update i T S X DE COLUMN 2 Walter Belgers

Your Security is Our Business

21

mei 2014

u p d a t e DE COLUMN

2

HET NIEUWS

3

HET INTERVIEW

4

DE KLANT

7

DE HACK

8

Walter Belgers

• Migratie van IPv4 naar IPv6 • NLUUG voorjaarsconferentie • Voor de tweede keer is opgeven geen optie voor Remco Huisman Interview met Marietje Schaake, Europarlementariër voor D66 8 vragen aan Lennaert van der Hoeven, partner bij Bridgevest Aanvallen met een Advanced Persistent Threat door Daniël Dragicˇ evic´

HET EVENT

10

HET INZICHT EXTRA

12

ITSX

14

HET INZICHT

16

Black Hat Sessions Part XII: Inlichtingendiensten, Spionage en Privacy Remco Huisman over Red Teaming

• Marcus Bakker over de Heartbleed bug • Verslag van het Founders Kite Club event door Ralph Moonen Matthijs Koot over de vervagende grens tussen inlichtingen en opsporing

agenda 19 HET COLOFON

i

T

S

X

19

Nog een paar weken en dan gaat de Black Hat Sessions Part XII van start! Zie pagina 10 voor het spannende programma en de relatiekortingscode

In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer Walter Belgers over het post-Snowden tijdperk.

de column

Snowden Heb ik uw aandacht, of bent u al een beetje Snowdenmoe? Het feit dat er op grote schaal gespioneerd wordt, houdt de gemoederen nog steeds bezig. Het is ook een enge gedachte dat als je allerlei hardware en software in huis haalt, je eigenlijk niet meer goed kunt zien of die wel te vertrouwen is. De NSA onderschepte bijvoorbeeld routers die per post verstuurd werden en bouwde er een achterdeurtje in. Wie had dat verwacht? Eigenlijk iedereen die er eens goed voor gaat zitten en nadenkt over waar de zwakke plekken zitten. Die kunnen zitten in de corporate webserver, in die vriendelijke receptioniste die gasten ontvangt, in de medewerker die op een link in een mailtje klikt, of in de routers die in het buitenland worden besteld en per post worden afgeleverd. Beveiliging is zo sterk als de zwakste schakel en eigenlijk zou je dus holistisch naar de beveiliging van je kroonjuwelen moeten kijken. (Weet u trouwens wel wat uw kroonjuwelen zijn, en waar die zich in uw netwerk bevinden? Maar dat is iets voor een andere column.) Veel van onze klanten hebben ook een holistische blik: we bekijken voor ze hoe het met de beveiliging van bepaalde websites is gesteld, of we via het WiFi-netwerk toegang kunnen krijgen of via ‘social engineering’ – het aanvallen van de mens in plaats van de machine – en we kijken wat we zoal aantreffen als we eenmaal op hun interne netwerk zitten. Dat gebeurt vaak als losse opdrachten, waarbij je uiteindelijk een goed totaalbeeld krijgt. Een aanvaller gaat echter anders te werk: als die ziet dat er bijvoorbeeld op de website weinig is te halen, zal hij zijn zinnen snel op iets anders zetten, zoals bijvoorbeeld een social engineering aanval. Zo’n soort aanpak levert Madison Gurkha ook, onder de naam Red Teaming. Hoewel het een modewoord is, is de aanpak een prima manier om snel zicht te krijgen op de belangrijkste zwakheden in de beveiliging. Het blijft echter zaak om alle systemen te blijven controleren op beveiliging. Meer over de Red Teaming dienst leest u verderop in deze Update. Het nieuws dat er op grote schaal informatie wordt verzameld en geanalyseerd, houdt de gemoederen zoals gezegd veel bezig. Er is een grote asymmetrie: overheden hebben de beschikking over veel gegevens van haar onderdanen, maar andersom is dat niet het geval. Als je zuinig bent op je eigen gegevens, krijg je het steeds moeilijker. Kunnen we nog leven zonder GSM, zonder OV-chipkaart, zonder auto met kentekenplaten, zonder betaalpasjes en zonder plekken te bezoeken waar camera’s

2

Madison Gurkha mei 2014

met gezichtsherkenning hangen, zonder Facebook? Dat is vrijwel onmogelijk geworden en dat heeft vergaande gevolgen voor onze privacy. Als je weet dat je in de gaten wordt gehouden, heeft dat invloed op je gedrag. Dus zelfs als de gegevens niet worden bekeken, heeft het verzamelen ervan al invloed op onze manier van leven en denken. We vinden dit onderwerp, dat wil zeggen spionage, de rol van inlichtingendiensten en de gevolgen voor onze privacy, zodanig belangrijk dat we er dit jaar ons jaarlijks congres, de Black Hat Sessions, aan wijden. Het is alweer de twaalfde editie die we organiseren en we hebben weer een mooie lijst aan sprekers weten te strikken. Ook hierover leest u meer verderop in deze Update. Nieuw is, dat we u tijdens de Black Hat Sessions de gelegenheid geven om zelf een geavanceerde aanval uit te voeren, zoals een inlichtingendienst dat zou kunnen doen. Medewerkers van Madison Gurkha zullen de deelnemers begeleiden in het programmeren van een ‘Teensy’, een USB-apparaat dat zich kan voordoen als een toetsenbord en geheel autonoom, door toetsaanslagen naar de computer door te sturen, een aanval uit kan voeren. Na het volgen van de workshop heeft u dus een cyberwapen in handen zoals een cybercrimineel of inlichtingendienst zou kunnen maken. Wellicht vraagt u zich na afloop af wat het verspreiden van zo’n apparaatje binnen uw organisatie voor gevolgen zou hebben. Dat is ook precies wat we willen propageren. Het is zoiets als wanneer u de voordeur achter u in het slot gooit zonder een sleutel op zak te hebben. U gaat dan als inbreker naar uw eigen huis kijken. Het blijkt dan vaak redelijk eenvoudig om ‘in te breken’, waarna natuurlijk onmiddellijk maatregelen worden genomen om de beveiligingsproblemen op te lossen. Als u met eenzelfde kritische blik kijkt naar uw eigen IT-landschap, vindt u wellicht al veel zaken waar eenvoudig (beveiligings) winst is te halen. Ik wens u daarbij veel wijsheid toe! Walter Belgers Partner, Principal Security Consultant

In ‘Het Nieuws’ belichten we nieuwe ontwikkelingen in de IT-beveiligingswereld en rondom Madison Gurkha.

het NIEU W S

De wereld van open systemen en open standaarden is heftig in beweging. De

IPv4

> IPv6

markt zoekt naar verbeteringen op het gebied van opschaalbaarheid, virtualisatie en veiligheid. De

De migratie van IPv4 naar IPv6 zet gestaag door, en momenteel wordt al 3% van de bezoeken aan Google-diensten via IPv6 gedaan. Vanuit een beveiligingsperspectief is het uiteraard belangrijk dat IPv6 ook op een goede manier is ingericht. Om dit effectief te kunnen testen hebben Madison Gurkha, Fox-IT, ITsec, Pine Digital Security en Riscure in samenwerking met TNO gezamenlijk een IPv6-beveiligingstestplan opgesteld. Ook het Ministerie van Economische Zaken heeft het onderzoeksproject gesteund door middel van een subsidie. Lees het volledige rapport op onze website.

NLUUG-voorjaarsconferen-

Tijdens de Black Hat Sessions op 17 juni a.s. verzorgt Sander Degen, security consultant bij TNO ICT, een technische presentatie waarbij hij op basis van het IPv6-beveiligingstestplan uitlegt wat er fout kan gaan met IPv6, hoe dit misbruikt kan worden, maar uiteraard ook hoe de problemen op te lossen zijn. Lees snel verder voor het volledige Black Hat Sessions programma en de speciale kortingscode op pagina 10-11 van deze Update.

plaats op 15 mei a.s. in het

tie 2014 duikt dan ook in onderwerpen als security en configuration management. De conferentie vindt Postillion hotel in Bunnik. Bent u erbij? Wij ontmoeten u graag op onze stand.

Voor de tweede keer is opgeven geen optie Geld inzamelen voor het KWF is onverminderd nodig. Ook dit jaar zet Remco Huisman, partner van Madison Gurkha, zich sportief in voor dit goede doel! Op 5 juni doet hij voor de tweede keer mee met de Alpe d’HuZes. Samen met “Team Boezem” gaat hij de uitdaging aan om zoveel mogelijk geld in te zamelen voor KWF kankerbestrijding. Die naam roept wellicht bij sommigen wat vragen op. “De naam Team Boezem is afkomstig van de naam van de vriendengroep

uit mijn studietijd. Wij noemen elkaar nog steeds “De Boezem”, naar het studentenhuis in De Boezemstraat in Rotterdam-Crooswijk, waar het allemaal ooit begonnen is...”. Wil je Remco en het goede doel steunen? Je kunt een vaste donatie doen, of een toezegging per beklimming (reken op 6 keer). Elke donatie groot of klein is zeer welkom! Doneren kan via: http://deelnemers.opgevenisgeenoptie.nl/acties/remcohuisman/ remco-huisman.

Madison Gurkha mei 2014

3

Deze keer een diepte-interview met Marietje Schaake, Europarlementariër voor D66, in de ‘Alliance of Liberals and Democrats for Europe’ (ALDE).

het interview

“Terwijl technologie zich razendsnel ontwikkelt, blijven wet- en regelgeving achter” Om relevant, slim beleid te maken, moeten politici meer weten over technologie en mensen die zich met technologie bezig houden zouden er goed aan doen te weten hoe wetten en regels hen raken. “Het verbinden van politieke kringen en technologie-experts is een van mijn doelen”, aldus Europarlementariër Marietje Schaake.

4

Madison Gurkha mei 2014

het interview

Wassenaar Mede dankzij uw campagne “Stop Digitale Wapenhandel” staat “intrusion software” sinds december jl. op de Wassenaar-lijst van export-controlled dual-use goederen. Hierdoor kan intrusion software die niet vrij verkrijgbaar is, niet meer vrij worden verhandeld naar, zeg, autoritaire regimes. Was dit op voorhand een gewonnen race of is er tegenstand geweest? Bepaalde technologieën en systemen worden over de hele wereld gebruikt om mensenrechten te schenden en mensen te onderdrukken, maar zijn ook een bedreiging voor onze eigen digitale infrastructuur. De maatregelen om de export van dit soort technologie te controleren waren zeker niet op voorhand een gelopen race; dat is nog steeds niet zo. Na allerlei voorstellen en meer bewustwording van de gevaren van het huidige vacuüm in regelgeving, is er in de context van het Wassenaar Arrangement een eerste stap gezet om de lijsten die bijvoorbeeld worden gebruikt bij wapenembargo’s uit te breiden met technologieën met een indringende impact. De Lidstaten en de Europese Commissie hebben zeer traag gehandeld, ook als reactie op eerdere voorstellen van het Europees Parlement om de Europese exportcontrole op technologie effectiever te maken. Hopelijk zijn ze daar nu wel toe bereid in de aankomende herziening van de exportcontrolewetgeving. U heeft opgemerkt dat het plaatsen van intrusion software op de Wassenaar-lijst een “eerste stap” is, maar dat het taalgebruik nog niet voldoende precies is, ruimte laat voor interpretatie1. Kunt u dit toelichten? Onder veel technologie-experts leeft nog een trauma van de ‘cryptowars’. We moeten natuurlijk altijd zorgen dat we precies de juiste technologie en software controleren, en geen onbedoelde negatieve gevolgen veroorzaken voor de markt of voor ethische hackers. Door te werken met licenties voor economische transacties ontstaat meer transparantie, en kan per geval worden beoordeeld of een deal (export) wel of niet kan plaatsvinden. Als liberaal vind ik dat we geen regels moeten creëren waar ze niet nodig zijn, zeker niet als het gaat om internet en technologie. Toch is de status quo niet houdbaar. De Europese Unie verliest aan geloofwaardigheid wanneer we aan de ene kant oproepen om digitale vrijheid, vrije meningsuiting, en toegang tot informatie in een land te respecteren, maar de regering in kwestie weet dat het technologie uit Europa gebruikt om haar bevolking te onderdrukken. Daarnaast moeten we het strategisch belang niet onderschatten, wil je landen die op vijandige voet staan zonder enige controle, technologie leveren die tegen Europese bedrijven, overheden, journalisten of burgers kunnen worden ingezet. Sommige technologiebedrijven gedragen zich als de wapenhandelaars van het internettijdperk. Er is nog een heleboel te doen voordat we van slimme, passende wetgeving kunnen spreken.

Madison Gurkha mei 2014

5

Wat is de volgende stap, en hoe komen we daar? De eerstvolgende stap is om de herziening van de Wassenaar-lijst naar het Europees niveau te brengen. Ook wordt een update van de dual-use regelgeving op Europees niveau verwacht. Tegelijkertijd moeten we aan het werk om de definities helder te krijgen en om te zorgen dat de wetgeving als geheel effectiever werkt, bijvoorbeeld door de fragmentatie van de controle aan te pakken. Momenteel worden afspraken over export op Europees niveau gemaakt, maar is de uitvoering en controle in handen van lidstaten. Daardoor kunnen verschillen ontstaan, en dat is niet goed voor een gelijk speelveld en concurrentie in de Europese interne markt. Bedrijven hebben behoefte aan duidelijkheid. De Europese Commissie komt binnenkort met een voorstel. Ik zal daar zeer kritisch naar kijken en vanuit het Parlement blijven werken om het exportcontrolebeleid als geheel meer coherent en vooral relevant te maken.

Post-Snowden internet

Marietje Schaake (@MarietjeSchaake) is Europarlementariër voor D66, in de ‘Alliance of Liberals and Democrats for Europe’ (ALDE). Marietje is lid van de parlementaire commissie voor Buitenlandse Zaken, waar zij zich richt op het EU nabuurschapsbeleid, met een focus op Turkije en Iran, en mensenrechten, in het bijzonder de vrijheid van meningsuiting en digitale- en media vrijheid. In de commissie voor Cultuur en Onderwijs werkt Marietje aan de Europese Digitale Agenda en de rol van cultuur en nieuwe media in de externe relaties van de EU. In de commissie voor Internationale Handel ligt de nadruk in haar werk op diensten en technologie, intellectueel eigen-

In januari is aangekondigd dat een commissie onder voorzitterschap van de Zweedse minister van BuZa twee jaar lang onderzoek gaat doen naar de toekomst van het post-Snowden internet. U bent één van de 25 panelleden die het onderzoek uitvoeren. Wat is het doel van dit onderzoek, en wat zijn uw verwachtingen? Het doel van deze Commissie is om voorstellen te doen over de toekomst van internet governance. De NSA-schandalen hebben het thema zichtbaarder gemaakt, maar ook daarvoor werden vragen over het bestuur van het internet steeds urgenter. Er is bijvoorbeeld behoefte aan een nieuwe invulling van het multi-stakeholder model, waarbij niet alleen regeringen, maar ook bedrijven en maatschappelijke organisaties een rol spelen. Daartegenover staan staten die juist zelf meer grip op internet willen afdwingen. Voor mij staat het behoud van een vrij en open internet en de rechten van gebruikers voorop. Ik hoop dat we een concretere invulling kunnen geven aan hoe we transparantie, efficiëntie en verantwoording binnen het multi-stakeholder model kunnen vergroten. Ook is het essentieel dat argumenten van nationale veiligheid niet misbruikt worden om vrijheid en fundamentele rechten in te perken.

domsrecht, de vrije doorstroom van informatie, de trans-Atlantische handelsrelaties en de relatie tussen handel en het EU buitenland beleid.

1. http://www.marietjeschaake. eu/2013/12/first-steps-towardscurbing-digital-arms-exportswelcome/ 2. http://blog.cyberwar.nl/2014/03/ dutch-enkele-gedachten-bijongerichte.html

6

Madison Gurkha mei 2014

In het panel zitten ook zwaargewichten die bovengemiddeld gecharmeerd zijn van surveillance, bijvoorbeeld het voormalige GCHQ-hoofd Sir David Omand, en de voormalige minister van Homeland Security en co-auteur van de Patriot Act Michael Chertoff. Is de andere stem, zoals die van u, binnen dat panel luid genoeg? Zal er eerlijk en kritisch worden gekeken naar het ‘waarom’ van massasurveillance? Juist in zo een gezelschap is een tegengeluid essentieel. Ik denk dat het belangrijk is om ook met mensen waarmee ik het niet bij voorbaat eens ben, in gesprek te gaan. Bovendien zal de commissie worden ondersteund door een brede consultatie in het maatschappelijk veld en de private sector. Op die manier kunnen we een brede discussie

aangaan met verschillende groepen mensen over het belang van digitale vrijheden, mijn primaire aandachtspunt in deze discussie. Overigens moet de eerste bijeenkomst van de Commissie nog plaats vinden. Ik hoop daar antwoorden te krijgen op de vele vragen die ik heb over het gezelschap en de agenda.

Europa en Nederland In Nederland is een debat gaande over vernieuwing van de Wet op de inlichtingen- en veiligheidsdiensten uit 2002 (Wiv2002). Eén van de voorstellen is de diensten de bevoegdheid te geven tot ongerichte interceptie van kabelgebonden communicatie2. Het Europees Parlement heeft in maart een tekst aangenomen waarin de Nederlandse regering wordt aangedrongen om “af te zien van een zodanige uitbreiding van de bevoegdheden van de inlichtingendiensten dat een ongerichte en grootschalige surveillance van kabelgebonden communicatie van onschuldige burgers mogelijk zou worden”. Waarom moet Nederland afzien van deze uitbreiding? Is het niet mogelijk dat er overtuigende argumenten zijn vóór uitbreiding? De basis voor elke bevoegdheid van elke inlichtingendienst moet zijn dat die slechts wordt gebruikt onder rechterlijke toetsing en met democratisch toezicht. We zien nu dat bestaande bevoegdheden, zoals satellietinterceptie nog niet voldoende gecontroleerd worden. Het is belangrijk dat we dat eerst goed regelen, voordat we beginnen aan het uitrollen van nieuwe bevoegdheden. Bovendien zijn er vragen te stellen bij de noodzaak om zo breed en ongebonden op de kabel communicatie van burgers te surveilleren. Bij elke maatregel moeten we ons afvragen of we de open samenleving die we willen beschermen daadwerkelijk verstevigen, of dat we bezig zijn haar kernwaarden van binnenuit uit te hollen onder het mom van nationale veiligheid en anti-terrorisme. Het Nederlandse parlement is traditioneel weinig geïnteresseerd in inlichtingen- en veiligheidsdiensten. In Europa lijkt er meer te gebeuren: de LIBEcommissie. Hoe krijgen we dit onderwerp op de agenda van de Nederlandse politiek? Ten eerste is dit niet een typisch Nederlands verschijnsel, in de meeste Europese lidstaten is de interesse hierin niet erg groot. Alleen in Duitsland wordt nu een parlementaire enquête gestart. D66 wil dat dat ook in Nederland gebeurt, maar daar was niet genoeg steun voor in de Tweede Kamer. Toch zien we dat Europese burgers wel degelijk maatregelen nemen, door bijvoorbeeld over te stappen op niet-Amerikaanse clouds of andere diensten. Amerikaanse bedrijven die zijn geïmpliceerd in de NSA-schandalen nemen dit heel serieus. Hier ligt misschien ook een rol voor het Europese bedrijfsleven om dit punt hoger op de politieke agenda te krijgen. Tijdens de Black Hat Sessions Part XII op 17 juni a.s. in Ede zal Marietje Schaake een keynote lezing geven. Meer informatie over het congres vindt u elders in deze Update.

In elke Madison Gurkha Update laten wij een klant aan het woord. Dit keer een openhartig gesprek met Lennaert van der Hoeven van Bridgevest.

de klant

8 vragen aan ... ... Lennaert van der Hoeven, één van de vier partners van Bridgevest.

1

Wat doet Bridgevest? Bridgevest is een bureau dat zich richt op online communicatie voor de financiële sector bestaande uit o.a. pensioenfondsen, verzekeraars, investment managers en retail banken. De dienstverlening van Bridgevest is gebouwd op drie pijlers; 1 pensioencommunicatie, 2 software & solutions en 3 financial marketing. Hierbinnen bieden wij het complete pakket: van strategie tot development en creatie.

5

B-Lab is de development kweekvijver van Bridgevest. Kun je daar wat meer over vertellen? B-Lab is ontstaan als een label binnen Bridgevest, dat onze developers koppelt aan interaction designers en creatieven. Gezamenlijk vormen zij het hart van het projectteam wanneer het aankomt op software & solutions projecten. Daarnaast wordt het B-Lab ook vaak ingezet voor projecten in de andere twee pijlers. Dit kan gaan om serious gaming projecten, maar ook om zaken als online deelnemerportalen voor de pensioensector.

6

2 3

Hoe is de informatiebeveiliging opgezet binnen de organisatie? In een organisatie als de onze is de tijd die je hebt voor de opzet van een informatiebeveiligingsbeleid altijd krap, de actuele projecten voor klanten krijgen immers snel voorrang. Toch beseffen wij ons als Bridgevest dat we op dit gebied grondig te werk moeten gaan. Steeds meer van onze klanten krijgen namelijk te maken met strengere eisen op het gebied van informatiebeveiliging en dit heeft gevolgen voor de gehele keten van een dergelijke organisatie. Tijdens ons wekelijkse partneroverleg is dit onderwerp dan ook een vast agendapunt.

4

Bridgevest biedt haar klanten toegang tot diverse applicaties via een SaaS-oplossing. Welke maatregelen worden genomen om de IT-beveiligingsrisico’s onder controle te houden? Binnen onze SaaS-applicatie genaamd OnTrack gaan deelnemers van pensioenfondsen aan de slag met hun pensioensituatie. Hiervoor maken we gebruik van data die wij van de pensioenuitvoerder ontvangen en van data die door de deelnemer zelf worden opgevoerd. De opslag en de toegankelijkheid van deze gegevens hebben dan ook onze constante aandacht. We besteden veel aandacht aan versleuteling van data, het voldoen aan eisen qua certificering van datacenters, maar ook stellen we behoorlijke eisen aan het informeren en ‘informed consent’ van de deelnemer zelf. De persoon moet goed weten of hij gegevens wil bewaren en zo ja, welke.

Welke support biedt Bridgevest aan haar klanten met betrekking tot de IT-beveiliging van haar producten? Naast onze SaaS-oplossing OnTrack bieden wij onze klanten maatwerkoplossingen, waarbij volledig tegemoet gekomen wordt aan de wensen van onze klanten en de eisen die aan hen gesteld worden door hun security officers en ons B-Lab team. In dergelijke trajecten zal er altijd in samenspraak met de klant een risico-analyse plaatsvinden en zorgen wij voor een geschikte oplossing. Wat zijn de belangrijkste uitdagingen op het gebied van informatiebeveiliging? De kaders die ons gesteld worden, zijn mede afhankelijk van de toezichthouders van onze klanten. Een van de meest actuele voorbeelden hiervan zijn de DigiD-audits. Onze klanten die als inlogmechanisme gebruikmaken van DigiD, moeten elk jaar een rapportage aan Logius opleveren. Uitdaging voor onze klanten en in bepaalde mate ook voor ons zijn vooral de procedurele zaken binnen informatiebeveiliging. De technische zijde is geen probleem, maar vanwege de korte doorlooptijd van de projecten die wij opleveren is het belangrijk oog te houden voor de procedurele kant.

7

Hoe ondersteunt Madison Gurkha en ITSX daarbij? Uiteraard houden wij ons zeer goed op de hoogte van de eisen die aan onze klanten gesteld worden op het gebied van informatiebeveiliging. Daarnaast zijn we sinds 2013 in contact met Madison Gurkha en ITSX om niet alleen de periodieke technische en procedurele onderzoeken uit te voeren, maar tevens vooruit te kijken naar eventuele risico’s en eisen die op ons af kunnen komen. Om die reden organiseren wij nu al workshops in samenwerking met Madison Gurkha en ITSX. En wij zouden Bridgevest niet zijn wanneer we ook onze klanten hiervan mee laten profiteren in speciale workshops gericht op hun sector.

8

Wat zijn uw ervaringen met Madison Gurkha en ITSX Tot op heden zijn onze ervaringen zeer goed. Buiten de uiteraard zeer professionele aanpak van beide partijen, is ook de onderlinge afstemming en communicatie zeer prettig en vriendelijk. Tevens merken wij dat onze klanten en prospects bij het horen van de naam Madison Gurkha onder de indruk zijn. En dat is voor een online bureau als Bridgevest natuurlijk nooit weg…

Madison Gurkha mei 2014

7

Elders in deze Update leest u wat Red Teaming inhoudt en welke factoren een rol spelen bij het succesvol uitvoeren ervan. In deze rubriek laat Daniël Dragicˇevic´ zien hoe een dergelijke aanval is uitgevoerd.

de hack

Aanvallen met een Advanced Persistent Threat Bij een Red Teaming opdracht die Madison Gurkha onlangs heeft uitgevoerd zijn verschillende hacking en social engineering technieken toegepast om zo onopvallend mogelijk tot een succesvolle aanval te komen. Het doel van deze aanval was het binnendringen van en langdurige toegang behouden tot het interne netwerk van een grote multinational. Ik geef u hierbij graag een uniek kijkje in onze keuken. Uiteraard hebben we - omwille van geheimhouding - de uitgevoerde aanval in een fictieve setting geplaatst.

8

Madison Gurkha mei 2014

Scenario Het fictieve bedrijf ‘MG-Retail’ is een internationale retailer en handelt in kantoorartikelen. Zij hebben ons de opdracht gegeven om te onderzoeken of we langdurig toegang tot het interne netwerk kunnen krijgen en het daarop aanwezig SAP-systeem. Voorbereiding We starten ons onderzoek met het zoeken in open bronnen (OSINT). Onderzoek in open bronnen als Google, LinkedIn, Facebook, Twitter, de bedrijfswebsite en andere branchewebsites leert ons dat MG-Retail een groot bedrijf is en dat een aantal medewerkers van de afdeling inkoop enige tijd geleden een beurs over maatschappelijk verantwoord inkopen heeft bezocht. We besluiten om de medewerkers een bedankje te sturen voor het bezoeken van de beurs. Toegang verkrijgen We gebruiken voor de aanval een ‘Teensy’. Dit is een stukje hardware dat kan worden geprogrammeerd als USB-toetsenbord, muis, en/of USB-opslagmedium. We zoeken op internet naar een USB-gadget waarin we een Teensy kunnen plaatsen. We gebruiken voor deze aanval een USB-muis. We laten de chip zich voordoen als USB-toetsenbord zodat deze onze voorgeprogrammeerde toetsaanslagen naar de PC stuurt. In dit scenario programmeren we de Teensy zodanig dat wanneer deze wordt aangesloten, er een URL geopend wordt waarop onze exploitcode wordt aangeboden. De URL is per muis anders, zodat we weten welke muis exact is gebruikt door welke gebruiker. De exploit-

de hack

code zal ons toegang geven tot het systeem van het slachtoffer. De uitdaging is om de Teensy in de USB-muis te bouwen zonder de functies van de muis aan te tasten. Hiervoor maken we gebruik van een kleine USB-hub. Door de hub tussen de muis en de Teensy te plaatsen, kunnen beide apparaten worden gebruikt. Exploitcode Om onze aanval zo onopvallend mogelijk te laten plaatsvinden, zullen we ervoor moeten zorgen dat de exploitcode die we aanbieden niet door een virusscanner wordt opgemerkt. Om dit te bewerkstelligen passen we enkele publiek bekende Java exploits aan. Het aanpassen van deze exploits bestaat vooral uit het weghalen van overbodige code. Naast het aanpassen van de exploitcode, passen we ook de metasploit-payload aan die ervoor zorgt dat het geïnfecteerde systeem een verbinding opzet naar onze server. We testen de aangepaste exploit- en payloadcode tegen lokale installaties van een aantal verschillende antivirusproducten. Zodra blijkt dat onze code op de testsystemen niet door virusscanners gedetecteerd wordt en probleemloos wordt uitgevoerd, kunnen we verdergaan met het uitvoeren van de aanval. Nadat we onze initiële toegang hebben verkregen, zorgen we ervoor dat we langdurige toegang tot de omgeving behouden. Om dit mogelijk te maken schrijven we een script dat ervoor zorgt dat onze payloadcode, waarmee een verbinding naar onze server wordt gemaakt, wordt uitgevoerd. Dit script wordt opgeslagen in het profiel van de gebruiker en zal worden gestart zodra de gebruiker inlogt op zijn of haar systeem. De aanval Nu de afzonderlijke onderdelen zijn gemaakt en getest, kunnen we een aantal pakketjes samenstellen met daarin een geprepareerde muis en een begeleidende brief waarin we de medewerker bedanken voor zijn/haar bezoek aan de beurs. Deze pakketjes sturen we op naar de medewerkers die als doelwit zijn aangemerkt. Enkele dagen later zien we de eerste verbindingen op onze server binnenkomen.

We hebben op dit moment toegang tot het interne netwerk van het ‘MG-Retail’. De vraag is nu, hebben we langdurige toegang tot dit netwerk en zijn we gedetecteerd door de klant? We maken een verbinding naar het geïnfecteerde systeem en controleren of ons ‘persistence’-script in het profiel van de gebruiker is opgeslagen. Dit blijkt het geval te zijn. Ook controleren we de logging van het systeem en de beveiligingssoftware om te achterhalen of onze aanval is gedetecteerd. We zien dat onze aanval onopgemerkt is gebleven. Op zoek naar de kroonjuwelen Nu we toegang hebben tot één van de systemen in het interne netwerk, kunnen we het interne netwerk in kaart gaan brengen. We starten met het afluisteren van het netwerkverkeer. Hieruit blijkt dat het netwerk uit meerdere segmenten bestaat. Door het uitvoeren van specifieke DNS-verzoeken en specifieke (onopvallende) poortscans, brengen we het netwerk in kaart en concluderen we dat een groot deel van de infrastructuur bestaat uit gevirtualiseerde serversystemen. Ook zien we dat de ESX-servers, waarop de virtuele machines draaien, een kwetsbaarheid bevat. Door het uitbuiten van deze kwetsbare ESX-server, krijgen we toegang tot alle gevirtualiseerde systemen. Hieronder bevinden zich onder andere de Active Directory-servers waarop alle gebruikersaccounts (inclusief wachtwoordhashes) staan opgeslagen. Door de virtuele harde schijf te kopiëren en de gebruikersdatabase te exporteren, kunnen we ons voordoen als een willekeurige gebruiker in de organisatie. Dit geeft ons de mogelijkheid om ongemerkt op zoek te gaan naar financiële, concurrentiegevoelige en andere interessante informatie in het netwerk en de SAP-systemen. Dit scenario laat zien hoe één handeling van een eindgebruiker, het aansluiten van een relatiegeschenk, kan leiden tot een grootschalige hack op een organisatie en het lekken van grote hoeveelheden gevoelige informatie, zonder dat iemand iets in de gaten heeft.

1. https://www.pjrc.com/teensy/

Madison Gurkha mei 2014

9

Dit jaar organiseert Madison Gurkha alweer de twaalfde editie van de inmiddels befaamde Black Hat Sessions.

het event

17 juni 2014 | De Reehorst in Ede | Black Hat Sessions XII

Inlichtingendiensten, Spionage en Privacy

Achter deze begrippen gaat een complexe wereld schuil. In een gevarieerd dagprogramma zal op een aantal deelonderwerpen zowel verbreding als verdieping worden gezocht, waaronder de technische aanpak van de detectie van aanvallen, socio-technologische analyse van aanvalspaden, beweegredenen achter Chinese spionage en het spanningsveld tussen overheid en individu op het gebied van versleuteling en aftapbaarheid in het post-Snowden internet. In één dag wordt u door inspirerende sprekers bijgepraat over deze actuele thema’s en het is natuurlijk ook een uitgelezen kans om met anderen van gedachten te wisselen over al deze onderwerpen. Dit jaar hebben wij in het programma voldoende ruimte vrijgemaakt voor parallelle tracks zodat u ongeacht uw technische achtergrond een interessant programma kunt volgen. Een aantal lezingen en demonstraties zijn diep-technisch, terwijl andere juist interessant zijn voor leidinggevenden en/of beslissingsnemers. Zie ook het volledige programmaoverzicht hiernaast.

Keynotes We hebben D66-Europarlementariër Marietje Schaake (zie ook het uitgebreide interview elders in deze Update) en de nieuwe directeur Cyber Security, Wilma van Dijk, van de Nationaal Coördinator Terrorismebestrijding en Veiligheid bereid gevonden om tijdens de Black Hat Sessions Part XII een keynote lezing te verzorgen. Beide prominenten zijn vanuit hun positie nauw betrokken bij de thema’s en zij zullen u een interessante kijk bieden op de materie. Meld u aan als relatie van Madison Gurkha Wij hopen dat u deze dag samen met ons wilt doorbrengen in De Reehorst in Ede. Uiteraard geldt voor relaties van Madison Gurkha een relatiekorting. Geef bij uw aanmelding via het inschrijfformulier de code BHS14-MG op en de 10% korting wordt direct verrekend. Wij vinden het leuk als u samen met uw collega’s deelneemt aan de Black Hat Sessions. U kunt dan gebruik maken van de extra geldende groepskorting van 10% bij 5 tot 10 deelnemers. Meldt u meer dan 10 deelnemers tegelijkertijd aan, dan profiteert u van 15% extra groepskorting. Groepsaanmeldingen kunt u per e-mail aan [email protected] versturen.

Zorg dat u erbij bent en meld u snel aan. Vul de code BHS14-MG in bij uw online inschrijving en de 10% relatiekorting wordt direct verrekend! Meer informatie over het congres en het inschrijfformulier vindt u op www.blackhatsessions.com.

10

Madison Gurkha mei 2014

het event

NT T

PROGRAMMA Keynote Marietje Schaake Marietje Schaake is Europarlementariër voor D66, in de ‘Alliance of Liberals and Democrats for Europe’ (ALDE). Marietje is onder andere lid van de parlementaire commissie voor Buitenlandse Zaken, waar zij zich richt op het EU-nabuurschapsbeleid, met een focus op Turkije en Iran, en mensenrechten, in het bijzonder de vrijheid van meningsuiting en digitaleen mediavrijheid. Keynote Wilma van Dijk Wilma van Dijk wordt met ingang van 1 juni 2014 benoemd tot directeur Cyber Security bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Binnen deze directie vallen de gecoördineerde beleidsinitiatieven op het gebied van cyber security en de activiteiten van het Nationaal Cyber Security Centrum (NCSC).

TREsPASS: een navigatiesysteem voor cyber attacks NT Wolter Pieters Wolter is wetenschappelijk coördinator van het Europese project TREsPASS aan de Universiteit Twente, en universitair docent op het gebied van cyber risk aan de TU Delft. Hij studeerde in Twente informatica en filosofie van de techniek, en promoveerde bij Prof. Bart Jacobs in Nijmegen op de risico’s van stemcomputers en stemmen via Internet.

The new cyberweapons (presentatie in ENG) T Sandro Etalle Sandro Etalle is CEO of SecurityMatters, full professor and the head of the security group at the TU Eindhoven, and full professor at the University of Twente. His interests include intrusion detection, security of industrial control systems, trust management, access control and policy compliance.

 e volgende crypto-oorlog - hoe geheime diensten onze veiligheid D ondermijnen NT Ot van Daalen Ot van Daalen is oprichter van advocatenkantoor Digital Defence dat zich specialiseert in security, privacy en surveillance. Daarnaast is hij onderzoeker bij het Instituut voor Informatierecht van de Universiteit van Amsterdam. In 2009 heeft hij digitale burgerrechtenbeweging Bits of Freedom heropgericht.

niet-technisch technisch

IRMA: Attribute-based Credentials (ABC) in de praktijk T Wouter Lueks Wouter Lueks is promovendus aan de Radboud Universiteit Nijmegen en lid van het PI.lab. Onder leiding van dr. Jaap-Henk Hoepman en prof. Bart Jacobs doet hij onderzoek naar privacy enhancing technologies. Voorafgaand aan zijn promotieonderzoek studeerde hij wiskunde en informatica aan de Rijksuniversiteit Groningen.

Maar ik heb toch niets te verbergen? NT Arthur Donkers Arthur Donkers is directeur en principal security consultant bij ITSX, dochterbedrijf van Madison Gurkha dat zich richt op de ‘zachte’ kant van informatiebeveiliging. Arthur is een all round specialist die zowel op technisch, als procesmatig en organisatorisch vlak alle aspecten van informatiebeveiliging beheerst.

IPv6: de nieuwe aanvalsvector voor inlichtingendiensten en cybercriminelen? T Sander Degen Sander is sinds 2001 werkzaam bij TNO op het gebied van informatiebeveiliging. Hij probeert organisaties weerbaar(der) te maken tegen IT-gerelateerde dreigingen, gericht op onder andere techniek, processen, beleid en beveiligingsbewustzijn. Eén van zijn persoonlijke interesses is de ontwikkeling van ‘vrijheid’ op het internet.

China en cyberveiligheid NT Frans-Paul van der Putten Frans-Paul van der Putten is senior onderzoeker bij het Nederlands Instituut voor Internationale Betrekkingen Clingendael. Hij houdt zich bezig met diverse veiligheidsthema’s, met name in relatie tot de opkomst van China als grote mogendheid, en de gevolgen daarvan voor internationale verhoudingen en voor de internationale positie van Nederland en Europa.

Spies and secure boot (presentatie in NL) T Job de Haas At Riscure, Job is the senior specialist on charge of security testing of embedded devices for high-security environments. He has experience evaluating the security of a wide range of embedded platforms, such as IPTV decoders, satellite receivers, mobile phones, smart meters and a variety of modems.

De workshop “Hacken met Teensy” die tijdens de Black Hat Sessions wordt georganiseerd zit helaas vol. Wilt u de workshop op een ander moment volgen? Klik dan bij uw aanmelding op “Selecteer” in het inschrijfformulier, dan houden wij u op de hoogte. sponsor s

ke nn i s pa rtner s Platform voor IT-professionals

Madison Gurkha mei 2014

11

In deze extra rubriek vertelt Remco Huisman, commercieel directeur bij Madison Gurkha, graag meer over het nut en de mogelijkheden van Red Teaming.

H E T IN Z IC H T E XT RA

ed eaming :: is uw organisatie bestand tegen gerichte aanvallen? Criminelen, industriële spionnen of buitenlandse mogendheden hebben doorgaans een heel specifiek doel dat ze langs de digitale weg willen bereiken. Ze houden zich niet aan een vast testplan en een vastgelegde scope. Ze kondigen hun acties ook niet van tevoren aan. In het rapport “Internet Security Threat Report 2014”1 dat in april is verschenen, maakt Symantec melding van een stijging van 91% van de zogenaamde ‘spear phishing’ campagnes in 2013, naar 779 in totaal. Spear phishing attacks zijn gerichte digitale aanvallen die worden uitgevoerd door bijvoorbeeld inlichtingendiensten van buitenlandse mogendheden, criminele organisaties of concurrenten op zoek naar voor hen interessante informatie. De inschatting van Symantec dat er een kans is van circa 30% dat bedrijven het slachtoffer worden van een dergelijke aanval, spreekt nog meer tot verbeelding. Deze kansen zijn dusdanig groot dat elke organisatie zich zorgen zou moeten maken over deze aanvallen en zich er beter tegen zou moeten beschermen. Maar hoe doe je dat? Veel organisaties waar Madison Gurkha zaken mee doet zijn serieus bezig met informatiebeveiliging en laten daarom ook regelmatig beveiligingstesten uitvoeren op IT-infrastructuren en applicaties. Deze onderzoeken gaan meestal uit van een bepaalde scope. Het gaat bijvoorbeeld om een onderzoek van een website, een kwetsbaarhedenscan vanaf het internet, een penetratietest vanaf het interne netwerk, een social-engineeringaanval of een test van het WiFi- netwerk. Het zijn stuk voor stuk nuttige onderzoeken om IT-beveiligingsrisico’s in kaart te brengen, maar kennen toch beperkingen. Red Teaming volgt feitelijk een zelfde werkwijze als criminelen dat doen en geeft daarmee een beeld van de hele IT-beveiligingsketen. Red Teaming is een techniek waarmee je ‘problemen’ bekijkt vanuit een tegengesteld gezichtspunt. Dat gezichtspunt kan een aanvaller

12

Madison Gurkha mei 2014

zijn, een tegenstander of bijvoorbeeld een concurrent. Het hangt er maar vanaf op welk ‘probleem’ of ‘situatie’ je Red Teaming toepast. Vanuit een militair oogpunt onderzoekt leger A bijvoorbeeld hoe leger B zou kunnen reageren op de aanval die leger A wellicht van plan is. Een onderneming kan met behulp van Red Teaming onderzoeken hoe concurrentie zal reageren op de introductie van een nieuw product of dienst. Een bewakingsbedrijf kan via Red Teaming zwakheden zoeken in de manier waarop ze haar geldtransporten heeft georganiseerd. In het geval van Red Teaming op het gebied van informatiebeveiliging verplaatst Madison Gurkha zich in de gedachtenwereld van een of meer tegenstanders van een organisatie en bedenkt manieren om met behulp van hacking en social-engineering-technieken deze doelen te bereiken. Een Red Teaming onderzoek geeft u een integraal beeld van de mate van bescherming van datgene dat van kritiek belang is voor een organisatie. Daaruit zijn zeer waardevolle lessen te trekken. Lees ook het artikel in de rubriek ‘De Hack’ elders in deze Update waarin we u vertellen hoe een specifieke aanval tijdens een Red Teaming onderzoek in zijn werk gaat. Voor een succesvolle uitvoering van een Red Teaming onderzoek zijn onder andere de volgende aspecten van belang. 1. h  ttp://www.symantec.com/content/en/us/enterprise/other_resources/bistr_main_report_v19_21291018.en-us.pdf

HET INZICHT EX T RA

4

Do

Weet wie je tegenstander is/tegenstanders zijn Verschillende tegenstanders zullen waarschijnlijk verschillende manieren gebruiken om een bepaald doel te bereiken. Soms zullen die doelen hetzelfde zijn en soms ook heel verschillend. Een actiegroep zal het gemunt hebben op het - op wat voor manier dan ook - ontregelen van de organisatie en het creëren van publiciteit, terwijl de industriële spion op zoek is naar een specifieke blauwdruk (en toekomstige plannen).

4 4

Weet wat de kroonjuwelen zijn Wat zijn nu precies de kroonjuwelen van de organisatie waar tegenstanders het op voorzien hebben? Is het één kroonjuweel of zijn het er meer? Gaat het om intellectueel eigendom, de klanten/patiëntendatabase, toegang tot SCADA/EMS-systemen, de webshop? Kies één tegenstander en één kroonjuweel voor een Red Teaming opdracht Om binnen een bepaald budget en bepaalde tijd een goede Red Teaming opdracht uit te voeren is een zekere focus onontbeerlijk. Soms is het mogelijk om met een onderzoek meerdere kroonjuwelen te bemachtigen, maar het verdient aanbeveling om één bepaald doel te kiezen en de aanval daarop tot in de puntjes uit te werken en uit te voeren.

4 4

Zorg voor draagvlak binnen het hoger management Omdat een Red Team zich richt op de kroonjuwelen van een organisatie, er aan een onderzoek altijd risico’s kleven en een groot deel van de organisatie te maken kan krijgen met de aanval, is draagvlak binnen het hoger management / directie een een must. Het is verstandig om verder zo min mogelijk mensen in te lichten. Leer van de uitkomsten en doe er wat mee Dat klinkt triviaal, maar er zijn uit Red Teaming opdrachten doorgaans meerdere lessen te trekken, op meer dan één niveau binnen een organisatie en zowel op menselijk, organisatorisch als technologisch vlak. Processen en procedures verdienen aandacht, het bewustzijn van (bepaalde) medewerkers, detectiemethoden voor bepaalde aanvallen en specifieke bescherming van de kroonjuwelen. Een Red Teaming opdracht biedt vaak ook een prima gelegenheid om de zogenaamde ‘Forensic Readiness’ te testen: Wat is er van de aanval in logs van systemen terug te vinden? Zijn er wel logs en hoe betrouwbaar zijn die? Is er een incident response plan? Als de resultaten van een Red Teaming opdracht zijn gepresenteerd en gerapporteerd, dan zit het werk van het Red Team erop, maar dan begint het werk van de organisatie pas! Dat is over het algemeen veel meer werk dan het Red Teaming onderzoek.

8

Don't

Je kunt jezelf niet Red Teamen Zoals je jezelf niet onafhankelijk kunt testen, kun je jezelf ook zeker niet Red Teamen. Voor een goed Red Teaming onderzoek is een onafhankelijke frisse blik nodig van een team dat is geoefend in het denken buiten de kaders en beschikt over de juiste hacking en social engineering technieken. Een intern Red Team kan verder als nadeel hebben dat er zelfcensuur kan worden toegepast: “Zal ik deze vervelende uitkomst wel brengen, of kan ik het maar beter wat verzachten”.

8

Pay peanuts, get monkeys Zorg voor voldoende budget en dus tijd. Dat hoeft niet zoveel budget/tijd te zijn als industriële spionnen of buitenlandse mogendheden ter beschikking hebben, maar wel voldoende om een echt realistische aanval door professionals met ervaring op te zetten.

8

Stel zo min mogelijk beperkende voorwaarden aan het onderzoek Je tegenstanders houden zich ook niet aan bepaalde voorwaarden, dus geef het Red Team zoveel mogelijk vrijheid. Madison Gurkha legt zichzelf overigens wel een aantal beperkingen op. Zo treden wij niet binnen in de persoonlijke levenssfeer van iemand, door bijvoorbeeld een privé-PC of emailaccount van een medewerker te hacken. Uiteraard zullen wij ook geen chantage toepassen of geweld plegen en blijven wij binnen de kaders van de Nederlandse wetgeving. Wel zullen wij gebruik maken van de vrijheid die ons op basis van een vrijwaring wordt geboden.

Door bovenstaande aspecten in ogenschouw te nemen, wordt de kans op een succesvol Red Teaming onderzoek verhoogd. Deze lijst is overigens zeker niet uitputtend.

Madison Gurkha mei 2014

13

In de ITSX-rubriek vertelt Marcus Bakker, IT security consultant bij ITSX, dit keer over de Heartbleed bug en doet directeur Ralph Moonen verslag van het Founders Kite Club event.

ITSX

De Heartbleed bug Afgelopen 7 april werd de Heartbleed bug publiekelijk bekend. Heartbleed is een zeer ernstige zwakheid in OpenSSL die het mogelijk maakt om vertrouwelijke informatie van een server of client uit te lezen. SSL is een protocol dat wij allen dagelijks gebruiken voor het veilig versturen van informatie. Voor gebruikers is het vaak zichtbaar als het bekende slotje in de browser.

Ontwikkelaars van softwareproducten maken vaak gebruik van OpenSSL voor het implementeren van het SSL-protocol in hun producten. Aan het gebruik van OpenSSL zijn geen kosten verbonden en het wordt dan ook in veel software gebruikt. Een grote meerderheid (naar schatting 60%) van de webservers op het Internet maakt gebruik van OpenSSL. Andere voorbeelden van software die gebruik maakt van OpenSSL zijn de VPN oplossing OpenVPN, het Android besturingssysteem en de veel gebruikte mail server Sendmail. Software van bijvoorbeeld Microsoft maakt geen gebruik van OpenSSL en is dan ook niet kwetsbaar voor Heartbleed.

Het is noodzakelijk de huidige SSLcertificaten te laten intrekken en nieuwe certificaten aan te vragen

14

Madison Gurkha mei 2014

Heartbleed is geen fout in het SSL-protocol, maar in de implementatie van de ‘heartbeat’ functionaliteit. De bug is te vinden in versie 1.0.1 en hoger van OpenSSL, een versie die reeds twee jaar beschikbaar is. Er wordt aangenomen dat de hacker community gedurende deze twee jaar geen weet had van deze bug, tot de bekendmaking hiervan op 7 april. Onbevestigde berichten uit de wereld van de inlichtingendiensten melden echter dat onder andere de Amerikaanse NSA hier al lang van wist, en het lek ook al lang gebruikte. Heartbleed stelt een kwaadwillende in staat het geheugen (maximaal 64 KiloByte) uit te lezen. Een simpele en leuke uitleg van Heartbleed is beschreven in de volgende XKCD strip: www.xkcd.com/1354/. De bug is zo gemakkelijk te misbruiken, dat reeds na enkele minuten na bekendwording kwaadwillenden massaal systemen op het internet gingen aanvallen.

Kwaadaardige server Naast servers zijn ook clients kwetsbaar. Een kwaadaardige server kan ‘heartbeats’ naar clients versturen om blokken geheugen van clientsoftware (zoals bijvoorbeeld een browser of filesharing programma) uit te lezen. Hierbij wordt dezelfde kwetsbaarheid misbruikt. Dit wordt ook wel een ‘reverse Heartbleed’ genoemd. De uitgelezen informatie kan allerlei vertrouwelijke gegevens bevatten. Denk hierbij aan gebruikersnamen, wachtwoorden, e-mails en zelfs de privésleutel van een SSL-certificaat kan hierin voorkomen. Wachtwoorden kunnen hierdoor bekend raken, en aanvallers kunnen HTTPS-verkeer ontsleutelen of een servercertificaat vervalsen. Kwetsbare versies vinden Ons advies is dan ook direct uit te zoeken welke servers kwetsbaar zijn (omdat ze OpenSSL v1.0.1 of hoger gebruiken) en deze te voorzien van de nodige beveiligingsupdates. Denk hierbij dus niet alleen aan webservers, maar ook aan mailservers die met SSL zijn beveiligd, Secure File Transfer servers en appliances. Het zal voor de meeste organisaties een grote uitdaging zijn om alle kwetsbare versies van OpenSSL te vinden, en soms is het niet eenvoudig om deze te updaten. Maar naast het updaten van de software speelt natuurlijk ook het feit dat SSL-sleutels van kwetsbare servers kunnen zijn gecompromitteerd. Als de privésleutels niet zijn opgeslagen in een Hardware Security Module (HSM) - een HSM beveiligt de sleutels zo-

IT SX

Founders Kite Club event

Netwerken op het strand danig dat deze niet door Heartbleed kunnen worden getroffen - is het noodzakelijk de huidige SSL-certificaten te laten intrekken en nieuwe certificaten aan te vragen. Bij de meeste certificaatautoriteiten (CA’s) worden hiervoor geen kosten in rekening gebracht. Let daarbij op dat een nieuw sleutelpaar (publieke- en privésleutel) dient te worden gegenereerd. Lekken van informatie Daarnaast is het van belang om een inschatting te maken welke vertrouwelijke informatie, tussen de bekendmaking van Heartbleed en het uitvoeren van de beveiligingsupdates, heeft kunnen uitlekken. Kunnen er bijvoorbeeld wachtwoorden en gebruikersnamen zijn uitgelekt? Adviseer dan alle gebruikers zelf de wachtwoorden te laten wijzigen. Is er een hoog risico bij het uitlekken van deze wachtwoorden, dan kunnen extra maatregelen worden genomen, zoals het preventief wijzigen van alle wachtwoorden zonder tussenkomst van de gebruiker.

De FoundersKiteClub (zie ook: founderskiteclub.com) is een club van kitesurfende ondernemers, variërend van oprichters van investeringsfondsen tot kleinere ondernemers zoals ikzelf. Een aantal weken geleden reisde ik af naar Tarifa in Spanje om deel te nemen aan het FKC business networking event. Want wat op de golfbaan kan, moet natuurlijk ook op het strand, in de wind en de golven kunnen! Op het event waren naast de organisatie en een aantal professionele kitesurfers, ongeveer veertig ondernemers aanwezig. Veel van hen zijn actief in de tech-, internet- en mediasector. Onder andere de oprichters van BWIN en Xing.com waren van de partij.

Naast de clinics en shows door de pro-kiters waaronder wereldkampioen Ruben Lenten en de Engelse kampioen Lewis Crathern, waren er ook voldoende gelegenheden en activiteiten gepland om te kunnen netwerken en je bedrijf te presenteren. Tijdens een van de deze activiteiten heb ik een demonstratie van WiFi en mobiele beveiliging gegeven die erg goed werd ontvangen. Er zaten diverse bedrijven aan tafel die mobiele apps ontwikkelen dus dat sloot erg goed aan. Met een hoop kite-skills, interessante contacten en een nieuwe klantrelatie rijker, kijk ik terug op een zeer nuttig ’zakenuitje’ dat voor herhaling vatbaar is! Ralph Moonen, directeur ITSX

Op het event waren naast de organisatie en een aantal professionele kitesurfers, ongeveer veertig ondernemers aanwezig.

Kortom, veel organisaties zullen voorlopig nog handen vol werk hebben aan de nasleep van deze pijnlijke kwetsbaarheid. Het is te verwachten dat kwetsbare servers en applicaties nog jarenlang zullen bestaan omdat veel organisaties niet zijn voorbereid op dergelijke problemen. Welke certificaten worden waar gebruikt? Welke versies van welke software zijn op welke server geïnstalleerd? Zelfs in organisaties met een hoog volwassenheidsniveau zijn deze vragen vaak niet eenvoudig te beantwoorden. Er waren ook voldoende gelegenheden en activiteiten gepland om te kunnen netwerken en je bedrijf te presenteren.

i

T

S

X Madison Gurkha mei 2014

15

In de rubriek “Het Inzicht” stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Deze keer geeft Matthijs Koot meer inzicht in de wet op de inlichtingen- en veiligheidsdiensten.

het Inzicht

De verva inlichti De Wet op de inlichtingen- en veiligheidsdiensten van 2002 (Wiv2002) regelt de bijzondere bevoegdheden van de AIVD en MIVD. Huidige bevoegdheden zijn onder meer het binnendringen in geautomatiseerd werk (‘hacken’), gerichte interceptie (‘aftappen’) en ongerichte interceptie (‘sleepnettaps’). Die laatste bevoegdheid is alleen toegestaan op draadloze communicatie: in praktijk gaat het daarbij om satellietcommunicatie, geïntercepteerd in Burum, en hoogfrequent (militair) radioverkeer, geïntercepteerd in Eibergen.

16

Madison Gurkha mei 2014

De Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (CTIVD) houdt ex post toezicht op de rechtmatigheid van de inzet van deze bevoegdheden. Alleen indien een inzet zowel noodzakelijk, proportioneel als subsidiair is, kwalificeert de CTIVD de inzet als “rechtmatig”. Is de inzet noodzakelijk in een democratische samenleving? Staat de inbreuk die wordt gemaakt op grondrechten (privacy) in verhouding tot het belang van de verwachte opbrengst? Is er een lichter middel waarmee hetzelfde doel had kunnen worden bereikt? Deze afwegingen worden, als het goed is, natuurlijk al gemaakt door de AIVD en de MIVD voorafgaand aan de inzet, en verwoord in het verzoek dat ze aan hun Minister sturen voor toestemming om de bevoegdheid uit te oefenen. In december 2013 citeerde Nu.nl scheidend CTIVD-voorzitter Bert van Delden: “De toezichthouder deed de afgelopen tijd onderzoek naar de activiteiten van de Nederlandse diensten. ‘NSA-achtige praktijken’ kwam Van Delden daarbij niet tegen. (...) De werkwijze van de Amerikanen is volgens hem niet vergelijkbaar met die van de Nederlanders. Dat verschil is niet alleen een kwestie van cultuur, maar komt volgens hem ook door het ‘bijna onbeperkte budget’ van de Amerikaanse afluisterdienst NSA.”

het Inzicht

gende grens tussen ngen en opsporing Budgetgrootte Geen ‘NSA-achtige praktijken’ door de Nederlandse diensten, dus? Hierover het volgende. Ten eerste is de notie van ‘budgetgrootte’ relatief. Gegevensverwerking wordt steeds goedkoper, en dus kun je met gelijkblijvend budget steeds meer doen. Het plaatje hieronder uit het AIVDjaarverslag over 2012 geeft de ontwikkeling van het budget weer: van 50 miljoen euro in 2000 tot 200 miljoen euro in 2012; en thans wat gecorrigeerd door bezuinigingen (als die gehandhaafd blijven). ontwikkeling van de taken en het budget van de AIVD sinds 2000 250 Hack Diginotar

200

Taakstellingen Rutte I en II ICT-intensiveringen Basisvoorziening informatiebeveiliging Rijk (NBV)

150

Aanslagen Londen

Versterking informatiepositie AIVD (pijler V - Balkenende IV)

Aanslag Van Gogh, Aanslagen Madrid Aanslag Fortuyn

100

Bestrijding radicalisering en terrorisme

Aanslagen VS

Bestuurlijke evaluatie AIVD (commissie-Havermans) Stelsel bewaken en beveiligen (commissie-Van den Haak)

50

Wiv 2002: BVD wordt AIVD en overheveling buitenlandtaak en NBV-taken van BZ naar AIVD

0

00

20

01

20

02

20

03

20

04

20

05

20

06

20

07

20

08

20

09

20

10

20

11

20

12

20

13

20

14

20

15

20

16

20

17

20

18

20

Van Delden werd in hetzelfde artikel nogmaals geciteerd: “Je moet niet bezuinigingen op onze veiligheidsdiensten, maar je moet ze ook geen honderden miljoenen geven, want dan gaan ze zulke dingen doen”, waarschuwt de vertrekkende CTIVD-voorzitter. Budgetgrootte als bepalende factor voor de interne cultuur, dus. | |

Ten tweede is het begrip ‘NSA-achtige praktijken’ natuurlijk vaag. De AIVD zal behoeften en ambities hebben die vergelijkbaar zijn met die van de NSA: al was het maar om quid pro quo te kunnen blijven spelen met buitenlandse diensten. Zo blijkt uit het boek The Snowden Files nogmaals dat GCHQ zich zorgen maakt over de eigen informatiepositie uit angst voor verlies van het Britse lidmaatschap van de Five Eyes community: de besloten kring waarin Australië, Canada, Nieuw Zeeland, de VS en het VK uitgebreid toegang hebben tot elkaars informatie. Ze blijven daarom zoeken naar verbetering en uitbreiding van methoden voor digitale spionage onder programma’s als Mastering The Internet en Global Telecoms Exploitation. Zoals Constant Hijzen opmerkt over wat via Snowden is onthuld: “Dit is geen schandaal, maar een praktijk die het gevolg is van de recente technologisering en groei van het inlichtingen- en veiligheidsapparaat.” Ongerichte Interceptie Bekend is dat GCHQ de AIVD in 2008 adviseerde over de juridische aspecten van bulkinterceptie: “The Dutch have some legislative issues that they need to work through before their legal environment would allow them to operate in the way that GCHQ does. We are providing legal advice on how we have tackled some of these issues to Dutch lawyers.” Uit deze woorden blijkt strikt genomen

niet dat de AIVD zou willen werken “in the way that GCHQ does”. Dat blijkt echter wel uit ARGO II, de supercomputer waarover de MIVD+AIVD nu beschikken voor de verwerking van grote hoeveelheden data, naar verluidt geleverd door het Israëlische NICE Systems. Ook wordt in recente jaarverslagen van de AIVD (2010, 2011, 2012) meer gesproken over “grootschalige data-analyse”. Ook heeft de cie-Dessens, die vorig jaar de Wiv2002 heeft geëvalueerd, aanbevolen om de bevoegdheid tot ongerichte interceptie uit te breiden tot kabelnetwerken. De cie adviseert dat telecomaanbieders en internetknooppunten (AMS-IX?) op last van de minister verplicht moeten kunnen worden de diensten toegang te verlenen tot hun netwerken. De vraag die zich dan opdringt: wat weten we over de rechtmatigheid van de inzet in het afgelopen decennium van de huidige bevoegdheid tot ongerichte interceptie? Het antwoord is zorgwekkend: vanaf de nulmeting van de CTIVD in 2008 (rapport 19) heeft de CTIVD zich onthouden van een rechtmatigheidsoordeel, omdat zowel de AIVD als de MIVD de inzet van die bevoegdheid niet of nauwelijks motiveren. Dit overigens in tegenstelling tot de inzet van gerichte interceptie: vanaf de nulmeting in 2008 blijkt elk jaar dat de AIVD bij de inzet van die bevoegdheid (vrijwel) altijd “zorgvuldig” en “doordacht” te werk gaat.

Madison Gurkha mei 2014

17

het Inzicht

Nietszeggende opmerkingen Al vijf jaar (!) slagen de diensten er niet in de motivering voor ongerichte interceptie op orde te krijgen. In reactie op (onder meer) Kamervragen komt onze regering vooralsnog niet verder dan de nietszeggende opmerking “zijn en worden maatregelen getroffen” (Plasterk, 16 dec 2013). Veronderstellend dat de diensten te goeder trouw handelen, dringt zich zo langzamerhand de vraag op of het misschien eenvoudigweg niet mogelijk is om de manier waarop deze bevoegdheid tot nu toe is ingezet overtuigend te motiveren op een manier waaruit overtuigend blijkt dat de inzet past binnen een democratie, en niet in strijd is met, zeg, het EVRM. Hier is parlementaire waakzaamheid geboden! In het OPTIC NERVE programma heeft GCHQ in zes maanden tijd webcambeelden verzameld van wereldwijd 1.8 miljoen gebruikers van Yahoo webcam chat zonder dat die gebruikers ergens van werden verdacht. GCHQ wil er nieuwe targets mee

Het gebruik van generieke identiteiten als sleepnet zal in elk geval één van de onderdelen van de nieuwe Wiv zijn die op gespannen voet staat met democratische beginselen

18

Madison Gurkha mei 2014

ontdekken, en experimenteren met gezichtsherkenning om bestaande targets te vinden in de gegevensstromen. Gaan de Nederlandse diensten ook dit soort dingen doen? Is dat noodzakelijk? Is het proportioneel? Is er een minder inbreukmakend alternatief om het (overigens van GCHQ niet bekende) doel te bereiken? Gebrek aan informatie Het ontbreekt aan informatie waarmee de buitenstaander dat kan bepalen. Dat bemoeilijkt een eerlijk debat --- de andere kant van het verhaal, die van de diensten, mist. Het ontbreken van informatie houdt dystopische straw-man-argumenten overeind: redeneringen van het type “ik wil niet in een wereld leven waarin X”, waarbij X gewoon simpelweg niet aan de orde is, maar dat niet kenbaar is voor wie het argument maakt. Het zou goed kunnen zijn dat ongerichte kabelgebonden interceptie “onder de streep” volstrekt redelijk en wenselijk is, gegeven de taakstellingen van de diensten en de actuele situatie in de wereld: dat uitbreiding van die bevoegdheid aantoonbaar bijdraagt aan de veiligheid van onze strijdkrachten in het buitenland, aan het voorkomen van terroristische aanslagen in het binnenland, en nimmer wordt gebruikt op een manier die in strijd is met democratische beginselen. Van de MIVD is echter bekend dat ze “generieke identiteiten” gebruikte om binnen ongericht geïntercepteerde niet-kabelgebonden data nieuwe targets te ontdekken:

het verslag Ag enda In de Madison Gurkha Update presenteren wij een lijst met interessante bijeenkomsten die de komende tijd zullen plaatsvinden.

15 mei 2014

NLUUG Voorjaarsconferentie een praktijk die de CTIVD niet rechtmatig achtte, en vervolgens de facto adviseerde te legaliseren. [De exacte bewoording van de CTIVD luidde (.pdf): “De Commissie geeft in overweging te bezien of het, met inachtneming van de privacybescherming, noodzakelijk is dat aan de MIVD (en de AIVD) ruimere bevoegdheden worden toegekend die beter aansluiten op deze (gewenste) praktijk”).] Hoe sterk is onze democratie op dat punt? Het gebruik van generieke identiteiten als sleepnet zal in elk geval één van de onderdelen van de nieuwe Wiv zijn die op gespannen voet staat met democratische beginselen. Het hangt natuurlijk allemaal samen met wat de samenleving van de diensten verwacht: zie ook de betogen van Constant Hijzen (@ConstantHijzen) in Buitenhof en allerlei andere media. Targets en non-targets Voor het gericht monitoren van jihadistische fora hebben onze diensten geen bevoegdheid tot ongerichte interceptie nodig, daartoe volstaat de hackbevoegdheid (Artikel 24 WIV2002) in combinatie met andere bestaande bevoegdheden. Misschien zou de hackbevoegdheid een nieuw juridisch jasje kunnen krijgen dat beter rekening houdt met de aard van systemen en infrastructuur die zowel door (enkele) targets als (heel veel) non-targets wordt gebruik. En waarin nader wordt geregeld wat onze diensten mogen doen met gehackte systemen. Of de diensten Com-

puter Network Exploitation (CNE) mogen bedrijven in de vorm van het achterlaten van malware op computernetwerken, zoals de NSA al op > 50.000 netwerken heeft gedaan en zoals bij Belgacom is aangetroffen. Of de diensten ongerichte Man-in-theMiddle-aanvallen mogen uitvoeren. Iets dat juridisch mag (c.q. juridisch kan worden rechtgepraat met taalspelletjes) is niet automatisch moreel goed. De AIVD moet vooral onderscheid maken tussen targets en non-targets, ook al in de fase van verzameling: het principe van discriminatie in de Just Intelligence Principles van Ross Bellaby. Ook professor Bart Jacobs, lid van de Cyber Security Raad, roept daartoe op in zijn essay “Gerichtheid moet in het DNA van inlichtingendiensten zitten” (maart 2014). Hoe zit het, in het licht van de opkomst van intelligencegestuurd politiewerk, eigenlijk met de vervagende grens tussen inlichtingen en opsporing, de scheiding die bewust na WOII is ingevoerd en in Wiv2002 is vastgelegd (Art. 9)? Welke juridisch nét toegestane gegevensverzamelingen, -koppelingen en -verrijkingen liggen in het verschiet, indachtig het (destijds weliswaar ingetrokken) post-Madrid wetsvoorstel om de diensten gegevens te kunnen laten vorderen bij private partijen? Vragen genoeg.

Postillion hotel, Bunnik www.nluug.nl De activiteiten van de NLUUG richten zich op uitwisseling van informatie, het behartigen van belangen en ondersteuning met betrekking tot open systemen, open standaarden, netwerken en gebruikersinterfaces. Naast tutorials, technische en productgerichte lezingen en exposities bieden deze conferenties ruimschoots de gelegenheid om in contact te komen met medegebruikers, leveranciers en onderzoekers. 17 mei 2014

Privacy Café TkkrLab, Performance Factory http://privacy-enschede.nl Bij het Privacy Café leer je je persoonlijke gegevens te beveiligen: email versleutelen (PGP/GNUPG), anoniem browsen (TOR) en chatten (OTR). Het Privacy Café is onderdeel van het Privacy Event Enschede waarmee organisator Dave Borghuis wil laten zien welke bedreigingen er nu zijn voor je eigen privacy maar ook wat je kunt doen om deze toch te behouden. 3 en 4 juni 2014

‘International NCSC One Conference’ World Forum, Den Haag https://www.ncsc.nl/conference In plenaire en parallelle tracks, zullen vooraanstaande deskundigen en inspirerende sprekers een verscheidenheid aan onderwerpen presenteren zoals malware en monitoring maar ook minder technische vakken, zoals organisatorische aspecten van veiligheid en privacy, aspecten over rechtshandhaving, de strategie en het beleid, en de publiek-private partnerschappen.

het colofon Redactie Daniël Dragicˇevic´ Laurens Houben Remco Huisman Matthijs Koot Maayke van Remmen Ward Wouts

Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan

Contactgegevens Madison Gurkha B.V. Postbus 2216 5600 CE Eindhoven Nederland

T +31 40 2377990 F +31 40 2371699 E [email protected]

Bezoekadres Vestdijk 9 5611 CA Eindhoven Nederland

Redactie [email protected]

Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.

Madison Gurkha mei 2014

19

Safe?

Goede IT-beveiliging is niet zo eenvoudig als vaak wordt beweerd. Bovendien blijkt keer op keer dat deze beveiliging van strategisch belang is voor organisaties. Alle IT-beveiligingsrisico's moeten op een acceptabel niveau worden gebracht en gehouden. Professionele en gespecialiseerde hulp is hierbij onmisbaar. Kies voor kwaliteit. Kies voor de specialisten van Madison Gurkha.

Your Security is Our Business

tel: +31(0)40 237 79 90 - www.madison-gurkha.com - [email protected]