dan
IT SX
Verantwoord en bewust gedrag van mensen is cruciaal voor een goede informatiebeveiliging
de risk appetite van de waterschap, wordt er een verbeterprogramma gestart. Bij het opzetten van een verbeterprogramma wordt rekening gehouden met de borging van de oplossing. De verbeterprogramma’s worden begeleid door de CISO. Begeleiden van de BIWA-implementatie De BIWA-implementatie wordt niet gezien als een project met begin en einde, maar als een continu proces. Voor een correcte implementatie worden onder meer de volgende processen ingeregeld: • Identificatie en classificatie van alle aanwezige data. • Risicoanalyse voor het identificeren en beheren van risico’s. • Verbeterprogramma’s voor het verkleinen van te grote risico’s. • P&C-cyclus met jaarlijkse evaluatie. Het is de rol van de CISO om deze processen in te richten volgens erkende standaarden. De OSO’s hebben een training gekregen in de omgang met deze processen en kunnen de uitvoer van de verbeterprogramma’s eventueel delegeren naar anderen. De eerste verbeterprogramma’s op basis van de geïdentificeerde ‘quick wins’ zijn reeds gestart. Verhogen van de beveiligingsbewustwording onder de medewerkers Verantwoord en bewust gedrag van mensen
is cruciaal voor een goede informatiebeveiliging. Het is de bedoeling dat alle werknemers, ingehuurd personeel en externe gebruikers zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te ondersteunen en het risico van een menselijke fout te verminderen. Om dit te bewerkstelligen wordt een maatwerk bewustwordingscampagne opgezet. De drie waterschappen zijn in korte tijd al ver gekomen. Dit komt vooral door hun pragmatische inslag, zoals het citaat van de manager aan het begin van dit stuk al aangeeft. De beveiligingsstructuur staat en het beveiligingsbeleid is bijna overal door de directie geaccepteerd. De meeste OSO’s hebben al een training gehad en zijn nu zelf in staat om hun data te classificeren, risico’s te onderkennen en verbeterprogramma’s te starten. Hiermee zijn belangrijke stappen gezet naar het verder optimaliseren van de primaire activiteiten van de waterschappen waarmee de kwaliteit van dienstverlening kan worden geborgd.
i
T
S
X
Meer over Privacy, Governance & Risk Management tijdens Infosecurity.nl Zoals u eerder heeft kunnen lezen in deze Update zijn ITSX en Madison Gurkha aanwezig als exposant tijdens de vakbeurs Infosecurity.nl op 4 en 5 november a.s. in de Jaarbeurs Utrecht. ITSX zal op beide beursdagen van 11.45 uur tot 12.15 uur een casestudy verzorgen binnen het beursthema Privacy, Governance & Risk Management. Hierbij zullen we ingaan op risicoanalyses en hoe deze, samen met dataclassificatie, hun plaats hebben in de BIR, BIWA, BIG, NEN7510 en ISO27001. De wet op de meldplicht datalekken zal hierbij als voorbeeld case worden gehanteerd, om zo duidelijk te maken welke verplichtingen en risico’s deze nieuwe wet met zich meebrengt. Het belooft een interessante sessie te worden waarvoor wij u graag uitnodigen. Vanaf 1 september a.s. kunt u zich registreren voor gratis toegang tot de beurs en de verschillende casestudies. Graag tot ziens!
Madison Gurkha augustus 2015
19
Hands-on Hacking
From XSS to Domain Admin Wat als een hacker ‘Domain Admin’-rechten krijgt op het interne domein van uw organisatie? Kruip in de huid van een (ethical) hacker en ga zelf aan de slag om te zien hoe een geavanceerde aanval uitgevoerd kan worden.
P K IN G W O R K S H O C A H N -O S D N A H is beperkt ! plaatsen antal A
Wat biedt deze workshop u? De security consultants van Madison Gurkha beschikken over veel kennis en ervaring op het gebied van technische IT-beveiliging. Deze kennis delen we graag met u. Dit doen we onder andere door het verzorgen van hands-on hacking workshops waarbij u zelf aan de slag gaat. U leert op een interactieve en leuke manier: • Het gevaar van kwetsbaarheden beter in te schatten. • Wat de risico’s zijn, zodat u zich beter hiertegen kunt wapenen. • Hoe u zelf een aanval kunt uitvoeren en daarmee inziet hoe snel en relatief eenvoudig een hacker misbruik kan maken van kwetsbaarheden.
Programma Tijdens de workshop “From XSS to Domain Admin” leggen we uit hoe een XSS-kwetsbaarheid gebruikt kan worden om domain admin-rechten te krijgen. Onder begeleiding van ervaren security consultants leert u hands-on welke stappen er nodig zijn om deze aanval zelf uit te voeren en u krijgt daarbij handige tips en trucs. Om deel te nemen aan de workshop is het handig, maar niet noodzakelijk, enige kennis te hebben van de meest voorkomende IT-beveiligingsrisico’s waaronder Cross Site Scripting (XSS). U heeft geen diepgaande IT-beveiligingskennis nodig. Na inschrijving ontvangt u de nodige instructies per mail om succesvol deel te kunnen nemen aan de workshop.
Omdat er ruimte is voor maximaal 15 deelnemers per workshop, raden wij u aan er snel bij te zijn. Inschrijving vindt plaats op volgorde van aanmelding waarbij geldt vol=vol. Op www.madison-gurkha.com vindt u de link naar het online inschrijfformulier.
organisatie Your Security is Our Business
Locatie Kantoor Madison Gurkha Vestdijk 59 te Eindhoven
Datum 8 oktober 2015
Tijdstip De workshop wordt op deze dag tweemaal aangeboden. U kunt kiezen voor de ochtendsessie van 09.00 - 12.00 uur of voor de middagsessie van 13.00 - 16.00 uur.
Deelnametarief Inschrijven kan door gebruik te maken van het online schrijfformulier op onze website. U kunt ook een mail sturen met daarin uw gegevens naar handsonhacking@congres4u. nl.* De kosten voor deelname bedragen € 100,- incl. documentatie en catering. *Geef a.u.b. aan of u voorkeur heeft voor de ochtend- of middagsessie.