UPDATE JANUARI Wij wensen u een Succesvol en Veilig 2014! I T S X. DE COLUMN 2 Hans Van de Looy

Maat: px
Weergave met pagina beginnen:

Download "UPDATE JANUARI 2014. Wij wensen u een Succesvol en Veilig 2014! I T S X. DE COLUMN 2 Hans Van de Looy"

Transcriptie

1 Your Security is Our Business 20 JANUARI 2014 UPDATE DE COLUMN 2 Hans Van de Looy HET NIEUWS 3 Succesvolle beursdagen Black Hat Sessions 2014 Ethical Hackers gezocht HET INTERVIEW 4 Engelstalig interview met Cyber Security Expert Winn Schwartau HET INZICHT 6 Wolf in schaapskleren door Jan Hendrikx DE HACK 8 Ward Wouts en Stefan Castille over PXE netbooting DE KLANT 10 7 vragen aan Evert-Jan van den Dungen, Waterschap De Dommel ITSX (NIEUW) 12 Arthur Donkers, directeur ITSX, over de cursus M_o_R Twee nieuwe medewerkers stellen zich voor HET VERSLAG 14 Hack.lu 2013 door Daniël Dragi čević Wij wensen u een Succesvol en Veilig 2014! AGENDA 15 HET COLOFON 15 I T S X

2 DE COLUMN In iedere Madison Gurkha Update vindt u een leuke en informatieve column over uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer laten we Hans Van de Looy aan het woord. Spionage; De op één na oudste bezigheid ter wereld? Remember, remember! The fifth of November, The Gunpowder treason and plot; I know of no reason Why the Gunpowder treason Should ever be forgot! English Folk Verse (c.1870) 1 Toen me gevraagd werd de column te schrijven voor deze Update stond de jaarlijkse hernieuwde kennismaking met de film V for Vendetta 2 bij mij weer in de agenda. Een film die, sinds dat deze in 2005 is uitgebracht, eigenlijk alleen maar in relevantie is toegenomen. Het verhaal neemt ons mee in de voorbereidingen om een totalitair en fascistisch regime in de UK om te werpen en is daardoor qua de sfeer vergelijkbaar met een andere bestseller, Beide verhalen zouden met enige regelmaat weer opnieuw beleefd moeten worden om mensen een idee te laten krijgen van wat er mis kan gaan als we niet continu opletten over de hoeveelheid macht die we toestaan en het onttrekken van het recht op privacy. Daar zijn we ons, nu meer dan ooit, hopelijk van bewust geworden sinds dat Snowden ons wekelijks stukjes informatie voert over de mogelijkheden die spionagediensten zoals onder andere de NSA en GCHQ (kent u ECHELON nog?) tegenwoordig blijken te hebben om allerlei (informatie over) communicatie te onderscheppen. Let op! Niet het feit dat overheden (en bedrijven) spioneren heeft mij verbaasd. Spionage is van alle tijden en zal altijd een van de manieren blijven om een voorsprong te krijgen of houden op anderen. En ook de enorme hoeveelheid gegevens die verzameld wordt, verbaasde mij in eerste instantie niet. We hebben tegenwoordig de technologische middelen en waarom zouden we die dan niet gebruiken als we het benodigde budget krijgen toegewezen? Wat me wel intrigeert is de enorme hoeveelheid data die verzameld wordt over willekeurige personen, en het feit dat dit in veel gevallen gebeurt zonder dat de toezichthouders daarvan vooraf op de hoogte zijn gesteld. Daaruit blijken twee zaken: Macht corrumpeert en als we niet voldoende opletten dan ligt een volgende stap om die macht te misbruiken zeker op de loer. Vandaar dat ik me bij deze volledig wil aansluiten bij de woorden van Eurocommissaris mevrouw Neelie Kroes die in een recente presentatie heeft aangegeven dat burgers, instellingen, bedrijven en overheden niet naïef moeten zijn om te denken dat wetgeving spionage en mogelijke inbreuk op privacy zal stoppen, maar dat ze zich bewust moeten zijn van de technologische mogelijkheden en zichzelf zo goed mogelijk hiertegen dienen te beschermen 4. Madison Gurkha voelt deze maatschappelijke verantwoording al sinds de oprichting in Vanuit onze technologische kennis en kunde proberen we het niveau van ICT-beveiliging binnen Nederland, maar ook internationaal, telkens een stukje te verbeteren. Wij merken dat informatiebeveiliging van het stokpaardje van een gedreven IT-manager die de gegevens van het bedrijf of instelling wil beschermen, nu langzaam de aandacht aan het krijgen is die het verdient op C-level en uiteindelijk deel begint uit te maken van beslissingen die in de board-room genomen worden. De volgende stap is dat wij (burgers, instellingen, bedrijven en overheden) gegevensbeveiliging niet meer zien als iets dat we net voordat het systeem in productie gaat nog even laten controleren, maar dat we het integraal opnemen in de bouw van het volledige systeem; dus vanaf de basis. Ik hoop van harte dat we die stap in minder dan dertien jaar kunnen zetten. Hans Van de Looy. Partner / Principal Security Consultant Madison Gurkha januari 2014

3 In Het Nieuws belichten we nieuwe ontwikkelingen in de IT-beveiligingswereld en rondom Madison Gurkha. Succesvolle beursdagen HET NIEUWS Madison Gurkha, ITSX en Digital Investigation stonden dit jaar met een gezamenlijke stand op de Infosecurity vakbeurs. Wij hebben dit keer groots uitgepakt met een ruime eilandstand vlakbij de ingang. Dat we bijna niet te missen waren, hebben we gemerkt. Wij kijken terug op twee drukke, succesvolle beursdagen met veel nieuwe en bestaande contacten, inspirerende gesprekken en veel interesse voor de Live Demo. Hierin lieten we aan het publiek zien hoe gemakkelijk het is om een netwerk met APT s (Advanced Persistent Threats) te besmetten. Bedankt voor uw bezoek en graag tot volgend jaar! Gastexpert in de Madison Gurkha Update? In de vorige Update heeft u het artikel kunnen lezen van gastexpert Tom de Wit van Louwers IP Technology Advocaten over de Richtsnoeren beveiliging van persoonsgegevens. Heeft u ook een interessant onderwerp, een stelling, belangrijke facts o.i.d. op het gebied van ITbeveiliging die u graag met onze lezers wilt delen, stuur uw artikel(max 1000 woorden) naar en wie weet bent u onze volgende gastexpert in de Madison Gurkha Update. BHS 2014 in het teken van Inlichtingendiensten, Spionage en Privacy De vorige keer hebben wij de datum genoemd waarop de volgende Black Hat Sessions plaats zal vinden. Vergeten of nog niet genoteerd? Wij helpen u graag herinneren: 17 juni De Black Hat Sessions 2014 zal in het thema staan van Inlichtingendiensten, Spionage en Privacy. Dat het wederom een inspirerende dag zal worden met gerenommeerde sprekers uit het vakgebied is één ding dat zeker is. In de volgende Update zullen wij het sprekersprogramma uit de doeken doen. Wilt u zich graag presenteren tijdens dit event? Wij bieden verschillende mogelijkheden om uw naam te verbinden aan dit unieke evenement. Neem gerust contact met ons op voor aanvullende informatie. Ethical Hackers gezocht Het kan u bijna niet meer ontgaan! Madison Gurkha groeit gestaag door en dat betekent ruimte voor nieuwe gedreven, enthousiaste ethical hackers die willen werken aan uitdagende projecten binnen één van de meest toonaangevende ITbeveiligingsbedrijven van Nederland. Inmiddels is ons team met drie consultants versterkt. Wie volgt? Wij zijn nog opzoek naar: Security consultants Senior Security Consultants (SSC) Junior Security Consultants (JSC) Kijk voor meer informatie over de verschillende vacatures op onze website. Kandidaten met aantoonbare beveiligingskennis van Microsoft-producten en technologieën en zij die source code reviews uit kunnen voeren hebben op dit moment onze voorkeur. Madison Gurkha januari

4 HET INTERVIEW Winn Schwartau is een invloedrijke Amerikaanse expert op het gebied van beveiliging, privacy en informatieoorlog, en de man achter de InfowarCon-conferenties. Hans Van de Looy interviewde hem voor deze Update. Things are only going to get worse First of all, can you give a short introduction of yourself? I grew up in an engineering family. My father worked on oscilloscopes: he was an engineer in the Navy. My mother also was an engineer, so (analog) engineering was natural to me. I seemed to have a natural ability to understand systems. My first career was as an engineer/producer in rock & roll, working on many live events, and that taught me a huge amount of what we were going to be dealing with here in this magnificent cyber world, where things can go very wrong. When I first came in contact with you (well over two decades ago) you were already heavily involved in cyberwarfare; way ahead of everyone else. When did you start thinking about this; what started your quest? The concept of being way ahead of everybody else is very, very overrated. The, or my, concept of cyberwar really came about from a single event back in the late 80 s, the early computer virus days. I have odd places where I do a lot of my thinking, this one was in a shower. I was thinking about viruses and then thinking, for unknown reasons, about hostility and malicious use of viruses at an accelerated level, higher purposes, use by governments or seriously bad guys. And then I entered in what if we added this, what if we added this and what if we added a bit of this kind hostility and I m sort of gluing together the various different attack vectors such as they were back in those days and then added some engineering speculation, some information I had from the Feds and glued it together into a paper and that s what became the genesis of my work with information warfare. It was no military experience, no real warfare experience, it was simply understanding technology and putting it into a different framework and viewing it from a different perspective. Information warfare also sounds like something military. Is it military or does it stretch beyond that field? I use the term information warfare very early because I viewed it, and I still do, as a method of conflict. Not in the strictly military or political meaning of the word war but it was meant for conflict and how far it can escalate. That s why I broke the classes of information warfare into personal, corporate and then nation, state and terrorist NGOgroups. It does sound militaristic and a lot of people inside the Pentagon, way back when, said no, that s too warfare. We need to make it information operations. So there was a lot of semantics being played. At the same time, some people said Oh no, it s not information warfare, it s cyber. Well, in my mind information warfare combines a lot more domains. It means the cyber component, it means the human component, it means psychological operations, it means influence over populations or over your own groups and constituencies. So I m gonna stick to the term information warfare, the legal construct of war notwithstanding that can be left and relegated to additional conversations, but I think technically it is still the most accurate. What are your thoughts about mister Snowden and his actions? Was his disclosure harmful or a blessing in the sense that it raised awareness? When Mr. Snowden comes up, a lot of opinions go flying very very heated and in many directions. My gut reaction when Snowden came out was How did this new, non-college graduate guy get so accelerated through Booz Allen and the NSA in order to have access to all of these incredible things? It did not make sense to me. And some of the revelations coming out since have been social engineering. I think one way or another that the internal security operations, security awareness, security practices within this particular government agency and contracting group something went very, very, very wrong in the process. I can not pretend to understand how wrong or where it went wrong but certainly it did. From a political standpoint, there is a great cry for greater openness and transparency and then the argument always goes; Well today s government may be good, what about tomorrows government when they have the same tools? Do we want to give them the cyber death star or not? And that is the debate and I stay out of all politics. When you hear some Dutch politicians speak about cyberwarfare and intelligence, they seem a bit naive. How is that in the US? Oh Hans, you are just picking on the Dutch. When you look at politicians and getting them to understand the intricacies of this field, even when we don t understand them all, that is expecting a lot from an elected official. It is true everywhere, people think cyber warfare and what is going to come into their mind, what images are going to come about, it s going to be something from Die Hard or Independence Day or maybe in some of my books, but it is not just the Dutch, it s everywhere. It is so incredibly complex and I think that everybody needs to realise that the foundation of the global economy, the basis the way civilization runs today is founded upon a fundamentally flawed experiment conducted in the late 1960 s that slipped and slid into the fundamental underlying architecture. So ignorance yes, it abounds in all levels and at the political level more than any other. Can you give us a glimpse of the future of info war/intelligence? Well the future of intelligence More of the same would be what I expect. I remember the comment You have lost your privacy, get over it or You have no privacy, get over it is not going to ring well globally. But when you have, whether it is the NSA or 4 Madison Gurkha januari 2014

5 HET INTERVIEW some other very very large, well-funded and articulated organisation globally conducting similar activities, intelligence is only going to get more so. When we look at future technologies and we look at miniature drones, bumble bots, the ability to infect machines with Stuxnet-level quality code, developed by nation-states that can be put into both mobile and fixed environments. When you look at the scale of the capabilities, again it goes back to a flawed fundamental infrastructure, not caring about security for the last thirty years much at all, and if I were running the intelligence community I would certainly take advantage of it all. It is in their best interest and hell, it is their job to spy! So I guess I am not all that surprised. The future of info war... look at new technologies, look at the convergence of software and hardware systems, whether it s bionics, bio-engineering, robotics, exoskeletons, all of them convergences of these technologies. Are you going to see an influence in information warfare and cyber conflict not just from the kinetic standpoint of seeing somebody s octopeds perhaps running across battlefields as much as the lack of real security planning and testing in hostile environments with this technology. And I worry about it less than the battlefield (because they will take care of it sooner or later) but when it gets deployed to the private sector we just willy nilly put it out there. Unfortunately we had to cancel the original InfoWarCon and we are going to have instead a very small, invite only closed meeting with some military groups around the world. The reason for the cancellation was US government sequestration and budget problems. So we have restructured to meet the needs of serious infowarriors. If anyone is interested, let us know, but it is not going to be major conference as we had in the past. What other projects are you working on? Gotta love you Hans ;-). What other projects am I working on? My god. The Cyber Ethics and Safety for Kids and Parents is still a project that we have been looking for some great corporate sponsorships on for the last 24 months. Everybody talks a good game and then nothing happens. That can get into a capitalistic versus socialistic discussion but finding the corporations and/or government entities that are willing to sponsor those kinds of efforts are far and few between. The redesigned InfoWarCon is taking an entirely new twist, something that I had not expected. Other projects I am trying to deprojectise myself but that fails miserably on a regular basis. I have got two other books that I am working on: Advanced Time-based Security and Beyond Information Warfare. I still haven t decided whether I am going to glue them to one volume, make it two separate volumes. So those projects are going on plus endless speaking, hither and yon and the travel which brings up Europe. When will I be in Europe? It looks like some time in April or May for a quick visit, then back in the June, early July time frame for another one. Oh I have got March up in Norway, there is a large security hacker conference there in the beginning of March. Then back to Iceland at some time, maybe for another snowfall up there So yes. Back and forth and I try to make sure that my page is updated appropriately. What questions haven t we asked that we should have? Well Hans, you have made that what questions haven t you asked very open ended and I am kind of going to throw out a couple of thoughts, not the questions that you didn t get but thoughts that are really preoccupying my mind. Nr. 1 Things are only going to get worse. I do not see a great deal of hope right now. What I want to see and I know Bill Cheswick and I were talking about this a few months ago, and RSA actually turned the paper down, was how do we reconstruct and build a fundamentally new infrastructure backbone that offers lot of the convenience that we have today but with security build into it. We have 2013: World- Cyber-War I has begun. Damn. I wish I had been wrong 50 years of experience in what not to do, what doesn t work, we have seen it. What could we build now using the resources and I mean mental resources of the community, not even vendors, just the community at large, what could be designed? I really think about that. Another thing I think about a great deal is in a physical world we are allowed to defend ourselves, I am allowed to remove your weapons. If you come attack me with a knife or a gun I can remove it and if you are in the Unites States certainly I can shoot you. If you re in a stand your ground law state in the United States I can shoot you for really stupid reasons. But in cyberspace out here we are not allowed to remove our adversaries weapons. I ve had a lot of conversations, especially with the hope that InfoWarCon was going to take place, with various groups and posed the question. I said if the lawyers can figure out a way to say no to absolutely everything yet in the physical space they can figure out how to have to stand your ground law, seems to me that we should be able to figure out a way to allow cyber entities to be able to defend themselves in a proportionate method that allows us to somehow remove the offensive capabilities of the bad guys who are attacking us with something other than just merely disconnecting. Another thought that I have been having is solving Denial of Service is actually fundamentally trivial and I am really surprised that even some of the work, I published a paper 19 years ago step by step, here is how to solve the denial of service across the internet, was never really picked up on more. Everybody that read it said Yeah right on, right on, well it sounds perfect but it requires some global cooperation and maybe with some of the reinvigorated or some of the private discussions that we are going to have with some of the global entities, that may change. So all questions are great, they pop up all the time and they are all interrelated, so Hans, no you didn t not ask the right questions. It is about creating environments were the right questions can be asked and even if they are unpopular, provide unpopular answers cause this popularity contest of politics, catering to every single entity on the internet equally, those are recipes for failure and we really need to rethink things very, very fundamentally if we have any hope to get out of this quagmire we are in. Madison Gurkha januari

6 HET INZICHT In de rubriek Het Inzicht stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Deze keer geeft Jan Hendrikx meer inzicht in netwerkimplementatie en wat daarbij mis kan gaan. In het inzicht van deze maand nu eens geen spectaculaire hack die aanvallers toegang verschaft tot al uw vertrouwelijke bestanden. Nee, veel subtieler en saaier. Het gaat om een stukje netwerkimplementatie dat we regelmatig bij klanten tegenkomen waarbij men zelf, weliswaar onbedoeld, medewerkers toegang verschaft tot vertrouwelijke informatie. Traditionele werkplek Madison Gurkha wordt regelmatig gevraagd om de beveiliging van kantoorwerkplekken te onderzoeken op mogelijke kwetsbaarheden. Hierbij bekijken we de computer op de vaste werkplek van de werknemer. Naast de inrichting van de standaard werkplekcomputer zelf, kijken we wanneer de klant hier om vraagt ook naar de mogelijkheden om met onze eigen laptops toegang te krijgen tot andere informatiebronnen en systemen op het netwerk. Dat dit soort onderzoek nuttig is mag duidelijk zijn, maar in het geval dat uw organisatie gebruik maakt van virtuele werkplekken zoals thin clients of thuiswerkplekken is een dergelijk onderzoek mogelijk niet voldoende om alle risico s in kaart te brengen. Wolf Virtuele werkplek Steeds vaker zien we bij organisaties flexibele werkplekken en thuiswerkoplossingen waarbij gebruikers vanaf een thin client, een laptop of een privé-computer met speciale software in kunnen loggen op een virtueel bureaublad. Een dergelijk bureaublad wordt vaak aangeboden via een centrale server of een groep servers. De virtuele werkplek is voorzien van alle benodigde bedrijfssoftware en geeft de gebruiker toegang tot zowel persoonlijke als gedeelde mappen en andere diensten op het interne netwerk van de organisatie. Daarnaast is het vaak mogelijk om lokale opslagmedia zoals USB-sticks en harde schijven te koppelen aan de virtuele werkplek om zo bestanden uit te wisselen. Aangezien het om een centrale oplossing gaat, is het beheer van zo n werkplek efficiënt. Immers updates en wijzigingen kunnen centraal worden doorgevoerd en bestanden van gebruikers gemakkelijk worden gebackupt. Tevens is de oplossing schaalbaar waardoor er gemakkelijk extra werkplekken kunnen worden toegevoegd. Netwerkfiltering Ook zien we bij klanten vaak dat het computernetwerk is opgedeeld in verschillende zones. Hierbij is iedere zone afgeschermd door middel van een firewall die het netwerkverkeer tussen de zones filtert. Zo is er dan bijvoorbeeld een kantoornetwerk voor alle computers van de medewerkers en een productienetwerk voor de bedrijfskritische servers met vertrouwelijke gegevens waar alleen bepaalde afdelingen en beheerders toegang toe hebben. Hierbij beschouwt men het kantoornetwerk als de onvertrouwde zone en het productienetwerk als vertrouwde zone. Omdat veel organisaties erop vertrouwen dat de firewall tussen de verschillende zones voldoende bescherming biedt tegen ongewenste netwerkverbindingen tussen de verschillende zones, worden er hierbinnen zelf geen aanvullende maatregelen genomen. Het idee erachter is dat systemen binnen iedere zone een zelfde mate van vertrouwelijkheid kennen. Vaak 6 Madison Gurkha januari 2014

7 HET INZICHT in schaapskleren zien we dan ook dat binnen een productienetwerk zaken als gedeelde mappen, FTP-servers, databases, beheerinterfaces van netwerkapparatuur en beheerpagina s van bedrijfskritische applicaties niet verder worden afgeschermd. Plaatsing De servers die gebruikt worden voor het aanbieden van de virtuele werkplek bevinden zich meestal in een serverruimte, al dan niet beheerd door eigen beheerders of een externe beheerpartij. Bij het implementeren van virtuele werkplekken worden de fysieke servers die de werkplek aanbieden in een serverruimte geplaatst aangezien deze ruimte voorzien is van alle noodzakelijke voorzieningen zoals netwerktoegang, centrale opslag, (nood) stroom en koeling. In deze serverruimte staan vaak ook andere serversystemen van een organisatie. Dit laatste hoeft geen probleem te zijn mits de virtuele werkplekservers zich maar niet in het productienetwerk bevinden. En juist hier gaat het vaak mis. In de praktijk zien we namelijk regelmatig dat deze servers direct verbonden zijn met het productienetwerk, waardoor het virtuele bureaublad feitelijk fungeert als een stepping stone naar het productielandschap. Dit kan betekenen dat gebruikers die vanuit huis, remote via hun corporate laptop of met een thin client vanaf het kantoornetwerk zijn aangemeld op hun virtuele bureaublad directe toegang hebben tot beheerservices in het productienetwerk. Zo n virtuele werkplek aangeboden vanuit het productienetwerk is dan als het ware een wolf in schaapskleren. Het laat medewerkers op afstand binnen het productienetwerk werken in plaats vanaf het kantoornetwerk waardoor de aangebrachte netwerkfiltering tussen het kantoor- en het productienetwerk wordt omzeild. Onderzoek kantoornetwerk Bij een beveiligingsonderzoek waarbij alleen gekeken wordt welke services er vanaf het kantoornetwerk benaderbaar zijn in het productienetwerk, zien we in dit geval alleen dat de tussenliggende firewall open staat richting het systeem in het productienetwerk dat de virtuele werkplek aanbiedt. Omdat dit type netwerkverkeer noodzakelijk is voor onder andere thin clients, het om slechts een enkele netwerkpoort en om legitiem netwerkverkeer gaat, valt dit vaak niet direct op. Of het productienetwerk goed is afgeschermd voor netwerkverkeer afkomstig van de virtuele werkplekserver, wordt op die manier niet onderzocht. Met andere woorden, door alleen een onderzoek vanaf het kantoornetwerk uit te voeren, wordt niet zichtbaar of gebruikers via hun thin client bij services kunnen komen die men normaal afgeschermd zou willen hebben. Gevolgen Wanneer zo n virtuele werkplekserver zich binnen een vertrouwde zone bevindt, kan dit ernstige gevolgen hebben. Ondanks dat een virtueel bureaublad vaak op meerdere manieren is afgeschermd, is het in de praktijk toch vaak mogelijk toegang te krijgen tot andere serversystemen binnen het productienetwerk. Ook zien we vaak dat er geen netwerkfiltering plaatsvindt voor netwerkverkeer afkomstig vanuit het productienetwerk richting de andere netwerkzones binnen de organisatie en zelfs richting netwerken van klanten en leveranciers. Verder kunnen servers binnen het productienetwerk op deze manier blootgesteld worden aan virussen en andere bedreigingen door kwaadaardige bestanden die door medewerkers per ongeluk op de virtuele werkplek worden geplaatst. Hoe zit het bij u? Nu denkt u waarschijnlijk: Tja, da s ook niet slim om het zo in te richten. De reden dat we dit artikel publiceren, is dat we regelmatig zien dat klanten hun virtuele werkplekoplossing toch op deze onveilige manier hebben ingericht. Het gaat daarbij helaas niet alleen om kleine organisaties, ook bij grote organisaties komen we dit probleem regelmatig tegen. Misschien is het daarom verstandig om eens na te gaan hoe uw virtuele werkplekoplossing is ingericht. Ga eens praten met uw beheerders om er zeker van te zijn dat uw organisatie het wel goed voor elkaar heeft. Of, nog beter, laat de inrichting van uw virtuele werkplekoplossing eens grondig onderzoeken door onze mensen. Madison Gurkha januari

8 DE HACK Dit keer in de rubriek De Hack vertellen Ward Wouts en Stefan Castille, Senior Security Consultants bij Madison Gurkha, over Preboot execution Environment (PXE) netbooting. Wat is PXE netbooting? PXE staat voor Preboot execution Environment. Samen met DHCP, dat IP-adressen aan nieuw opgestarte computers uitdeelt, en TFTP, een vereenvoudigde FTP-variant, maakt PXE het mogelijk om computers zonder voorgeïnstalleerd besturingssysteem over het netwerk op te starten. Dit wordt veel gebruikt voor thin-clients, die geen harde schijf hebben, en voor nieuw te installeren systemen en virtuele systemen. Voor beheerders is dit een fantastische stap voorwaarts. Ineens hoeft er niet meer gerommeld te worden met dvd s of cd-roms, er kunnen centraal images bijgehouden worden. Deze kunnen simpel naar de gebruikte systemen uitgerold worden en het herinstalleren van systemen kan in een vloek en een zucht gedaan worden. Geweldig. PXE netboot attacks Hoe werkt het? PXE is in feite een klein besturingssysteem in de firmware van de computer dat het mogelijk maakt om een groter besturingssysteem te downloaden. De flow is als volgt: 1. De computer start op; 2. PXE doet een DHCP-verzoek voor een IP-adres en informatie voor verdere opstartstappen; 3. PXE haalt via TFTP een eerste bootstrapimage op; 4. Het bootstrap-image kan een volledig OS ophalen en starten of het systeem installeren door bestanden op te halen en op de harde schijf weg te schrijven. Het bootstrap-image kan ook beslissen om verder te gaan met het OS op de lokale schijf. Om via PXE op te kunnen starten moet er aan enkele voorwaarden voldaan worden. Zo heeft de computer toegang nodig tot het netwerk, in ieder geval tot het systeem waar de verschillende images zijn opgeslagen. Bij (her)installatie zal de computer, indien het een Windows-systeem is, aangemeld moeten worden bij het domein. Wanneer deze acties geautomatiseerd uitgevoerd worden, is 8 Madison Gurkha januari 2014

9 DE HACK het nodig dat de vereiste credentials worden opgenomen in de images. Kwetsbaarheden? Aangezien dit stuk in onze Madison Gurkha Update staat voelt u hem al aankomen: ook wij vinden PXE-omgevingen geweldig, maar dan vanuit ons perspectief als penetratietesters. We zien in de praktijk twee verschillende aanvalsscenario s. Ten eerste kunnen we proberen de thin-client of het te installeren systeem zo ver te krijgen onze eigen programmatuur uit te voeren. Ten tweede kunnen we kijken of we voldoende informatie kunnen achterhalen om het Windowsdomein aan te vallen. Het systeem aanvallen Waarom zou je überhaupt het PXE-client willen aanvallen? Een nieuw systeem of thinclient bevat geen vertrouwelijke gegevens. Dus wat kunnen we nu eigenlijk bereiken als we een eigen image op het systeem kunnen plaatsen? Een voor de hand liggend antwoord is: we kunnen een gebruikersnaam en wachtwoord achterhalen. We kunnen ook meeliften op de verbinding van de gebruiker en zo toegang krijgen tot vertrouwelijke data. Hierop zijn vele variaties te verzinnen. Een mogelijkheid is om als OS-image een virtual machine host besturingssysteem (bijvoorbeeld VMWare ESX) te starten en daarbinnen het normale besturingssysteem te laden. Wanneer we dit doen merkt een eindgebruiker niet dat we de client aanvallen, maar wij kunnen over het netwerk toegang tot het systeem krijgen alsof we er fysiek toegang toe hebben. We kunnen schijven toevoegen, netwerken benaderen en scherm, toetsenbord en muis gebruiken. Ook kunnen we het geheugen van virtuele machines uitlezen. Maar hoe krijgen we dit nu voor elkaar? Bij het opstarten worden er ten minste drie verschillende netwerkverbindingen gebruikt. Deze kunnen we alle drie afzonderlijk aanvallen, maar de meest eenvoudige manier is het aanvallen van de DHCP-verbinding. Bij DHCP vraagt het systeem aan het netwerk welk IP-adres het mag gebruiken. Alle systemen op het netwerk kunnen deze vraag zien. Het eerste antwoord dat binnenkomt is bepalend (een zogenaamde race-condition ). Naast het IP-adres kan er ook een lijst van DNS-systemen, de gateway en een locatie voor opstartbestanden via DHCP verkondigd worden. Als wij als aanvaller sneller een antwoord geven dan de DHCP-server, kunnen we dus bepalen welke opstartbestanden gebruikt worden voor het starten van systeem en zo onze virtuele machine optuigen. Het domein aanvallen We zien dat in veel PXE-omgevingen de te installeren systemen tijdens het opstarten gebruik maken van domeincredentials. Enerzijds om installatiebestanden op te halen, anderzijds om zich te registreren in Active Directory. Als aanvaller kunnen we een clientsysteem nabootsen en de installatieprocedure doorlopen. Vervolgens kunnen we het geïnstalleerde systeem doorzoeken op credentials en andere interessante gegevens. Een eenvoudige manier om zo n systeem na te bootsen is door gebruik te maken van een eigen virtuele machine en deze via PXE te laten opstarten. Wanneer dit niet mogelijk is kunnen we proberen het netwerkverkeer af te luisteren en daar de credentials uit te halen. Onze ervaring is echter dat de methode met virtuele machines zo effectief is dat we het netwerkverkeer hiervoor nooit hoeven te onderscheppen en te analyseren. Een veel gemaakte fout is om de ingebakken domeincredentials te veel rechten te geven, bijvoorbeeld beheerrechten op het domein. Wanneer we dit aantreffen hebben we effectief beheerrechten op alle machines in het Een veel gemaakte fout is om de ingebakken domeincredentials te veel rechten te geven domein. Een andere veel gemaakte fout is het lokale beheeraccount niet wijzigen, zodat deze op alle geïnstalleerde systemen identiek is. In dit geval hebben we dus beheerrechten op alle via PXE geïnstalleerde systemen. Wat valt er tegen te doen? Het voorkomen van de race-condition in de DHCP is bij het gebruik van moderne switches vrij eenvoudig: configureer de switches om alleen DHCP-antwoorden van de eigen DHCP-server door te laten. Dit is sowieso een goed idee, ook als er geen gebruik gemaakt wordt van PXE. Naast beveiligingsproblemen wanneer iemand expres een DHCPserver aan het netwerk toevoegt, kunnen er ook functionele problemen ontstaan wanneer iemand dat per ongeluk doet. Voor het voorkomen van de aanvallen tegen het domein moet iets meer werk verzet worden. Ten eerste moet er voor gezorgd worden dat er gebruik gemaakt wordt van de minimale set privileges om het systeem aan het domein toe te voegen. Hiervoor is het goed om een apart account aan te maken dat alleen voor deze specifieke functies rechten heeft. Daarnaast kan er bij het installeren van systemen voor gezorgd worden dat er in het bootstrap-image gecontroleerd wordt of het systeem überhaupt wel geïnstalleerd moet worden. In veruit de meeste gevallen weet een beheerder of helpdeskmedewerker dit en kan het opsturen van het volledige OS voorkomen worden wanneer het systeem niet voor installatie gemarkeerd is. Geen nieuw OS betekent hier geen netwerkverkeer om af te luisteren en geen vers systeem (eventueel in een VM) om te onderzoeken. Madison Gurkha januari

S e v e n P h o t o s f o r O A S E. K r i j n d e K o n i n g

S e v e n P h o t o s f o r O A S E. K r i j n d e K o n i n g S e v e n P h o t o s f o r O A S E K r i j n d e K o n i n g Even with the most fundamental of truths, we can have big questions. And especially truths that at first sight are concrete, tangible and proven

Nadere informatie

Understanding and being understood begins with speaking Dutch

Understanding and being understood begins with speaking Dutch Understanding and being understood begins with speaking Dutch Begrijpen en begrepen worden begint met het spreken van de Nederlandse taal The Dutch language links us all Wat leest u in deze folder? 1.

Nadere informatie

Comics FILE 4 COMICS BK 2

Comics FILE 4 COMICS BK 2 Comics FILE 4 COMICS BK 2 The funny characters in comic books or animation films can put smiles on people s faces all over the world. Wouldn t it be great to create your own funny character that will give

Nadere informatie

Taco Schallenberg Acorel

Taco Schallenberg Acorel Taco Schallenberg Acorel Inhoudsopgave Introductie Kies een Platform Get to Know the Jargon Strategie Bedrijfsproces Concurrenten User Experience Marketing Over Acorel Introductie THE JARGON THE JARGON

Nadere informatie

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur Security Les 1 Leerling: Klas: Docent: Marno Brink 41B Meneer Vagevuur Voorwoord: In dit document gaan we beginnen met de eerste security les we moeten via http://www.politiebronnen.nl moeten we de IP

Nadere informatie

Firewall van de Speedtouch 789wl volledig uitschakelen?

Firewall van de Speedtouch 789wl volledig uitschakelen? Firewall van de Speedtouch 789wl volledig uitschakelen? De firewall van de Speedtouch 789 (wl) kan niet volledig uitgeschakeld worden via de Web interface: De firewall blijft namelijk op stateful staan

Nadere informatie

Ius Commune Training Programme 2015-2016 Amsterdam Masterclass 16 June 2016

Ius Commune Training Programme 2015-2016 Amsterdam Masterclass 16 June 2016 www.iuscommune.eu Dear Ius Commune PhD researchers, You are kindly invited to attend the Ius Commune Amsterdam Masterclass for PhD researchers, which will take place on Thursday 16 June 2016. During this

Nadere informatie

Meet your mentor and coach

Meet your mentor and coach Young Professional Program The importance of having a mentor in business Meet your mentor and coach What do Larry Page, and Steve Jobs have in common? They ve all received guidance from mentors. Yes even

Nadere informatie

Grammatica uitleg voor de toets van Hoofdstuk 1

Grammatica uitleg voor de toets van Hoofdstuk 1 Grammatica uitleg voor de toets van Hoofdstuk 1 Vraagzinnen: Je kunt in het Engels vraagzinnen maken door vaak het werkwoord vooraan de zin te zetten. Bijv. She is nice. Bijv. I am late. Bijv. They are

Nadere informatie

Malala Ken je Malala? Wat weet je al van haar?

Malala Ken je Malala? Wat weet je al van haar? 1 Malala Ken je Malala? Wat weet je al van haar? About Malala Malala Yousafzai comes from Pakistan. She was born on the 12th of July in 1997. When she was 14 years old she started a blog on the Internet.

Nadere informatie

EU keurt nieuw Programma veiliger internet goed: 55 miljoen euro om het internet veiliger te maken voor kinderen

EU keurt nieuw Programma veiliger internet goed: 55 miljoen euro om het internet veiliger te maken voor kinderen IP/8/899 Brussel, 9 december 8 EU keurt nieuw Programma veiliger internet goed: miljoen euro om het internet veiliger te maken voor kinderen Vanaf januari 9 zal de EU een nieuw programma voor een veiliger

Nadere informatie

Fans talking about Martin

Fans talking about Martin Fans about Martin Wat vind jij van Martin Garrix? 1 read Fans talking about Martin Martin Garrix is a world famous DJ from Holland. Yesterday we interviewed two of Martin s fans. This is what they said.

Nadere informatie

Settings for the C100BRS4 MAC Address Spoofing with cable Internet.

Settings for the C100BRS4 MAC Address Spoofing with cable Internet. Settings for the C100BRS4 MAC Address Spoofing with cable Internet. General: Please use the latest firmware for the router. The firmware is available on http://www.conceptronic.net! Use Firmware version

Nadere informatie

Bijlage 2: Informatie met betrekking tot goede praktijkvoorbeelden in Londen, het Verenigd Koninkrijk en Queensland

Bijlage 2: Informatie met betrekking tot goede praktijkvoorbeelden in Londen, het Verenigd Koninkrijk en Queensland Bijlage 2: Informatie met betrekking tot goede praktijkvoorbeelden in Londen, het Verenigd Koninkrijk en Queensland 1. Londen In Londen kunnen gebruikers van een scootmobiel contact opnemen met een dienst

Nadere informatie

Main language Dit is de basiswoordenschat. Deze woorden moeten de leerlingen zowel passief als actief kennen.

Main language Dit is de basiswoordenschat. Deze woorden moeten de leerlingen zowel passief als actief kennen. Lesbrief Les 1.1: On my way Main language Dit is de basiswoordenschat. Deze woorden moeten de leerlingen zowel passief als actief kennen. Nouns: train, tram, bus, car, bike, plane, boat, underground, stop,

Nadere informatie

Next Generation Poultry Health Redt Innovatie de Vleeskuikenhouder?

Next Generation Poultry Health Redt Innovatie de Vleeskuikenhouder? Next Generation Poultry Health Redt Innovatie de Vleeskuikenhouder? Paul Louis Iske Professor Open Innovation & Business Venturing, Maastricht University De wereld wordt steeds complexer Dit vraagt om

Nadere informatie

Dutch survival kit. Vragen hoe het gaat en reactie Asking how it s going and reaction. Met elkaar kennismaken Getting to know each other

Dutch survival kit. Vragen hoe het gaat en reactie Asking how it s going and reaction. Met elkaar kennismaken Getting to know each other Dutch survival kit This Dutch survival kit contains phrases that can be helpful when living and working in the Netherlands. There is an overview of useful sentences and phrases in Dutch with an English

Nadere informatie

Things to do before you re 11 3/4

Things to do before you re 11 3/4 Counting Crows 1 Things to do before you re 11 3/4 Lees de tekst en beantwoord de vragen. - Maak deze zin af: De schrijver van de tekst vindt dat kinderen - Welke dingen heb jij wel eens gedaan? Kruis

Nadere informatie

Update Empowermentproject Awasi Kenia september 2013

Update Empowermentproject Awasi Kenia september 2013 Update Empowermentproject Kenia september 2013 Het Empowerment-project in Kenia van de Rotaryclub Rhenen-Veendaal begint aan de derde fase: een derde en laatste bezoek, met een Empowerment workshop voor

Nadere informatie

Appendix A: List of variables with corresponding questionnaire items (in English) used in chapter 2

Appendix A: List of variables with corresponding questionnaire items (in English) used in chapter 2 167 Appendix A: List of variables with corresponding questionnaire items (in English) used in chapter 2 Task clarity 1. I understand exactly what the task is 2. I understand exactly what is required of

Nadere informatie

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14 QUICK GUIDE C Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14 Version 0.9 (June 2014) Per May 2014 OB10 has changed its name to Tungsten Network

Nadere informatie

1. In welk deel van de wereld ligt Nederland? 2. Wat betekent Nederland?

1. In welk deel van de wereld ligt Nederland? 2. Wat betekent Nederland? First part of the Inburgering examination - the KNS-test Of course, the questions in this exam you will hear in Dutch and you have to answer in Dutch. Solutions and English version on last page 1. In welk

Nadere informatie

Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO

Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO Handleiding/Manual Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO Inhoudsopgave / Table of Contents 1 Verbinden met het gebruik van

Nadere informatie

Night news. Fact sheets. Worksheet

Night news. Fact sheets. Worksheet 1 Night news read Het liedje van Caro Emerald speelt zich s nachts af. Lees twee nieuwsberichten die met nacht te maken hebben. Nieuwsbericht 1 Nieuwsbericht 2 Clouds block view for meteor watchers Do

Nadere informatie

een kopie van je paspoort, een kopie van je diploma voortgezet onderwijs (hoogst genoten opleiding), twee pasfoto s, naam op de achterkant

een kopie van je paspoort, een kopie van je diploma voortgezet onderwijs (hoogst genoten opleiding), twee pasfoto s, naam op de achterkant Vragenlijst in te vullen en op te sturen voor de meeloopochtend, KABK afdeling fotografie Questionnaire to be filled in and send in before the introduction morning, KABK department of Photography Stuur

Nadere informatie

LCA, wat kan je er mee. Sustainability consultant gaasbeek@pre sustainability.com

LCA, wat kan je er mee. Sustainability consultant gaasbeek@pre sustainability.com LCA, wat kan je er mee Anne Gaasbeek Anne Gaasbeek Sustainability consultant gaasbeek@pre sustainability.com PRé Consultants PRé is pionier i van LCA sinds 1990; ontwikkelaar van Ecoindicator and ReCiPe

Nadere informatie

Synergia - Individueel rapport

Synergia - Individueel rapport DOELSTELLING : Ensuring sufficient funding for projects in cost-generating departments of 16.04.2014 16.04.2014 13:53 1. Inleiding Deze inleiding is vrij te bepalen bij de aanmaak van het rapport. 16.04.2014

Nadere informatie

- werkwoord + ed ( bij regelmatige werkwoorden ) - bij onregelmatige werkwoorden de 2 e rij ( deze moet je dus uit je hoofd leren )

- werkwoord + ed ( bij regelmatige werkwoorden ) - bij onregelmatige werkwoorden de 2 e rij ( deze moet je dus uit je hoofd leren ) PAST SIMPLE TENSE ( onvoltooid verleden tijd ) Hoe? vervoeging - werkwoord + ed ( bij regelmatige werkwoorden ) - bij onregelmatige werkwoorden de 2 e rij ( deze moet je dus uit je hoofd leren ) van bijv,

Nadere informatie

Media en creativiteit. Winter jaar vier Werkcollege 7

Media en creativiteit. Winter jaar vier Werkcollege 7 Media en creativiteit Winter jaar vier Werkcollege 7 Kwartaaloverzicht winter Les 1 Les 2 Les 3 Les 4 Les 5 Les 6 Les 7 Les 8 Opbouw scriptie Keuze onderwerp Onderzoeksvraag en deelvragen Bespreken onderzoeksvragen

Nadere informatie

De Technologische Cultuur van Geluidssystemen

De Technologische Cultuur van Geluidssystemen De Technologische Cultuur van Geluidssystemen De Technologische Cultuur van G eluidssystemen Cultuur ontwikkeling technologie Voorbeeld: luidsprekertechnologie & line arrays Technologie cultuur & gedrag

Nadere informatie

Iedereen gebruikt het..

Iedereen gebruikt het.. , wat is het, wat kun je er mee? Iedereen gebruikt het.. Presentatie JongMKB-KAN, 6-11-2012 Cor Nouws Nou&Off since 2004 leading OpenOffice / LibreOffice professional Nl earlier Microsoft Office sr. consultant

Nadere informatie

UNIT 2 Begeleiding. Coaching proces, Instrumenten and vaardigheden voor Coacing en mobiliteit for Coaching and Mobility

UNIT 2 Begeleiding. Coaching proces, Instrumenten and vaardigheden voor Coacing en mobiliteit for Coaching and Mobility UNIT 2 Begeleiding Coaching proces, Instrumenten and vaardigheden voor Coacing en mobiliteit for Coaching and Mobility 1 2 Wat is coaching? Coaching is een methode voor het ontwikkelen van potentieel

Nadere informatie

Afstudeerproduct Spelen in een band

Afstudeerproduct Spelen in een band Afstudeerproduct Spelenineenband PhilippeThijs DoMuIV 2009 2010 Inhoudsopgave Inleiding 3 Les1:Gewenning 6 Les2:Stopsencues 9 Les3:EenstapjeverderI 11 Les4:EenstapjeverderII 15 Les5:Uptempo 17 Les6:Fade

Nadere informatie

Profile visitors NRC Q

Profile visitors NRC Q NRC Media presents About NRC Q A unique concept Business news platform for ambitious people on the go Short, sharp articles with professional infographics Daily newsletter at 5.30am News updates via WhatsApp

Nadere informatie

Usage guidelines. About Google Book Search

Usage guidelines. About Google Book Search This is a digital copy of a book that was preserved for generations on library shelves before it was carefully scanned by Google as part of a project to make the world s books discoverable online. It has

Nadere informatie

Over dit boek. Richtlijnen voor gebruik

Over dit boek. Richtlijnen voor gebruik Over dit boek Dit is een digitale kopie van een boek dat al generaties lang op bibliotheekplanken heeft gestaan, maar nu zorgvuldig is gescand door Google. Dat doen we omdat we alle boeken ter wereld online

Nadere informatie

Buy Me! FILE 5 BUY ME KGT 2

Buy Me! FILE 5 BUY ME KGT 2 Buy Me! FILE 5 BUY ME KGT 2 Every day we see them during the commercial break: the best products in the world. Whether they are a pair of sneakers, new mascara or the latest smartphone, they all seem to

Nadere informatie

Mondeling tentamen Havo - ERK niveau B1 / B1 +

Mondeling tentamen Havo - ERK niveau B1 / B1 + Mondeling tentamen Havo - ERK niveau B / B + Het mondeling voor Engels Havo duurt 5 minuten en bestaat uit een gesprek met je docent waarin de volgende onderdelen aan de orde komen: *Je moet een stukje

Nadere informatie

Screen Design. Deliverable 3 - Visual Design. Pepijn Gieles 0877217 19-12-2014. Docent: Jasper Schelling

Screen Design. Deliverable 3 - Visual Design. Pepijn Gieles 0877217 19-12-2014. Docent: Jasper Schelling Screen Design Deliverable 3 - Visual Design Pepijn Gieles 0877217 19-12-2014 Docent: Jasper Schelling Hulp bij het inloggen Inloggen Particulier Personal Banking Private Banking Zakelijk Zoeken in Particulier

Nadere informatie

Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM

Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM 5 maart 2014 De Beukenhof Terweeweg 2-4 2341 CR Oegstgeest 071-517 31 88 Security Intelligence Bijeenkomst Corporate IAM On the Internet,

Nadere informatie

ICARUS Illumina E653BK on Windows 8 (upgraded) how to install USB drivers

ICARUS Illumina E653BK on Windows 8 (upgraded) how to install USB drivers ICARUS Illumina E653BK on Windows 8 (upgraded) how to install USB drivers English Instructions Windows 8 out-of-the-box supports the ICARUS Illumina (E653) e-reader. However, when users upgrade their Windows

Nadere informatie

Healthy people want everything, sick people want only one thing. would love to see a Hospital Teacher

Healthy people want everything, sick people want only one thing. would love to see a Hospital Teacher Healthy people want everything, sick people want only one thing. would love to see a Hospital Teacher Consultant Education Sick Pupils Educational Service Centre University Medical Centre The Netherlands

Nadere informatie

Workflow en screenshots Status4Sure

Workflow en screenshots Status4Sure Workflow en screenshots Status4Sure Inleiding Het Status4Sure systeem is een ICT oplossing waarmee de transportopdrachten papierloos door het gehele proces gaan. De status kan gevolgd worden door de logistieke

Nadere informatie

Identity & Access Management & Cloud Computing

Identity & Access Management & Cloud Computing Identity & Access Management & Cloud Computing Emanuël van der Hulst Edwin Sturrus KPMG IT Advisory 11 juni 2015 Cloud Architect Alliance Introductie Emanuël van der Hulst RE CRISC KPMG IT Advisory Information

Nadere informatie

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente? Enterprise Architectuur een duur begrip, maar wat kan het betekenen voor mijn gemeente? Wie zijn we? > Frederik Baert Director Professional Services ICT @frederikbaert feb@ferranti.be Werkt aan een Master

Nadere informatie

Interaction Design for the Semantic Web

Interaction Design for the Semantic Web Interaction Design for the Semantic Web Lynda Hardman http://www.cwi.nl/~lynda/courses/usi08/ CWI, Semantic Media Interfaces Presentation of Google results: text 2 1 Presentation of Google results: image

Nadere informatie

Rethinking leadership and middle management

Rethinking leadership and middle management Rethinking leadership and middle management 17 October 2013 Prof. dr. Jesse Segers The Future Leadership Initiative @Segersjesse challenging thoughts about leadership. Ego-dominant ( macht ) Rationeel

Nadere informatie

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision Werkplekvisie Hans van Zonneveld Senior Consultant Winvision De essentie De gebruiker centraal Verschillende doelgroepen Verschillende toepassingen Verschillende locaties Het beschikbaar

Nadere informatie

Deze tekst gaat over Engelse en Amerikaanse feesten. Ken je deze feesten?

Deze tekst gaat over Engelse en Amerikaanse feesten. Ken je deze feesten? 1 Let s celebrate! read Deze tekst gaat over Engelse en Amerikaanse feesten. Ken je deze feesten? Let s celebrate! Guy Fawkes Night People in Britain celebrate Guy Fawkes Night. It s on the 5th of November.

Nadere informatie

Pascale Peters (Radboud Universiteit) Laura den Dulk (Universiteit Utrecht) Judith de Ruijter (A&O Consult)

Pascale Peters (Radboud Universiteit) Laura den Dulk (Universiteit Utrecht) Judith de Ruijter (A&O Consult) Mag ik thuiswerken? Een onderzoek naar de attitudes van managers t.a.v. telewerkverzoeken Pascale Peters (Radboud Universiteit) Laura den Dulk (Universiteit Utrecht) Judith de Ruijter (A&O Consult) Nederland

Nadere informatie

Dohmen advocaten: designers en techneuten die advocaat geworden zijn

Dohmen advocaten: designers en techneuten die advocaat geworden zijn Dohmen advocaten: designers en techneuten die advocaat geworden zijn IE in de LED-wereld praktijkvoorbeelden, tips & trucs Hub Dohmen twitter: http://twitter.com/hdohmen LinkedIn: http://nl.linkedin.com/in/hubdohmen

Nadere informatie

9 daagse Mindful-leSs 3 stappen plan training

9 daagse Mindful-leSs 3 stappen plan training 9 daagse Mindful-leSs 3 stappen plan training In 9 dagen jezelf volledig op de kaart zetten Je energie aangevuld en in staat om die batterij op peil te houden. Aan het eind heb jij Een goed gevoel in je

Nadere informatie

DE VERLEDEN TOEKOMENDE TIJD

DE VERLEDEN TOEKOMENDE TIJD 1 Grammatica les 12 THE FUTURE PAST TENSE DE VERLEDEN TOEKOMENDE TIJD 12.1 FUTURE PAST Als je over het verleden praat, maar iets wilt vertellen over wat toen in de toekomst was, gebruik je ook de Future,

Nadere informatie

Free Electives (15 ects)

Free Electives (15 ects) Free Electives (15 ects) Information about the Master RE&H (and the free electives) can be found at the following page: http://www.bk.tudelft.nl/en/about-faculty/departments/real-estate-and-housing/education/masterreh/free-electives/

Nadere informatie

Innovatie. prof.dr.ir. Han Gerrits. Vrije Universiteit Amsterdam Innovation Factory INNOVATION FACTORY

Innovatie. prof.dr.ir. Han Gerrits. Vrije Universiteit Amsterdam Innovation Factory INNOVATION FACTORY Innovatie prof.dr.ir. Han Gerrits Vrije Universiteit Amsterdam Innovation Factory Inhoud Wat is innovatie? Waarom is innovatie zo moeilijk? Innovatie in Banking Hoe kan een organisatie innovatiever worden?

Nadere informatie

Empowerment project. Driejarig project van Rotaryclub Rhenen-Veenendaal

Empowerment project. Driejarig project van Rotaryclub Rhenen-Veenendaal Empowerment project Awasi Kenya Driejarig project van Rotaryclub Rhenen-Veenendaal Empowerment*van* kinderen*in*kenia De#afgelopen#drie#jaren# hebben#we#met#steun#van#de# Rotaryclub##Rhenen: Veenendaal#een#

Nadere informatie

Welkom in het nieuwe academische jaar! We hopen dat iedereen een goede zomerperiode heeft gehad.

Welkom in het nieuwe academische jaar! We hopen dat iedereen een goede zomerperiode heeft gehad. DATUM: 22-09-2009 (You will find the English version below) Beste allen, Welkom in het nieuwe academische jaar! We hopen dat iedereen een goede zomerperiode heeft gehad. NIEUWSBRIEF No. 1 Dit is de eerste

Nadere informatie

Virtual Enterprise Centralized Desktop

Virtual Enterprise Centralized Desktop Virtual Enterprise Centralized Desktop Het gebruik van virtuele desktops en de licensering daarvan Bastiaan de Wilde, Solution Specialist Microsoft Nederland Aanleiding Steeds meer gebruik van Virtuele

Nadere informatie

English is everywhere. hi morning mouse cool help desk hello computers mail school game. Lees de tekst. Omcirkel de Engelse woorden.

English is everywhere. hi morning mouse cool help desk hello computers mail school game. Lees de tekst. Omcirkel de Engelse woorden. one English is everywhere Test Luister naar wat Daniel vertelt. Welke Engelse woorden hoor je? Kruis ze aan. hi morning mouse cool help desk hello computers mail school game Lees de tekst. Omcirkel de

Nadere informatie

Maillijsten voor medewerkers van de Universiteit van Amsterdam

Maillijsten voor medewerkers van de Universiteit van Amsterdam See page 11 for Instruction in English Maillijsten voor medewerkers van de Universiteit van Amsterdam Iedereen met een UvAnetID kan maillijsten aanmaken bij list.uva.nl. Het gebruik van de lijsten van

Nadere informatie

Introduction to IBM Cognos Express = BA 4 ALL

Introduction to IBM Cognos Express = BA 4 ALL Introduction to IBM Cognos Express = BA 4 ALL Wilma Fokker, IBM account manager BA Ton Rijkers, Business Project Manager EMI Music IBM Cognos Express Think big. Smart small. Easy to install pre-configured

Nadere informatie

MobiDM App Handleiding voor Windows Mobile Standard en Pro

MobiDM App Handleiding voor Windows Mobile Standard en Pro MobiDM App Handleiding voor Windows Mobile Standard en Pro Deze handleiding beschrijft de installatie en gebruik van de MobiDM App voor Windows Mobile Version: x.x Pagina 1 Index 1. WELKOM IN MOBIDM...

Nadere informatie

Handleiding beheer lijst.hva.nl. See page 11 for Instruction in English

Handleiding beheer lijst.hva.nl. See page 11 for Instruction in English Handleiding beheer lijst.hva.nl See page 11 for Instruction in English Maillijsten voor medewerkers van de Hogeschool van Amsterdam Iedereen met een HvA-ID kan maillijsten aanmaken bij lijst.hva.nl. Het

Nadere informatie

o Theo Glaudemans Business Refresher theo.glaudemans@limebizz.nl o Rens Eijgermans Business Refresher rens.eijgermans@limebizz.nl

o Theo Glaudemans Business Refresher theo.glaudemans@limebizz.nl o Rens Eijgermans Business Refresher rens.eijgermans@limebizz.nl o Theo Glaudemans Business Refresher theo.glaudemans@limebizz.nl o Rens Eijgermans Business Refresher rens.eijgermans@limebizz.nl o Heb je vragen of geef je mening en reactie op deze presentatie via

Nadere informatie

Opgave 2 Geef een korte uitleg van elk van de volgende concepten: De Yield-to-Maturity of a coupon bond.

Opgave 2 Geef een korte uitleg van elk van de volgende concepten: De Yield-to-Maturity of a coupon bond. Opgaven in Nederlands. Alle opgaven hebben gelijk gewicht. Opgave 1 Gegeven is een kasstroom x = (x 0, x 1,, x n ). Veronderstel dat de contante waarde van deze kasstroom gegeven wordt door P. De bijbehorende

Nadere informatie

Het liedje van Jessie J gaat over wat je kunt kopen. Lees het informatiebord van het winkelcentrum. Hoe heet dit winkelcentrum?

Het liedje van Jessie J gaat over wat je kunt kopen. Lees het informatiebord van het winkelcentrum. Hoe heet dit winkelcentrum? 1 Shopping mall Het liedje van Jessie J gaat over wat je kunt kopen. Lees het informatiebord van het winkelcentrum. Hoe heet dit winkelcentrum? The Tower - Shopping mall 1 Bookshop Blackwell s Waterstones

Nadere informatie

Stonesvertalingen VMBO-TL klas 3. Chapter 1. Stone 1. Zo toon je interesse in iemand. Zo vertel je wat er aan de hand is. Zo leef je met iemand mee

Stonesvertalingen VMBO-TL klas 3. Chapter 1. Stone 1. Zo toon je interesse in iemand. Zo vertel je wat er aan de hand is. Zo leef je met iemand mee Stonesvertalingen VMBO-TL klas 3 Chapter 1 Stone 1 Zo toon je interesse in iemand How do you feel? How is life? What's wrong with you? What's bothering them? You look happy. You seem worried. Hoe voel

Nadere informatie

Shopping. Questions. Worksheet. 1 read Bekijk goed wat er te koop is in de webwinkel van Ed Sheeran. Wat zou jij wel willen hebben?

Shopping. Questions. Worksheet. 1 read Bekijk goed wat er te koop is in de webwinkel van Ed Sheeran. Wat zou jij wel willen hebben? Shopping 1 Bekijk goed wat er te koop is in de webwinkel van Ed Sheeran. Wat zou jij wel willen hebben? I would like to have Ed Sheeran webshop Lego House hoody Jacket Cap Necklace This grey men s hooded

Nadere informatie

Invloed van het aantal kinderen op de seksdrive en relatievoorkeur

Invloed van het aantal kinderen op de seksdrive en relatievoorkeur Invloed van het aantal kinderen op de seksdrive en relatievoorkeur M. Zander MSc. Eerste begeleider: Tweede begeleider: dr. W. Waterink drs. J. Eshuis Oktober 2014 Faculteit Psychologie en Onderwijswetenschappen

Nadere informatie

Wat heeft een tester aan ASL en BiSL?

Wat heeft een tester aan ASL en BiSL? TestNet Noord, Heerenveen, 20 november 2012 Wat heeft een tester aan ASL en BiSL? Eibert Dijkgraaf Intro Wie zit er in een typische beheer omgeving? Wat is kenmerkend voor testen : IN BEHEER? IN ONDERHOUD?

Nadere informatie

Mobile Devices, Applications and Data

Mobile Devices, Applications and Data Mobile Devices, Applications and Data 1 Jits Langedijk Senior Consultant Jits.langedijk@pqr.nl Peter Sterk Solution Architect peter.sterk@pqr.nl Onderwerpen - Rol van Mobile IT in Tomorrow s Workspace

Nadere informatie

Interactive Grammar leert de belangrijkste regels van de Engelste spelling en grammatica aan.

Interactive Grammar leert de belangrijkste regels van de Engelste spelling en grammatica aan. Interactive Grammar Interactive Grammar leert de belangrijkste regels van de Engelste spelling en grammatica aan. Doelgroep Interactive Grammar Het programma is bedoeld voor leerlingen in de brugklas van

Nadere informatie

Business Architectuur vanuit de Business

Business Architectuur vanuit de Business Business Architectuur vanuit de Business CGI GROUP INC. All rights reserved Jaap Schekkerman _experience the commitment TM Organization Facilities Processes Business & Informatie Architectuur, kun je vanuit

Nadere informatie

IT Security in examineren

IT Security in examineren IT Security in examineren Hacken en fraude in de digitale toetsomgeving. Jochen den Ouden - 2015 - NVE - Stenden Hogeschool - Veteris IT Services Even voorstellen Jochen den Ouden Docent Informatica Ethical

Nadere informatie

Working with Authorities

Working with Authorities Working with Authorities Finding the balance in the force field of MUSTs, SHOULDs, CANs, SHOULD-NEVERs, CANNOTs Jacques Schuurman SURFnet-CERT Amsterdam, 24 February 2006 Hoogwaardig internet voor hoger

Nadere informatie

The Official Newsletter of Projects Abroad Bolivia

The Official Newsletter of Projects Abroad Bolivia The Official Newsletter of Projects Abroad Bolivia www.projects-abroad.net May 2013 1 Hi all, Carmen Herbas Country Director Welcome to the May edition of our Newsletter for Projects Abroad Bolivia. This

Nadere informatie

Leiderschapscompetenties. Wat maakt leiders tot leiders en niet tot volgers?

Leiderschapscompetenties. Wat maakt leiders tot leiders en niet tot volgers? Leiderschapscompetenties Wat maakt leiders tot leiders en niet tot volgers? Terug in tijd, een persoonlijke verhaal? Een verhaal over mij, nee Verhaal over mij publiek, over jullie over jou Initiative

Nadere informatie

GOOD TRAINING 2 juni 2016 Mireille Goos

GOOD TRAINING 2 juni 2016 Mireille Goos GOOD TRAINING 2 juni 2016 Mireille Goos GOOD TRAINING COALITIE GEMEENTE AMSTERDAM RANDSTAD GOOD HOTEL AMSTERDAM PREFERRED PARTNER PROGRAM Create Beauty, Do Good WHY Create Beauty, Do Good 2009 2012 2014

Nadere informatie

EFFECTIEVE SALES PROMOTIE MARKETINGCOMMUNICATIE HOORCOLLEGE 5 BLOK 4

EFFECTIEVE SALES PROMOTIE MARKETINGCOMMUNICATIE HOORCOLLEGE 5 BLOK 4 EFFECTIEVE SALES PROMOTIE MARKETINGCOMMUNICATIE HOORCOLLEGE 5 BLOK 4 AGENDA Leerdoelen Wat is sales promotie? Stappenplan voor het ontwikkelen van sales promoties Doelstelllingen van sales promotie Tools

Nadere informatie

Leeftijdcheck (NL) Age Check (EN)

Leeftijdcheck (NL) Age Check (EN) Leeftijdcheck (NL) Age Check (EN) [Type text] NL: Verkoopt u producten die niet aan jonge bezoekers verkocht mogen worden of heeft uw webwinkel andere (wettige) toelatingscriteria? De Webshophelpers.nl

Nadere informatie

! Onze pakketten zijn te klein!!! Amsterdam, 9 jan 2014.! Iljitsch van Beijnum

! Onze pakketten zijn te klein!!! Amsterdam, 9 jan 2014.! Iljitsch van Beijnum ! Onze pakketten zijn te klein!!! Amsterdam, 9 jan 2014! Iljitsch van Beijnum ! Onze pakketten zijn te klein!!! Amsterdam, 9 jan 2014! Iljitsch van Beijnum Our packets are too small! ! Onze pakketten zijn

Nadere informatie

Creating a marketplace where expertise is made available through videoconferencing. Roland Staring Community Support Manager roland.staring@surfnet.

Creating a marketplace where expertise is made available through videoconferencing. Roland Staring Community Support Manager roland.staring@surfnet. Expert at a distance Creating a marketplace where expertise is made available through videoconferencing Roland Staring Community Support Manager roland.staring@surfnet.nl Working together for education

Nadere informatie

Incidenten in de Cloud. De visie van een Cloud-Provider

Incidenten in de Cloud. De visie van een Cloud-Provider Incidenten in de Cloud De visie van een Cloud-Provider Overzicht Cloud Controls Controls in de praktijk Over CloudVPS Cloudhosting avant la lettre Continu in ontwikkeling CloudVPS en de Cloud Wat is Cloud?

Nadere informatie

Melding Loonbelasting en premies Aanmelding werkgever. Registration for loonbelasting en premies Registration as an employer

Melding Loonbelasting en premies Aanmelding werkgever. Registration for loonbelasting en premies Registration as an employer Melding Loonbelasting en premies Aanmelding werkgever Registration for loonbelasting en premies Registration as an employer Over dit formulier About this form Waarom dit formulier? Dit formulier is bestemd

Nadere informatie

k ga naar school go to school

k ga naar school go to school Nederlandstalig onderwijs k ga naar school go to school Nederlands English k ga naar school go to school Wat heb ik goed geslapen. Mama helpt me bij het wassen en aankleden. Ze vertelt me dat ik mijn knuffel

Nadere informatie

Cambridge International Examinations Cambridge International General Certificate of Secondary Education

Cambridge International Examinations Cambridge International General Certificate of Secondary Education Cambridge International Examinations Cambridge International General Certificate of Secondary Education DUTCH 0515/03 Paper 3 Speaking Role Play Card One For Examination from 2015 SPECIMEN ROLE PLAY Approx.

Nadere informatie

Next-Generation Youth Care If we knew what we are doing, we wouldn t call it innovation!

Next-Generation Youth Care If we knew what we are doing, we wouldn t call it innovation! Next-Generation Youth Care If we knew what we are doing, we wouldn t call it innovation! Paul Louis Iske Professor Open Innovation & Business Venturing, Maastricht University Internationaal Instituut voor

Nadere informatie

Deny nothing. Doubt everything.

Deny nothing. Doubt everything. Deny nothing. Doubt everything. Hack to the Future Marinus Kuivenhoven Sr. Security Specialist Houten, 23 juni 2015 marinus.kuivenhoven@sogeti.com 2 Het valt op Wij leren niet van het verleden Zekerheid

Nadere informatie

World Class Aviation Academy

World Class Aviation Academy World Class Aviation Academy Opleidingen voor luchtvaarttechnici moeten voorop lopen Hoogwaardig vliegtuigonderhoud is een onmisbare randvoorwaarde voor het leveren van topprestaties van de luchtvaartsector.

Nadere informatie

UNIVERSITY OF CAMBRIDGE INTERNATIONAL EXAMINATIONS International General Certificate of Secondary Education

UNIVERSITY OF CAMBRIDGE INTERNATIONAL EXAMINATIONS International General Certificate of Secondary Education UNIVERSITY OF CAMBRIDGE INTERNATIONAL EXAMINATIONS International General Certificate of Secondary Education *0535502859* DUTCH 0515/03 Paper 3 Speaking Role Play Card One 1 March 30 April 2010 No Additional

Nadere informatie

Wat is Interaction Design?

Wat is Interaction Design? Wat is Interaction Design? Wat is interaction design? Designing interactive products to support the way people communicate and interact in their everyday and working lives. Preece, Sharp and Rogers (2015)

Nadere informatie

De Cambridge English presentatie voor de leerlingen. Jane West & Fokke de Jong (docenten Engels)

De Cambridge English presentatie voor de leerlingen. Jane West & Fokke de Jong (docenten Engels) De Cambridge English presentatie voor de leerlingen Jane West & Fokke de Jong (docenten Engels) CAMBRIDGE CERTIFICATE Da Vinci 2015-2016 WHO IS IT FOR? -- IT IS FOR YOU! - Do this programme if you are

Nadere informatie

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014 Process Mining and audit support within financial services KPMG IT Advisory 18 June 2014 Agenda INTRODUCTION APPROACH 3 CASE STUDIES LEASONS LEARNED 1 APPROACH Process Mining Approach Five step program

Nadere informatie

Cambridge International Examinations Cambridge International General Certificate of Secondary Education

Cambridge International Examinations Cambridge International General Certificate of Secondary Education *3745107457* Cambridge International Examinations Cambridge International General Certificate of Secondary Education DUTCH 0515/03 Paper 3 Speaking Role Play Card One 1 March 30 April 2015 Approx. 15 minutes

Nadere informatie

De Levende Gevel. Een richting voor innovatie en de ontwikkeling van de toekomst

De Levende Gevel. Een richting voor innovatie en de ontwikkeling van de toekomst De Levende Gevel Een richting voor innovatie en de ontwikkeling van de toekomst A letter from nature Dear., Our life knows no boundaries, we live together. You live in me and I live in you! I not only

Nadere informatie

Google AdSense Account Disabled

Google AdSense Account Disabled Gmail - Google AdSense Account Disabled 2/29/12 8:23 PM Google AdSense Account Disabled Google AdSense To: voelspriet@gmail.com Thu, Feb 16, 2012 at 3:01 AM This message

Nadere informatie

Ontpopping. ORGACOM Thuis in het Museum

Ontpopping. ORGACOM Thuis in het Museum Ontpopping Veel deelnemende bezoekers zijn dit jaar nog maar één keer in het Van Abbemuseum geweest. De vragenlijst van deze mensen hangt Orgacom in een honingraatpatroon. Bezoekers die vaker komen worden

Nadere informatie

Best Practice Seminar 14 NOVEMBER 2013

Best Practice Seminar 14 NOVEMBER 2013 Best Practice Seminar 14 NOVEMBER 2013 14.00: Welkom Best Practice Seminar 14.10: Centraal PMO als middelpunt van projecten en programma s Yvonne Veenma, Stedin 14.50: Pauze 15.30: Governance in een Enterprise

Nadere informatie

Duurzaam leiderschap Over de wereld, de mens en onderwijs

Duurzaam leiderschap Over de wereld, de mens en onderwijs Duurzaam leiderschap Over de wereld, de mens en onderwijs Elena Cavagnaro, lector in service studies MLI & SEN 2013 09 06 1 9/6/2013 Agenda Even voorstellen Wereldbeelden Welk beeld hebben we van de wereld

Nadere informatie

Hoe fysiek is informatiebeveiliging?

Hoe fysiek is informatiebeveiliging? Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties

Nadere informatie