update i T S X DE COLUMN 2 Walter Belgers

Transcriptie

1 Your Security is Our Business 21 mei 2014 update DE COLUMN 2 Walter Belgers HET NIEUWS 3 Migratie van IPv4 naar IPv6 NLUUG voorjaarsconferentie Voor de tweede keer is opgeven geen optie voor Remco Huisman HET INTERVIEW 4 Interview met Marietje Schaake, Europarlementariër voor D66 DE KLANT 7 8 vragen aan Lennaert van der Hoeven, partner bij Bridgevest DE HACK 8 Aanvallen met een Advanced Persistent Threat door Daniël Dragi čević HET EVENT 10 Black Hat Sessions Part XII: Inlichtingendiensten, Spionage en Privacy HET INZICHT EXTRA 12 Remco Huisman over Red Teaming ITSX 14 Marcus Bakker over de Heartbleed bug Verslag van het Founders Kite Club event door Ralph Moonen HET INZICHT 16 Matthijs Koot over de vervagende grens tussen inlichtingen en opsporing agenda 19 HET COLOFON 19 Nog een paar weken en dan gaat de Black Hat Sessions Part XII van start! Zie pagina 10 voor het spannende programma en de relatiekortingscode i T S X

2 de column In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer Walter Belgers over het post-snowden tijdperk. Snowden Heb ik uw aandacht, of bent u al een beetje Snowdenmoe? Het feit dat er op grote schaal gespioneerd wordt, houdt de gemoederen nog steeds bezig. Het is ook een enge gedachte dat als je allerlei hardware en software in huis haalt, je eigenlijk niet meer goed kunt zien of die wel te vertrouwen is. De NSA onderschepte bijvoorbeeld routers die per post verstuurd werden en bouwde er een achterdeurtje in. Wie had dat verwacht? Eigenlijk iedereen die er eens goed voor gaat zitten en nadenkt over waar de zwakke plekken zitten. Die kunnen zitten in de corporate webserver, in die vriendelijke receptioniste die gasten ontvangt, in de medewerker die op een link in een mailtje klikt, of in de routers die in het buitenland worden besteld en per post worden afgeleverd. Beveiliging is zo sterk als de zwakste schakel en eigenlijk zou je dus holistisch naar de beveiliging van je kroonjuwelen moeten kijken. (Weet u trouwens wel wat uw kroonjuwelen zijn, en waar die zich in uw netwerk bevinden? Maar dat is iets voor een andere column.) Veel van onze klanten hebben ook een holistische blik: we bekijken voor ze hoe het met de beveiliging van bepaalde websites is gesteld, of we via het WiFi-netwerk toegang kunnen krijgen of via social engineering het aanvallen van de mens in plaats van de machine en we kijken wat we zoal aantreffen als we eenmaal op hun interne netwerk zitten. Dat gebeurt vaak als losse opdrachten, waarbij je uiteindelijk een goed totaalbeeld krijgt. Een aanvaller gaat echter anders te werk: als die ziet dat er bijvoorbeeld op de website weinig is te halen, zal hij zijn zinnen snel op iets anders zetten, zoals bijvoorbeeld een social engineering aanval. Zo n soort aanpak levert Madison Gurkha ook, onder de naam Red Teaming. Hoewel het een modewoord is, is de aanpak een prima manier om snel zicht te krijgen op de belangrijkste zwakheden in de beveiliging. Het blijft echter zaak om alle systemen te blijven controleren op beveiliging. Meer over de Red Teaming dienst leest u verderop in deze Update. Het nieuws dat er op grote schaal informatie wordt verzameld en geanalyseerd, houdt de gemoederen zoals gezegd veel bezig. Er is een grote asymmetrie: overheden hebben de beschikking over veel gegevens van haar onderdanen, maar andersom is dat niet het geval. Als je zuinig bent op je eigen gegevens, krijg je het steeds moeilijker. Kunnen we nog leven zonder GSM, zonder OV-chipkaart, zonder auto met kentekenplaten, zonder betaalpasjes en zonder plekken te bezoeken waar camera s met gezichtsherkenning hangen, zonder Facebook? Dat is vrijwel onmogelijk geworden en dat heeft vergaande gevolgen voor onze privacy. Als je weet dat je in de gaten wordt gehouden, heeft dat invloed op je gedrag. Dus zelfs als de gegevens niet worden bekeken, heeft het verzamelen ervan al invloed op onze manier van leven en denken. We vinden dit onderwerp, dat wil zeggen spionage, de rol van inlichtingendiensten en de gevolgen voor onze privacy, zodanig belangrijk dat we er dit jaar ons jaarlijks congres, de Black Hat Sessions, aan wijden. Het is alweer de twaalfde editie die we organiseren en we hebben weer een mooie lijst aan sprekers weten te strikken. Ook hierover leest u meer verderop in deze Update. Nieuw is, dat we u tijdens de Black Hat Sessions de gelegenheid geven om zelf een geavanceerde aanval uit te voeren, zoals een inlichtingendienst dat zou kunnen doen. Medewerkers van Madison Gurkha zullen de deelnemers begeleiden in het programmeren van een Teensy, een USB-apparaat dat zich kan voordoen als een toetsenbord en geheel autonoom, door toetsaanslagen naar de computer door te sturen, een aanval uit kan voeren. Na het volgen van de workshop heeft u dus een cyberwapen in handen zoals een cybercrimineel of inlichtingendienst zou kunnen maken. Wellicht vraagt u zich na afloop af wat het verspreiden van zo n apparaatje binnen uw organisatie voor gevolgen zou hebben. Dat is ook precies wat we willen propageren. Het is zoiets als wanneer u de voordeur achter u in het slot gooit zonder een sleutel op zak te hebben. U gaat dan als inbreker naar uw eigen huis kijken. Het blijkt dan vaak redelijk eenvoudig om in te breken, waarna natuurlijk onmiddellijk maatregelen worden genomen om de beveiligingsproblemen op te lossen. Als u met eenzelfde kritische blik kijkt naar uw eigen IT-landschap, vindt u wellicht al veel zaken waar eenvoudig (beveiligings) winst is te halen. Ik wens u daarbij veel wijsheid toe! Walter Belgers Partner, Principal Security Consultant 2 Madison Gurkha mei 2014

3 In Het Nieuws belichten we nieuwe ontwikkelingen in de IT-beveiligingswereld en rondom Madison Gurkha. het NIEUWS IPv4 > IPv6 De migratie van IPv4 naar IPv6 zet gestaag door, en momenteel wordt al 3% van de bezoeken aan Google-diensten via IPv6 gedaan. Vanuit een beveiligingsperspectief is het uiteraard belangrijk dat IPv6 ook op een goede manier is ingericht. Om dit effectief te kunnen testen hebben Madison Gurkha, Fox-IT, ITsec, Pine Digital Security en Riscure in samenwerking met TNO gezamenlijk een IPv6-beveiligingstestplan opgesteld. Ook het Ministerie van Economische Zaken heeft het onderzoeksproject gesteund door middel van een subsidie. Lees het volledige rapport op onze website. Tijdens de Black Hat Sessions op 17 juni a.s. verzorgt Sander Degen, security consultant bij TNO ICT, een technische presentatie waarbij hij op basis van het IPv6-beveiligingstestplan uitlegt wat er fout kan gaan met IPv6, hoe dit misbruikt kan worden, maar uiteraard ook hoe de problemen op te lossen zijn. Lees snel verder voor het volledige Black Hat Sessions programma en de speciale kortingscode op pagina van deze Update. De wereld van open systemen en open standaarden is heftig in beweging. De markt zoekt naar verbeteringen op het gebied van opschaalbaarheid, virtualisatie en veiligheid. De NLUUG-voorjaarsconferentie 2014 duikt dan ook in onderwerpen als security en configuration management. De conferentie vindt plaats op 15 mei a.s. in het Postillion hotel in Bunnik. Bent u erbij? Wij ontmoeten u graag op onze stand. Voor de tweede keer is opgeven geen optie Geld inzamelen voor het KWF is onverminderd nodig. Ook dit jaar zet Remco Huisman, partner van Madison Gurkha, zich sportief in voor dit goede doel! Op 5 juni doet hij voor de tweede keer mee met de Alpe d HuZes. Samen met Team Boezem gaat hij de uitdaging aan om zoveel mogelijk geld in te zamelen voor KWF kankerbestrijding. Die naam roept wellicht bij sommigen wat vragen op. De naam Team Boezem is afkomstig van de naam van de vriendengroep uit mijn studietijd. Wij noemen elkaar nog steeds De Boezem, naar het studentenhuis in De Boezemstraat in Rotterdam-Crooswijk, waar het allemaal ooit begonnen is.... Wil je Remco en het goede doel steunen? Je kunt een vaste donatie doen, of een toezegging per beklimming (reken op 6 keer). Elke donatie groot of klein is zeer welkom! Doneren kan via: remco-huisman. Madison Gurkha mei

4 het interview Deze keer een diepte-interview met Marietje Schaake, Europarlementariër voor D66, in de Alliance of Liberals and Democrats for Europe (ALDE). Terwijl technologie zich razendsnel ontwikkelt, blijven wet- en regelgeving achter Om relevant, slim beleid te maken, moeten politici meer weten over technologie en mensen die zich met technologie bezig houden zouden er goed aan doen te weten hoe wetten en regels hen raken. Het verbinden van politieke kringen en technologie-experts is een van mijn doelen, aldus Europarlementariër Marietje Schaake. 4 Madison Gurkha mei 2014

5 het interview Wassenaar Mede dankzij uw campagne Stop Digitale Wapenhandel staat intrusion software sinds december jl. op de Wassenaar-lijst van export-controlled dual-use goederen. Hierdoor kan intrusion software die niet vrij verkrijgbaar is, niet meer vrij worden verhandeld naar, zeg, autoritaire regimes. Was dit op voorhand een gewonnen race of is er tegenstand geweest? Bepaalde technologieën en systemen worden over de hele wereld gebruikt om mensenrechten te schenden en mensen te onderdrukken, maar zijn ook een bedreiging voor onze eigen digitale infrastructuur. De maatregelen om de export van dit soort technologie te controleren waren zeker niet op voorhand een gelopen race; dat is nog steeds niet zo. Na allerlei voorstellen en meer bewustwording van de gevaren van het huidige vacuüm in regelgeving, is er in de context van het Wassenaar Arrangement een eerste stap gezet om de lijsten die bijvoorbeeld worden gebruikt bij wapenembargo s uit te breiden met technologieën met een indringende impact. De Lidstaten en de Europese Commissie hebben zeer traag gehandeld, ook als reactie op eerdere voorstellen van het Europees Parlement om de Europese exportcontrole op technologie effectiever te maken. Hopelijk zijn ze daar nu wel toe bereid in de aankomende herziening van de exportcontrolewetgeving. U heeft opgemerkt dat het plaatsen van intrusion software op de Wassenaar-lijst een eerste stap is, maar dat het taalgebruik nog niet voldoende precies is, ruimte laat voor interpretatie 1. Kunt u dit toelichten? Onder veel technologie-experts leeft nog een trauma van de cryptowars. We moeten natuurlijk altijd zorgen dat we precies de juiste technologie en software controleren, en geen onbedoelde negatieve gevolgen veroorzaken voor de markt of voor ethische hackers. Door te werken met licenties voor economische transacties ontstaat meer transparantie, en kan per geval worden beoordeeld of een deal (export) wel of niet kan plaatsvinden. Als liberaal vind ik dat we geen regels moeten creëren waar ze niet nodig zijn, zeker niet als het gaat om internet en technologie. Toch is de status quo niet houdbaar. De Europese Unie verliest aan geloofwaardigheid wanneer we aan de ene kant oproepen om digitale vrijheid, vrije meningsuiting, en toegang tot informatie in een land te respecteren, maar de regering in kwestie weet dat het technologie uit Europa gebruikt om haar bevolking te onderdrukken. Daarnaast moeten we het strategisch belang niet onderschatten, wil je landen die op vijandige voet staan zonder enige controle, technologie leveren die tegen Europese bedrijven, overheden, journalisten of burgers kunnen worden ingezet. Sommige technologiebedrijven gedragen zich als de wapenhandelaars van het internettijdperk. Er is nog een heleboel te doen voordat we van slimme, passende wetgeving kunnen spreken. Madison Gurkha mei

6 Marietje Schaake is Europarlementariër voor D66, in de Alliance of Liberals and Democrats for Europe (ALDE). Marietje is lid van de parlementaire commissie voor Buitenlandse Zaken, waar zij zich richt op het EU nabuurschapsbeleid, met een focus op Turkije en Iran, en mensenrechten, in het bijzonder de vrijheid van meningsuiting en digitale- en media vrijheid. In de commissie voor Cultuur en Onderwijs werkt Marietje aan de Europese Digitale Agenda en de rol van cultuur en nieuwe media in de externe relaties van de EU. In de commissie voor Internationale Handel ligt de nadruk in haar werk op diensten en technologie, intellectueel eigendomsrecht, de vrije doorstroom van informatie, de trans-atlantische handelsrelaties en de relatie tussen handel en het EU buitenland beleid eu/2013/12/first-steps-towardscurbing-digital-arms-exportswelcome/ 2. dutch-enkele-gedachten-bijongerichte.html Wat is de volgende stap, en hoe komen we daar? De eerstvolgende stap is om de herziening van de Wassenaar-lijst naar het Europees niveau te brengen. Ook wordt een update van de dual-use regelgeving op Europees niveau verwacht. Tegelijkertijd moeten we aan het werk om de definities helder te krijgen en om te zorgen dat de wetgeving als geheel effectiever werkt, bijvoorbeeld door de fragmentatie van de controle aan te pakken. Momenteel worden afspraken over export op Europees niveau gemaakt, maar is de uitvoering en controle in handen van lidstaten. Daardoor kunnen verschillen ontstaan, en dat is niet goed voor een gelijk speelveld en concurrentie in de Europese interne markt. Bedrijven hebben behoefte aan duidelijkheid. De Europese Commissie komt binnenkort met een voorstel. Ik zal daar zeer kritisch naar kijken en vanuit het Parlement blijven werken om het exportcontrolebeleid als geheel meer coherent en vooral relevant te maken. Post-Snowden internet In januari is aangekondigd dat een commissie onder voorzitterschap van de Zweedse minister van BuZa twee jaar lang onderzoek gaat doen naar de toekomst van het post-snowden internet. U bent één van de 25 panelleden die het onderzoek uitvoeren. Wat is het doel van dit onderzoek, en wat zijn uw verwachtingen? Het doel van deze Commissie is om voorstellen te doen over de toekomst van internet governance. De NSA-schandalen hebben het thema zichtbaarder gemaakt, maar ook daarvoor werden vragen over het bestuur van het internet steeds urgenter. Er is bijvoorbeeld behoefte aan een nieuwe invulling van het multi-stakeholder model, waarbij niet alleen regeringen, maar ook bedrijven en maatschappelijke organisaties een rol spelen. Daartegenover staan staten die juist zelf meer grip op internet willen afdwingen. Voor mij staat het behoud van een vrij en open internet en de rechten van gebruikers voorop. Ik hoop dat we een concretere invulling kunnen geven aan hoe we transparantie, efficiëntie en verantwoording binnen het multi-stakeholder model kunnen vergroten. Ook is het essentieel dat argumenten van nationale veiligheid niet misbruikt worden om vrijheid en fundamentele rechten in te perken. In het panel zitten ook zwaargewichten die bovengemiddeld gecharmeerd zijn van surveillance, bijvoorbeeld het voormalige GCHQ-hoofd Sir David Omand, en de voormalige minister van Homeland Security en co-auteur van de Patriot Act Michael Chertoff. Is de andere stem, zoals die van u, binnen dat panel luid genoeg? Zal er eerlijk en kritisch worden gekeken naar het waarom van massasurveillance? Juist in zo een gezelschap is een tegengeluid essentieel. Ik denk dat het belangrijk is om ook met mensen waarmee ik het niet bij voorbaat eens ben, in gesprek te gaan. Bovendien zal de commissie worden ondersteund door een brede consultatie in het maatschappelijk veld en de private sector. Op die manier kunnen we een brede discussie aangaan met verschillende groepen mensen over het belang van digitale vrijheden, mijn primaire aandachtspunt in deze discussie. Overigens moet de eerste bijeenkomst van de Commissie nog plaats vinden. Ik hoop daar antwoorden te krijgen op de vele vragen die ik heb over het gezelschap en de agenda. Europa en Nederland In Nederland is een debat gaande over vernieuwing van de Wet op de inlichtingen- en veiligheidsdiensten uit 2002 (Wiv2002). Eén van de voorstellen is de diensten de bevoegdheid te geven tot ongerichte interceptie van kabelgebonden communicatie 2. Het Europees Parlement heeft in maart een tekst aangenomen waarin de Nederlandse regering wordt aangedrongen om af te zien van een zodanige uitbreiding van de bevoegdheden van de inlichtingendiensten dat een ongerichte en grootschalige surveillance van kabelgebonden communicatie van onschuldige burgers mogelijk zou worden. Waarom moet Nederland afzien van deze uitbreiding? Is het niet mogelijk dat er overtuigende argumenten zijn vóór uitbreiding? De basis voor elke bevoegdheid van elke inlichtingendienst moet zijn dat die slechts wordt gebruikt onder rechterlijke toetsing en met democratisch toezicht. We zien nu dat bestaande bevoegdheden, zoals satellietinterceptie nog niet voldoende gecontroleerd worden. Het is belangrijk dat we dat eerst goed regelen, voordat we beginnen aan het uitrollen van nieuwe bevoegdheden. Bovendien zijn er vragen te stellen bij de noodzaak om zo breed en ongebonden op de kabel communicatie van burgers te surveilleren. Bij elke maatregel moeten we ons afvragen of we de open samenleving die we willen beschermen daadwerkelijk verstevigen, of dat we bezig zijn haar kernwaarden van binnenuit uit te hollen onder het mom van nationale veiligheid en anti-terrorisme. Het Nederlandse parlement is traditioneel weinig geïnteresseerd in inlichtingen- en veiligheidsdiensten. In Europa lijkt er meer te gebeuren: de LIBEcommissie. Hoe krijgen we dit onderwerp op de agenda van de Nederlandse politiek? Ten eerste is dit niet een typisch Nederlands verschijnsel, in de meeste Europese lidstaten is de interesse hierin niet erg groot. Alleen in Duitsland wordt nu een parlementaire enquête gestart. D66 wil dat dat ook in Nederland gebeurt, maar daar was niet genoeg steun voor in de Tweede Kamer. Toch zien we dat Europese burgers wel degelijk maatregelen nemen, door bijvoorbeeld over te stappen op niet-amerikaanse clouds of andere diensten. Amerikaanse bedrijven die zijn geïmpliceerd in de NSA-schandalen nemen dit heel serieus. Hier ligt misschien ook een rol voor het Europese bedrijfsleven om dit punt hoger op de politieke agenda te krijgen. Tijdens de Black Hat Sessions Part XII op 17 juni a.s. in Ede zal Marietje Schaake een keynote lezing geven. Meer informatie over het congres vindt u elders in deze Update. 6 Madison Gurkha mei 2014

7 In elke Madison Gurkha Update laten wij een klant aan het woord. Dit keer een openhartig gesprek met Lennaert van der Hoeven van Bridgevest. de klant 8vragen aan Lennaert van der Hoeven, één van de vier partners van Bridgevest. 1Wat doet Bridgevest? Bridgevest is een bureau dat zich richt op online communicatie voor de financiële sector bestaande uit o.a. pensioenfondsen, verzekeraars, investment managers en retail banken. De dienstverlening van Bridgevest is gebouwd op drie pijlers; 1 pensioencommunicatie, 2 software & solutions en 3 financial marketing. Hierbinnen bieden wij het complete pakket: van strategie tot development en creatie. 2 B-Lab is de development kweekvijver van Bridgevest. Kun je daar wat meer over vertellen? B-Lab is ontstaan als een label binnen Bridgevest, dat onze developers koppelt aan interaction designers en creatieven. Gezamenlijk vormen zij het hart van het projectteam wanneer het aankomt op software & solutions projecten. Daarnaast wordt het B-Lab ook vaak ingezet voor projecten in de andere twee pijlers. Dit kan gaan om serious gaming projecten, maar ook om zaken als online deelnemerportalen voor de pensioensector. 3 Hoe is de informatiebeveiliging opgezet binnen de organisatie? In een organisatie als de onze is de tijd die je hebt voor de opzet van een informatiebeveiligingsbeleid altijd krap, de actuele projecten voor klanten krijgen immers snel voorrang. Toch beseffen wij ons als Bridgevest dat we op dit gebied grondig te werk moeten gaan. Steeds meer van onze klanten krijgen namelijk te maken met strengere eisen op het gebied van informatiebeveiliging en dit heeft gevolgen voor de gehele keten van een dergelijke organisatie. Tijdens ons wekelijkse partneroverleg is dit onderwerp dan ook een vast agendapunt. 4 Bridgevest biedt haar klanten toegang tot diverse applicaties via een SaaS-oplossing. Welke maatregelen worden genomen om de IT-beveiligingsrisico s onder controle te houden? Binnen onze SaaS-applicatie genaamd OnTrack gaan deelnemers van pensioenfondsen aan de slag met hun pensioensituatie. Hiervoor maken we gebruik van data die wij van de pensioenuitvoerder ontvangen en van data die door de deelnemer zelf worden opgevoerd. De opslag en de toegankelijkheid van deze gegevens hebben dan ook onze constante aandacht. We besteden veel aandacht aan versleuteling van data, het voldoen aan eisen qua certificering van datacenters, maar ook stellen we behoorlijke eisen aan het informeren en informed consent van de deelnemer zelf. De persoon moet goed weten of hij gegevens wil bewaren en zo ja, welke. 5Welke support biedt Bridgevest aan haar klanten met betrekking tot de IT-beveiliging van haar producten? Naast onze SaaS-oplossing OnTrack bieden wij onze klanten maatwerkoplossingen, waarbij volledig tegemoet gekomen wordt aan de wensen van onze klanten en de eisen die aan hen gesteld worden door hun security officers en ons B-Lab team. In dergelijke trajecten zal er altijd in samenspraak met de klant een risico-analyse plaatsvinden en zorgen wij voor een geschikte oplossing Wat zijn de belangrijkste uitdagingen op het gebied van informatiebeveiliging? De kaders die ons gesteld worden, zijn mede afhankelijk van de toezichthouders van onze klanten. Een van de meest actuele voorbeelden hiervan zijn de DigiD-audits. Onze klanten die als inlogmechanisme gebruikmaken van DigiD, moeten elk jaar een rapportage aan Logius opleveren. Uitdaging voor onze klanten en in bepaalde mate ook voor ons zijn vooral de procedurele zaken binnen informatiebeveiliging. De technische zijde is geen probleem, maar vanwege de korte doorlooptijd van de projecten die wij opleveren is het belangrijk oog te houden voor de procedurele kant. Hoe ondersteunt Madison Gurkha en ITSX daarbij? Uiteraard houden wij ons zeer goed op de hoogte van de eisen die aan onze klanten gesteld worden op het gebied van informatiebeveiliging. Daarnaast zijn we sinds 2013 in contact met Madison Gurkha en ITSX om niet alleen de periodieke technische en procedurele onderzoeken uit te voeren, maar tevens vooruit te kijken naar eventuele risico s en eisen die op ons af kunnen komen. Om die reden organiseren wij nu al workshops in samenwerking met Madison Gurkha en ITSX. En wij zouden Bridgevest niet zijn wanneer we ook onze klanten hiervan mee laten profiteren in speciale workshops gericht op hun sector. Wat zijn uw ervaringen met Madison Gurkha en ITSX Tot op heden zijn onze ervaringen zeer goed. Buiten de uiteraard zeer professionele aanpak van beide partijen, is ook de onderlinge afstemming en communicatie zeer prettig en vriendelijk. Tevens merken wij dat onze klanten en prospects bij het horen van de naam Madison Gurkha onder de indruk zijn. En dat is voor een online bureau als Bridgevest natuurlijk nooit weg Madison Gurkha mei

8 de hack Elders in deze Update leest u wat Red Teaming inhoudt en welke factoren een rol spelen bij het succesvol uitvoeren ervan. In deze rubriek laat Daniël Dragi č evi c zien hoe een dergelijke aanval is uitgevoerd. Aanvallen met een Advanced Persistent Threat Bij een Red Teaming opdracht die Madison Gurkha onlangs heeft uitgevoerd zijn verschillende hacking en social engineering technieken toegepast om zo onopvallend mogelijk tot een succesvolle aanval te komen. Het doel van deze aanval was het binnendringen van en langdurige toegang behouden tot het interne netwerk van een grote multinational. Ik geef u hierbij graag een uniek kijkje in onze keuken. Uiteraard hebben we - omwille van geheimhouding - de uitgevoerde aanval in een fictieve setting geplaatst. Scenario Het fictieve bedrijf MG-Retail is een internationale retailer en handelt in kantoorartikelen. Zij hebben ons de opdracht gegeven om te onderzoeken of we langdurig toegang tot het interne netwerk kunnen krijgen en het daarop aanwezig SAP-systeem. Voorbereiding We starten ons onderzoek met het zoeken in open bronnen (OSINT). Onderzoek in open bronnen als Google, LinkedIn, Facebook, Twitter, de bedrijfswebsite en andere branchewebsites leert ons dat MG-Retail een groot bedrijf is en dat een aantal medewerkers van de afdeling inkoop enige tijd geleden een beurs over maatschappelijk verantwoord inkopen heeft bezocht. We besluiten om de medewerkers een bedankje te sturen voor het bezoeken van de beurs. Toegang verkrijgen We gebruiken voor de aanval een Teensy. Dit is een stukje hardware dat kan worden geprogrammeerd als USB-toetsenbord, muis, en/of USB-opslagmedium. We zoeken op internet naar een USB-gadget waarin we een Teensy kunnen plaatsen. We gebruiken voor deze aanval een USB-muis. We laten de chip zich voordoen als USB-toetsenbord zodat deze onze voorgeprogrammeerde toetsaanslagen naar de PC stuurt. In dit scenario programmeren we de Teensy zodanig dat wanneer deze wordt aangesloten, er een URL geopend wordt waarop onze exploitcode wordt aangeboden. De URL is per muis anders, zodat we weten welke muis exact is gebruikt door welke gebruiker. De exploit- 8 Madison Gurkha mei 2014

9 de hack code zal ons toegang geven tot het systeem van het slachtoffer. De uitdaging is om de Teensy in de USB-muis te bouwen zonder de functies van de muis aan te tasten. Hiervoor maken we gebruik van een kleine USB-hub. Door de hub tussen de muis en de Teensy te plaatsen, kunnen beide apparaten worden gebruikt. Exploitcode Om onze aanval zo onopvallend mogelijk te laten plaatsvinden, zullen we ervoor moeten zorgen dat de exploitcode die we aanbieden niet door een virusscanner wordt opgemerkt. Om dit te bewerkstelligen passen we enkele publiek bekende Java exploits aan. Het aanpassen van deze exploits bestaat vooral uit het weghalen van overbodige code. Naast het aanpassen van de exploitcode, passen we ook de metasploit-payload aan die ervoor zorgt dat het geïnfecteerde systeem een verbinding opzet naar onze server. We testen de aangepaste exploit- en payloadcode tegen lokale installaties van een aantal verschillende antivirusproducten. Zodra blijkt dat onze code op de testsystemen niet door virusscanners gedetecteerd wordt en probleemloos wordt uitgevoerd, kunnen we verdergaan met het uitvoeren van de aanval. Nadat we onze initiële toegang hebben verkregen, zorgen we ervoor dat we langdurige toegang tot de omgeving behouden. Om dit mogelijk te maken schrijven we een script dat ervoor zorgt dat onze payloadcode, waarmee een verbinding naar onze server wordt gemaakt, wordt uitgevoerd. Dit script wordt opgeslagen in het profiel van de gebruiker en zal worden gestart zodra de gebruiker inlogt op zijn of haar systeem. De aanval Nu de afzonderlijke onderdelen zijn gemaakt en getest, kunnen we een aantal pakketjes samenstellen met daarin een geprepareerde muis en een begeleidende brief waarin we de medewerker bedanken voor zijn/haar bezoek aan de beurs. Deze pakketjes sturen we op naar de medewerkers die als doelwit zijn aangemerkt. Enkele dagen later zien we de eerste verbindingen op onze server binnenkomen. We hebben op dit moment toegang tot het interne netwerk van het MG-Retail. De vraag is nu, hebben we langdurige toegang tot dit netwerk en zijn we gedetecteerd door de klant? We maken een verbinding naar het geïnfecteerde systeem en controleren of ons persistence -script in het profiel van de gebruiker is opgeslagen. Dit blijkt het geval te zijn. Ook controleren we de logging van het systeem en de beveiligingssoftware om te achterhalen of onze aanval is gedetecteerd. We zien dat onze aanval onopgemerkt is gebleven. Op zoek naar de kroonjuwelen Nu we toegang hebben tot één van de systemen in het interne netwerk, kunnen we het interne netwerk in kaart gaan brengen. We starten met het afluisteren van het netwerkverkeer. Hieruit blijkt dat het netwerk uit meerdere segmenten bestaat. Door het uitvoeren van specifieke DNS-verzoeken en specifieke (onopvallende) poortscans, brengen we het netwerk in kaart en concluderen we dat een groot deel van de infrastructuur bestaat uit gevirtualiseerde serversystemen. Ook zien we dat de ESX-servers, waarop de virtuele machines draaien, een kwetsbaarheid bevat. Door het uitbuiten van deze kwetsbare ESX-server, krijgen we toegang tot alle gevirtualiseerde systemen. Hieronder bevinden zich onder andere de Active Directory-servers waarop alle gebruikersaccounts (inclusief wachtwoordhashes) staan opgeslagen. Door de virtuele harde schijf te kopiëren en de gebruikersdatabase te exporteren, kunnen we ons voordoen als een willekeurige gebruiker in de organisatie. Dit geeft ons de mogelijkheid om ongemerkt op zoek te gaan naar financiële, concurrentiegevoelige en andere interessante informatie in het netwerk en de SAP-systemen. Dit scenario laat zien hoe één handeling van een eindgebruiker, het aansluiten van een relatiegeschenk, kan leiden tot een grootschalige hack op een organisatie en het lekken van grote hoeveelheden gevoelige informatie, zonder dat iemand iets in de gaten heeft Madison Gurkha mei

10 het event Dit jaar organiseert Madison Gurkha alweer de twaalfde editie van de inmiddels befaamde Black Hat Sessions. 17 juni 2014 De Reehorst in Ede Black Hat Sessions XII Inlichtingendiensten, Spionage en Privacy Achter deze begrippen gaat een complexe wereld schuil. In een gevarieerd dagprogramma zal op een aantal deelonderwerpen zowel verbreding als verdieping worden gezocht, waaronder de technische aanpak van de detectie van aanvallen, socio-technologische analyse van aanvalspaden, beweegredenen achter Chinese spionage en het spanningsveld tussen overheid en individu op het gebied van versleuteling en aftapbaarheid in het post-snowden internet. In één dag wordt u door inspirerende sprekers bijgepraat over deze actuele thema s en het is natuurlijk ook een uitgelezen kans om met anderen van gedachten te wisselen over al deze onderwerpen. Dit jaar hebben wij in het programma voldoende ruimte vrijgemaakt voor parallelle tracks zodat u ongeacht uw technische achtergrond een interessant programma kunt volgen. Een aantal lezingen en demonstraties zijn diep-technisch, terwijl andere juist interessant zijn voor leidinggevenden en/of beslissingsnemers. Zie ook het volledige programmaoverzicht hiernaast. Keynotes We hebben D66-Europarlementariër Marietje Schaake (zie ook het uitgebreide interview elders in deze Update) en de nieuwe directeur Cyber Security, Wilma van Dijk, van de Nationaal Coördinator Terrorismebestrijding en Veiligheid bereid gevonden om tijdens de Black Hat Sessions Part XII een keynote lezing te verzorgen. Beide prominenten zijn vanuit hun positie nauw betrokken bij de thema s en zij zullen u een interessante kijk bieden op de materie. Meld u aan als relatie van Madison Gurkha Wij hopen dat u deze dag samen met ons wilt doorbrengen in De Reehorst in Ede. Uiteraard geldt voor relaties van Madison Gurkha een relatiekorting. Geef bij uw aanmelding via het inschrijfformulier de code BHS14-MG op en de 10% korting wordt direct verrekend. Wij vinden het leuk als u samen met uw collega s deelneemt aan de Black Hat Sessions. U kunt dan gebruik maken van de extra geldende groepskorting van 10% bij 5 tot 10 deelnemers. Meldt u meer dan 10 deelnemers tegelijkertijd aan, dan profiteert u van 15% extra groepskorting. Groepsaanmeldingen kunt u per aan bhs@congres4u.nl versturen. Zorg dat u erbij bent en meld u snel aan. Vul de code BHS14-MG in bij uw online inschrijving en de 10% relatiekorting wordt direct verrekend! Meer informatie over het congres en het inschrijfformulier vindt u op 10 Madison Gurkha mei 2014

11 het event PROGRAMMA Keynote Marietje Schaake Marietje Schaake is Europarlementariër voor D66, in de Alliance of Liberals and Democrats for Europe (ALDE). Marietje is onder andere lid van de parlementaire commissie voor Buitenlandse Zaken, waar zij zich richt op het EU-nabuurschapsbeleid, met een focus op Turkije en Iran, en mensenrechten, in het bijzonder de vrijheid van meningsuiting en digitaleen mediavrijheid. NT niet-technisch T technisch IRMA: Attribute-based Credentials (ABC) in de praktijk T Wouter Lueks Wouter Lueks is promovendus aan de Radboud Universiteit Nijmegen en lid van het PI.lab. Onder leiding van dr. Jaap-Henk Hoepman en prof. Bart Jacobs doet hij onderzoek naar privacy enhancing technologies. Voorafgaand aan zijn promotieonderzoek studeerde hij wiskunde en informatica aan de Rijksuniversiteit Groningen. Keynote Wilma van Dijk Wilma van Dijk wordt met ingang van 1 juni 2014 benoemd tot directeur Cyber Security bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Binnen deze directie vallen de gecoördineerde beleidsinitiatieven op het gebied van cyber security en de activiteiten van het Nationaal Cyber Security Centrum (NCSC). Maar ik heb toch niets te verbergen? NT Arthur Donkers Arthur Donkers is directeur en principal security consultant bij ITSX, dochterbedrijf van Madison Gurkha dat zich richt op de zachte kant van informatiebeveiliging. Arthur is een all round specialist die zowel op technisch, als procesmatig en organisatorisch vlak alle aspecten van informatiebeveiliging beheerst. TREsPASS: een navigatiesysteem voor cyber attacks NT Wolter Pieters Wolter is wetenschappelijk coördinator van het Europese project TREsPASS aan de Universiteit Twente, en universitair docent op het gebied van cyber risk aan de TU Delft. Hij studeerde in Twente informatica en filosofie van de techniek, en promoveerde bij Prof. Bart Jacobs in Nijmegen op de risico s van stemcomputers en stemmen via Internet. IPv6: de nieuwe aanvalsvector voor inlichtingendiensten en cybercriminelen? T Sander Degen Sander is sinds 2001 werkzaam bij TNO op het gebied van informatiebeveiliging. Hij probeert organisaties weerbaar(der) te maken tegen IT-gerelateerde dreigingen, gericht op onder andere techniek, processen, beleid en beveiligingsbewustzijn. Eén van zijn persoonlijke interesses is de ontwikkeling van vrijheid op het internet. The new cyberweapons (presentatie in ENG) T Sandro Etalle Sandro Etalle is CEO of SecurityMatters, full professor and the head of the security group at the TU Eindhoven, and full professor at the University of Twente. His interests include intrusion detection, security of industrial control systems, trust management, access control and policy compliance. De volgende crypto-oorlog - hoe geheime diensten onze veiligheid ondermijnen NT Ot van Daalen Ot van Daalen is oprichter van advocatenkantoor Digital Defence dat zich specialiseert in security, privacy en surveillance. Daarnaast is hij onderzoeker bij het Instituut voor Informatierecht van de Universiteit van Amsterdam. In 2009 heeft hij digitale burgerrechtenbeweging Bits of Freedom heropgericht. China en cyberveiligheid NT Frans-Paul van der Putten Frans-Paul van der Putten is senior onderzoeker bij het Nederlands Instituut voor Internationale Betrekkingen Clingendael. Hij houdt zich bezig met diverse veiligheidsthema s, met name in relatie tot de opkomst van China als grote mogendheid, en de gevolgen daarvan voor internationale verhoudingen en voor de internationale positie van Nederland en Europa. Spies and secure boot (presentatie in NL) T Job de Haas At Riscure, Job is the senior specialist on charge of security testing of embedded devices for high-security environments. He has experience evaluating the security of a wide range of embedded platforms, such as IPTV decoders, satellite receivers, mobile phones, smart meters and a variety of modems. De workshop Hacken met Teensy die tijdens de Black Hat Sessions wordt georganiseerd zit helaas vol. Wilt u de workshop op een ander moment volgen? Klik dan bij uw aanmelding op Selecteer in het inschrijfformulier, dan houden wij u op de hoogte. sponsors kennispartners Platform voor IT-professionals Madison Gurkha mei

12 HET INZICHT EXTRA In deze extra rubriek vertelt Remco Huisman, commercieel directeur bij Madison Gurkha, graag meer over het nut en de mogelijkheden van Red Teaming. ed eaming : is uw organisatie bestand tegen gerichte aanvallen? Criminelen, industriële spionnen of buitenlandse mogendheden hebben doorgaans een heel specifiek doel dat ze langs de digitale weg willen bereiken. Ze houden zich niet aan een vast testplan en een vastgelegde scope. Ze kondigen hun acties ook niet van tevoren aan. In het rapport Internet Security Threat Report dat in april is verschenen, maakt Symantec melding van een stijging van 91% van de zogenaamde spear phishing campagnes in 2013, naar 779 in totaal. Spear phishing attacks zijn gerichte digitale aanvallen die worden uitgevoerd door bijvoorbeeld inlichtingendiensten van buitenlandse mogendheden, criminele organisaties of concurrenten op zoek naar voor hen interessante informatie. De inschatting van Symantec dat er een kans is van circa 30% dat bedrijven het slachtoffer worden van een dergelijke aanval, spreekt nog meer tot verbeelding. Deze kansen zijn dusdanig groot dat elke organisatie zich zorgen zou moeten maken over deze aanvallen en zich er beter tegen zou moeten beschermen. Maar hoe doe je dat? Veel organisaties waar Madison Gurkha zaken mee doet zijn serieus bezig met informatiebeveiliging en laten daarom ook regelmatig beveiligingstesten uitvoeren op IT-infrastructuren en applicaties. Deze onderzoeken gaan meestal uit van een bepaalde scope. Het gaat bijvoorbeeld om een onderzoek van een website, een kwetsbaarhedenscan vanaf het internet, een penetratietest vanaf het interne netwerk, een social-engineeringaanval of een test van het WiFi- netwerk. Het zijn stuk voor stuk nuttige onderzoeken om IT-beveiligingsrisico s in kaart te brengen, maar kennen toch beperkingen. Red Teaming volgt feitelijk een zelfde werkwijze als criminelen dat doen en geeft daarmee een beeld van de hele IT-beveiligingsketen. Red Teaming is een techniek waarmee je problemen bekijkt vanuit een tegengesteld gezichtspunt. Dat gezichtspunt kan een aanvaller zijn, een tegenstander of bijvoorbeeld een concurrent. Het hangt er maar vanaf op welk probleem of situatie je Red Teaming toepast. Vanuit een militair oogpunt onderzoekt leger A bijvoorbeeld hoe leger B zou kunnen reageren op de aanval die leger A wellicht van plan is. Een onderneming kan met behulp van Red Teaming onderzoeken hoe concurrentie zal reageren op de introductie van een nieuw product of dienst. Een bewakingsbedrijf kan via Red Teaming zwakheden zoeken in de manier waarop ze haar geldtransporten heeft georganiseerd. In het geval van Red Teaming op het gebied van informatiebeveiliging verplaatst Madison Gurkha zich in de gedachtenwereld van een of meer tegenstanders van een organisatie en bedenkt manieren om met behulp van hacking en social-engineering-technieken deze doelen te bereiken. Een Red Teaming onderzoek geeft u een integraal beeld van de mate van bescherming van datgene dat van kritiek belang is voor een organisatie. Daaruit zijn zeer waardevolle lessen te trekken. Lees ook het artikel in de rubriek De Hack elders in deze Update waarin we u vertellen hoe een specifieke aanval tijdens een Red Teaming onderzoek in zijn werk gaat. Voor een succesvolle uitvoering van een Red Teaming onderzoek zijn onder andere de volgende aspecten van belang Madison Gurkha mei 2014

13 HET INZICHT EXTRA Do 4Weet wie je tegenstander is/tegenstanders zijn Verschillende tegenstanders zullen waarschijnlijk verschillende manieren gebruiken om een bepaald doel te bereiken. Soms zullen die doelen hetzelfde zijn en soms ook heel verschillend. Een actiegroep zal het gemunt hebben op het - op wat voor manier dan ook - ontregelen van de organisatie en het creëren van publiciteit, terwijl de industriële spion op zoek is naar een specifieke blauwdruk (en toekomstige plannen). 4 Weet wat de kroonjuwelen zijn Wat zijn nu precies de kroonjuwelen van de organisatie waar tegenstanders het op voorzien hebben? Is het één kroonjuweel of zijn het er meer? Gaat het om intellectueel eigendom, de klanten/patiëntendatabase, toegang tot SCADA/EMS-systemen, de webshop? 4 Kies één tegenstander en één kroonjuweel voor een Red Teaming opdracht Om binnen een bepaald budget en bepaalde tijd een goede Red Teaming opdracht uit te voeren is een zekere focus onontbeerlijk. Soms is het mogelijk om met een onderzoek meerdere kroonjuwelen te bemachtigen, maar het verdient aanbeveling om één bepaald doel te kiezen en de aanval daarop tot in de puntjes uit te werken en uit te voeren. 4 Zorg voor draagvlak binnen het hoger management Omdat een Red Team zich richt op de kroonjuwelen van een organisatie, er aan een onderzoek altijd risico s kleven en een groot deel van de organisatie te maken kan krijgen met de aanval, is draagvlak binnen het hoger management / directie een een must. Het is verstandig om verder zo min mogelijk mensen in te lichten. 4 Leer van de uitkomsten en doe er wat mee Dat klinkt triviaal, maar er zijn uit Red Teaming opdrachten doorgaans meerdere lessen te trekken, op meer dan één niveau binnen een organisatie en zowel op menselijk, organisatorisch als technologisch vlak. Processen en procedures verdienen aandacht, het bewustzijn van (bepaalde) medewerkers, detectiemethoden voor bepaalde aanvallen en specifieke bescherming van de kroonjuwelen. Een Red Teaming opdracht biedt vaak ook een prima gelegenheid om de zogenaamde Forensic Readiness te testen: Wat is er van de aanval in logs van systemen terug te vinden? Zijn er wel logs en hoe betrouwbaar zijn die? Is er een incident response plan? Als de resultaten van een Red Teaming opdracht zijn gepresenteerd en gerapporteerd, dan zit het werk van het Red Team erop, maar dan begint het werk van de organisatie pas! Dat is over het algemeen veel meer werk dan het Red Teaming onderzoek. Don't 8Je kunt jezelf niet Red Teamen Zoals je jezelf niet onafhankelijk kunt testen, kun je jezelf ook zeker niet Red Teamen. Voor een goed Red Teaming onderzoek is een onafhankelijke frisse blik nodig van een team dat is geoefend in het denken buiten de kaders en beschikt over de juiste hacking en social engineering technieken. Een intern Red Team kan verder als nadeel hebben dat er zelfcensuur kan worden toegepast: Zal ik deze vervelende uitkomst wel brengen, of kan ik het maar beter wat verzachten. 8 Pay peanuts, get monkeys Zorg voor voldoende budget en dus tijd. Dat hoeft niet zoveel budget/tijd te zijn als industriële spionnen of buitenlandse mogendheden ter beschikking hebben, maar wel voldoende om een echt realistische aanval door professionals met ervaring op te zetten. 8 Stel zo min mogelijk beperkende voorwaarden aan het onderzoek Je tegenstanders houden zich ook niet aan bepaalde voorwaarden, dus geef het Red Team zoveel mogelijk vrijheid. Madison Gurkha legt zichzelf overigens wel een aantal beperkingen op. Zo treden wij niet binnen in de persoonlijke levenssfeer van iemand, door bijvoorbeeld een privé-pc of account van een medewerker te hacken. Uiteraard zullen wij ook geen chantage toepassen of geweld plegen en blijven wij binnen de kaders van de Nederlandse wetgeving. Wel zullen wij gebruik maken van de vrijheid die ons op basis van een vrijwaring wordt geboden. Door bovenstaande aspecten in ogenschouw te nemen, wordt de kans op een succesvol Red Teaming onderzoek verhoogd. Deze lijst is overigens zeker niet uitputtend. Madison Gurkha mei

14 ITSX In de ITSX-rubriek vertelt Marcus Bakker, IT security consultant bij ITSX, dit keer over de Heartbleed bug en doet directeur Ralph Moonen verslag van het Founders Kite Club event. De Heartbleed bug Afgelopen 7 april werd de Heartbleed bug publiekelijk bekend. Heartbleed is een zeer ernstige zwakheid in OpenSSL die het mogelijk maakt om vertrouwelijke informatie van een server of client uit te lezen. SSL is een protocol dat wij allen dagelijks gebruiken voor het veilig versturen van informatie. Voor gebruikers is het vaak zichtbaar als het bekende slotje in de browser. Het is noodzakelijk de huidige SSLcertificaten te laten intrekken en nieuwe certificaten aan te vragen Ontwikkelaars van softwareproducten maken vaak gebruik van OpenSSL voor het implementeren van het SSL-protocol in hun producten. Aan het gebruik van OpenSSL zijn geen kosten verbonden en het wordt dan ook in veel software gebruikt. Een grote meerderheid (naar schatting 60%) van de webservers op het Internet maakt gebruik van OpenSSL. Andere voorbeelden van software die gebruik maakt van OpenSSL zijn de VPN oplossing OpenVPN, het Android besturingssysteem en de veel gebruikte mail server Sendmail. Software van bijvoorbeeld Microsoft maakt geen gebruik van OpenSSL en is dan ook niet kwetsbaar voor Heartbleed. Heartbleed is geen fout in het SSL-protocol, maar in de implementatie van de heartbeat functionaliteit. De bug is te vinden in versie en hoger van OpenSSL, een versie die reeds twee jaar beschikbaar is. Er wordt aangenomen dat de hacker community gedurende deze twee jaar geen weet had van deze bug, tot de bekendmaking hiervan op 7 april. Onbevestigde berichten uit de wereld van de inlichtingendiensten melden echter dat onder andere de Amerikaanse NSA hier al lang van wist, en het lek ook al lang gebruikte. Heartbleed stelt een kwaadwillende in staat het geheugen (maximaal 64 KiloByte) uit te lezen. Een simpele en leuke uitleg van Heartbleed is beschreven in de volgende XKCD strip: De bug is zo gemakkelijk te misbruiken, dat reeds na enkele minuten na bekendwording kwaadwillenden massaal systemen op het internet gingen aanvallen. Kwaadaardige server Naast servers zijn ook clients kwetsbaar. Een kwaadaardige server kan heartbeats naar clients versturen om blokken geheugen van clientsoftware (zoals bijvoorbeeld een browser of filesharing programma) uit te lezen. Hierbij wordt dezelfde kwetsbaarheid misbruikt. Dit wordt ook wel een reverse Heartbleed genoemd. De uitgelezen informatie kan allerlei vertrouwelijke gegevens bevatten. Denk hierbij aan gebruikersnamen, wachtwoorden, s en zelfs de privésleutel van een SSL-certificaat kan hierin voorkomen. Wachtwoorden kunnen hierdoor bekend raken, en aanvallers kunnen HTTPS-verkeer ontsleutelen of een servercertificaat vervalsen. Kwetsbare versies vinden Ons advies is dan ook direct uit te zoeken welke servers kwetsbaar zijn (omdat ze OpenSSL v1.0.1 of hoger gebruiken) en deze te voorzien van de nodige beveiligingsupdates. Denk hierbij dus niet alleen aan webservers, maar ook aan mailservers die met SSL zijn beveiligd, Secure File Transfer servers en appliances. Het zal voor de meeste organisaties een grote uitdaging zijn om alle kwetsbare versies van OpenSSL te vinden, en soms is het niet eenvoudig om deze te updaten. Maar naast het updaten van de software speelt natuurlijk ook het feit dat SSL-sleutels van kwetsbare servers kunnen zijn gecompromitteerd. Als de privésleutels niet zijn opgeslagen in een Hardware Security Module (HSM) - een HSM beveiligt de sleutels zo- 14 Madison Gurkha mei 2014

15 ITSX Founders Kite Club event Netwerken op het strand danig dat deze niet door Heartbleed kunnen worden getroffen - is het noodzakelijk de huidige SSL-certificaten te laten intrekken en nieuwe certificaten aan te vragen. Bij de meeste certificaatautoriteiten (CA s) worden hiervoor geen kosten in rekening gebracht. Let daarbij op dat een nieuw sleutelpaar (publieke- en privésleutel) dient te worden gegenereerd. Lekken van informatie Daarnaast is het van belang om een inschatting te maken welke vertrouwelijke informatie, tussen de bekendmaking van Heartbleed en het uitvoeren van de beveiligingsupdates, heeft kunnen uitlekken. Kunnen er bijvoorbeeld wachtwoorden en gebruikersnamen zijn uitgelekt? Adviseer dan alle gebruikers zelf de wachtwoorden te laten wijzigen. Is er een hoog risico bij het uitlekken van deze wachtwoorden, dan kunnen extra maatregelen worden genomen, zoals het preventief wijzigen van alle wachtwoorden zonder tussenkomst van de gebruiker. Kortom, veel organisaties zullen voorlopig nog handen vol werk hebben aan de nasleep van deze pijnlijke kwetsbaarheid. Het is te verwachten dat kwetsbare servers en applicaties nog jarenlang zullen bestaan omdat veel organisaties niet zijn voorbereid op dergelijke problemen. Welke certificaten worden waar gebruikt? Welke versies van welke software zijn op welke server geïnstalleerd? Zelfs in organisaties met een hoog volwassenheidsniveau zijn deze vragen vaak niet eenvoudig te beantwoorden. De FoundersKiteClub (zie ook: founderskiteclub.com) is een club van kitesurfende ondernemers, variërend van oprichters van investeringsfondsen tot kleinere ondernemers zoals ikzelf. Een aantal weken geleden reisde ik af naar Tarifa in Spanje om deel te nemen aan het FKC business networking event. Want wat op de golfbaan kan, moet natuurlijk ook op het strand, in de wind en de golven kunnen! Op het event waren naast de organisatie en een aantal professionele kitesurfers, ongeveer veertig ondernemers aanwezig. Veel van hen zijn actief in de tech-, internet- en mediasector. Onder andere de oprichters van BWIN en Xing.com waren van de partij. Naast de clinics en shows door de pro-kiters waaronder wereldkampioen Ruben Lenten en de Engelse kampioen Lewis Crathern, waren er ook voldoende gelegenheden en activiteiten gepland om te kunnen netwerken en je bedrijf te presenteren. Tijdens een van de deze activiteiten heb ik een demonstratie van WiFi en mobiele beveiliging gegeven die erg goed werd ontvangen. Er zaten diverse bedrijven aan tafel die mobiele apps ontwikkelen dus dat sloot erg goed aan. Met een hoop kite-skills, interessante contacten en een nieuwe klantrelatie rijker, kijk ik terug op een zeer nuttig zakenuitje dat voor herhaling vatbaar is! Ralph Moonen, directeur ITSX Op het event waren naast de organisatie en een aantal professionele kitesurfers, ongeveer veertig ondernemers aanwezig. Er waren ook voldoende gelegenheden en activiteiten gepland om te kunnen netwerken en je bedrijf te presenteren. i T S X Madison Gurkha mei