Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper

Transcriptie

1 Security NS Onno Wierbos, Barry Schönhage, Marc Kuiper

2

3 On Board Information System (OBIS) 3 Security testen binnen OBIS

4 4

5 Security test op het nieuwe CMS Scope: Het nieuwe CMS vanuit reizigersperspectief Ik zit in de trein en maak verbinding met Wifi in de trein Waar kan ik bij waar ik niet bij zou mogen? Voor én na het accepteren van de gebruikersvoorwaarden (captive portal) OWASP (Open Web Application Security Project ) TOP10 Blackbox approach (eigenlijk grey/white box, gezien mijn voorkennis) 5 Security testen binnen OBIS

6 Testopstelling 6 Security testen binnen OBIS

7 Wat te doen met de resultaten? Nader onderzoek: Tools geven hele concrete meldingen, maar ook hele vage meldingen Kans op False positives/negatives is behoorlijk Alles handmatig naspelen Rapporteren Rapportje met bevindingen Vastleggen in bevindingen registratie van het project, maar Separate excel met details Versturen buiten NS? Voorzichtigheid geboden! 7 Security testen binnen OBIS

8 XSS Cross Site Scripting in effect Voor Na 8 Security testen binnen OBIS

9 Winst? Wat hebben we er aan? We krijgen vroegtijdig al inzicht in het kwaliteitsaspect security Professionalisering van het testproces Beter ondersteuning van het ontwikkelproces Resulterend in een hogere kwaliteit van opleveringen Maar Nog steeds onafhankelijke partij voor finale pentest Dan wel white- of zelfs crystalbox Nog meer winst te behalen? 9 Security testen binnen OBIS

10 Interesse gewekt? Kali Linux tutorial op pluralsight Portal met overzicht van hacktools Spelen? Bewust kwetsbare applicaties; Webgoat en Mutillidae Oefenenwebsite met uitdagingen van oplopend niveau 10 Security testen binnen OBIS

11 11 Security Testen Viool

12 Application Security Frameworks 12 Security Testen Viool

13 ISF application security framework B1 Application Security Requirements Business Impact Analyse (BIA) Privacy Impact Analyse (PIA) Security Beleid Rollen en verantwoordelijkheden 13 Security Testen Viool C1 Application Security Architecture Functioneel bijvoorbeeld > gebruikers maak gebruik van SSO Moet aansluiten op de bestaande AD C3 Threat modeling (Design) Ontwerpers maken de diagrammen Ontwerpers en testers maken de dreigingen D3 OWASP top 10 of Certified Secure checklist D5 Application Security Testing Application Security Testing volgens OWASP Web Application Testing Penetratietesten intern / extern

14 TCC Security Test Proces Requirements Design / Development Deployment BIA, PIA, Security Beleid Threat modeling Security Maatregelen of ontwerp aanpassen Security Testen Penetration testing (CEH) Rol TCC Doet een review van het document of heeft een actieve bijdrage Rol TCC Ontwerpers maken de diagrammen Ontwerpers en testers maken de dreigingen Security Officer heeft QA rol

15 Application Threat Modeling 15 Security Testen Viool

16 Application Threat Modeling - Stappen Stap 1 Decompositie van de applicatie Begrijpen hoe de applicatie werkt en de interactie met externe systemen Identificeren van entry points voor een aanval Identificeer assets waar een aanvaller mogelijk geïnteresseerd in is Identificeer trust levels Opstellen van Data Flow Diagram Diagram Stap 2 Identificatie en ranken van threats STRIDE threat categorisering toepassen Bepalen van security risico voor elke threat door middel van bijvoorbeeld DREAD of de kans x impact Diagram Stap 3 Bepalen van tegen maatregelen en mitigatie Sorteer threats op basis van risico Gebruik van threatcountermeasure mapping lists Diagram

17 Reiziger Decompositie van de applicatie Request Response Tussenlaag Request Data Response Proxy en Planner Datafile Data Dataverwerking bron systemen

18 Reiziger Trust boundaries Request Response Datacenter API laag Request Data Plan data Response Proxy en planner Datafile Data Bron Dataver werking Bron

19 A Reiziger 1 Actoren en processen 3 2 E API laag 5 B Aanlevering Data 4 Viool F 6 9 D Bron 8 7 C Bron

20 STRIDE threat list Security Control Spoofing Tampering Repudiaton Information disclosure Denial of service Elevation of priviliges Authentication Integrity Non-Repudiation Confidentiality Availability Authorization 20 Security Testen Viool

21 Bepalen van tegen maatregelen en mitigatie Spoofing Identity Repudiation Denial of Service Appropriate authentication Digital signatures Filtering Protect secret data Timestamps Throttling Don't store secrets Audit trails Quality of service Tampering with data Appropriate authorization Hashes Digital signatures Tamper resistant protocols Information Disclosure Elevation of privilege Authorization Run with least privilege Privacy-enhanced protocols Encryption 21 Security Testen Viool

22 Web Application Security Testing Configuration and Deployment Management Testing Identity Management Testing Authentication Testing Authorization Testing Input Validation Testing Testing for Error Handling Testing for weak Cryptography Business Logic Testing Client Side Testing Session Management Testing 22 Security Testen Viool

23 HTTPS valideren HTTPS protocol is gebouwd op TLS/SSL om data te encrypten De veiligheid hangt af van: Encryptie algoritme Robuustheid van de sleutels SSL/TLS moet goed geconfigureerd zijn 23 Security Testen Viool

24 Wireshark voorbeeld / HTTPS test voorbeeld 24 Security Testen Viool

25 TCC Security Test Proces Requirements Design / Development Deployment BIA, PIA, Security Beleid Threat modeling Security Maatregelen of ontwerp aanpassen Security Testen Penetration testing (CEH) Rol TCC Doet een review van het document of heeft een actieve bijdrage Rol TCC Ontwerpers maken de diagrammen Ontwerpers en testers maken de dreigingen Security Officer heeft QA rol

26 26 Security Testen Viool