Your Security is Our Business
18
april 2013
u p d a t e DE COLUMN
2
Hans Van de Looy
HET NIEUWS
3
• Overheid & ICT vakbeurs • Forensische expertise • Vacatures • Agenda
Het event
4
Black Hat Sessions Part XI: Cyber…Security – 14 mei 2013
het inzicht
6
Het curieuze geval “42.0.20.80” door Matthijs Koot
HET INTERVIEW
8
Wim Verloop, Digital Investigation B.V.
DE HACK
10
Johan van Selst over de actuele ontwikkelingen rondom SSL
DE KLANT
11
Michael Wijnakker en Gerrit Berkouwer van het ministerie van Algemene Zaken
Nog een paar weken en dan gaat de Black Hat Sessions Part XI: Cyber..Security van start. Meld u snel aan met de relatiekortingscode op pagina 4
In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer een technische column door Hans Van de Looy.
de column
“Medium ciphersuites” voor het beschermen van financiële of medische informatie?
Geen goed idee Een van de belangrijkste problemen waar we toch alweer een tijdje mee worstelen zijn de zwakheden die zijn vastgesteld in TLSv1.0. Dit cryptografische protocol dat ondermeer gebruikt wordt voor de beveiliging van webverkeer heeft de afgelopen jaren al verschillende scheuren opgelopen. Ik denk daarbij aan aanvallen als BEAST, CRIME, Lucky 13 en onveilige ‘renegotiation’. Voor al deze aanvallen zijn weliswaar mitigerende maatregelen beschikbaar, maar geen daarvan zijn werkelijke oplossingen: het blijven lapmiddelen. Om een aanval als BEAST tegen te gaan moeten we zelfs een redelijk bejaarde ‘stream cipher’ accepteren (RC4), en juist bij dit ‘cipher’ is in maart een zodanige zwakheid blootgelegd dat het nu tijd wordt om de problemen werkelijk op te lossen. En er zijn oplossingen beschikbaar: één daarvan is TLSv1.2. In augustus 2008 is dit protocol vastgelegd in RFC 5246. In maart 2011 is het verder gespecificeerd in RFC 6176. Helaas wordt het overgrote merendeel van het huidige webverkeer beschermd door SSLv3 of TLSv1.0. TLSv1.2 wordt slechts door ongeveer 12% van alle websites ondersteund. Het is nog erger als we kijken naar de bekende browsers. Hoewel alle recente browsers TLSv1.0 ondersteunen, worden TLSv1.1 en 1.2 standaard uitsluitend door Safari 5 op iOS ondersteund. Chrome ondersteunt TLSv1.1 vanaf versie 22 en IE 8-10 (op Windows 7 of Windows 8) en Opera 10-12 (Linux, Mac OSX, Windows) ondersteunen TLSv1.1 als 1.2 wel, maar standaard staat deze ondersteuning uitgeschakeld. Firefox en Safari op Mac OSX ondersteunen alleen TLSv1.0.
Het wordt dus tijd dat we webservers inrichten waarbij gebruik gemaakt wordt van TLSv1.2 en dat leveranciers van webbrowsers de ondersteuning van TLSv1.1 en 1.2 standaard gaan ondersteunen, want hoewel RC4 nog niet volledig gebroken is zijn de aangetoonde scheuren zodanig dat we echt af moeten van het ondersteunen van ‘medium cipher suites’ voor het beschermen van medische, financiële en andere vertrouwelijke persoonlijke gegevens. Voor meer informatie over deze materie verwijs ik u graag naar de rubriek ‘De Hack’ elders in deze Update. Natuurlijk hoop ik u allen te ontmoeten tijdens de Black Hat Sessions in Ede op 14 mei aanstaande of tijdens OHM 2013 deze zomer in de buurt van Geesterambacht om eens verder te filosoferen over deze en andere vraagstukken. Rest me u veel plezier te wensen bij het lezen van deze Update. Hans Van de Looy Partner, Principal Security Consultant
het colo f on Redactie Daniël Dragicˇevic´ Laurens Houben Remco Huisman Frans Kollée Matthijs Koot Maayke van Remmen Ward Wouts
2
Madison Gurkha april 2013
Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan
Contactgegevens Madison Gurkha B.V. Postbus 2216 5600 CE Eindhoven Nederland
T +31 40 2377990 F +31 40 2371699 E
[email protected]
Bezoekadres Vestdijk 9 5611 CA Eindhoven Nederland
Redactie
[email protected]
Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.
In ‘Het Nieuws’ belichten we nieuwe ontwikkelingen in de IT-beveiligingswereld en rondom Madison Gurkha.
het nieuws
In de Madison Gurkha Update presenteren wij een lijst met interessante bijeenkomsten die de komende tijd zullen plaatsvinden.
VAKBEURS OVERHEID & ICT 2013
23 – 25 april 2013
Overheid & ICT Jaarbeurs Utrecht http://www.overheid-en-ict.nl/ Overheid & ICT is hét platform voor ICT-toepassingen en –diensten voor de overheid. U bent van harte welkom op onze stand B095. Wij zullen u op een interactieve manier kennis laten maken met onze zeer complexe en snel veranderende vakgebied. Meer over onze deelname aan de Overheid & ICT vakbeurs leest u hiernaast.
Madison Gurkha en ITSX zijn dit jaar aanwezig met een beursstand op Overheid & ICT, het platform voor ICT-toepassingen en -diensten voor de overheid. U bent van harte welkom op onze stand B095. Wij zullen u op een interactieve manier kennis laten maken met onze zeer complexe en snel veranderende vakgebied. Wij hebben de volgende presentaties / demo voor u in petto: t t t
DigiD Audit Procedureel Code voor informatiebeveiliging: ISO 27000 / 27001 Live Hacking Demo
Op onze website vindt u meer informatie over het beursprogramma en de bijbehorende tijdslots. Hier kunt u zich ook meteen registreren voor uw gratis toegangsbewijs.
14 mei 2013
Black Hat Sessions XI
©VNU Exhibitions Europe, Vakbeurs overheid & ICT 2012
Graag tot ziens op 23/24/25 april 2013 in de Jaarbeurs Utrecht
VACATURES Madison Gurkha is een van de meest toonaangevende en gespecialiseerde IT-beveiligingsbedrijven in Nederland. Het is de ervaring, kennis en kunde van onze consultants die bepalend is voor kwaliteit en onontbeerlijk is in ons vakgebied. Waar tools stoppen gaan wij verder!
t t t
Door onze aanhoudende groei zijn wij opzoek naar: Security Consultants (SC) Senior Security Consultants (SSC) Junior Security Consultants (JSC) Kijk voor meer informatie over de verschillende vacatures op onze website.
Ag enda
De Reehorst Ede, Nederland http://www.blackhatsessions.com/ Deze elfde editie van de Black Hat Sessions wordt georganiseerd door Madison Gurkha en staat in het teken van Cyber Security en alles wat daarmee te maken heeft zoals CyberCrime, CyberTerrorisme, CyberWarfare. Meer over de Black Hat Sessions Part XI leest u in deze Update. 31 juli 2013 t/m 4 augustus 2013
Observe. Hack. Make.
Geestmerambacht, Noord Holland OHM2013 is een internationale conferentie met als onderwerp technologie en beveiliging in een bijzondere vorm. Madison Gurkha is sponsor van deze zevende editie in een reeks van legendarische hackerbijeenkomsten.
Forensische expertise Ondanks alle inspanningen om IT-beveiligingsrisico’s te identificeren, verminderen en voorkomen, is het nooit helemaal uit te sluiten dat er toch een (poging tot) digitale inbraak of vandalisme plaats vindt. Maar wie is een betrouwbare partner bij een dergelijke crisissituatie? Om u een compleet dienstenpakket aan te bieden werkt Madison Gurkha samen met met digitaal forensisch onderzoeksbureau Digital Investigation B.V. Elders in deze update leest u een uitgebreid interview met Wim Verloop, directeur van Digital Investigation B.V.
Madison Gurkha april 2013
3
Dit jaar organiseert Madison Gurkha alweer de 11e editie van de inmiddels befaamde Black Hat Sessions.
het e v ent
14 mei 2013, De Reehorst Ede
Black Hat Sessions Part XI
Cyber…Security
Het woord ‘cyber’ kent nogal wat achtervoegsels, waarmee zaken uit het echte leven te verplaatsen zijn naar de digitale wereld. Denk bijvoorbeeld aan cyberpesten, cybersex, cyberpunk en meer on-topic voor de Black Hat Sessions vooral ook aan cyberwarfare, cyberterrorisme en cybercrime. Wat als een aanvaller via het internet sluizen kan bedienen en gebieden onder water kan zetten? Wat als iemand onze drinkwatervoorziening kan manipuleren? Of onze gas- en elektriciteitstoevoer weet te saboteren? We denken er liever niet aan, en voor velen klinkt het nog theoretisch. Maar uit bekende incidenten, onder andere in het MiddenOosten, en uit voortschrijdende technieken en methoden voor cyberaanvallen wordt duidelijk dat veilig gebruik van IT een belangrijke voorwaarde is voor maatschappelijke veiligheid. Om u meer kennis te geven over het onderwerp dat de gemoederen erg bezig houdt, heeft Madison Gurkha voor de Black Hat Sessions Part XI: Cyber…Security een interessant programma opgesteld met inspirerende sprekers. Of zij nu concreet betrokken zijn bij cybercrimebestrijding dan wel bij het verkrijgen van inzicht over de werkwijze van cybercriminelen: het sprekersprogramma is samengesteld uit prominenten die op een of andere manier betrokken zijn bij cybercrime – of bij cyberwarfare.
Meld u aan als relatie van Madison Gurkha De kosten voor deelname bedragen 265 euro excl. BTW per persoon. Documentatie en een uitgebreide lunch inbegrepen. Uiteraard geldt ook dit jaar voor alle relaties van Madison Gurkha een korting van 35 euro. Zo betaalt u dus maar 230 euro excl. BTW
4
Madison Gurkha april 2013
per persoon. Via het inschrijfformulier op de website www.blackhatsessions.com kunt u zich aanmelden als Deelnemer en hier de kortingscode BHSMG-14m opgeven. De korting wordt tijdens het afrekenproces automatisch verwerkt. Voor studenten hebben wij een speciaal tarief van 55 euro mogelijk weten te maken.
Meld u aan als relatie van Madison Gurkha en ontvang 35 euro korting op de reguliere deelnemersprijs. Vul de kortingscode BHSMG-14m in bij uw onlineinschrijving en de korting wordt direct verrekend!
het event
programma 08:30 uur Ontvangst en registratie 09:25 uur Opening door de dagvoorzitter 09:30 uur Keynote: All you wanted to know about the Pobelka Botnet but were afraid to ask Wim Verloop, Managing Partner & Senior Forensic Analist, Digital Investigation B.V. Het Pobelka botnet verzamelde gedurende geheel 2012 gegevens van zoveel mogelijk organisaties en Nederlanders. Dit resulteerde in een database van 750GB met gevoelige informatie over organisaties en individuen. Het botnet is wel opgeruimd, maar wat kunnen kwaadwillenwerp den met de reeds verzamelde informatie? Digital onder ijzigd Investigation is nauw betrokken geweest bij de gew opsporing en ontmanteling van dit botnet. Tijdens deze keynote geeft Wim Verloop een uitgebreide beschrijving van deze aanval op de Nederlandse samenleving. Er is al aardig wat bekend over deze aanval, maar heel veel ook nog niet. 10:20 uur Onderweg naar een open, veilige en betrouwbare digitale samenleving Gerben Klein Baltink, Secretaris Cyber Security Raad De Cyber Security Raad voorziet de Nederlandse overheid gevraagd en ongevraagd van advies over relevante ontwikkelingen op het gebied van digitale veiligheid. Gerben Klein Baltink zal in zijn presentatie ingaan op het (economisch) belang van een goed functionerende digitale omgeving, de dreigingen die we ondervinden en de noodzaak om een balans te vinden tussen openheid en veiligheid. 11:15 uur Koffiepauze / Informatiemarkt 11:45 uur Cyber operations, will it change future warfare? Hans Folmer, Commandant Taskforce Cyber van Defensie De komende jaren versterkt het Ministerie van Defensie haar digitale weerbaarheid en ontwikkelt zij het militaire vermogen om cyberoperaties uit te voeren. De Defensie Cyber Strategie geeft daaraan richting, samenhang en focus. ‘Cyberkolonel’ Hans Folmer, Commandant Taskforce Cyber bij de Defensiestaf, zal ingaan op de cyberuitdagingen waarvoor Defensie zich gesteld ziet. Wat zijn de cybertaken van Defensie? Is Defensie de nationale firewall? Hoe zien de defensieve taken eruit en hoe de offensieve? Voor welke morele dilemma’s komen we te staan en hoe gaan we die overwinnen? Op deze en andere vragen zal Hans Folmer een antwoord geven tijdens zijn presentatie.
12:30 uur Lunch / informatiemarkt 13:30 uur If you generate 3-4% of all global traffic, how do you handle abuse? Alex de Joode, Senior Regulatory Counsel and Liaison Officer, LeaseWeb What do you need to become a good netizen? How do you ensure abuse is handled in a timely fashion and what programmes has LeaseWeb developt to fight cybercrime? This presentation will give you an insight on how one of the largest self-managed dedicated hosting companies on a daily basis fights cybercrime in all it’s facets. 14:20 uur The black with blue and gold hat session Eileen Monsma, Advisor, Poltie - Team High Tech Crime Gedurende deze presentatie wordt het publiek meegenomen in de wereld van het Team High Tech Crime van de politie. Gewapend met hoogwaardige expertise zet het team zich in voor de bestrijding van de meest ondermijnende in innovatieve vormen van cybercrime. Er wordt fors uitgebreid, maar uit zichtbare dreigingen blijkt dat black hats nog minder om capaciteit verlegen zitten en doelwitten voor het uitkiezen hebben. Welke ontwikkelingen zien we in de cyber underground? Welk recherchewerk gaat schuil achter grote incidenten? En hoe kunnen we onze krachten nog beter bundelen om Nederland onaantrekkelijk te maken voor cybercriminelen? 15:15 uur Koffiepauze / Informatiemarkt 15:45 uur Gebruik de (criminele) hacker. Zij bepalen jouw toekomst Rickey Gevers Het hacken van allerlei computers op Universiteiten was een leuk tijdverdrijf, totdat Rickey in 2008 werd opgepakt voor een hack bij een Amerikaanse Universiteit in Michigan en uiteindelijk in 2011 werd veroordeeld. Rickey zal in zijn presentatie uitgebreid ingaan op wat hij heeft meegemaakt, hoe hij aankijkt tegen de Nederlandse hackerwereld en hoe we met veroordeelde hackers om zouden moeten gaan. 16:35 uur Afsluiting door de dagvoorzitter 16:40 uur Borreluur / Informatiemarkt
Sponsors & media partners
Madison Gurkha april 2013
5
In de rubriek “Het Inzicht” stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Deze keer geeft Matthijs Koot meer inzicht in het curieuze geval “42.0.20.80”.
het In z icht
Het curieuze geval “42.0.20.80” Een Google-domein dat naar een Chinees IP-adres wordt vertaald? Google zal beslist geen IP-adresruimte gebruiken die zij niet zelf onder beheer heeft; zelfs niet voor www.google.cn, laat staan www.google.com.
Drogdenken Mijn brein associeert “Guangdong” met digitale shennanigans, en “China Telecom” met de claim in het Mandiant APT1-rapport dat China Telecom “provided special fiber optic communications infrastructure for [Unit 61398] in the name of national defense.” (“Unit 61398” wordt aangewezen als vermoedelijke bron van een lange reeks serieuze spionageactiviteiten.) Maar goed, dat is drogdenken (affirmation of the consequence), en ik moet me bij de feiten houden.
Deze keer een Inzicht op het snijvlak van technologie en, vooruit, internationale betrekkingen. Een vriend vertelde me vorig jaar dat zijn computer, een MacBook, al langere tijd af en toe niet leek te kunnen verbinden met Google. In december was ik bij hem op bezoek, en deed het probleem zich opnieuw voor. Ik kroop achter zijn systeem, startte tcpdump en probeerde www.google.com te openen in Firefox. In het opgevangen netwerkverkeer zag ik SYN-pakketten naar TCPpoort 80 en TCP-poort 443 op het IP-adres 42.0.20.80. Die pakketten werden beantwoord met RST-pakketten: geen gehoor, dus. Een WHOIS-query geeft de volgende informatie bij 42.0.20.80: inetum 42.0.16.0 – 42.0.23.255 netname CHINANET-GD descr CHINANET Guangdong province network descr Data Communication Division descr China Telecom country CN admin-c CH93-AP tech-c IC83-AP status ALLOCATED PORTABLE remarks service provider mnt-by APNIC-HM mnt-lower MAINT-CHINANET-GD mnt-irt IRT-CHINANET-CN source APNIC
6
Madison Gurkha april 2013
Om uit te sluiten dat het probleem alleen in de computer van mijn vriend zat verbond ik mijn eigen laptop met zijn netwerk en draaide “host –t www.google.com”. Opnieuw luidde het antwoord “www.google.com has address 42.0.20.80”. Vervolgens zocht ik via een zoekmachine naar “42.0.20.80”. Uit de zoekresultaten blijkt dat dat IP-adres sinds ten minste 2009 wordt geassocieerd met verbindingsproblemen bij meerdere Google-domeinen, waaronder www.google.com, talk.google.com, dl-ssl.google. com, v8.lscache4.c.youtube.com en www.picasaweb.google.com. Hoewel ik eigenlijk eerst nog andere tests moest uitvoeren, besloot ik op Twitter te vragen: What’s up with @Google domains incidentally resolving to 42.0.20.80, owned by China Telecom (Guangdong)? Is that bonafide? Daarop antwoordde @Yafsec (Edwin van Andel) het volgende: @mrkoot If the resolver uses gethostbyname, it expects ipv4. When on ipv6 it apparently uses the first 4 bytes of the ipv6 address as ipv4. Uit “host -t aaaa www.google.com” wordt duidelijk dat er een IPv6 adres aan dat domein is gekoppeld: “www.google.com has IPv6 address 2a00:1450:4013:c00::63”. En zie daar: de eerste vier bytes “2a00:1450” zijn de hexadecimale notatie van 42.0.20.80. Eureka!
het Inz icht
Bij verder testen merkte ik dat op zowel mijn eigen systeem als het systeem van mijn vriend, het domein www.google.com soms werd vertaald naar 42.0.20.80, en soms naar een correct IPv4-adres van Google. Deze wispelturigheid bleek echter te omzeilen door niet www. google.com te gebruiken, maar ipv6.l.google.com, een domein waaraan geen IPv4-adres is gekoppeld, maar uitsluitend een IPv6-adres.
Om die laatste vraag te beantwoorden heb ik gekeken naar de top 1000 meestbezochte websites volgens Google’s “doubleclick adplanner”2 en naar de lijst van 2000 Nederlandse websites die ik in oktober 2012 heb gebruikt bij een onderzoekje naar third-party content op Nederlandse websites3. Dat levert leuke feitjes op: zie de tabel hieronder voor een selectie daarvan.
Probleem ligt bij Conceptronic -router
De resultaten laten zien dat het fenomeen verschillende kanten op werkt: gebruikers van Google kunnen uitkomen op een Chinees IP-adres, maar omgekeerd kunnen bezoekers van de website van Huawei, de Chinese telecomfabrikant die door Amerikanen wel eens is beschuldigd van spionage, terechtkomen op een Amerikaans IPadres. De tabel laat zo diverse internationale dwarsverbanden zien.
Het probleem kon als volgt worden gereproduceerd vanaf elke computer die via die router met internet werd verbonden. Eerst moet een IPv4-lookup worden uitgevoerd op dat domein: “host -t a ipv6.l.google.com”. Dat resulteert in de melding “ipv6.I.google. com has no A record”. Daarna moet een IPv6-lookup worden gedaan: “host -t aaaa ipv6.l.google.com”. Dat resulteert in de melding “ipv6.l.google.com has IPv6 address 2a00:1450:400c:c05::68”. Tenslotte moet de IPv4-lookup opnieuw worden uitgevoerd. Dat resulteert nu in de melding “ipv6.l.google.com has address 42.0.20.80”. Duidelijk was dat de fout waarschijnlijk ligt in de router van mijn vriend: een Conceptronic C54APRB2+ met firmware uit 2008 (er is geen update beschikbaar). Dit verhaal heb ik eerder op mijn persoonlijke blog gepubliceerd1. In een reactie werd gesuggereerd dat het probleem zou kunnen liggen in dproxy-ngen, dat volgens de indiener van de reactie vaak wordt gebruikt in oude DSL modems. Die software blijkt inderdaad te draaien op de Conceptronic-router: de ‘root cause’ lijkt gevonden.
Vragen stellen Maar nu is de vraag: hoeveel (thuis)routers vertonen dit gedrag momenteel, wereldwijd? Is het aantrekkelijk voor “de Chinezen” om dit gedrag te misbruiken, bijvoorbeeld door op 42.0.20.80, indien een inkomende verbinding afkomstig is vanaf “interessante” Westerse IP-adresruimte, nepversies van diverse Google-websites aan te bieden om daarmee credentials te onderscheppen en/of computers te besmetten met malware? En: naar welk IPv4-adres vertalen de eerste 4 bytes van IPv6-adresruimte van andere domeinen dan die van Google?
Brakke router Ik acht het zeer onwaarschijnlijk dat landen werkelijk misbruik maken van deze situatie om elkaar te besmetten: het is een eigenaardig fenomeen dat aan het verdwijnen is omdat oude routers worden vervangen door nieuwe die de bug niet bevatten. Mocht u zich toch zorgen maken, doorloop de controlestappen: 1. host -t a ipv6.l.google.com 2. host -t aaaa ipv6.l.google.com 3. host -t a ipv6.l.google.com Als bij stap 3 “42.0.20.80” in de uitkomst staat, heeft u een brakke router. En dan is hier een workaround: stel op uw computer een externe DNS-server in, bijvoorbeeld die van uw ISP. De bug treedt alleen op wanneer uw router zélf als DNS-server staat ingesteld (de standaardinstelling). Werkelijk, het internet is nog net zo’n avontuur als ik me herinner van mijn tienerjaren.
1 http://blog.cyberwar.nl/2012/12/the-curious-case-of-4202080.html 2 http://www.google.com/adplanner/static/top1000/ 3 http://www.nu.nl/internet/2947863/overheidssites-sturen-gegevens-derden.html
Domeinnaam
Toelichting
IPv6-adres
IPv4-misinterpretatie IPv4-geolocatie
www.huawei.com www.facebook.com www.yahoo.com www.bt.com www.europa.eu www.att.com www.yandex.ru www.netflix.com www.ocn.ne.jp www.uol.com.br www.free.fr www.t-online.de www.usps.com www.elmundo.es www.drugs.com www.seznam.cz www.sapo.pt
Chinese telecomfabrikant Facebook Yahoo British Telecom Officiële website van EU Amerikaanse telco Russische zoekmachine VS, video-on-demand Japanse ISP Braziliaanse ISP Franse ISP Duitse ISP Amerikaanse postdienst Spaanse krant Amerikaanse medische encyclopedie Tsjechische zoekmachine Portugese ISP en zoekmachine
2001:450:2002:384::40d6:ce0a 2a03:2880:10:1f02:face:b00c::8 2a00:1288:f006:1fe::3000 2a00:2381:ffff::1 2a01:e0b:1:143:62eb:69ff:fe8f:16e6 2a02:26f0:32:2:9800::90e 2a02:6b8::3 2a01:578:3::b022:b932 2001:380:516:4900::1:1 2804:49c:319:430::100 2a01:e0c:1:1599::1 2003:2:4:164:217:6:164:162 2a02:26f0:32:2:8d00::1387 2001:67c:2294:1000::f199 2a02:26f0:32:2:9800::19b8 2a02:598:1::3 2001:8a0:2104:ff:213:13:146:140
32.1.69.2 42.3.40.128 42.0.18.136 42.0.35.129 42.1.224.177 42.2.38.240 42.2.107.131 42.1.87.131 32.1.56.5 40.4.73.195 42.1.224.193 32.3.36.22 42.2.38.240 32.1.103.194 42.2.38.240 42.2.89.129 32.1.138.2
VS Hongkong China China China Hongkong Hongkong Vietnam VS VS China VS Hongkong VS Hongkong Hongkong VS
Madison Gurkha april 2013
7
Madison Gurkha interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld. Deze keer een interview met Wim Verloop, directeur van Digital Investigation B.V.
het interview
Ondanks alle inspanningen om IT-beveiligingsrisico’s te identificeren, verminderen en voorkomen, is het nooit helemaal uit te sluiten, dat er toch een (poging tot) digitale inbraak of vandalisme plaats vindt. Om u een compleet dienstenpakket aan te bieden werkt Madison Gurkha samen met Digital Investigation B.V. Het forensisch ICT onderzoek wordt verricht door een team bestaande uit 10 gedreven en gecertificeerde forensische professionals, met Wim Verloop aan het roer. Wanneer is Digital Investigation opgericht en hoe heeft het bedrijf zich tot op heden ontwikkeld? Digital Investigation is in 2006 ontstaan en heeft zich in de eerste jaren voornamelijk op de internationale markt gericht. Dit als een direct gevolg van de samenwerking met Jess Garcia die is ontstaan tijdens bijeenkomsten en trainingen van het SANS Institute waar ik in 2006 twee forensische opleidingen heb gevolgd. Ik ben met Jess de halve wereld over geweest en heb daardoor veel praktijkervaring kunnen opdoen in grote forensische onderzoeken, e-discovery projecten en incident response activiteiten. We werkten in die tijd voor een aantal grote Amerikaanse advocatenkantoren, voor banken, verzekeringsmaatschappijen en multinationals. De werkwijze van Jess ligt op heel hoog niveau, het was in het begin dan ook echt aanpoten om alles precies te laten lopen zoals Jess eiste. Het is een geweldige, intensieve en leerzame ervaring geweest waarbij ook vreselijk gelachen is. Vanaf 2008 ben ik me gaan richten op de Nederlandse markt en kreeg daar eigenlijk vrij makkelijk toegang toe. In 2009 heb ik de stap gewaagd om mensen in dienst te gaan nemen, resulterend in een club van 10 man op het moment van schrijven. Het is hard gegaan!
8
Madison Gurkha april 2013
Wat zijn de belangrijkste diensten die Digital Investigation levert en aan wat soort klanten? Wij leveren voornamelijk digitaal forensisch onderzoek en incident response aan eigenlijk allerlei soorten bedrijven en instellingen. Als ik naar ons klantenbestand kijk zie ik daarin niet direct een zwaartepunt in een bepaalde sector en is dus eigenlijk heel breed wat dat betreft. Daarnaast ben ik sinds 2008 Gerechtelijk Deskundige en word in die hoedanigheid ook regelmatig betrokken bij strafzaken via Rechtbanken en Gerechtshoven waarbij digitale gegevens een cruciale rol spelen. Dit zijn eigenlijk altijd wel bijzondere zaken die de nodige technische uitdagingen vormen maar geweldig zijn om te doen. We geven ook steeds vaker trainingen omdat het onderwerp Cybercrime op dit moment de gemoederen erg bezig houdt en men blijkbaar behoefte heeft aan kennis. De laatste ontwikkelingen is dat wij ook Legal Services aanbieden op het gebied van civielrechtelijke zaken. Dit betreft vooral het doen van vorderingen op personen of organisaties voor en namens klanten. Hoe vullen de diensten van Digital Investigation en Madison Gurkha elkaar aan? Digital Investigation biedt hoofdzakelijk reactieve dienstverlening, daarbij rijst vaak de
CV 2007-heden Senior Forensic Analyst Digital Investigation en One eSecurity 2008 Gerechtelijk Deskundige 2006 Certificering als GIAC Certified Forensic Analist via het SANS Instituut 1994 – 2007 Manager Information Systems Nederlandse Omroep Stichting 1985 – 1993 Studie Informatica aan de Vrije Universiteit Amsterdam
het interview
vraag: hoe had dit incident nou voorkomen kunnen worden? Het beantwoorden van die vraag in een bredere context dan het incident of het onderzoek is vaak erg belangrijk voor de klant. Daarin is Madison Gurkha de perfecte aanvulling op het dienstenpakket van Digital Investigation. Andersom werkt het overigens ook: als klanten een incident hebben en Madison Gurkha wordt benaderd voor ondersteuning, kunnen wij in actie komen. 24x7 in heel Europa en daarbuiten. Rickey Gevers, die veroordeeld is geweest voor het hacken van een Amerikaanse Universiteit, is bij Digital Investigation in dienst getreden. Hoe zijn de reacties daarop geweest van klanten? Juist partijen die van oorsprong dicht tegen de politiewereld aan zitten reageerden heel positief, dat is anders dan ik het had ingeschat. Eigenlijk hebben we alleen maar positieve reacties gekregen en nog geen vragen gehad als “is die gast wel te vertrouwen eigenlijk?”. Het heeft alles te maken met de verbluffende expertise van Rickey op zijn vakgebied Cybercrime. Het gaat niet alleen om de technische kennis, het is het hebben van brede én diepgaande kennis van dat wereldje dat hacken heet. Hoe ze (samen)werken, hoe ze denken, wie je moet kennen etc. En bovendien is hij internationaal gezien niet de
enige veroordeelde hacker die inmiddels een baan krijgt. Dus kortom voor Digital Investigation een geweldige aanwinst. Welke ontwikkelingen zie je op het gebied van Cybercrime en forensische dienstverlening? Mijn verwachting is dat op het gebied van Cybercrime de dienstverlening meer gaat opschuiven naar het preventieve. Dat heeft naar mijn idee twee richtingen. Enerzijds wil men meer actieve participatie van partijen zoals wij in het bewaken van netwerken, monitoring en dergelijke. Anderzijds denk ik dat het verkrijgen van goede inlichtingen over regionale of bredere (op handen zijnde) aanvallen veel aandacht gaat krijgen op relatief korte termijn. Voor wat betreft het forensische gebied kijk ik daar op vergelijkbare manier tegenaan. Je spreekt ook op de Black Hat Sessions op 14 mei a.s. Kun je al een tipje van de sluier oplichten? Zoals wellicht bekend, ging mijn oorspronkelijke lezing over een cyber terroristische aanslag in het Midden-Oosten, maar daar mag ik helaas bij nader inzien toch niets over vertellen. Ik heb samen met mijn collega Rickey Gevers nagedacht over een onderwerp dat minstens net zo interessant en belangrijk is voor het publiek. Ik zal het gaan hebben over
het Pobelka botnet waarbij Digital Investigation zeer nauw betrokken is geweest. Uit het onderzoek dat door Digital Investigation is verricht, is gebleken dat ten minste 264.339 systemen zijn besmet door het Pobelka botnet. Vele duizenden (grote) bedrijven, maar ook particulieren zijn door dit botnet besmet, waardoor zeer gevoelige informatie in handen van cybercriminelen is gekomen. Er is al aardig wat bekend over deze aanval, maar heel veel ook nog niet...
Digital Investigation B.V. Sumatralaan 45 Media Park, Media Gateway B 1217 GP Hilversum E
[email protected] T 035 - 677 44 11 W www.digital-investigation.eu
Madison Gurkha april 2013
9
Dit keer in de rubriek ‘De Hack’ vertelt Johan van Selst, security consultant bij Madison Gurkha, meer over de actuele ontwikkelingen rondom SSL.
de hack
Op 12 maart dit jaar heeft professor Dan Bernstein van de TU Eindhoven een presentatie gegeven waarin hij kwetsbaarheden in het RC4-versleutelingsalgoritme bekend maakte. Twee weken later publiceerde het Nationaal Cyber Security Centrum (NCSC) een beveiligingsadvies getiteld “Gebruik RC4 in TLS ontraden”. RC4 was op dat moment wereldwijd het meest gebruikte versleutelingsalgoritme voor de beveiliging van websites (via TLS). RC4 RC4 is een populair versleutelingsalgoritme dat al een tijdje meegaat: het is in 1987 ontwikkeld door de bekende cryptograaf Ron Rivest (de ‘R’ in RSA). Het is het standaardalgoritme in veel communicatieprotocollen, zoals remote desktop (RDP), bittorrent en de wireless-protocollen WEP en WPA-TKIP. In SSL/TLS kan er gekozen worden uit verschillende algoritmes: naast RC4 wordt daar ook vaak AES gebruikt. RC4 is een ‘stream cipher’, wat wil zeggen dat waardes uit de invoer een-voor-een worden versleuteld. Dit in tegenstelling tot ‘block ciphers’, waarbij data in blokken tegelijkertijd versleuteld wordt. Bij een ‘stream cipher’ wordt een relatief kleine sleutel (zeg 40 of 128 bits) gebruikt om een lange rij willekeurige waardes te genereren, de sleutelstroom (of ‘one-time pad’). Bij versleuteling worden invoerwaardes via een XOR-operatie gecombineerd met waardes uit de sleutelstroom. Echt willekeurig Van RC4 was al bekend dat de sleutelstroom niet volledig willekeurige waardes bevatte bij gerelateerde sleutels, zoals bij WEP gebruikelijk was. Eerder onderzoek heeft bovendien aangetoond dat zelfs bij totaal ongerelateerde sleutelwaardes bepaalde waardes bovengemiddeld vaak voorkomen op enkele vaste posities in de uitvoerstroom. Hierdoor werd RC4 al een tijdje als minder veilig beschouwd.
10
Madison Gurkha april 2013
Bernstein en onderzoekers van de Royal Holloway University stellen dat het probleem veel groter is. Zij hebben aangetoond dat het RC4algoritme vaste voorkeurwaardes oplevert voor elke positie in het begin van de sleutelstroom, ongeacht de gebruikte sleutel. Om deze lichte voorkeur te kunnen meten in versleutelde communicatie, dient heel vaak hetzelfde bericht opnieuw versleuteld te worden. Het onderzoek heeft aangetoond dat wanneer een bericht zo’n vier miljard(!) keer versleuteld wordt met willekeurige RC4-sleutels, dat dan betrouwbaar de eerste 256 bytes van de uitvoer allemaal te achterhalen zijn. Praktisch toepasbaar Met HTTPS kan men data herhaaldelijk laten versleutelen, door telkens dezelfde webpagina te laden. De eerste 256 bytes bevatten vaak de sessiecookies waarmee een aanvaller een online account over zou kunnen nemen. Maar een aanval (met kwaadaardige JavaScript-code) duurt wel lang. Voor het onderzoek is software geschreven waarmee het 32 uur duurde om voldoende data te verzamelen. De onderzoekers hebben hun software niet gepubliceerd. Momenteel zijn dergelijke aanvallen alleen weggelegd voor organisaties die zelf nog wat onderzoek kunnen doen en voldoende rekenkracht hebben. Wel is duidelijk dat aanvallen op RC4 in de toekomst nog beter zullen worden. De genoemde getallen gaan uit van een naïeve aanval, waarbij geen kennis over de inhoud gebruikt wordt.
Sessiecookies bevatten echter geen willekeurige binaire waardes, maar bijvoorbeeld Base64-tekens, wat het aantal mogelijkheden flink beperkt. Bovendien zijn de statistische afwijkingen aanzienlijk groter bij de eerste bytes in de uitvoer. Ten slotte kan vervolgonderzoek mogelijk gerelateerde zwakheden blootleggen. Alternatieven Er is geen oplossing voorhanden die compatibel is met het huidige protocol. Er zijn wel andere creatieve mogelijkheden. Sinds 2006 wordt in het SSH-protocol RC4 gebruikt waarbij eerste 1536 bytes uit de sleutelstroom overgeslagen worden (RFC4345). Binnen het bestaande TLS-protocol zijn meerdere versleutelingsalgoritmes beschikbaar. Het NCSC adviseert daarom RC4 direct uit te schakelen, waardoor automatisch een ander algoritme gebruikt wordt. Recent zijn er ook kwetsbaarheden gepubliceerd voor de ‘block cipher’-algoritmes die in TSLv1.0 (en SSLv3) gebruikt worden. Beter kiest men voor de nieuwste protocolversie, TSLv1.2, waarin ‘block ciphers’ veiliger gebruikt worden (geen BEAST-kwetsbaarheid). Ook biedt deze versie meer keuze in hoogwaardige algoritmes. De TSLv1.2-standaard stamt uit 2008 (RFC5246), maar wordt nog weinig gebruikt door moderne webbrowsers en -servers. Momenteel is RC4 het enige ‘stream cipher’ in de TLS-protocollen. Binnenkort wordt waarschijnlijk een modern hoogwaardig ‘stream cipher’, Salsa20, toegevoegd aan de TLS-protocolstandaard. Dit algoritme is in 2004 ontwikkeld door Dan Bernstein. Hopelijk wordt dit ook snel overgenomen door de softwareontwikkelaars, zodat gebruikers binnenkort weer veilig surfen via een protocol zonder bekende kwetsbaarheden.
In elke Madison Gurkha Update vragen wij een klant het spreekwoordelijke hemd van het lijf met betrekking tot zijn of haar relatie met IT-beveiliging.
deklant
8 vragen aan ...
... Michael Wijnakker, Architect Online Media en Gerrit Berkouwer, senior Adviseur Kwaliteit en Innovatie bij de Dienst Publiek en Communicatie (DPC), ministerie van Algemene Zaken.
1
In welke branche is uw organisatie actief? Onze organisatie is actief binnen de Rijksoverheid. De Dienst Publiek en Communicatie (DPC) ondersteunt de Rijksoverheid bij het gezamenlijk verbeteren van de communicatie met publiek en professionals door het bieden van shared servicediensten. Het Platform Rijksoverheid Online, met ondermeer www.rijksoverheid.nl is één van die shared services.
2
Wat is uw functie? Michael Wijnakker: Ik ben werkzaam als Architect Online Media bij het team Architectuur. Daar ben ik met een aantal collega’s verantwoordelijk voor de software-architectuur, infrastructuur en beveiliging van het gehele Platform Rijksoverheid Online. Gerrit Berkouwer: De rijksoverheid wil steeds beter en efficiënter gaan werken. Daarbij hoort ook innovatie. Net als bij andere sectoren geldt ook hier: stilstaan is achteruitgaan. Kwaliteit van onze producten en processen zijn leidend bij wat we doen. Met het leveren van een structureel hoge kwaliteit helpen wij de 11 departementen, onze opdrachtgevers, bij het behalen van hun communicatiedoelstellingen via diverse online kanalen.
van analyse, ontwerp, bouw en testen van de websites en applicaties die we realiseren.
5 6
Wat zijn de belangrijkste uitdagingen op het gebied van informatiebeveiliging? Als overheid hebben wij hier een hele grote uitdaging. Wanneer een webapplicatie beveiligingsrisico’s bevat kan dit al snel tot commotie leiden, omdat informatie gevoelig kan zijn voor vele doelgroepen. Het is dus aan ons om ervoor te zorgen dat we alle applicaties op een gedegen manier beveiligen.
3
7
4
8
Wat zijn de belangrijkste kwaliteiten waarover men moet beschikken om deze functies met succes uit te kunnen voeren? Beveiligingsbewustzijn is een belangrijke voorwaarde. Je moet bij alles wat je doet bijna automatisch afvragen of er nog beveiligingsaspecten bij horen. Beveiliging moet niet iets zijn wat je erbij doet; het moet een prominente plek in het proces innemen. Invloed in de organisatie is daarbij erg belangrijk. Je moet een functie hebben die in de organisatie wordt erkend als belangrijk. Bovendien is het van belang om genoeg invloed op prioritering te hebben om beveiliging goed uit te kunnen voeren.
Hoe is informatiebeveiliging opgezet in uw organisatie? Beveiliging van het platform is qua techniek belegd bij het Team Architectuur. Binnen het Team Architectuur bepalen wij de samenhang van de verschillende omgevingen en de eisen die aan die omgevingen gesteld worden. Beveiliging is daar een elementair onderdeel bij. Technische zaken komen bij ons aan het licht, maar ook de meer procedurele, organisatorische en procesmatige kant van de beveiliging hebben daarbij onze aandacht. Daarnaast is beveiliging verweven in het gehele proces
Hoeveel mensen houden zich in uw organisatie bezig met informatiebeveiliging? We zouden haast willen zeggen: iedereen! Dat is wel ons streven in ieder geval. Het moet in elke functie een onderdeel van het werk zijn. Adviseurs, ontwerpers, testers, architecten, functioneel beheerders en redacteuren: allemaal moeten ze zich bewust zijn van beveiliging en er naar handelen.
Welke maatregelen nemen jullie hiervoor? Continue aandacht voor informatiebeveiliging is bij ons in het hele proces aanwezig. Vanaf de analyse- en ontwerpfase tot aan het functioneel en technisch beheer is er sterke aandacht voor beveiliging. Het is één van de succesindicatoren in ons proces en is continu onder de aandacht. Om te controleren of dit proces tot de juiste resultaten leidt, laten we jaarlijks een beveiligingsaudit uitvoeren door een onafhankelijke partij. Elk jaar zetten wij een offerteaanvraag uit bij een aantal bedrijven. Madison Gurkha is één van de partijen die het onderzoek al een aantal keer heeft uitgevoerd.
Wat zijn uw ervaringen met Madison Gurkha? Madison Gurkha voert de onderzoeken op een consistente en objectieve manier uit. De rapportages zijn daardoor goed te vergelijken en op die manier hebben wij een goed instrument in handen om het niveau van de beveiliging te monitoren. De gevonden risico’s zijn altijd duidelijk omschreven en voorzien van een aanbeveling die zal leiden tot het wegnemen van het risico. De onderzoeken geven ons waardevolle informatie waardoor wij onze beveiliging op een hoog niveau kunnen houden en dat ook in een onafhankelijk rapport kunnen aantonen.
Madison Gurkha april 2013
11
Bent u klaar voor de DigiD audit?
DigiD Audit Readiness Scan
Met de DigiD Audit Readiness Scan helpt ITSX u bij het tijdig vaststellen van verbeterpunten en ondersteunt u bij de audit voorbereidingen. Ter bescherming van persoonsgegevens van burgers heeft Logius een beveiligingsnorm opgesteld waaraan DigiD gebruikers zoals gemeenten en publieke instellingen moeten voldoen. Beveiligingsincidenten in DigiD gerelateerde applicaties kunnen leiden tot het rigoureus afsluiten van DigiD met alle gevolgen van dien. Het is daarom van belang dat wanneer u DigiD gebruikt binnen uw organisatie, u de IT-beveiliging op orde heeft en op tijd klaar bent voor de verplichte audit. Deze audit dient eind 2013 te zijn afgerond. Het vergt een aanzienlijke inspanning van organisaties om aan de norm te kunnen voldoen. De Logius DigiD norm is breed opgesteld en bevat technische en meer procedurele zaken. Daarom is het goed om te weten dat ons moederbedrijf Madison Gurkha betrokken is geweest bij een pilot van KING en al meerdere bedrijven heeft getoetst tegen de DigiD norm. Op basis van de kennis en ervaring die dit oplevert kan ITSX uw organisatie ondersteunen met de DigiD Audit Readiness Scan. De scan bekijkt de mate waarin uw organisatie klaar is voor de audit en voldoet aan de normen.
Deze ‘gap-analyse’ levert een concreet verbeterplan en een ‘roadmap’ op om de audit succesvol te laten verlopen. ITSX en Madison Gurkha kunnen u uiteraard ook de helpende hand bieden bij het uitvoeren van het verbeterplan. De DigiD Audit Readiness Scan vergt een geringe investering maar bespaart u een langdurig, moeizaam en duur traject om uw IT-beveiliging op orde te krijgen en te voldoen aan de DigiD norm. Indien u vragen heeft of een afspraak wilt maken, kunt u contact met ons opnemen via www.itsx.com of
[email protected].
ITSX en haar consultants leveren diensten over de gehele breedte van het vakgebied informatiebeveiliging, waaronder de deelgebieden Information Security Management, IT-Audit en Compliance, Testen, Opleiding en Training.
Your Security is Our Business