update Madison Gurkha wenst u een succesvol, gezond en veilig 2013! DE COLUMN 2 HET NIEUWS 3 HET INZICHT 4 HET INTERVIEW 6 DE HACK 9 DE AGENDA 10

Your Security is Our Business

17

januari 2013

u p d a t e DE COLUMN

2

Walter Belgers

HET NIEUWS

3

• Black Hat Sessions 2013 • Madison Gurkha sponsort OHM 2013 • Cyber paintballduel

HET INZICHT

4

“Cyber is bullshit?” door Matthijs Koot

HET INTERVIEW

6

Diepte-interview met Kolonel ir. J.M. (Hans) Folmer MSS, commandant Taskforce Cyber bij de Defensiestaf

DE HACK

9

Ralph Moonen van ITSX over de SNMP hack

DE AGENDA

10

HET COLOFON

10

Madison Gurkha wenst u een succesvol, gezond en veilig 2013!

In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer Walter Belgers over de toename van beveiligingsincidenten.

d e co l umn

Beveiligingsincidenten komen de laatste tijd steeds vaker in het nieuws. Worden we steeds slechter in het beveiligen? Worden de aanvallers steeds slimmer?

Ik geloof niet dat daarin de oorzaak ligt. We worden niet slechter, maar we hebben steeds meer te beveiligen. De te beveiligen systemen worden ook steeds belangrijker. Veel systemen bevatten tegenwoordig identiteitsgegevens, creditcard-gegevens, medische gegevens, en zo verder. Dan kan de veiligheid niet meer gewaarborgd worden door alleen maar een geautomatiseerde scan uit te voeren, zeker als je bedenkt wat voor gevolgen het lekken van deze gegevens heeft. Datalekkage kun je niet zomaar terugdraaien. Een aanvaller die gegevens wil stelen en zich niet druk maakt over de instantie waar ze van komen, heeft het tegenwoordig makkelijk. In plaats van zich te concentreren op een bepaald doel en dan een lek te vinden, kan hij zich concentreren op een lek, om daar vervolgens zoveel mogelijk doelen bij te zoeken. Dankzij websites als Shodan, die het hele internet in kaart brengen, kan eenvoudig gezocht worden op sites die bepaalde (kwetsbare) versies van software draaien. De hoeveelheid verschillende leveranciers van hard- en software neemt af (niet alleen in de procesbesturing). Een aanval op een bepaald stuk software heeft daardoor ernstigere consequenties: er zijn gewoonweg meer doelwitten. Die afhankelijkheid van slechts een paar leveranciers zie je op heel het internet. Van alle webservers op het internet gebruikt meer dan 65% software van Apache. Nu heb ik niets tegen Apache, maar als een aanvaller een beveiligingslek vindt in Apache dat uit te buiten is, dan zijn de gevolgen heel erg groot. En wat te denken van smartphones? Daar zijn er honderden miljoenen(!) van verkocht, voornamelijk in de smaken iOS en Android. Een lek hierin zal dan ook verstrekkende gevolgen hebben. Zeker nu steeds meer bedrijven het toestaan dat medewerkers diezelfde mobiele telefoons gebruiken om met bedrijfsinformatie te werken. In ‘De Hack’ leest u hoe een aanvaller eenvoudig slachtoffers kan zoeken bij een bepaald lek. Het gaat hierbij eigenlijk niet om een echt lek, maar om een niet-aangepaste standaard instelling van software waarmee een computer op afstand beheerd kan worden. Als de standaardinstellingen niet gewijzigd worden, kan een aanvaller zo’n computer dus ook beheren, via het internet. En als het dan gaat om de routers en firewalls waarmee bedrijven zijn gekoppeld aan internet, dan zult u beseffen dat zo’n missie hele nare gevolgen kan hebben. Wij hebben natuurlijk de betrokkenen waar mogelijk geïnformeerd, zodat de lekken gedicht konden worden. Het ging hier overigens om een risico dat al tientallen jaren bekend is. Steeds meer mensen gaan juist op zoek naar nieuwe lekken in software en schrijven dan een programma om daar

2

Madison Gurkha januari 2013

misbruik van te kunnen maken, een zogenaamde ‘zero-day’ (programma voor een lek dat pas 0 dagen bekend is, ofwel, nieuw is). Zo’n ‘zero-day’ levert geld op in het criminele circuit. Als bouwer van ‘zero-days’, kun je tegenwoordig ook bij het leger terecht, omdat offensieve capaciteiten worden opgebouwd op dat vlak. Meer over deze materie leest u in het diepte-interview met ‘Cyberkolonel’ Hans Folmer, commandant Taskforce Cyber bij de Defensiestaf. Overigens wordt vaak over ‘cyberwarfare’ gesproken, maar volgens mij is en blijft oorlog iets dat je fysiek uitvoert. Cyberaanvallen kunnen daarnaast hun nut bewijzen, maar het is erg lastig om ‘cyberwapens’ voorafgaand aan een incident te bouwen: als het lek dat je cyberwapen misbruikt bekend raakt, kan het worden opgelost en is je cyberwapen nutteloos. Zie ook in deze Update het kritische artikel “Cyber is Bullshit?” door Matthijs Koot in de rubriek ‘Het Inzicht’. Als overheid kun je echter ook eenvoudig aanvallen via ‘Third Party Sites’ uitvoeren. Uit onderzoek van Madison Gurkha blijkt dat 64% van de websites in de 9 belangrijkste sectoren van ons land inhoud tonen van sites van derden, zoals Google Analytics en Facebook. Door bij een van deze bedrijven in te breken, wordt het mogelijk om op grote schaal eindgebruikers te volgen in al hun doen en laten, en om ze aan te vallen. Kortom: door de niet te stoppen globalisering en de (bijna) monocultuur in software en dienstverleners, zullen beveiligingsproblemen er niet minder op worden. U kunt wel de gevolgen van een incident sterk reduceren, door minder informatie op te slaan en uw infrastructuur zoveel mogelijk in eigen hand te houden. Ik wens u veel inspirerende inzichten toe bij het lezen van deze Update. Walter Belgers Partner, Principal Security Consultant

In ‘Het Nieuws’ belichten we nieuwe ontwikkelingen in de IT-beveiligingswereld en rondom Madison Gurkha.

het NIE U W S

Black Hat Sessions Part XI Cyber…Security Op 14 mei a.s. gaat al weer de 11e editie van de inmiddels befaamde Black Hat Sessions van Madison Gurkha van start. Het thema dit jaar is: Cyber...Security. Het woord ‘cyber’ kent nogal wat achtervoegsels, waarmee zaken uit het echte leven te verplaatsen zijn naar de digitale wereld. Denk bijvoorbeeld aan cyberpesten, cybersex, cyberpunk en meer on-topic voor de Black Hat Sessions vooral ook aan cyberwarfare, cyberterrorisme en cybercrime. Het programma is nog onder voorbehoud, maar ook dit jaar hebben we weer bijzondere sprekers die zeer goed aansluiten bij het thema Cyber... Security: • ‘Cyberkolonel’ Hans Folmer Hans Folmer, Taskforce Cyber binnen Ministerie van Defensie • Gerben klein Baltink, Nationaal Coördinator Terrorisme bestrijding (NCTV) • Wim Verloop, Digital Investigation

• Eileen Monsma, Politie - Team High Tech Crime • Rickey Gevers, veroordeeld hacker en nu werkzaam bij Digital Investigation • Alex de Joode, Leaseweb Achterop deze Update vind u een leaflet voor meer informatie over het interessante sprekersprogramma. De bijeenkomst wordt georganiseerd voor beheerders van systemen, netwerken en applicaties, security officers, interne auditors, het management en andere geïnteresseerden in IT-beveiliging en in het bijzonder in digitale veiligheid. Op dit moment zijn we druk bezig met de samenstelling van het programma en bijbehorende tijdslots. Houd de website www.blackhatsessions.com in de gaten voor actuele informatie. Hier vindt u ook een inschrijfformulier om u aan te melden voor dit unieke evenement.

Observe. Hack. Make. Eens in de vier jaar vindt er in Nederland een grote hackerconferentie plaats en dit jaar is het weer zover. Dan staat Observe. Hack. Make. (OHM2013) gepland en worden weer duizenden mensen verwacht met interesse in hacking, techniek, het knutselen aan hardware en andere onderwerpen. Het evenement zal op 31 juli beginnen en op 4 augustus eindigen, met als locatie Geestmerambacht. Het Noord-Hollandse recreatiegebied in de buurt van Heerhugowaard, Alkmaar en Langedijk. Madison Gurkha is net als tijdens de vorige editie in 2009 trotse sponsor van dit evenement. Voor meer informatie zie https://ohm2013.org/site/

Hackers en cyberpolitie treffen elkaar in paintballduel Nederlandse hackers, beveiligingsexperts, cyberpolitie en anonymousleden gaan elkaar in real life beschieten. De kemphanen willen elkaar treffen op een paintballshoot-out in mei 2013. http://webwereld.nl/nieuws/112730/hackers-en-cyberpolitie-treffen-elkaar-in-paintballduel.html

Madison Gurkha januari 2013

3

In de rubriek ‘Het Inzicht’ stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Deze keer geeft Matthijs Koot meer inzicht in het begrip cyber security oftewel digitale veiligheid.

het I nzicht

“Cyber is bullshit?” Tijdens Black Hat USA 2012 stelde (track)gastheer Shawn Moyer aan het begin van de dag voor dat het publiek bij het horen van het woord ‘cyber’ zou roepen: “bullshit!”. De dag erna hintte Robert Clark, een bekende jurist bij het Amerikaanse Ministerie van Defensie, erop dat ook hij fronst bij dat woord. Marcus Ranum, een andere bekende beveiligingsexpert, betoogt sinds ten minste 2008: “cyberwar is bullshit”. En Bill Blunden waarschuwde eerder al dat ‘cyberwar’ een hyperbool is om media te manipuleren.

De kraan van werkelijke veiligheidsinbreuken staat

zijn er voldoende aanwijzingen om de claim van

zoals die dingen gaan, ook met speculatie en fic-

intussen gewoon open. Moonlight Maze, Stakkato,

betrokkenheid van een overheid staande te houden.

tieve scenario’s - vooral als gevolg van tekortschie-

Titan Rain, Stormworm, GhostNet, Byzantine

4

tende openbare informatie. Daarin schuilt risico dat

Hades, Operation Aurora, Stuxnet, Flame, de

Nuancering

kwestie-DigiNotar en meer recent Dorifel, Citadel

Waarom dan ‘cyber(war)’ associëren met “bull-

en TurkTrust en nog steeds verschijnende datalek-

shit”? Ten eerste, het valt moeilijk te ontkennen dat

Blunden heeft natuurlijk een punt wanneer hij wijst

ken tonen aan dat IT kwetsbaar is. Elke informaticus

‘cyber’ een modewoord is geworden. Voor Clark

op overdrijving en alarmisme. In voornoemd artikel,

wist dat ook al zonder die incidenten. Dat we geen

zit de ergernis voor een deel in dat wat nu ‘cyber’

uit 2010, refereert hij aan een CEO die in een digita-

zilveren kogel hoeven te verwachten, werd in 1987

wordt genoemd, in militaire context al jaren bekend

le doemsvoorspelling de vergelijking aandurfde met

al duidelijk met het bewijs dat de Amerikaanse com-

staat als ‘Computer Network Operations’ (CNO). Ik

Pearl Harbor2. Ter opfrissing: bij die aanval vielen

puterwetenschapper Fred Cohen leverde voor de

vermoed dat de frustratie van Clark wordt gedeeld

2400 doden en 1200 gewonden. Blunden verwijst

stelling dat er geen algoritme bestaat dat perfect in

door Moyer, en, wat dat betreft, door Nederlandse

in zijn kritiek naar het ‘propagandamodel’ dat Noam

staat is alle computervirussen te detecteren. Bij het

verbindelaren. Ook stelt Clark dat ‘cyber’ nogal een

Chomsky en Edward Herman twee decennia terug

op sabotage gerichte Stuxnet kan betrokkenheid

“trigger” is geworden om subsidie te werven. Het

beschreven inzake manipulatie van de massamedia

van statelijke actoren in redelijkheid niet worden

begrip ‘cyber’ krijgt voor het grote publiek via de

door (de Amerikaanse) overheid en bedrijfsleven.

ontkend. Ook bij het op spionage gerichte GhostNet

media betekenis met werkelijke incidenten1 maar,

In oktober jl. werd de vergelijking met Pearl Harbor

Madison Gurkha januari 2013

belastinggeld wordt uitgegeven aan onzinprojecten.

het I nzicht

opnieuw gemaakt door de Amerikaanse Minister

len”. De begroting van 2013 laat een oplopende

van Defensie, toen hij sprak van ‘cyber-Pearl Har-

investering zien: van 8 miljoen in 2013 naar 23

bor’. Aftredend Congreslid Norm Dicks sprak zelfs

miljoen in 20163. Daarmee is Nederland voortvarend

van een “cyber 9/11”. Het blijft gissen waar (en of)

bezig. Internationaal worden we serieus genomen;

feiten kunnen worden gevonden die zulke vergelij-

zo is het AIV-rapport studiemateriaal geworden

kingen rechtvaardigen. Blunden’s waakzaamheid op

bij de Minnesota State University4 (en dan niet als

een ‘cyber-industrieel complex’ is dus terecht.

voorbeeld van hoe het niet moet).

Nederlandse ontwikkelingen

Wat betreft “cyber is bullshit” zijn we in Neder-

En dan de Nederlandse ontwikkelingen. In decem-

land denk ik nuchter en reëel bezig, wellicht meer

kamerleden zich laten informeren en dat zij goed

ber 2011 heeft de Adviesraad Internationale Vraag-

dan andere landen. In het lezenswaardige boek

geïnformeerde kritische vragen stellen bij voorge-

stukken (AIV) het adviesrapport Digitale oorlogvoe-

Cyber warfare - Critical Perspectives (de NL ARMS

stelde wetgeving inzake internet, privacy en digitale

ring gepubliceerd, waarin vragen worden behandeld

2012 publicatie) staat een artikel van LKol. Han

veiligheid. Overigens is er ook positieve bijvangst

over ‘cyber’ binnen de context van internationaal

Bouwmeester (NATO), Kol. Hans Folmer (reeds

te verwachten: de maatschappij als geheel zal baat

recht en militaire operaties. Mede op basis van dat

genoemd) en Kol. Paul Ducheine5 (NLDA) waarin

hebben bij verminderde kwetsbaarheid als gevolg

rapport heeft het Ministerie van Defensie de Defen-

we lezen:

van alle inspanningen. Voor ons beveiligingsexperts

sie Cyber Strategie ontwikkeld, die in juni 2012 is gepresenteerd.

geldt dat wij ons beste beentje moeten voorzetten “Whether based on solid facts or an acute mani-

voor zowel veiligheid als privacy. “Cyber is bull-

festation perhaps of the risk-society we live in, by

shit”? Nee. Wel is waakzaamheid, kalmte en ratio

De strategie heeft zes speerpunten:

developing policies and capabilities, [NATO member

geboden. Hoe kan bijvoorbeeld zonder bekentenis

1. d  e totstandkoming van een integrale aanpak;

states that adopted the 2010 Strategic Concept]

met voldoende zekerheid kan worden bepaald wie

2. d  e versterking van de digitale weerbaarheid van

are not mere responders to the cyber environment,

achter een cyberaanval zit alvorens met militaire

but are active agents that co-create the very reality

middelen wordt gereageerd? Ik heb geen idee. Ik

they actually fear. By introducing cyber security

hoop dat besluitvormers zich niet laten (mis)leiden

and using terms like cyber threats, cyber attacks

door media en publieke opinie, en dat Westerse

and cyber warfare, the cyber environment has thus

inlichtingendiensten niet te misleiden zijn en elkaar

been heavily militarised.”

niet misleiden.

innovatieve vermogen van Defensie in het digi-

Ook elders in dat boek, dat onder hoofdredactie van

Meer leesvoer over digitale oorlogvoering is te vin-

tale domein, met inbegrip van de werving en het

Kol. Paul Ducheine staat, is kritische reflectie op

den op mijn blog: http://blog.cyberwar.nl/2012/02/

behoud van gekwalificeerd personeel (adaptief

‘cyber’ te vinden. Vooral in het laatste hoofdstuk,

selected-readings-in-cyberwar.html.

en innovatief);

waar Sean Lawson overdrijvingen als “cyber-Pearl

Defensie (defensief);  e ontwikkeling van het militaire vermogen om 3. d cyber operations uit te voeren (offensief); 4. d  e versterking van de inlichtingenpositie in het digitale domein (inlichtingen); 5. d  e versterking van de kennispositie en het

6. d  e intensivering van de samenwerking in nationaal en internationaal verband (samenwerking).

Harbor” en “digital 9/11” grondig onderuit haalt en pleit voor evidence-based policy op gebied van cyberveiligheid.

Kolonel Hans Folmer geeft binnen Defensie leiding aan de Task Force Cyber waaronder alle activi-

Tot slot

teiten worden gecoördineerd. Eind 2013 zal

Waar geld en macht huizen is gezond

een Defensie Cyber Expertise Centrum worden opgericht voor kennisopbouw en -deling; dit centrum zal nauw gaan samenwerken met het NCSC. En eind 2014 zal een Defensie Cyber Commando worden opgericht dat moet

wantrouwen geboden. Vragen stellen is een deugd, en duidelijk is dat ook de Nederlandse overheid en het Nederlandse bedrijfsleven in het streven naar digitale veiligheid (on)voorziene bijvangsten kunnen doen. Daarbij kan worden gedacht aan toename van identifica-

kunnen “verdedigen,

tie en aan verrijking en her-

vertragen, manoeu-

gebruik van profielen over

vreren en aanval-

ons. Het is dus zaak dat

1 Blogreeks: Paul Sparrows, bijv. 2012 Cyber Attacks Timeline Master Index: http://hackmageddon.com/2012cyber-attacks-timeline-master-index/, Webwereld i.s.m. Brenno de Winter, Lektober: iedere dag een privacylek op Webwereld (2011) http://webwereld.nl/ nieuws/108052/lektober--iedere-dag-een-privacylek-opwebwereld.html, HoneyMap: http://map.honeycloud. net/ 2 Artikel: Bill Blunden, Manufactured Consent and Cyberwar (2010): http://www.cio.wisc.edu/MCaC.pdf 3 Rijksbegroting 2012 - Cyber: http://www.rijksbegroting. nl/2013/voorbereiding/begroting,kst173868_16.html 4 Minnesota State University, IT 450 - InfoWar - Schedule for Fall 2012: http://mavdisk.mnsu.edu/veltsc/ iSYS450%20Topic%20Schedule.htm 5 Artikel: Han Bouwmeester, Hans Folmer en Paul Ducheine; p.19 in Cyber warfare - Critical Perspectives (Ducheine, Osinga, Soeters; eds.)

Madison Gurkha januari 2013

5

Madison Gurkha interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld. Deze keer een interview met kolonel ir. J.M. (Hans) Folmer, die binnen het Ministerie van Defensie leiding geeft aan de Taskforce Cyber.

het interview

De komende jaren versterkt het Ministerie van Defensie haar digitale weerbaarheid en ontwikkelt zij het militaire vermogen om cyberoperaties uit te voeren. De Defensie Cyber Strategie geeft daaraan richting, samenhang en focus. Kolonel Hans Folmer is commandant van de Taskforce Cyber en belast met de aanvoering van het cyberprogramma binnen de krijgsmacht.

CV Sinds zijn benoeming tot officier in 1986 heeft hij zowel operationele als technische functies in binnenen buitenland vervuld. Hij was hoofd van het EU operatiecentrum en heeft hij een Nederlands-Duits Verbindingsbataljon gecommandeerd. Ook was hij senior projectmanager bij de Directie Materieel en hoofd logistiek bij 1 Divisie. 2013 Commandant Taskforce Cyber bij het Ministerie van Defensie 2010 US Army War College (Master in Strategic Studies) 1995 Technische Universiteit Delft (Electrotechniek) 1986 Benoeming tot officier

6

Madison Gurkha januari 2013

Welke bedreigingen ziet u voor Nederland? Digitale spionage is de grootste dreiging. Daarnaast zullen diverse actoren mogelijk invloed proberen uit te oefenen op de digitale omgeving van de Nederlandse staat, maar die dreiging is minder groot. Er lijkt soms een misverstand over de taken van Defensie op het gebied van cyber, in de zin dat jullie niet de ‘firewall van Nederland’ zijn. We zijn inderdaad niet de firewall van Nederland. Het Ministerie van Defensie heeft geen directe taak als het gaat om het veilig houden van de digitale grenzen van Nederland. Defensie heeft drie hoofdtaken: ten eerste het beveiligen van het Nederlandse grondgebied en dat van bondgenoten, ten tweede het bijdragen aan de internationale rechtsorde, en ten derde het ondersteunen van civiele autoriteiten in geval van crisis of incidenten. Bij cyber als beïnvloeding van andermans digitale omgeving moet je je eerst afvragen: welke actoren zijn er, waar komt de aanval vandaan? En: wat is het doel van die aanval, de intentie van de aanvaller? Zolang de intentie niet is om de Nederlandse staat aan te vallen en schade toe te brengen vergelijkbaar aan de schade die toegebracht wordt bij een kinetische aanval, dan heeft Defensie geen directe taak.

Maar er is natuurlijk wel een grijs gebied. Stel dat kritieke infrastructuur van Nederland digitaal wordt aangevallen, of een grote multinational die een belangrijke taak vervult voor Nederland. Wij opereren altijd alleen maar met een mandaat van de regering en de bijbehorende ‘rules of engagement’ waarin omschreven staat wat je in welke omstandigheden mag doen. Als in Nederland een kritieke infrastructuur of een groot bedrijf wordt aangevallen dan zal altijd eerst duidelijk moeten worden gemaakt waar de dreiging vandaan komt. Zolang dat niet duidelijk is, is dat bedrijf zelf, of de eigenaar van de kritieke infrastructuur, verantwoordelijk voor z’n eigen bescherming. Anderzijds hebben we het NCSC, dat kijkt naar wat de bedreigingen zijn die er in algemeenheid op Nederland afkomen en die ook vanuit het Ministerie van Veiligheid en Justitie met partijen samen kan vaststellen hoe de beveiliging verbeterd kan worden. En als het dan helemáál fout gaat dan is er nog de ICT Response Board, een uit private en publieke partijen samengestelde groep, die kan ondersteunen. Laatst was het nationale olie- en gasbedrijf van Saudi Arabië, Aramco, slachtoffer van een serieuze cyberaanval. Dat heeft een behoorlijke impact, zoiets. Ja, dat heeft een behoorlijke impact. Stel

het interview

dat dat in Nederland gebeurt. Dan moeten we bekijken, en daarvoor hebben we onze inlichtingendiensten, waar de dreiging vandaan komt. Bij cyber wordt wel eens gezegd dat attributie heel erg lastig is, maar onze inlichtingendiensten gebruiken natuurlijk niet alleen cyber als informatiebron; er zijn ook andere bronnen die kunnen aangeven of die aanval vanuit een bepaalde bron komt. Op basis daarvan zal de regering moeten beslissen wat er gebeurt, wie wat moet doen. Als de regering vindt dat een bepaalde cyberaanval een ‘act of war’ is, en een mandaat geeft aan Defensie om daartegen op te treden, dan komen wij pas in beeld. Dat zou dan ook wellicht kunnen betekenen dat dat zowel op het gebied van cyber een tegenaanval zou kunnen betekenen, maar ook fysiek. Ja, de Adviesraad Internationale Vraagstukken heeft daarover een advies gegeven. In dat advies staat dit inderdaad, op die manier. Daar staat ook aangegeven dat een dergelijke aanval, tegenaanval, moet voldoen aan bepaalde eisen, maar ook dat die fysiek zou kunnen zijn. We moeten ons nog wel realiseren dat de regering dat advies wel ondersteunt en richting kamer heeft gestuurd, maar dat de Tweede Kamer er nog steeds geen debat over heeft gevoerd.

Waar staat de Taskforce Cyber op dit moment? En waar moet u de komende jaren naar toe? De aandacht ligt op dit moment bij het defensieve en het inlichtingenvermogen. We zijn bezig met het verstevigen van onze defensieve capaciteit, de DefCERT capaciteit, en we zijn bezig met het versterken en vergroten van onze inlichtingencapaciteit. Daar ligt deze jaren de nadruk op. En tegelijkertijd zijn we bezig met het voorbereiden van de operationele capaciteit. Dat wil zeggen: het nadenken over een doctrine. Wat betekent ‘cyber’ nou in zo’n militaire operatie, bij inzet? Stel, je hebt zo’n operatie in Uruzgan zoals we die hebben gehad; wat doen je dan met cybercapaciteit, zowel defensief, inlichtingen en offensief? Uiteindelijk moeten we in 2014, 2015 een offensieve capaciteit neerzetten. Dat zal onderdeel uitmaken van het Defensie Cyber Commando, dat tegen die tijd opgericht moet worden. Voor die tijd hebben we al een Defensie Cyber Expertise Centrum, dat eind 2013 moet staan, waarin we kennis verzamelen, borgen en uitdragen. Hoe breng je die kennis binnen eenheden? Daar zijn twee aspecten aan. Ten eerste, vroeger had je de uitspraak ‘every soldier is a spokesperson’. Iedere soldaat is tegenwoordig een informatiebron: iedere soldaat twittert of zit op Facebook en vertelt waar hij mee

bezig is. Cyber awareness is essentieel, We moeten iedere soldaat bewust maken van de gevaren en uitdagingen die het digitale domein biedt, zowel in zijn dagelijks leven als in zijn militaire leven. Cyber moet deel uitmaken van alle opleidingen, trainingen en oefeningen. En aan de andere kant moeten we ons bewust zijn van de capaciteiten van potentiele tegenstanders op gebied van cyber, dus zullen we cyber in het operationele planningsproces mee moeten nemen, als aspect waarop uiteindelijk een commandant een beslissing moet nemen. Een commandant zal in de toekomst, eigenlijk nu al, moeten weten hoe afhankelijk de tegenstander is van het digitale domein, wat zijn kwetsbaarheden zijn en wat zijn capaciteiten zijn. En van zichzelf moet hij dat ook weten. Op basis daarvan kan hij beslissingen nemen, en zeggen of hij cyber als instrument inzet of niet. Dat moeten we natuurlijk ook in opleidingen gaan brengen; we moeten dus commandanten gaan opleiden. Maar we moeten commandanten ook voorzien van adviseurs, mannen die zowel kennis hebben van de operatie als kennis hebben van wat je met cyber kunt. Dat zijn niet de hackers, dat zijn gewoon de mensen die weten wat er mogelijk is. Hoe gaat u al uw taken realiseren? Gaat u dat allemaal binnen Defensie organiseren? Of ziet u daar ook samenwerkingsvormen

Madison Gurkha januari 2013

7

he t int e rvi e w

“We moeten ons realiseren dat de digitale omgeving deel van ons leven is geworden, en dat alles wat in de reële wereld gebeurt, ook gebeurt in de virtuele wereld”

voor buiten Defensie? U heeft een flinke kar te trekken de komende jaren. Er liggen een hoop opdrachten, maar voor het grootste gedeelte worden die binnen Defensie gerealiseerd. Natuurlijk niet zonder samenwerking. Wij werken samen met de verschillende partners bij MinVenJ, dus: het NCSC waar ik ook een liaison heb, de politie – KLPD met name –, maar ook met het projectteam Aanpak Cybercrime, MinEZ en MinEL&I over het gezamenlijk neerzetten van opdrachten voor research. We werken in dat kader weer samen met universiteiten, waarbij we vanuit de overheid ook kijken naar wat de universiteiten doen op dit gebied, wat ze onderzoeken, welke richting ze op gaan, en of wij daar voordeel mee kunnen hebben, of dat we misschien wel opdrachten hebben. We werken in internationaal verband samen met EU en NATO, en bilateraal met een aantal landen. We zijn allemaal aan het kruipen; je moet elkaar helpen opstaan en dan kun je daarna gaan lopen en rennen. Hoe doet Nederland het eigenlijk in vergelijking met andere NATO-landen? We zijn het tweede land dat een Defense Cyber Strategie heeft gepubliceerd; we zijn een van de weinige landen die aangeven welke kant we opgaan. Je hebt een aantal voorlopers: Amerika, het Verenigd Koninkrijk, je hebt een klein aantal volgers, daar hoort Nederland ook bij, samen met Noorwegen, Duitsland, en je hebt een groot aantal die nog niet zover zijn. We doen het zeker niet slecht.

8

Madison Gurkha januari 2013

Ziet u in de samenwerking ook nog een rol voor private organisaties? Ik had het expres niet genoemd want ik denk: ‘komt die vraag nog’, haha. Ja, ik denk zeker dat er noodzaak is voor PPS. We zitten allemaal in hetzelfde schuitje en hebben te maken met dezelfde dreigingen, dus je moet daar ook samen naar kijken. Daarom doen wij ook mee in het NCSC, waar die PPS gestalte moet krijgen, maar ik denk ook dat samenwerking tussen Defensie en private partners mogelijk moet zijn. Dan moet je naast de vertrouwde klant-leverancier verhouding ook denken aan meer strategische samenwerking waarbij je nadenkt over uitwisseling van personeel, het detacheren van personeel bij elkaar. En aan cyberreservisten, het inzetten van mensen die in het bedrijfsleven werken en tijdelijk ingezet kunnen worden bij Defensie. Je moet gezamenlijk nadenken over ‘wat gebeurt er in de toekomst’, waar moeten we naartoe, waar moeten we aan werken; dus meer in de beleidsrichting. In die vormen kun je ook strategisch met elkaar samenwerken. Even naar de offensieve taken die er wellicht ooit aan zitten te komen. Hoe ziet u de risico’s daarvan? De risico’s zijn natuurlijk legio. Als je een cyberwapen inzet, ben je het kwijt. Sterker nog, het kan opgevangen worden en tegen je worden gebruikt. Je weet nooit of de kwetsbaarheid waar je gebruik van maakt nog bij je tegenstander bestaat op het moment dat je het wapen inzet. Daar zul je iets op moeten vinden. Je zult altijd onbedoelde neven-

schade moeten proberen te voorkomen; het wapen moet heel precies alleen maar werken in een bepaalde omgeving en zich verspreiden binnen een bepaalde omgeving. Kortom, er zijn nog een hoop uitdagingen voordat je een echt geschikt cyberwapen hebt. Een cyberwapen is een virus, een worm, een trojan of iets anders dat je inzet en loslaat, en dat zichzelf verder verspreidt. Dat is iets anders dan dat je ergens gaat inbreken waarbij je live contact hebt met een digitale omgeving, een netwerk van iemand, en je probeert daar binnen zijn informatiesysteem te komen. Eigenlijk zijn het meer dilemma’s dan risico’s: het zijn dingen die je moet oplossen voordat je het kunt inzetten. Daar zal nog heel veel ontwikkelingswerk aan vooraf gaan voordat we dat op een goede manier hebben.” Hoe kijkt u op de kritiek dat het maken van cyberwapens onze eigen veiligheid schaadt, aangezien zo’n wapen kennis vereist over kwetsbaarheden die je omwille van inzetbaarheid van het wapen geheim moet houden? Er heeft laatst een stukje op security.nl gestaan over hoe ik daarover denk: het is een dilemma en we zijn er nog niet uit. Het is een feit, als jij een kwetsbaarheid in handen hebt die ook een kwetsbaarheid oplevert voor je eigen software of de digitale systemen in je eigen land, dan heb je een dilemma. En dan zal je van geval tot geval moeten bekijken wat je daarmee doet. Dat is écht een uitdaging. Maar, uiteindelijk, prioriteit is verdedigen, is beschermen. Dus misschien is het niet eens zo’n ontzettend groot dilemma. Hoe blikt u terug op de Defensie Innovatie Competitie, dit jaar met het thema ‘CYBER Operations 2.0’? Heeft de competitie het gewenste effect gehad? De competitie heeft als doel om het Nederlandse MKB een kans te geven om een innoverend product aan te bieden aan Defensie. We hebben een hele rij met innoverende producten voorbij zien komen die interessant zijn voor Defensie. Uiteindelijk heeft BusinessForensics gewonnen, daar gaan we mee aan de slag. Maar er zaten bij de andere finalisten ook nog een aantal goede ideeën waar mogelijk ook nog wel toekomst in zit. Dus ik denk dat het absoluut z’n doel heeft bereikt. Heeft u nog antwoorden op vragen die we niet hebben gesteld? Nee. Wel wil ik opmerken dat ik blij ben dat jullie duidelijk onderscheid maken tussen de rol van Defensie en de rol van MinVenJ. Dat is goed.

Dit keer in de rubriek ‘De Hack’ vertelt Ralph Moonen van dochterbedrijf ITSX over het SNMP-lek. Het onderzoek heeft nogal wat stof doen opwaaien en is door verschillende media opgepakt.

de hack

SNMP-lek

enkele tienduizenden apparaten op afstand uit te lezen met SNMP In juli en augustus 2012 hebben ITSX en Madison Gurkha een onderzoek uitgevoerd naar de beveiliging van publiek benaderbare internet infrastructuurcomponenten in Nederland. Denk bijvoorbeeld aan routers en modems die de toegang tot het internet mogelijk maken. Dit onderzoek heeft zich toegespitst op het gebruik van het, Simple Network Management Protocol (SNMP). Dit protocol wordt gebruikt om foto Wietse Bijlsma

via het netwerk systemen te bewaken en te configureren en kent bijzondere beveiligingsconsequenties.

Onze resultaten laten zien dat in Nederland enkele tienduizenden apparaten op afstand uit te lezen zijn met SNMP. Het gaat daarbij om een zeer grote verscheidenheid aan apparaten, veelal kleine consumentenapparatuur van particulieren zoals ADSL modems en WiFi routers. Maar tussen de resultaten bevinden zich ook een aanzienlijk aantal grote Nederlandse bedrijven, internetproviders en overheidsgerelateerde organisaties. In het scenario waarin deze componenten door een kwaadaardige aanvaller op afstand

Ons onderzoek toont aan dat de risico’s onvoldoende aandacht krijgen van fabrikanten, service providers en beheerders

9

Madison Gurkha januari 2013

worden uitgeschakeld of overgenomen, kan dit leiden tot significante schade, zowel voor de individuele organisatie als wellicht ook de Nederlandse maatschappij. Het uitlezen van de Management Information Base (MIB) van deze apparatuur voorziet een aanvaller van waardevolle informatie en is daarmee in sommige gevallen al ernstig genoeg. Sommige systemen geven bijvoorbeeld een overzicht van alle ontbrekende ‘patches’. Met deze informatie kan een nog beter gerichte aanval worden opgezet. Daarnaast kan toegang tot deze componenten worden misbruikt voor complexere aanvallen zoals het afluisteren van netwerkverkeer of Man-in-the-Middle aanvallen. Het verkrijgen van ongeautoriseerde toegang tot SNMP (via het internet) vormt hiermee een reële bedreiging voor bedrijven en organisaties in Nederland en wij achten bewust-

de hack wording hierover noodzakelijk, in combinatie met het nemen van de juiste maatregelen om problemen te voorkomen. Ons onderzoek toont daarmee aan dat ondanks dat de problemen met SNMP al meer dan twintig jaar bekend zijn, kennelijk de risico’s die ermee gepaard gaan onvoldoende aandacht krijgen van fabrikanten, service providers en beheerders. Vaak zijn door gezaghebbende instanties en onderzoekers uitspraken gedaan over de kwetsbaarheid van de internet infrastructuur in Nederland. Allen hebben daarbij gewaarschuwd voor grote zwakheden en de mogelijkheden voor aanvallers om schade aan te richten, of in te breken in systemen en netwerken. Enkele recente tot de verbeelding sprekende voorbeelden en incidenten (bijvoorbeeld DigiNotar, Lektober, en het Dorifel/Citadel virus) hebben tot onderzoek geleid, maar dit is vrijwel altijd achteraf geweest, en de onderzoeken geven geen beeld van de staat van onze infrastructuur op dit moment.

Met ons onderzoek willen wij meer duidelijkheid geven over de specifieke beveiliging van mogelijk kritieke componenten in de Nederlandse infrastructuur

Wij hebben onze onderzoeksresultaten van de SNMP-hack gepubliceerd op 1 november 2012 op de vakbeurs Infosecurity. Op diezelfde dag verscheen een interview met onderzoeker Ralph Moonen van ITSX in de Volkskrant. Tevens heeft het Nationaal Cyber Security Center (NCSC) een factsheet over SNMP gepubliceerd. Voor alle artikelen die naar aanleiding van de SNMP hack in de media zijn verschenen en het volledige onderzoek inclusief scenario’s verwijzen wij graag naar de website http:// www.madison-gurkha.com waar ook het paper kan worden gedownload. Met ons onderzoek naar de beveiliging van SNMP in Nederland willen wij onze bijdrage leveren aan verdere bewustwording omtrent beveiliging in het algemeen en willen wij meer duidelijkheid geven over de specifieke beveiliging van mogelijk kritieke componenten in de Nederlandse infrastructuur. Naast de aanbevelingen van het NCSC raden wij bedrijven ook aan de volgende maatregelen te overwegen: • Schakel SNMP uit indien dit niet wordt gebruikt. • Maak gebruik van SNMPv3 met authenticatie en encryptie. • Wijzig standaardinstellingen zoals community-strings ed. • Scherm de componenten af van directe toegang vanaf het internet met behulp van een router of firewall. • Filter SNMP-verzoeken in firewalls (wijzigen van de netwerkconfiguratie). • Wijzig de community-string van de apparatuur. Indien de aanvaller de communitystring waarde niet kent, kan de MIB niet worden uitgelezen. In veel gevallen kan de community-string worden gewijzigd.

Agenda Als u op de hoogte wilt blijven van de laatste ontwikkelingen in de IT-beveiligingswereld dan zijn beurzen en conferenties de ideale gelegenheid om uw kennis te verrijken en om contacten op te doen. In de Madison Gurkha Update presenteren wij een lijst met interessante bijeenkomsten die de komende tijd zullen plaatsvinden.

14 mei 2013

Black Hat Sessions XI De Reehorst Ede, Nederland http://www.blackhatsessions.com/ Deze elfde editie van de Black Hat Sessions wordt georganiseerd door Madison Gurkha en staat in het teken van cyber security en alles wat daarmee te maken heeft zoals cybercrime, cyberterrorisme, cyberwarfare. Meer over de Black Hat Sessions XI leest u in deze Update. Houd bovendien de website www.blackhatsessions.com in de gaten voor actuele informatie. Hier kunt zich ook inschrijven voor dit unieke evenement. 23 – 25 april 2013

Overheid & ICT Jaarbeurs Utrecht http://www.overheid-en-ict.nl/ Overheid & ICT is hét platform voor ICT-toepassingen en –diensten voor de overheid. 31 juli 2013 t/m 4 augustus 2013

Observe. Hack. Make. (OHM 2013)

Geestmerambacht, Noord Holland OHM2013 is een internationale conferentie met als onderwerp technologie en beveiliging in een bijzondere vorm. Madison Gurkha is sponsor van deze zevende editie in een reeks van legendarische hackerbijeenkomsten.

het colofon Redactie Daniël Dragicˇevic´ Laurens Houben Remco Huisman Frans Kollée Maayke van Remmen Ward Wouts Matthijs Koot

Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan

Contactgegevens Madison Gurkha B.V. Postbus 2216 5600 CE Eindhoven Nederland

T +31 40 2377990 F +31 40 2371699 E [email protected]

Bezoekadres Vestdijk 9 5611 CA Eindhoven Nederland

Redactie [email protected]

Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.

Madison Gurkha januari 2013

10

GEORGAN ISEERD DOOR MADISON GURKHA

14 mei 2013 | De Reehorst in Ede

Black Hat Sessions XI Dit jaar organiseert Madison Gurkha alweer de 11e editie van de inmiddels befaamde Black Hat Sessions. Het thema dit jaar is: Cyber…Security. Het woord ‘cyber’ kent nogal wat achtervoegsels, waarmee zaken uit het echte leven te verplaatsen zijn naar de digitale wereld. Denk bijvoorbeeld aan cyberpesten, cybersex, cyberpunk en meer on-topic voor de Black Hat Sessions vooral ook aan cyberwarfare, cyberterrorisme en cybercrime. Met trots presenteert Madison Gurkha voor de Black Hat Sessions XI prominente sprekers die zeer goed aansluiten bij het thema Cyber…Security*:

Cyberwarfare ‘Cyberkolonel’ Hans Folmer, Commandant Taskfoce Cyber van Defensie zal ingaan op de cyberuitdagingen waarvoor defensie zich gesteld ziet. Wat zijn de cybertaken van defensie? Is Defensie de nationale firewall? Hoe zien de defensieve taken eruit en hoe de offensieve? Voor welke morele dilemma’s komen we te staan en hoe gaan we die overwinnen?

Cyberterrorisme Gerben Klein Baltink is vanuit de Nationaal Coördinator Terrorisme bestrijding (NCTV) secretaris van de Nationale Security Raad. De nationale Security Raad voorziet de Nederlands overheid gevraagd en ongevraagd van advies over relevante ontwikkelingen op het gebied van digitale veiligheid. “Cyberterrorisme, ach dat loopt toch zo’n vaart niet...” Wie denkt dat nou niet? Wim Verloop van Digital Investigation zal iedereen hardhandig uit die zoete droom verlossen. Wim heeft een forensisch onderzoek geleid naar een cyberterroristische aanslag waarmee een hele grote organisatie maandenlang is stilgelegd.

Cybercrime Misdaad heeft tegenwoordig bijna altijd een digitale component of speelt zich zelfs volledig af in het digitale domein. Binnen de politie houdt het Team High Tech Crime zich bezig met het bestrijden van de meer geavanceerde vormen van cybercrime. Eileen Monsma zit als strategisch adviseur dicht op het vuur van de opsporing én de cruciale samenwerking met publieke en private partijen.

r c. .y. SbECe URITY DATUM 14 mei 2012 LOCATIE De Reehorst in Ede TIJD 09.30 tot 17.00 uur INFORMATIE EN REGISTRATIE www.blackhatsessions.com BESTEMD VOOR U De bijeenkomst wordt georganiseerd voor beheerders van systemen, netwerken en applicaties, security officers, interne auditors, het management en andere geïnteresseerden.

Vanuit een geheel ander perspectief zal Rickey Gevers (Digital Investigation) ingaan op het fenomeen cybercrime. Het hacken van allerlei computers op Universiteiten was een leuk tijdverdrijf, totdat Rickey in 2008 werd opgepakt voor een hack bij een Amerikaanse Universiteit in Michigan en uiteindelijk in 2011 werd veroordeeld. Alex de Joode, security officer bij Leaseweb, heeft vooral last van cybercrime. Bij een dergelijke misdaad moeten immers computer worden gebruikt en waar vindt je die? Juist, bij een grote provider als Leaseweb.

Your Security is Our Business

* Het programma is onder voorbehoud. Voor actuele informatie verwijzen wij u graag naar de website http://www.blackhatsessions.com/.