Security in onderzoek en onderwijs

Transcriptie

1 Security in onderzoek en onderwijs TouW-symposium 24 november 2012 Harald Vranken Met Met dank aan: aan: Marko van van Eekelen Arjan Kok Kok Julien Schmaltz Freek Verbeek Jens Haag Sven Kiljan Carlos Montes Portela afstudeerders

2 Agenda Onderwijs Security en IT Software security CPP IT security engineer Onderzoek afstudeeropdrachten promotie-onderzoeken post-doc onderzoek 2

3 Cursus Security en IT Breed overzicht van vakgebied IT security Cryptografie Beveiliging van software Beveiliging van besturingssystemen en databases Beveiliging van computernetwerken Aspecten van beheer en privacy

4 Cursus Security en IT Nadruk op beveiliging in technische zin Welke kwetsbaarheden zijn er in computersystemen? Welke aanvallen zijn daardoor mogelijk? Hoe kunnen we deze aanvallen voorkomen? Hoe kunnen we geslaagde aanvallen ontdekken?

5 Cursus Security en IT Doelen van security Confidentialiteit Confidentiality Integrity beschermen van vertrouwelijkheid, privacy Availability Integriteit beschermen tegen modificeren (aanpassen, verwijderen) Security Beschikbaarheid beschermen van toegankelijkheid

6 Cursus Security en IT Cryptografie: oudheid (1) 1900 vchr. hiëroglyfen in Egypte 50 vchr. Caesar-cijfer monoalfabetische substitutie Voorbeeld: Klare tekst: HOI Cijfertekst: KRL A B C D E F G H I J K L M N O P Q R S T U V W X Y Z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

7 Cursus Security en IT Cryptografie: oudheid (2) WO II: Enigma polyalfabetische substitutie Voorbeeld: Klare tekst: HOI Cijfertekst: NXO

8 Cursus Security en IT Cryptografie: tegenwoordig Gefundeerd op wiskunde AES RSA klare tekst encryptiealgoritme E cijfertekst decryptiealgoritme D klare tekst Dit is geheim Kbh bq azszbg Dit is geheim encryptiesleutel K e decryptiesleutel K d

9 Cursus Security en IT Beveiliging van databases Voorbeeld: SQL-injectie Vranken RAbn3%cd SELECT Username FROM Users WHERE (Username = 'Vranken ) AND (Password = 'RAbn3%cd ) ' OR 1=1 -- ' OR 1=1 -- SELECT Username FROM Users WHERE (Username = '' OR 1=1 --') AND (Password = '' OR 1=1 --')

10 Cursus Security en IT Virtueel security lab Zelf aan de slag in een computernetwerk als hacker, beveiliger en gebruiker

11 Cursus Security en IT Virtueel security lab Voorbeeld van opdracht: DMZ en firewalls internet firewall demilitarized zone firewall intranet

12 Cursus Security en IT Access control

13 Agenda Onderwijs Security en IT Software security CPP IT security engineer Onderzoek afstudeeropdrachten promotie-onderzoeken post-doc onderzoek 13

14 Cursus Software security Software security engineering software so that it continues to function correctly under malicious attack understanding software-induced security risks and how to manage them Kernprincipe: building security in

15 Cursus Software security Vulnerabilities Validatie van invoer en uitvoer Buffer overflow Excepties en privileges Ontwikkelen van beveiligde software Risicomanagement en risicoanalyse Statische codeanalyse Security testing Language-based security Safety Language-based access control Informatieflowanalyse Ethiek van software security

16 Cursus Software security Oorzaken security-problemen Connectivity, extensibility, complexity 50% implementation-level bugs, 50% design-level flaws 7,000 6,000 5,000 4,000 3,000 2,000 1,000 Number of vulnerabilities Year

17 Cursus Software security Beste practices

18 Cursus Software security Vulnerabilities Meest voorkomende kwetsbaarheden met grote impact OWASP TOP 10 SQL injection buffer overflow path manipulation command injection cross-site scripting (XSS) HTTP response splitting

19 Cursus Software security Buffer overflow Arrays in C/C++ user data system data X char invoer[8] returnadres programma code

20 Cursus Software security Vulnerabilities in webapplicatie

21 Cursus Software security Cross-site scripting

22 Cursus Software security Cross-site scripting

23 Cursus Software security Statische codeanalyse: Fortify

24 Cursus Software security Statische codeanalyse

25 Cursus Software security Language-based access control Java security Sandbox Code signing Security policies

26 Agenda Onderwijs Security en IT Software security CPP IT security engineer Onderzoek afstudeeropdrachten promotie-onderzoeken post-doc onderzoek 26

27 CPP IT Security Engineer Gebaseerd op Security en IT en Software security Talrijke extra s uitvoerige begeleiding (19 bijeenkomten) extra onderwerpen (aansluitend op actualiteit) practica

28 Agenda Onderwijs Security en IT Software security CPP IT security engineer Onderzoek afstudeeropdrachten promotie-onderzoeken post-doc onderzoek 28

29 Onderzoek Afstudeeropdrachten BPM&IT afstudeerders Promotie-onderzoeken gedistribueerd virtueel security lab digitaal betalingsverkeer smart grids Post-doc onderzoek 29

30 Afstudeeronderzoek Afstudeeropdrachten BPM&IT Organisatie en beheer De organisatie van botnetbestrijding in Nederland (Timo Schless; 2013) Security-beleid en maatregelen rondom BYOD en de invloed op de privacy van werknemers (André Schild; 2013) Cyberbeveiliging als bedrijfsproces (Gert-Jan Schouten; 2013) Social engineering Online hengelen zonder vergunning: mogelijkheden, effectiviteit en acceptatie van maatregelen tegen phishing in financiële sector (Koen Dreijer; sep. 2012) Beveiliging tegen social engineering bij de Limburgse gemeenten (Jack van der Goes; dec. 2012) Security van cloud computing Beweegredenen van overheidsorganisaties voor outsourcing naar cloud computing en de effecten op de informatiebeveiliging (René van Giersbergen; 2013) Risico s door de cloud: organisatorische en juridische aandachtspunten en maatregelen (Yvonne van Boxmeer; apr. 2012) Databeveiliging in de cloud: maatregelen en aandachtspunten voor IaaS cloud computing (Jeroen Verhoeven; jun. 2012) Technische impact van hybride cloud computing op IAM (Gert Kiewiet; dec. 2011) Succesfactoren voor implementatie van cloud IAM (Tim Piepers; 2013) 30

31 Promotieonderzoek Gedistribueerd virtueel security lab Jens Haag (buitenpromovendus) Uitbreiden van virtuele security lab (stand-alone) naar gedistribueerd virtueel security lab student virtual internet docent student 31

32 Promotieonderzoek Architecturen: decentraal/centraal VH VH VH VH UNIX-Socket UML-Switch GH RBE GH RBE UNIX-Socket UML-Switch 32

33 Promotieonderzoek Toepassing in onderwijs Inzet bij cursussen Welke opdrachten; wat vinden studenten ervan? Automatische feedback/grading 33

34 Promotieonderzoek Digitaal betalingsverkeer Kennisprogramma Veiligheid Digitaal Betalingsverkeer (KVDB) doel: verbeteren van veiligheid, beveiliging en vertrouwen in digitale betalingsverkeer samenwerking tussen banken, justitie en universiteiten interdisciplinair onderzoek op 4 deelgebieden (4 AIO s) criminologie/politiekunde psychologie informatica rechtswetenschap 34

35 Promotieonderzoek Digitaal betalingsverkeer Sven Kiljan (AIO) Technische beveiliging van digitaal betalingsverkeer beveiliging bruikbaarheid van de beveiliging Plan verkenning van gebruikte technische principes analyse of principes voldoende veiligheid bieden ontwerp van veilige(re) oplossingen evaluatie van toekomstige verbeteringen 35

36 Promotieonderzoek Smart grids Carlos Montes Portela (buitenpromovendus ) Elektriciteitsvoorziening nu: statisch en voorspelbaar aanbod volgt vraag: van centrales naar verbruikers elektriciteitsnetten ontworpen voor piekbelasting Elektriciteitsvoorziening in toekomst: dynamisch en onvoorspelbaar vraag volgt aanbod: decentrale productie, andere vraag dynamische, duurzame productie (weersafhankelijk) 36

37 Promotieonderzoek Smart grid Netwerk met componenten en technologieën die informatie beschikbaar maken over toestand en energiestromen in het netwerk energiestromen stuurbaar maken Onderzoek naar ICT-architectuur voor smart grid: functionaliteit + privacy + security 37

38 Promotieonderzoek Smart grid: privacy en security by design 38

39 Promotieonderzoek Smart grid voorbeeld 39

40 Post-doc onderzoek Formele verificatie Freek Verbeek (post-doc) en Julien Schmaltz (UD) EURO-MILS project (Multiple Independent Level of Security) Europees consortium van 14 partners (8 bedrijven, 3 onderzoekinstituten, 3 universiteiten) Online embedded systemen in kritische systemen (avionica en automotive) vereist juiste mix van security en safety maatregelen security architectuur gebaseerd op mechanismen voor separatie (virtualisatie) en gecontroleerde informatiestromen OU: formele verificatie ten behoeve van security certificering

41 Afronding Security: spannend, relevant en actueel Meer weten? Volg onderwijs! Security en IT, Software security, CPP IT security engineer Zelf onderzoek doen? Doe een afstudeer- of promotieonderzoek! Master BPM&IT, CS of SE 41