FOX files 1. Melden! Gehackt? Doe-het-zelf. Eerste nationale cyberbeeld brengt digitale dreigingen in kaart. Pleidooi voor fundamentele maatregelen

Transcriptie

1 FOX files 1 f o x - i t. c o m maart 2012 forensisch onderzoek Doe-het-zelf gevaar in beeld Eerste nationale cyberbeeld brengt digitale dreigingen in kaart stop met bestrijden cybercrime Pleidooi voor fundamentele maatregelen Gehackt? 3 nieuwe wetten voor meldplichten Melden! fox files #

2 inhoud fox files # column 18 colofon Redactieadres Fox-IT Afdeling Marketing Postbus AP Delft Vormgeving viervier, Rijswijk Fotografie Chris Bonis, Rotterdam Interviews en teksten Sabel Communicatie, Den Haag Meldplicht bij datalekken Media berichten regelmatig dat bedrijven of organisaties zijn gehackt. Als reactie op ernstige lekken in de afgelopen tijd zijn er drie wetten voor meldplichten in voorbereiding. De overheid wil hiermee vooral de (digitale) persoonsgegevens beschermen. Voor organisaties is het belangrijk dat zij zich hierop voorbereiden praktijk Jacht op de moderne Jesse James Reconstructie van een poging tot moderne bankroof Digitaal gevaar Een goed begin: cybersecurity beleid krijgt vorm en structuur opinie Stop de strijd tegen cybercrime Ronald Prins over de noodzaak van normen in de opsporing praktijk OpenVPN voor Defensie Fox-IT verhoogt veiligheid van opensource oplossing praktijk DataDiode in Engeland Nexor DataDiode beschermt systeembeheer bij Britse overheid case Zelf forensisch onderzoek doen In-house forensisch onderzoek met oplossingen van Fox-IT intern Ik ben Fox-IT Achter de schermen: Security analist Kevin in 10 trefwoorden weetjes & nieuwtjes Nieuws, trainingen en events Cybercrime ondernemers Wij geloven dat de wereld gebruik moet maken van de kansen die nieuwe IT-technologie biedt. Dat brengt helaas met zich mee dat er nieuwe dreigingen ontstaan waar we ons tegen moeten beschermen. Toen Fox-IT 13 jaar geleden begon kon die bescherming nog worden geboden door een kleine club mensen met de juiste expertise. Ondertussen is in de onderwereld een service industrie ontstaan met heel wat foute ondernemers. Het tempo waarin cybercrime om zich heen slaat is enorm, denk aan recente incidenten als Google, KPN en Sony. Hoe anders ziet het bij de bestrijders uit. De overheid zet wel stappen, overal worden cybersecurity centra geopend. De vraag is of de aanpak van deze centra effectief genoeg is in het steeds sneller veranderende cyberdomein. Maar het bedrijfsleven blijft gek genoeg ook achter; er komen weinig nieuwe IT-security bedrijven bij. Niet dat ik graag concurrentie heb, maar binnen deze groeiende problematiek zouden we allemaal geholpen zijn, als er wat meer gespecialiseerde spelers zouden zijn. De vraag naar cybersecurity is ongekend hoog. Waarom komt het ondernemerschap niet tot bloei? Er is tijd genoeg geweest om de juiste mensen te vinden en binden. Om de cyberdreigingen serieus tegen te gaan hebben we nieuwe complexe kennis en oplossingen nodig. Innovatie is traditioneel een gedegen maar traag proces van wetenschappelijk onderzoek dat daarna commercieel wordt toegepast. Snelheid is echter geboden, de ontwikkeling van de criminele markt gaat in rap tempo door. En daar zit de crux. Nu moeten wij juist pragmatisch zijn in het zoeken naar oplossingen. Operationele kennis, intelligence uit de onderwereld en technisch onderzoek zijn de ingrediënten voor succes. Dit vereist een bijzonder combinatie van slimme mensen en samenwerking tussen bedrijfsleven, overheid en onderwijsinstellingen. Het recept voor toetreding in deze markt is lastig, maar niet onmogelijk. Graag helpen wij nieuwkomers door onze ervaring te delen, om zo gezamenlijk aan een veiligere samenleving te werken. Menno van der Marel, directeur Fox-IT

3 Meldplicht bij datalekken meer focus op bescherming van persoonsgegevens In Nederland staan drie nieuwe wetten voor meldplichten op stapel die elk over de bescherming van (digitale) persoonsgegevens gaan. Voor organisaties is het belangrijk zich hierop voor te bereiden. Wat houden de voorgestelde meldplichten in, welke maatregelen kun je als bedrijf nemen om een hack te voorkomen en hoe communiceer je wanneer je bent gehackt? 4 fox files # fox files #

4 Het wetsvoorstel voor de meldplicht voor ISP s heeft nog wat haken en ogen Organisaties die werken met persoonsgegevens moeten zich er inmiddels bewust van zijn dat zij die gevoelige informatie dienen te beschermen. Maar hackers worden steeds inventiever en hun aanvallen geavanceerder. Hoe weet je nu als organisatie wat adequate bescherming is? En wat moet je doen als je desondanks tóch bent gehackt en er gevoelige informatie op straat ligt? Behalve dat je er het best helder en open over kunt communiceren, ben je zo meteen ook verplicht om de inbreuk te melden. Er staan vier meldplichten op stapel waarmee de wetgever organisaties verplicht om op straffe van een boete melding te doen van de hack. Aan deze meldplicht kleven zowel voordelen als nadelen. Jan-Jaap Oerlemans, juridisch adviseur bij Fox-IT en promovendus bij het centrum elaw@leiden van de Universiteit Leiden, licht de vier verschillende meldplichten toe. bestaande meldplichten in nederland In Nederland is de ICT-meldplicht niet helemaal nieuw, legt Oerlemans uit. Er bestaat al een meldplicht bij schending van staatsgeheimen, een meldplicht voor beursgenoteerde bedrijven om koersgevoelige informatie bekend te maken, en de mogelijkheid om een meldplicht contr te regelen of af te dwingen. meldplicht datalekken voor isp s en telecombedrijven Bij de Eerste Kamer ligt een wetsvoorstel van het ministerie van EL&I voor een meldplicht voor Internet Service Providers (ISP s) en telecombedrijven. De meldplicht valt uiteen in twee meldplichten, één wanneer een hack gevolgen heeft voor de bescherming van persoonsgegevens, en een tweede wanneer een datalek de levering van hun diensten in gevaar brengt. Over deze meldplicht wordt al sinds 2006 gesproken; de verwachting is dat deze wet binnen een voorgenomen wijziging conceptwetsvoorstel paar maanden wordt goedgekeurd. Oerlemans: Het wetsvoorstel voor de meldplicht voor ISP s heeft nog wat haken en ogen. Zo moet een datalek met ongunstige gevolgen voor betrokkenen worden gemeld bij de onafhankelijke autoriteit OPTA. Die bepaalt of betrokkenen moeten worden ingelicht. Voor bedrijven is echter nog niet duidelijk wanneer die melding precies moet worden gedaan. Wat zijn bijvoorbeeld die ongunstige gevolgen? Hier zal meer duidelijkheid over moeten komen. Of beter: eigenlijk zou de OPTA beleidsregels moeten opstellen om die onduidelijkheid weg te nemen. De OPTA kan bij niet-naleving van de meldplicht een boete van maximaal euro opleggen. Echter, er zijn uitzonderingen: als de autoriteit van mening is dat de aanbieder gepaste technische beschermingsmaatregelen heeft genomen (bijvoorbeeld door de gegevens te versleutelen), dan mag de melding van het datalek achterwege blijven. Oerlemans: Maar als de sleutels ook zijn gestolen dan is de versleuteling niets waard. Het is aan de OPTA om te beoordelen hoe groot het risico is dat de persoonsgegevens op straat liggen. Aan de hand van die uitkomst bepaalt de OPTA vervolgens of een bedrijf het incident aan de betrokkenen moet melden en of het bedrijf een boete krijgt. Oerlemans: Het kabinet wil de voorgestelde meldplicht voor telecombedrijven blijkbaar nú al wijzigen. In het conceptwetsvoorstel wordt een algemene meldplicht voorgesteld die voor zowel publieke als private partijen moet gelden. vier soorten meldplicht In Nederland zijn er vier soorten ICT meldplicht te onderscheiden, waarvan er drie nog een (concept) wetsvoorstel zijn. 1. De bestaande meldplicht voor onder meer het beschermen van staatsgeheimen en koersgevoelige informatie. 2. De meldplicht datalekken wordt naar verwachting binnenkort goedgekeurd in de Eerste Kamer. 3. De algemene meldplicht bij inbreuk op de beveiligingsmaatregelen en risico voor verlies van de vertrouwelijkheid van persoonsgegevens is in consultatie gegeven, dit betekent dat experts op het voorstel mogen reageren. Invoering duurt naar verwachting nog maximaal twee jaar. 4. Het conceptwetsvoorstel meldplicht beveiligingslekken of: de security breach notification gaat op zijn vroegst in september 2012 naar de Tweede Kamer. Vanuit het ICTbedrijfsleven willen we graag meedenken met de overheid algemene meldplicht datalekken De algemene meldplicht datalekken is recentelijk in consultatie gegeven. Dit betekent dat het voorstel nog niet naar de Tweede Kamer is gestuurd, maar in een voorfase zit waarin experts op een conceptvoorstel kunnen reageren. De voorgestelde meldplicht geldt voor elke organisatie die verantwoordelijke is in de zin van de Wbp. De meldplicht geldt zowel voor publieke als private partijen, zoals gemeenten, ziekenhuizen, webwinkels en sociale netwerksites, legt Oerlemans uit. Het gaat dan om die situaties waarbij een inbreuk is gedaan op de beveiligingsmaatregelen en er een aanmerkelijk risico is voor verlies van de vertrouwelijkheid van persoonsgegevens. Hiernaast is ook de Europese Commissie bezig met een update van de algemene privacyrichtlijn met een algemene meldplicht. De commissie heeft meer tijd nodig om tot Europese regelgeving te komen, dus wordt in de tussentijd de Nederlandse meldplicht vastgesteld. Eventueel wijzigt die na een paar jaar, als de Europese regelgeving van toepassing is. Wat houdt het Nederlandse voorstel in? Gehackte organisaties die onder de algemene meldplicht vallen, moeten dit melden 6 fox files # fox files #

5 Wees transparant en vertel wat er is gebeurd bij het CBP. Die maakt dan de afweging of betrokkenen op de hoogte moeten worden gebracht en het kan organisaties een boete opleggen van maximaal euro. Om dit te voorkomen, moeten bedrijven of instellingen die werken met persoonsgegevens, zich dus goed beveiligen. Deze algemene meldplicht is puur gericht op inbreuk op de beveiligingsmaatregelen die zijn genomen om persoonsgegevens te beschermen, licht Oerlemans toe. Dit vloeit voort uit de bestaande verplichting om beveiligingsmaatregelen te nemen op grond van artikel 13 van de Wet bescherming persoonsgegevens. Recentelijk trok het CBP aan de bel, omdat het niet de nodige mankracht heeft om deze taken uit te voeren. crisiscommunicatie bij datalekken Het openbaar maken van een datalek leidt tot reputatieschade, dus zullen bedrijven of instellingen allereerst zo n melding proberen te voorkomen. Maar wat als de beveiliging niet toereikend bleek, hoe reageer je dan? Bart Schermer, partner bij ICT onderzoek- en adviesbureau Considerati: Zelfs als je goed voorbereid bent en je beveiliging op orde is, kan een incident altijd plaatsvinden. Meldplicht of niet, het is altijd belangrijk dat je het datalek niet onder de pet houdt. Komt het uit, dan ben je nog veel verder van huis. Het is dus beter om meteen met de billen bloot te gaan en met een eerlijk en goed onderbouwd verhaal naar buiten te komen, en te vertellen welke acties en maatregelen je neemt. Je bent dan eerlijk en open, en je toont daadkracht. beveiligingsniveau inschatten Aan de hand van een impact assessment kunnen bedrijven of instellingen een inschatting (laten) maken van het beveiligingsniveau dat zij nodig hebben. Schermer: Je hoeft een dubbeltje natuurlijk niet met een kwartje te beveiligen. Op basis van de inschatting regel je adequate beveiliging van de gegevens. Als het dan toch misgaat, kun je in elk geval laten zien dat je wel je best hebt gedaan om het goed te beveiligen. eerlijk en transparant Waar verschilt algemene crisiscommunicatie met de communicatie bij datalekken? Schermer: Het voornaamste verschil is dat je bij datalekken meer moet uitleggen over de achtergrond en meer voorlichting moet geven over wat een betrokkene zelf kan doen. Eenmaal gehackt zijn er volgens Schermer zes communicatiestappen te nemen: 1. Wees transparant en vertel wat er is gebeurd. 2. Leg uit wat je hebt gedaan om een hack te proberen voorkomen. 3. Vertel dat het ondanks de beveiliging toch is misgegaan; wees open over het soort hack waartegen de beveiliging niet was opgewassen. 4. Bied excuses aan en leg uit dat je werkt aan een betere beveiliging. 5. Geef in heldere taal aan welke stappen de betrokkenen zelf kunnen nemen om de schade zo beperkt mogelijk te houden; raad hen bijvoorbeeld aan dat ze wachtwoorden wijzigen, bankgegevens in de gaten houden, en misschien zelfs een nieuwe creditcard aanvragen. 6. Laat aan je klanten zien dat je hen belangrijk vindt en bied gedupeerden iets extra s aan, zoals drie maanden gratis lidmaatschap of een gratis product Timing is cruciaal, benadrukt Schermer. Klanten willen controle hebben over hun persoonsgegevens. Kom je als bedrijf te laat met je melding en de te nemen stappen, dan hebben je goedbedoelde communicatie en voorgestelde maatregelen al veel minder zin. meldplicht beveiligingslekken De meldplicht beveiligingslekken officieel security breach notification is een motie van VVD-Kamerlid Jeanine Hennis- Plasschaert naar aanleiding van de Digi- Notar-affaire. Oerlemans: Deze meldplicht betreft meer dan alleen de bescherming van persoonsgegevens. Ze geldt specifiek voor organisaties met vitale infrastructuren zoals ziekenhuizen, energiebedrijven of de belastingdienst. Is een dergelijke organisatie gehackt dan moet deze het datalek melden bij het Nationaal Cyber Security Centrum (NCSC). Vervolgens zou dat centrum kunnen ingrijpen. Het is nog niet duidelijk hoe het wetsvoorstel eruit komt te zien; hierover komt hoogstwaarschijnlijk voor het zomerreces van 2012 meer duidelijkheid. vertroebeling Zo meteen hebben we bij datalekken vier soorten meldplichten naast elkaar lopen, en dat is lastig, concludeert Oerlemans. De verdeling is niet helder. Zo kan een multinational zomaar te maken krijgen met alle vier de meldplichten. Of een beursgenoteerd energiebedrijf met drie meldplichten (namelijk koersgevoelige informatie, algemene meldplicht en meldplicht beveiligingslekken voor vitale infrastructuur). Bij welke instantie moet een dergelijk bedrijf de hack dan melden? Het is dus zaak dat de wetgever rekening houdt met eventuele overlap. voordelen Is het woud aan meldplichten niet een belemmering voor het doel dat de overheid nastreeft? Er zijn vier argumenten te geven die pleiten voor een meldplicht, legt Oerlemans uit. De belangrijkste is dat klanten worden ingelicht in geval van een datalek en zij daardoor zelf maatregelen kunnen nemen om de schade te beperken. Ze kunnen dan bijvoorbeeld tijdig hun wachtwoord wijzigen of kiezen voor een ander bedrijf. Een ander voordeel is dat bedrijven uit angst voor reputatieschade of een hoge boete worden gestimuleerd om te zorgen voor adequate beveiliging van de persoonsgegevens. Hieruit volgt een derde argument, namelijk het neveneffect dat meldingen meteen meer duidelijkheid geven over de schaal waarop het hacken van persoonsgegevens voorkomt én dat kennis over hacks soortgelijke aanvallen bij andere organisaties kan helpen voorkomen. Het laatste argument is dat het consumentenvertrouwen in elektronische dienstverleners zal toenemen, ondanks de melding van een hack, omdat de bedrijven transparanter zijn en klanten daardoor het gevoel krijgen dat zij meer controle hebben. bezwaren Maar er zijn ook tegenargumenten. Bart Pegge, beleidsadviseur bij de brancheorganisatie ICT-Office: Een goede afbakening ontbreekt. Wat is bijvoorbeeld een zwaar incident? Hierbij moet men kijken naar de omvang (hoeveel mensen zijn erbij betrokken?) en de soorten gegevens Je hoeft een dubbeltje natuurlijk niet met een kwartje te beveiligen (liggen alleen namen en adressen op straat of ook geboortedata of bankrekeningnummers?) Vanuit het ICT-bedrijfsleven willen we graag meedenken met de overheid om tot een goed wetsvoorstel te komen. Daarnaast vinden wij het opleggen van een boete het verkeerde middel: door te denken in sancties werp je drempels op waardoor organisaties eerder geneigd zijn om een incident niet te melden. Beter is het om een melding juist te belonen waardoor een organisatie dus wordt uitgenodigd om transparant te zijn. Bovendien zijn wij van mening dat de toezichthouder een ondersteunende taak moet hebben in plaats van sanctionerend. Pegge vindt ook de timing van de wetsvoorstellen ongelukkig. Wacht tot de nieuwe privacywet in Europa rond is en koppel daar dan de Nederlandse meldplicht aan. Dat duurt nog twee jaar, maar het scheelt dubbel werk en verwarring rondom herziening van de regels. snel blussen Kritischer is Pegge over de security breach notification, de meldplicht beveiligingslekken. We zijn tegen. Een melding zou erop gericht moeten zijn om zo snel mogelijk de effecten van het incident in te dammen. Bij vitale infrastructuren wil je geen administratieve rompslomp, maar de deur wijd open kunnen zetten voor de brandweer. Er moet snel geblust worden! Focus dus liever op crisisrespons en ondersteuning. Plichten en formulieren zorgen er alleen maar voor dat organisaties hun incidenten liever stil houden. 8 fox files # fox files #

6 praktijk praktijk Jacht op de frauduleuze online transactie tijdig opgespoord moderne Jesse James De moderne bankrover heeft geen paard, cowboyhoed en zadeltassen, maar opereert vanachter zijn computer op een zolderkamer. Dankzij listig geïnjecteerde malware stelen zij alleen al in Nederland miljoenen euro s van bankrekeningen zonder dat de gedupeerden het direct zien gebeuren. Met het managed security-programma DetACT hebben de Nederlandse banken en Fox-IT de jacht op deze online bandieten geopend. Een reconstructie, hoe Suzan bijna werd beroofd door Oleg. oleg is 22 jaar en woont in St. Petersburg. Hij heeft een goede opleiding, maar is werkloos. oleg frits suzan Oleg schaft een exploit kit aan hij koopt de malicious software SpyEye Suzan haalt haar dochter op van het kinderdagverblijf hij laat een inject code maken voor de bank van Suzan Frits zit op zijn werk in het Security Operations Center Oleg laadt de code in SpyEye hij koopt via een hackers forum ruimte op gehackte webservers Oleg ziet dollartekens hij installeert de exploit kit op veelbezochte websites hij benadert een money mule-dienst Suzan komt thuis en surft wat op internet via een drive-by-download besmet Oleg de computers van bezoekers met SpyEye suzan is account manager en woont kilometer verderop in een mooie 2-onder-1-kap woning in Utrecht. frits werkt bij het Security Operations Center (SOC). Oleg verdient zijn geld al sinds zijn achttiende met cybercriminaliteit en is gespecialiseerd in het digitaal beroven van banken. Hij is een ervaren cybercrimineel die precies weet wat hij moet doen en waar hij moet zijn. In het begin van zijn carrière meed hij Nederland nog, omdat digitale fraude in andere Europese landen makkelijker ging. De situatie is inmiddels veranderd: de beveiliging van online bankieren is overal aangescherpt en hij heeft nu betere tools tot zijn beschikking dan in het begin. voorbereiding in rusland Oleg investeert veel geld in tussenpersonen en uitgebreide software. Hij wil zo meteen transacties injecteren, deze transacties verbergen in het overzicht van de gedupeerde en het downloaden van afschriften voor deze klant blokkeren, zodat zijn slachtoffers niets in de gaten hebben. Zo koopt hij de exploit kit Blackhole. Een exploit kit maakt gebruik van de kwetsbaarheden in de software op computers. Nietsvermoedende internetgebruikers worden via een geïnfecteerde website naar deze exploit kit geleid zodat ze kunnen worden besmet met weer andere malware. Bovendien koopt Oleg de malicious software SpyEye. Deze malware is gespecialiseerd in het wijzigen van internetpagina s: precies wat Oleg van plan is. Vervolgens regelt hij iemand die een zogenaamde inject code maakt voor de bank die Oleg op het oog heeft. Deze code, die hij in SpyEye laadt, bevat het recept voor de wijzigingen die Oleg beoogt: hij wil stiekem transacties in de online banking sessie toevoegen, die eerst naar zogenaamde geldezels (ook wel money mules of katvangers genoemd) en uiteindelijk naar hemzelf gaan. Dat alles zonder dat het slachtoffer er iets van merkt. Oleg investeert veel geld in tussenpersonen en uitgebreide software Ook koopt hij op een hacker forum ruimte op gehackte webservers, om zijn exploit kit op een aantal veel bezochte websites te installeren. Via een drive-by-download, waarbij een computer meteen bij het openen van een website geïnfecteerd raakt, besmet hij de computers van de bezoekers met SpyEye. Ten slotte benadert Oleg een money mule-dienst die Nederlandse bankrekeninghouders rekruteert om te fungeren als witwassers. De witwassers ontvangen een percentage en storten geld in de digitale portemonnee van Oleg. ondertussen in nederland Suzan zit achter haar computer en gaat naar de site van het kinderdagverblijf van haar dochter. De dienstverlener die Oleg ingeschakelde, heeft deze website geïnfecteerd. Suzans computer raakt meteen besmet met SpyEye. Daarna surft Suzan verder naar diverse andere sites; ze gebruikt haar computer zoals ze dat gewend is en op de achtergrond wacht de malware tot hij toe kan slaan. Suzan heeft hier geen idee van en ook haar virusscanner spoort niets op. Dan logt Suzan in op de website van haar bank de malware slaat toe Suzans bank gebruikt gelukkig DetACT for Online Banking van Fox-IT. Frits zit op kantoor, op het Security Operations Center (SOC) dat het bankverkeer in de gaten houdt. Hij waakt over alle DetACT-installaties. Zodra Suzan inlogt, wordt de malware actief. De DetACT-server ziet Suzan inloggen en merkt een ongebruikelijke transactie op. Meteen na het inloggen vindt namelijk een betaling plaats, terwijl daar normaal gesproken meer tijd tussen zit. Zodra Suzan is ingelogd, registreert de inject code het saldo van haar betaalrekening en stuurt het een maximaal overschrijfbaar bedrag naar de money mule-service die vervolgens een bijpassende geldezel selecteert. Suzan wil een factuur betalen en voert de overboeking in. De inject code vraagt haar vervolgens om haar autorisatiecode in te voeren, wat zij doet; in de adresbalk staat immers de juiste URL van de bank. Nu worden er twee transacties uitgevoerd: het bedrag dat Suzan overboekte en de valse betaling via de malware. Deze laatste, geïnjecteerde transactie ziet Suzan niet: zelfs haar saldo wordt door de malware zo gecorrigeerd dat het voor Suzan lijkt alsof er niets vreemds is gebeurd. 10 fox files # fox files #

7 praktijk praktijk Er worden twee transacties uitgevoerd: het bedrag dat Suzan overboekte en de valse betaling via de malware een maximaal overschrijfbaar bedrag wordt naar de money-mule service gestuurd de betaling van Suzan wordt overgeboekt DetACT ontdekt de valse betaling en waarschuwt de backoffice van de bank Suzan voert de overboeking in Frits merkt een ongebruikelijke transactie op de frauduleuze betaling wordt direct gestopt, nog voordat het geld de bank heeft verlaten de malware wordt actief, de inject code registreert het saldo van Suzan Suzan logt in op de website van haar bank... Oleg test zijn malware de computer van Suzan raakt besmet met SpyEye de DetACT-unit maakt een fingerprint nietsvermoedend surft ze naar een paar andere websites Suzan wordt door haar bank gebeld de bank vraagt haar of de betalingen kloppen, haar computer blijkt geïnfecteerd Fox IT heeft een cleaner ontworpen die de malware op Suzans computer onschadelijk maakt Oleg ziet dat er transacties zijn uitgevoerd, maar het geld komt nooit binnen oleg frits suzan Frits merkt kleine verschillen op in het netwerkverkeer detact in actie De Intelligence-afdeling van Fox-IT heeft al een detection engine gemaakt voor deze aanval. Dat komt doordat Oleg, voordat hij zijn aanval groot inzette, de malware op kleine schaal testte. De intelligence-jongens van Fox-IT hebben toen de malware dankzij hun speurwerk bemachtigd en ontrafeld (reverse engineering) en de inject code geïdentificeerd. Met de test-malware van Oleg kwamen er namelijk piepkleine verschillen in het netwerkverkeer aan het licht; acties die net anders gaan dan wat een normale klant zou doen. Hier maakte de DetACT-unit een herkenningspatroon (fingerprint) van, die vervolgens in andere gevallen kan worden gedetecteerd. Terug naar de transactie van Suzan. De webserver van haar bank ziet de malafide DetACT ontdekt de fraude en stuurt een waarschuwing naar de backoffice van de bank overboeking als een geldige transactie en stuurt hem door naar de backoffice van de bank. Op hetzelfde moment ontdekt DetACT de malware-fraude en stuurt een waarschuwing naar deze backoffice. Hier wordt de frauduleuze transactie meteen gestopt, nog voordat het geld de bank heeft verlaten. De malware van Oleg denkt dat het geld is gestolen en overgeboekt, maar de geldezel ontvangt niets. De namen in deze reconstructie zijn gefingeerd; de situatieschets is realistisch. Dit is echter slechts één van de mogelijke aanvalscenario s. bankroof mislukt, suzan gewaarschuwd Bij Suzan gaat de telefoon: het is de bank die haar uitnodigt voor een gesprek. In dit gesprek vragen ze naar haar transactiegedrag en stellen ze vast dat haar computer is geïnfecteerd. Ze attenderen haar op een cleaner die Fox-IT speciaal voor haar bank heeft ontworpen en die de malware op haar computer onschadelijk maakt. Bovendien leert Suzan hoe ze voortaan het beste met haar computer en telebankieren kan omgaan. fox detact for online banking Zo blij als Suzan is omdat ze haar geld nog heeft en de malware op haar computer is verwijderd, zo geïrriteerd is Oleg. In zijn lijst met geldezels ziet hij dat er transacties zijn uitgevoerd, maar het geld komt nooit binnen. Hij had verwacht dat hij zijn investering vijftigvoudig zou terugverdienen, maar daar heeft DetACT mooi een stokje voor gestoken. Mocht Oleg het weer gaan proberen dan zal hij waarschijnlijk een andere bank kiezen, misschien zelfs in een ander land. Hoe veilig is telebankieren? Met systemen in bunkers, veel firewalls, versleutelde https-verbindingen, autorisatiecodes en andere maatregelen beveiligen banken hun online bankverkeer. Maar cybercriminelen hebben hun methoden daarop aangepast. Met phishing en malware richten zij zich op de nietsvermoedende consument wiens pc, laptop, ipad of smartphone maar moeilijk is te beveiligen. Bij online banking bevat de TCP/IP-communicatie een schat aan gegevens. Fox DetACT for Online Banking analyseert die data. Het systeem houdt alle transacties van een bank non-stop in de gaten en zoekt naar afwijkingen die (kunnen) duiden op fraude. Zodra DetACT een frauduleuze handeling detecteert, stuurt het systeem een melding naar de backoffice van de bank. De bank gaat dan meteen tot actie over om frauduleuze transacties te stoppen. Kijk voor meer informatie op 12 fox files # fox files #

8 Eerste nationale cyberbeeld brengt digitale dreigingen in kaart houd ze uit elkaar NCSS: Nationale Cyber Security Strategie. Met de NCSS geeft het kabinet vorm aan de in het regeerakkoord aangekondigde integrale aanpak van cybercrime. De overheid werkt aan een integrale aanpak voor cyber security. Welke digitale dreigingen zijn er eigenlijk? En wat zijn de belangrijkste doelwitten van cybercriminelen? Het eerste Cyber Security Beeld Nederland (CSBN) geeft antwoord op deze vragen. NCSC: Nationaal Cyber Security Centrum. Het NCSC is opgericht op initiatief van de overheid en zal bijdragen aan het vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein, en daarmee aan een veilige, open en stabiele informatiesamenleving. CSBN: Cyber Security Beeld Nederland. Het CSBN geeft inzicht in de problematiek van cyber security en maakt daarbij onderscheid tussen verschillende vormen van dreigingen op het terrein van cyber security. Het CSBN is uitgebracht in december 2011 en sluit aan op de Nationale Cyber Security Strategie (NCSS) die het kabinet eerder dat jaar uitbracht. Een van de actiepunten in deze strategie is het maken van adequate en actuele dreigings- en risicoanalyses, voor het versterken van de weerbaarheid van Nederland. Het eerste nationale cyberbeeld is opgesteld door Govcert.nl, dat met ingang van 12 januari 2012 is opgegaan in het nieuwe Nationaal Cyber Security Centrum (NCSC). Bij de ontwikkeling van het cyberbeeld richtte Govcert.nl zich op dreigingen in het ICT-domein voor de Nederlandse situatie, waarbij ook ontwikkelingen in het buitenland werden meegenomen. Eind vorig jaar werd de dreigingsanalyse aan de Tweede Kamer aangeboden door minister Opstelten van Veiligheid en Justitie. Het is de bedoeling dat er twee keer per jaar een geactualiseerde versie van het nationale cyberbeeld komt. eerst risico s kennen, dan de aanpak Erik de Jong was vanuit Govcert.nl verantwoordelijk voor de ontwikkeling van het CSBN. Hij leidde het project en was hoofdauteur van het uiteindelijke rapport. Vanaf 1 april werkt hij als senior cybercrime expert bij Fox-IT. Zicht hebben op de risico s is van groot belang voor cyber security. Waartegen moeten we ons beveiligen? Waarin moeten we investeren? Pas als de risico s duidelijk in kaart zijn gebracht, kunnen we een concrete aanpak ontwikkelen. Bij de ontwikkeling van het cyberbeeld zijn veel partijen betrokken geweest. Vanuit de overheid, zoals de AIVD en het KLPD, maar ook vanuit de private sector, zoals KPN. Bedrijven kunnen belangrijke input leveren over dreigingen die zij in de praktijk signaleren, licht De Jong toe. dreigingen door opzet De nadruk van het eerste CSBN ligt op Bij de aanpak van cybercrime moet je zicht hebben op de risico s dreigingen als gevolg van opzet, en dus niet als gevolg van menselijk falen. Uit het cyberbeeld blijkt dat digitale spionage en digitale criminaliteit de belangrijkste dreigingen zijn waarmee Nederland nu wordt geconfronteerd. Zowel overheden als private organisaties zijn in 2011 het doelwit geweest van digitale spionage. Deze cyberaanvallen waren erop gericht om vertrouwelijke economische of politieke informatie te verkrijgen. Een voorbeeld hiervan zijn de aanvallen op DigiNotar en de verspreiding van het Duqu-virus. Hoewel digitale spionage een groeiende dreiging is, vallen de meeste aanvallen nog steeds onder digitale criminaliteit. Deze vorm is ook het meest voelbaar voor de samenleving. Zowel de overheid en het bedrijfsleven als burgers kunnen het slachtoffer worden van digitale 14 fox files # Opening NCSC door minister Opstelten fox files #

9 verspreidt het NCSC kennis en ondersteunt het organisaties bij het nemen van maatregelen. en aangevuld. Het is work in progress. We moeten nog beter in kaart brengen waar we het meest kwetsbaar zijn, zodat we de juiste prioriteiten kunnen stellen. Om het cyberbeeld is work in progress Bij de presentatie van de Nationale Cyber Security Strategie (NCSS) in juni 2011 pleitte de Tweede Kamer voor meer duidelijkheid over de aard en omvang van de problemen die de strategie zou moeten aanpakken. We vroegen twee Kamerleden naar hun mening. Sharon Gesthuizen (SP): Naar mijn mening is het belang van een veilige ICT-omgeving te lang onderschat. Pas na de DigiNotar-affaire kreeg het kabinet oren naar een integrale visie op cybersecurity. Maar om zo n visie te ontwikkelen, moet het kabinet eerst goed op een rij zetten welke eisen het heeft en wat de verwachtingen van de private sector zijn. Wat betreft het eerste cyberbeeld zijn de intenties absoluut goed. Het kabinet werkt aan een realistisch beeld van de problematiek en de dreigingen. Nu is het zaak om de vertaalslag te maken, waarbij het verband tussen veiligheid en privacy niet uit het oog mag worden verloren. Gerard Schouw (D66): Ik zie dit cyberbeeld als een eerste beschrijving. Het is nog weinig specifiek, en de NCSC zal de resultaten echt beter moeten onderbouwen. Wat is er nu echt aan de hand? Zijn de dreigingen echt zo vreselijk? Ik wil cijfers zien: hoe vaak wordt een bank nu echt gekraakt? Op basis van dit rapport kan ik nog niet beoordelen hoe ernstig de dreigingen zijn. Met dit nationale cyberbeeld zijn zeker interessante eerste stappen gezet. Maar als in juni het tweede cyberbeeld verschijnt, moet die wel een stuk concreter zijn dan deze eerste aanzet. Erik Akerboom, Nationaal Coördinator Terrorismebestrijding Iedereen kan slachtoffer worden van digitale criminaliteit Wil van Gemert is als directeur van de directie Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) verantwoordelijk voor de verdere vormgeving van het NCSC. Het NCSC krijgt een aantal taken, legt Van Gemert uit. Een belangrijke taak is incident response, het afhandelen van ICTbeveiligingsincidenten, waarbij NCSC de reactie op ICT-incidenten coördineert daar waar de nationale veiligheid in het geding is. Daarnaast is een belangrijke taak kennisdeling, zoals met de publicatie van het CSBN. Maar we publiceren ook whitepapers, bijvoorbeeld over cloudcomputing, en we publiceren dagelijks actuele waarschuwingen op onze website. Daarnaast speelt het NCSC een belangrijke rol op het gebied van crisiscoördinatie. Hiervoor werken we in 2012 aan de verdere ontwikkeling van de ICT Response Board. Dit is een publiekprivaat samenwerkingsverband dat bij elkaar komt als een ICT-crisis dreigt of zich voordoet. Verder werkt het NCSC zoals gezegd aan de uitbouw van het CSBN. Want het eerste nationale cyberbeeld is volgens Van Gemert een goede eerste opzet, maar het moet nog verder worden uitgewerkt Commitment van bedrijven en instellingen is van groot belang CSBN kwalitatief beter te kunnen onderbouwen, wordt het aantal partners dat input levert uitgebreid. Zo krijgt het NCSC nog betere informatie over concrete dreigingen. Ook werkt het aan een betere cijfermatige onderbouwing van de analyse. samenwerking staat centraal Samenwerking tussen publieke en private partijen staat in het NCSC centraal. Van Gemert: We hebben nu al enkele vaste partners, maar ik zou dit aantal nog verder willen uitbouwen. We willen de cyberomgeving veiliger maken, en daarvoor is commitment van bedrijven en instellingen van groot belang. Ze zijn zelf verantwoordelijk voor hun eigen cyberveiligheid. Wij zijn geen toezichthouder, maar stellen kennis en expertise ter beschikking en helpen organisaties om de juiste maatregelen te nemen. interessante websites criminaliteit. De Jong: We moeten deze dreigingen niet onderschatten. Aanvallen worden steeds geavanceerder en complexer. En het zal steeds vaker voorkomen dat een gewone burger in Nederland de gevolgen van een cyberaanval ondervindt. Naast de belangrijkste dreigingen, gaat het CSBN in op verschillende actoren, kwetsbaarheden en hulpmiddelen die actoren inzetten, zoals exploits, malware en botnets. Hoe kan het CSBN voorkomen dat overheden, bedrijven en burgers de dupe worden van een cyberaanval? Het nationale cyberbeeld geeft geen antwoord op deze vraag, zegt De Jong. Wij beschrijven slechts hoe de wereld eruitziet. In het cyberbeeld staan dan ook geen generieke maatregelen om cybercrime tegen te gaan. Het is puur een basis van waaruit een integrale aanpak kan worden ontwikkeld. ncsc: centraal aanspreekpunt Nu Govcert.nl is opgegaan in het nieuwe NCSC, werkt dit centrum verder aan de dreigingsanalyse. Dat sluit ook prima aan bij de missie van het NCSC: bijdragen aan het vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein, en daarmee aan een veilige, open en stabiele informatiesamenleving. Het NCSC is voortaan hét centrale aanspreekpunt op het gebied van cyber security, en moet uitgroeien tot het expertisecentrum op het gebied van cyberveiligheid. Hiervoor dreigingsoverzicht naar dreigersgroep en doelwit dreigingsgroepen Overheid Private organisaties Burgers Staten Digitale spionage en sabotage Digitale spionage en sabotage Private organisaties Hacktivisten Publicatie van vertrouwelijke gegevens en digitale verstoring Digitale spionage Terroristen Sabotage Sabotage Beroepscriminelen Cybercrime (waaronder digitale (identiteits-) fraude Neveneffect: verstoring door malwarebesmetting doelwitten Publicatie van vertrouwelijke gegevens en digitale verstoring Cybercrime (waaronder digitale (identiteits-) fraude Neveneffect: verstoring door malwarebesmetting Scriptkiddies Digitale verstoring Digitale verstoring Publicatie van vertrouwelijke gegevens Cybercrime (waaronder digitale (identiteits-) fraude Dreigingsniveau hoog middel laag 16 fox files # fox files #

10 opinie opinie Laten we stoppen met bestrijden cybercrime Cybercrime wordt al enige tijd bestreden en dat lijkt succesvol te zijn. Maar is dat ook zo? Directeur Ronald Prins van Fox-IT over normen, beveiligingsniveaus en verantwoording. In de wiskunde, maar ook in de echte wereld, werken we met normen. In het verkeer regelt de wet normen die voor een veilige samenleving van belang zijn, zoals snelheidslimieten. Rijd ik te snel volgens de flitskast, krijg ik een boete, terwijl ik volgens mijn eigen norm een veilige snelheid hanteerde. Iedereen houdt er individuele normen op na, maar de maatstaf zijn de normen waarover in de maatschappij een akkoord bereikt is. normen opstellen In cyberspace is het bepalen van de norm niet eenvoudig. Er is niemand met een lasergun en de maximumsnelheid is ook niet bekend. Het is onontgonnen terrein voor zowel de gebruikers als de handhavers. Zodra we normen hebben opgesteld, is het weer tijd om cybercrime te gaan bestrijden. successen Bredolab was een botnet van 30 miljoen besmette computers, dat gebruikt was om bankrekeningen te plunderen en spam te versturen. Dit botnet is vorig jaar uit de lucht gehaald en de Armenische verdachte opgepakt. Het inkomen van deze verdachte was al gauw 1 miljoen US Dollar per maand. Een ander voorbeeld. In november liet de Nederlandse Vereniging van Banken (NVB) weten dat de cybercrime-gerelateerde fraude binnen een jaar was verdubbeld. Fox-IT beschermt dagelijks een aantal Nederlandse banken tegen fraude bij online bankieren. Iedere maand wordt meer fraude gestopt dan de maand er voor. Beide kampen de criminelen en de handhavers vieren zo hun successen. tijd voor een pas op de plaats Bovenstaande successen geven ons het gevoel dat we goed bezig zijn in de aanpak van cybercrime. Maar we moeten niet vergeten dat de tegenstanders ook grote stappen maken. Cyberspace is een droomplaats voor criminelen: inbreken is eenvoudig en de kans dat je wordt gepakt, is nog niet heel groot. Daarom is het tijd voor een pas op de plaats en dat we goed nadenken over de volgende stap. kwetsbare websites ICT-journalist Brenno de Winter heeft met Lektober aangetoond hoe simpel het is om een datalek te vinden. Sindsdien worden bijna dagelijks kwetsbaarheden, vaak in bekende websites, gepubliceerd. Sommige van deze getroffen sites hebben wij achteraf onderzocht. Het mag duidelijk zijn dat er technisch iets mis was met deze sites; vaak ontbraken al basismaatregelen. Misschien nog beangstigender is de houding van de getroffen organisaties. Vaak waren ze al uitgebreid onderworpen aan een audit. Respectabele bedrijven controleerden allerlei afgesproken zaken, zoals de password policy. Regelmatig zagen zij hierbij basale dingen over het hoofd, zoals default accounts en wachtwoorden voor systeembeheerders. Gelukkig waren sommige audits wel van voldoende kwaliteit maar zijn de aanbevelingen niet doorgevoerd. De aangedragen redenen hiervoor zijn te hoge kosten, een onbegrijpelijk rapport of een teruggezette back-up maakte de maatregelen ongedaan. In de echte wereld draagt de politieman een wapen, in cyberspace is iedereen even sterk beveiligingsniveaus verhogen Hoe lossen we dit beveiligingsprobleem op? Een veelgehoord argument is dat 100% veiligheid niet bestaat. Dat klopt, maar 95% is misschien wel mogelijk. Het veiligheidsniveau van sommige Lektober-sites was ver beneden peil, zeg 10%. Dan valt er dus veel te winnen. Een aantal voor de hand liggende manieren om beveiligingsniveaus op te krikken zijn: 1. Security by design Je kunt beveiliging er niet achteraf bij doen, dit moet je vanaf het begin mee-ontwerpen. 2. Kennis De kennis over beveiliging is nog niet overal adequaat genoeg. Analyse van Lektober-incidenten laat zien dat programmeurs vaak basiselementen zoals input validation vergeten. Dit kost slechts vijf minuten om uit te leggen, waarom wordt het dan niet gedaan? 3. Focus Security en business continuity staan vaak op gespannen voet met elkaar. Het is dan ook niet handig om deze twee taken in één persoon te verenigen. 4. Balans Richt je niet alleen op preventieve maatregelen maar tref ook detectieve 18 fox files # fox files #

11 opinie praktijk Defensie werkt veilig thuis via OpenVPN maatregelen. Systemen zijn misschien niet 100% dicht te timmeren, maar je kunt wel detecteren of een hacker aanwezig is. Investeer in Intrusion Detection-systemen of neem hiervoor een dienst af. drie redenen waarom het niet gebeurt Bovenstaand lijstje is niet nieuw en iedere beveiligingsexpert kan het verzinnen of verbeteren. De echte vraag is waarom het niet gebeurt. Drie mogelijke redenen: 1. Bewustwording Misschien heeft de DigiNotar-case de ogen geopend. Ministers hebben nachten moeten doorhalen vanwege een gehackt bedrijf. Ondertussen is cybersecurity regelmatig onderwerp van discussie in het parlement. 2. Geld Als we ons meer bewust waren van de gevaren, dan zouden we er misschien ook meer geld aan uitgeven. Ten tijde van een economische crisis en kortetermijnprikkels zoals bonussen, bezuinigt men al snel op beveiliging. 3. Security is niet hetzelfde als compliancy Veel organisaties stellen vertrouwen in keurmerken, audits of andere vormen van compliancy. Een jaarlijkse audit beschermt niet tegen werkelijke beveiligingsrisico s; vaak hebben ze zelfs weinig met elkaar te maken en kunnen een vals gevoel van veiligheid geven. Kortom, de audit heeft tot effect dat de werkelijke security achteruit gaat. Een jaarlijkse audit beschermt niet tegen werkelijke beveiligingsrisico s De oplossing voor de hiervoor genoemde oorzaken is dat de overheid het initiatief neemt. Er is geen tijd om te wachten totdat de verantwoordelijken het licht zien. De genoemde voorbeelden betroffen cybercrime en direct financieel verlies. In de huidige samenleving, waarin alles met elkaar is verbonden, zijn er grotere zorgen. Virussen kunnen energiecentrales uitschakelen, sluizen kunnen op afstand gemanipuleerd worden en een Boeing 747 kan vanuit een passagiersstoel worden overgenomen. wat moet de overheid doen? 1. Introduceren van juiste economische stimulansen. Bedrijven moeten het financieel merken als hun beveiliging faalt: financiële motieven overtuigen beslissers als geen ander, in het bijzonder in een commerciële organisatie. 2. Actief hulp bieden. De overheid zou sectoren zoals de energiesector, luchtverkeersleiding, ziekenhuizen en nucleaire installaties moeten helpen. Op deze locaties kan de overheid bij voorbeeld netwerken monitoren en grootschalige virusaanvallen of spionage detecteren. Hierbij is wel goede wetgeving nodig om privacy te waarborgen. 3. De Handhaving in cyberspace moet machtsmiddelen krijgen. In de echte wereld draagt de politieman een wapen, in cyberspace is iedereen even sterk. Het is haast onmogelijk om criminelen te arresteren die in land A wonen en geld stelen in land B via servers in land C. Uiteraard is hiervoor samenwerking op allerlei niveaus nodig zoals EU, NAVO en UN. Echter, we kunnen hier alvast op nationaal niveau mee beginnen. Als we bovenstaande zaken hebben geregeld, is het weer tijd om de strijd met cybercrime aan te gaan. You can win a battle but still lose a war. Ronald Prins, directeur Fox-IT Fox-IT heeft de beveiliging van het open source VPNsoftwarepakket OpenVPN verbeterd. Het Nationaal Bureau Verbindingsbeveiliging (NBV) van de AIVD heeft het product goedgekeurd, waarmee het voldoet aan de hoge veiligheidseisen van het ministerie van Defensie. Via deze VPN-verbinding kunnen medewerkers van het ministerie voortaan veilig thuiswerken. Veel beveiligingsproducten zitten slecht in elkaar, vertelt Wouter Teepe, productmanager bij Fox-IT. Het NBV scheidt het kaf van het koren en keurt maar weinig pakketten goed. Bovendien moeten fabrikanten zelf aantonen dat hun pakket veilig is, wat enorm veel tijd en geld kost. De meeste bedrijven zijn niet bereid die investeringen te doen. Een open source pakket wordt vaak gemaakt door vrijwilligers, en die hebben daar al helemaal geen zin in. fox-it past openvpn aan Binnen het ministerie van Defensie was veel vraag naar OpenVPN, een opensource oplossing voor het veilig en versleuteld uitwisselen van informatie tussen twee locaties of netwerken, waardoor veilig thuiswerken mogelijk is. Alternatieve oplossingen zijn kostbaar, licht Teepe de voorkeur van Defensie toe. Het NBV vroeg daarom aan Fox-IT om OpenVPN zodanig te verbeteren dat het succesvol door een goedkeuringstraject zou komen. Wij moesten als het ware doen of wij de fabrikant van het pakket waren en de software zo aanpassen dat het aan de NBV-eisen voldeed. Het NBV heeft daarna op basis hiervan een evaluatie uitgevoerd en OpenVPN-NL goedgekeurd. Voor vertrouwelijke informatie kent Defensie verschillende beveiligingsniveaus. OpenVPN-NL moest in ieder geval voldoen voor het rubriceringsniveau departementaal vertrouwelijk. Meer dan negentig procent van de vertrouwelijke informatie van Defensie valt daaronder. Mocht dergelijke informatie onverhoopt uitlekken, dan is de schade voor de Staat nog te overzien. verbeterproces openvpn Fox-IT heeft verschillende acties ondernomen om het NBV te overtuigen dat OpenVPN-NL veilig is. Teepe: Ten eerste hebben we door documentatie de structuur van de software in beeld gebracht. We hebben voor ieder stukje code aangegeven wat het doet. Daarnaast heeft Fox-IT het product op onderdelen verbeterd. We hebben er bijvoorbeeld een andere cryptografische machine onder gehangen, PolarSSL in plaats van OpenSSL. Hierdoor is de verbinding nu veel veiliger. Ook heeft Fox-IT gezorgd voor een betrouwbaar distributiekanaal: mensen kunnen de aangepaste versie van OpenVPN-NL nu downloaden op een deel van de Fox-IT-website met cryptografische handtekeningen. Zo weet de gebruiker zeker dat hij een goedgekeurd product downloadt. Het verbeterproces was in het najaar van 2011 gereed. pilot met telestick In de zomer van 2011 heeft het ministerie van Defensie een pilot gedraaid met OpenVPN-NL. Medewerkers kregen een telestick, een soort usb-stick met daarop de software. Hiermee konden ze thuis inloggen op het Defensie-netwerk en veilig vanuit huis werken. Wouter Teepe: De pilot was succesvol en medewerkers waren erg enthousiast. Ze konden bijvoorbeeld hun s lezen of vakantiedagen registreren. Erg handig voor medewerkers die geen kantoorbaan hebben. Vanaf dit jaar zal Defensie OpenVPN-NL echt gaan gebruiken, ook voor vertrouwelijke informatie. 20 fox files # fox files #

12 praktijk praktijk Britse overheid zet DataDiode in voor gegevensbeveiliging veilig eenrichtin gsverkeer Van belastingdienst tot douane en van politie tot kerncentrale: vele instanties werken met gevoelige informatie. Hoe voorkom je dat deze informatie bij het uitwisselen van gegevens lekt? Foreign & Commonwealth Office (FCO) Services, onderdeel van de Britse evenknie van ons ministerie van Buitenlandse Zaken, gebruikt daarvoor de DataDiode. Deze is ontwikkeld door Fox-IT en wordt geleverd door de Britse OEM-partner Nexor. Met de DataDiode kan informatie gegarandeerd maar één kant op. een dataventiel dat zekerheid biedt De DataDiode is een dataventiel dat ervoor zorgt dat informatie maar één kant op kan, zo omschrijft Wouter Teepe, product manager bij Fox-IT, de oplossing. De DataDiode biedt veel meer zekerheid dan een firewall, die door het tweerichtingsverkeer toch mogelijk maakt dat informatie kan weglekken. Dit probleem van tweerichtingsverkeer wordt vaak opgelost met een zogeheten air-gap, waarbij een netwerk met een hoog beveiligingsniveau en een netwerk met een lager beveiligingsniveau losgekoppeld zijn. Maar dit werkt niet optimaal. Gegevensuitwisseling vindt in zo n geval plaats via een cd of usb-stick, wat foutgevoelig is en bovendien kan een cd of usb-stick kapot gaan, verloren raken of gestolen worden. De DataDiode maakt het verplaatsen van media overbodig. De DataDiode is door de AIVD goedgekeurd voor het koppelen van netwerken tot en met het classificatieniveau Stg. GEHEIM. De NAVO heeft de DataDiode geaccepteerd voor gebruik tot en met niveau NATO SECRET. Dit betekent dat de DataDiode gebruikt mag worden als beveiliging tegen het uitlekken van zeer gevoelige NATO-informatie. De DataDiode is ook beschikbaar voor de private sector. Alle Britse overheidsinstanties moeten op last van de regering gevoelige informatie beter beveiligen. Waar het verlies van deze data de instanties in grote verlegenheid of ernstig in gevaar kan brengen, bieden firewalls niet voldoende bescherming. Een software-oplossing als een firewall filtert wel informatie die van een extern netwerk afkomstig is. Maar er bestaat altijd de kans datgevoelige informatie ook de andere, verkeerde kant op stroomt. Cybercrime of sabotage is daarmee niet volledig uit te sluiten. strenge gegevensbeveiliging Voor FCO Services was dat aanleiding om een oplossing te zoeken waarmee slechts eenrichtingsverkeer mogelijk is: informatie mag alleen naar het streng beveiligde netwerk van FCO Services stromen, en niet andersom. Voor FCO Services is deze strenge gegevensbeveiliging van groot belang. Deze organisatie houdt zich bezig met ontwerp, bouw, integratie en ondersteuning van veilige ICT-systemen die voldoen aan de hoge standaard van CESG National Technical Authority for Information Assurance (de Britse inlichtingendienst) en andere overheidsinstanties waarvan Buitenlandse Zaken en de Britse overheid in het algemeen gebruikmaken. FCO Services benaderde ons in 2010, toen ze een evaluatie van datadiodes maakten, vertelt Humphrey Browning, business development manager bij Nexor. Dit is een toonaangevende Britse aanbieder van informatiebeveiligingsoplossingen voor de overheid en de vitale nationale infrastructuur. Als OEM-partner van Fox-IT konden we een brede veiligheidsoplossing aanbieden waarvan de Nexor DataDiode deel uitmaakt, net als onze ervaring en kennis op het gebied van oplossingen voor veilige gegevensuitwisseling. realtime toegang tot informatie FCO Services had behoefte aan een centraal management van de netwerken die het ondersteunt, legt Browning uit. Dat hield in dat audit- en monitoringinformatie van alle netwerken zo veilig en zo snel mogelijk moest worden overgebracht naar het managementdomein. Met een air-gap (zie kader) kan dat niet. Wij hebben dit mogelijk gemaakt door verschillende Nexor DataDiodes in te zetten, in combinatie met software die we ontwikkelden voor HP Operations Manager, een van de meest gebruikte systeemmanagementapplicaties in grote organisaties wereldwijd. FCO Services wilde er zeker van zijn dat deze gegevens op een veilige manier werden uitgewisseld tussen netwerken via HTTPS, dat eigenlijk een tweerichtingsverbinding is, legt Browning uit. Daar moesten we dus eenrichtingsverkeer van maken. Een lastige klus, maar met de DataDiode en een speciaal ontwikkelde proxy-applicatie is het ons toch gelukt. tevreden Gedurende het project hebben we nauw samengewerkt met FCO Services, vertelt Browning. In de beginfase hebben we ons verdiept in hun eisen en het concept dat zij in gedachten hadden. Vervolgens hebben we de Nexor DataDiode uitgebreid met software voor de specifieke behoeften van FCO Services. Na de installatie hebben we een tweedaagse training gegeven aan FCO Services-medewerkers, zodat zij probleemloos kunnen werken met de oplossing. FCO Services heeft aangegeven erg tevreden te zijn met de oplossing. We vinden het vooral prettig dat we nu bijna realtime over informatie uit andere netwerken kunnen beschikken, vertelt een woordvoerder van FCO Services. Ook zijn we blij dat de installatie probleemloos verliep. Browning voegt toe: Nexor en FCO Services blijven samenwerken na dit succes. En we kijken uit naar de inzet van de DataDiode als basis voor nog meer uitgebreide beveiligingsoplossingen in de toekomst. Nexor is gespecialiseerd in veilige informatie-uitwisseling voor overheid en de vitale nationale infrastructuur. Het bedrijf is sinds 2009 een OEM-partner (original equipment manufacturer) van Fox-IT. We hebben Fox-IT voor het eerst ontmoet tijdens een beurs, vertelt Humphrey Browning van Nexor. We ontdekten als snel een bijzondere synergie en ontwikkelden een voortreffelijke werkrelatie. Dat heeft ertoe geleid dat we OEM-partner werden. We werken nauw samen om oplossingen te ontwikkelen voor gekozen markten. 22 fox files # fox files #

13 case case Doe-het-zelf in forensisch onderzoek Een nieuwe trend duikt op in de wereld van forensisch onderzoek: bedrijven willen digitaal forensisch speurwerk steeds meer zelf doen. Fox-IT biedt hiervoor een aantal handige tools aan, zoals de Fox Tracks Inspector en Clearwell. Hiermee kunnen nu ook rechercheurs, fraudespecialisten of advocaten met weinig digitaal forensische kennis zelf s en ander digitaal bewijsmateriaal snel doorzoeken en analyseren. De hoeveelheid digitale informatie is enorm. Bij (vermoedens van) fraude en cybercrime is het digitaal forensisch onderzoek voor organisaties dan ook steeds belangrijker. Het kan tijdrovend en kostbaar zijn om voor elke klus experts zoals Fox-IT in te zetten. Daarnaast is het veel handiger als mensen die een case inhoudelijk kennen ook zelf digitaal forensisch onderzoek kunnen doen. Op een manier die ook juridisch overeind blijft, want je hebt niets aan bewijzen die je niet kunt gebruiken in een rechtszaak. kan duren voor je uitsluitsel krijgt. Daarbij zullen tactisch rechercheurs eerder dan digitaal experts verbanden zien en leggen als ze zelf door de informatie kunnen speuren, omdat ze helemaal in het onderzoek zitten. Genoeg redenen dus om het onderzoek zo veel mogelijk bij de tactisch rechercheur te clearwell: tijdswinst van 80% Voor het doorzoeken van s biedt Fox-IT sinds 2010 ook Clearwell aan, een e-discoverytool van het Amerikaans bedrijf Symantec. Hans Henseler, e-discovery expert bij Fox-IT: Clearwell heeft een heleboel handige functies waarmee je s makkelijker leest en verwerkt. Je krijgt zo inzicht in een onderzoek in een paar uur in plaats van een paar weken. Je kunt bijvoorbeeld s over hetzelfde onderwerp samenvoegen of afzenders filteren. Of in een boomstructuur bekijken wie op wie heeft gereageerd. Je ziet dan in één oogopslag de hele discussie, erg overzichtelijk. Clearwell geeft ook trefwoorden die vaak voorkomen, waardoor je sneller een idee krijgt waarnaar je wilt zoeken. Al met al levert Je doet ontdekkingen die anders verborgen waren gebleven zelf verbanden zien Fox-IT ontwikkelde verschillende tools, zoals in 2010 de Fox Tracks Inspector, waarmee organisaties zelf in een paar minuten digitaal bewijsmateriaal kunnen analyseren. De tool zoekt naar digitale sporen in opslagmedia zoals harde schijven, USB-sticks en servers. Handig voor bijvoorbeeld politierechercheurs. Marco de Moulin, projectmanager Fox Tracks Inspector: Meestal hebben tactisch rechercheurs weinig digitale achtergrond en ze leggen computeronderzoek daarom vaak neer bij een digitaal expert. Maar zo n expert heeft meer onderzoeken te doen, waardoor je achterin de wachtrij mag aansluiten en het lang houden. Met de Fox Tracks Inspector kunnen rechercheurs zonder technische achtergrond makkelijk zelf aan de slag. het gebruik van deze tool een tijdsbesparing op van 80% ten opzichte van andere zoekmethodes. En ook hier geldt: een kind kan als het ware de was doen. rabobank bespaart op externe kosten De Rabobank gaat dit jaar aan de slag met Clearwell. Thomas Eekels, senior adviseur fraude en risicomanagement bij de bank: We hebben al 25 jaar een veiligheidsafdeling met financieel specialisten, juristen en rechercheurs. Vanuit Nederland bestrijden we wereldwijd fraude binnen de Rabobank. Vanaf 2008 houden we ons ook bezig met digitale informatiebeveiliging, om 24 fox files # fox files #

14 case intern Zaken met een hoge integriteitswaarde laten we liever over aan de experts foxer kevin de kok Ik ben ontzettend eigenwijs Thomas Eekels, senior adviseur fraude en risicomanagement bij de Rabobank zelf aan de slag? cybercrime tegen te gaan. Toen is ons team aangevuld met ICT-ers met informatiebeveiliging als specialiteit. De Rabobank heeft Clearwell in eerste instantie aangeschaft voor compliance-onderzoek. Financiële autoriteiten stellen hoge eisen aan ons. Als ze vermoeden dat iets niet in de haak is of meer uitleg willen, zijn we verplicht een heleboel gegevens aan te leveren. Voorheen besteedden we zo n onderzoek uit aan Fox-IT. Door Clearwell hoeven we niet meer voor elk digitaal onderzoek naar Fox-IT en kunnen we slagvaardiger en goedkoper opereren. nieuwe inzichten in fraudeonderzoek Een mooi bijkomend voordeel is dat de Rabobank Clearwell ook goed kan gebruiken voor fraudeonderzoek. Eekels: We denken met de tool meer fraudezaken te kunnen oplossen, omdat je door Clearwell nieuwe inzichten krijgt, waardoor je ineens in Fox-IT biedt praktijkgerichte trainingen aan over het uitvoeren van digitaal forensisch onderzoek. Digitaal forensisch onderzoek Vijfdaagse training over alle aspecten van het digitaal forensisch onderzoek: de technische, tactische en juridische kanten. Digitaal forensisch onderzoek in een Microsoft omgeving Vierdaagse training waarin de aandacht specifiek uitgaat naar systemen binnen een Microsoft netwerkomgeving. Digitaal forensisch onderzoek in relationele databases Driedaagse training over het efficiënt veiligstellen en analyseren van omvangrijke en complexe databases. Meer informatie Bekijk de trainingskalender op de achterpagina of op een heel andere richting gaat denken. Je doet ontdekkingen die anders misschien verborgen waren gebleven. We hebben resultaten sneller ter beschikking als we dit soort digitaal forensisch onderzoek intern uitvoeren en gegevens blijven binnen het netwerk van de Rabobank. grote onderzoeken naar het lab Organisaties gebruiken de Fox Tracks Inspector en Clearwell vooral voor kleinere onderzoeken. Eekels: Zaken met een hoge integriteitswaarde, dus die voor de rechter en/of in de media komen, laten we liever over aan de experts van Fox-IT. Bijvoorbeeld wanneer we informatie verzamelen voor een rechtszaak waarin we het ontslag van een medewerker vragen die fraude heeft gepleegd. Dan moeten de bewijzen keihard zijn. Onderzoeksresultaten van een onafhankelijke forensisch rechercheur van Fox-IT wegen dan wel zwaarder. superlab Sinds kort heeft Fox-IT een nieuw laboratorium met de nieuwste onderzoeksapparatuur. Henseler: Doordat bedrijven meer forensisch onderzoek zelf kunnen doen, zien we dat wij ons meer richten op grote, gecompliceerde onderzoeken. Een geavanceerde onderzoeksomgeving is daarom nodig. In de toekomst wil Fox-IT het voor bedrijven ook mogelijk maken zelf grotere onderzoeken op te pakken. We bekijken de mogelijkheden om een soortgelijk geavanceerd laboratorium bij grote bedrijven in te richten of hen daarover te adviseren. Wie zijn de mensen die bij Fox-IT aan onze veiligheid werken, vaak op de meest rare tijden? Uit welk hout moet je gesneden zijn om Foxer te kunnen zijn? Oftewel: Wie is Fox-IT? Security analist Kevin de Kok in 10 trefwoorden. maatschappelijk belang Bij vitale infrastructuren staan mensenlevens op het spel. Die helpen wij beschermen. Ik vind het mooi dat ik zo op mijn manier een belangrijke bijdrage lever aan de veiligheid in onze maatschappij. innovatie Innovatie is creativiteit. Als je ver buiten je eigen grenzen en kennisgebied durft te zoeken, vind je de oplossing. cultuur Elke dag loop ik met een glimlach binnen en ik krijg altijd een glimlach terug. Dat is de sfeer die hier heerst. We gaan informeel met elkaar om, en vertrouwen en integriteit staan bij ons hoog in het vaandel. nerd Ja! Ik wil weten waarom dingen stuk gaan of hoe je ze stuk kunt maken; het is een spelletje. Maar tegelijk ben ik ook heel sociaal hoor. werkplezier Ik ben open en eerlijk, en dat kan hier bij Fox-IT. Dat zijn we allemaal. Ik vind het ontzettend boeiend hoe iedereen een eigen kijk op iets heeft, dat we net zo lang puzzelen tot we met elkaar één oplossing hebben gevonden. vrijheid We hebben hier gigantisch veel vrijheid. De locatie is niet bepalend voor het werk dat we doen. Schrik ik midden in de nacht wakker met een oplossing voor een vraagstuk, dan werk ik die meteen uit. En dan kan ik de volgende dag zomaar pas om twee uur binnenwandelen. Uiteindelijk moet je gewoon je werk af hebben. Hoe en wanneer je dat doet, is aan jou. eigenwijs (Lacht) Ja! Ik ben ontzettend eigenwijs. Ik heb een eigen mening en ik ben kritisch. verslaving Ik was lang verslaafd aan gamen, raakte zelfs in een sociaal isolement. Tot ik er vreselijke nachtmerries van kreeg. Toen ben ik 180 graden gedraaid. Ik game nooit meer. vooruit kijken De veranderingen gaan zo snel dat ik geen voorspelling durf te doen over mijn loopbaan. Misschien ga ik wel iets doen met voorlichting of doceren in mijn vakgebied. In elk geval hoop ik nog lang gezond en gelukkig te blijven. foxer want Dit is een prettige omgeving waar je 100% jezelf kunt zijn. Herken jij jezelf in Kevin en spreekt het werk en de cultuur van Fox-IT je aan? Kijk dan op en bit.ly/foxmanifest. Naam Kevin de Kok (29), Functie Security Analist Opleiding HBO Network Infrastructure Design / Universitaire master System and Network Engineering. Passie Altijd op zoek naar iets nieuws en uitdagends 26 fox files # fox files #

15 Weetjes en nieuwtjes Seminar Mobile Device Security Mensen gebruiken hun smartphones en tablets steeds vaker voor het raadplegen en delen van gevoelige bedrijfsinformatie. De zoektocht naar balans tussen gebruiksgemak en veiligheid bij deze vorm van mobiel werken roept binnen organisaties veel vragen op: Welke technische maatregelen zijn er nodig? Kan een Bring Your Own Device -beleid op een veilige manier? Waar liggen de risico s op datalekken? Wat zijn de juridische risico s? En hoe pas je het beleid hierop aan? Hoe ga je om met incidenten en hoe voorkom je ze? Hoe zit het met malware voor Android en Apple iphones/ipads? Voor advocaten en juristen: online feitenonderzoek Op 23 mei start Fox-IT met een training voor advocaten en juristen. Deelnemers doen kennis op over het vergaren en verifiëren van informatie over personen en bedrijven op internet en de rechtsgeldige vastlegging van de resultaten. Met het volgen van deze afwisselende, theoretische en praktijkgerichte training ontvangt de deelnemer 10 VSO/PO-punten. Meer informatie en aanmelden via Fox-IT organiseert op 25 april het seminar Mobile Device Security, dat antwoord geeft op deze vragen. De bijeenkomst is interessant voor iedereen die binnen zijn organisatie betrokken is bij de implementatie en beveiliging van mobiel werken, zoals security officers, fraude-onderzoekers en beleidsmedewerkers bij zowel ondernemingen als overheidsorganisaties. Meer informatie en aanmelden: Seminar Mobile Device Security Datum 25 april 2012 Locatie De Lindenhof, Delft Tijden tot uur, aansluitend borrel tot uur Prijs 195,- p.p. vrij van BTW Veiliger mobiel werken Een ontwikkelteam van Fox-IT werkt aan een toolkit, waarmee app-bouwers beveiligingsfuncties op mobiele platforms kunnen implementeren. Lees hierover meer in de volgende FoxFiles. trainingskalender Online Onderzoek 26 t/m 27 maart Rechercheren op het Internet (ROI) - Vervolg training 16 t/m 19 april Rechercheren op het Internet (ROI) - Basis 23 en 24 mei Feitenonderzoek voor Advocaten Digitaal Forensisch Onderzoek 14 t/m 16 mei Digitaal Forensisch Onderzoek (DFO) - Relationele databases 11 t/m 14 juni Digitaal Forensisch Onderzoek (DFO)- Microsoft omgeving 18 t/m 22 juni Digitaal Forensisch Onderzoek (DFO) Basis Product Training 02 t/m 03 april International Research Network (irn) - Basic training 23 t/m 25 april International Research Network (irn) - Advanced training 07 t/m 08 mei International Research Network (irn) - Basic training 09 t/m 11 mei International Research Network (irn) - Advanced training Meer informatie: