UPDATE JANUARI Wij wensen u een Succesvol en Veilig 2014! I T S X. DE COLUMN 2 Hans Van de Looy

Transcriptie

1 Your Security is Our Business 20 JANUARI 2014 UPDATE DE COLUMN 2 Hans Van de Looy HET NIEUWS 3 Succesvolle beursdagen Black Hat Sessions 2014 Ethical Hackers gezocht HET INTERVIEW 4 Engelstalig interview met Cyber Security Expert Winn Schwartau HET INZICHT 6 Wolf in schaapskleren door Jan Hendrikx DE HACK 8 Ward Wouts en Stefan Castille over PXE netbooting DE KLANT 10 7 vragen aan Evert-Jan van den Dungen, Waterschap De Dommel ITSX (NIEUW) 12 Arthur Donkers, directeur ITSX, over de cursus M_o_R Twee nieuwe medewerkers stellen zich voor HET VERSLAG 14 Hack.lu 2013 door Daniël Dragi čević Wij wensen u een Succesvol en Veilig 2014! AGENDA 15 HET COLOFON 15 I T S X

2 DE COLUMN In iedere Madison Gurkha Update vindt u een leuke en informatieve column over uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer laten we Hans Van de Looy aan het woord. Spionage; De op één na oudste bezigheid ter wereld? Remember, remember! The fifth of November, The Gunpowder treason and plot; I know of no reason Why the Gunpowder treason Should ever be forgot! English Folk Verse (c.1870) 1 Toen me gevraagd werd de column te schrijven voor deze Update stond de jaarlijkse hernieuwde kennismaking met de film V for Vendetta 2 bij mij weer in de agenda. Een film die, sinds dat deze in 2005 is uitgebracht, eigenlijk alleen maar in relevantie is toegenomen. Het verhaal neemt ons mee in de voorbereidingen om een totalitair en fascistisch regime in de UK om te werpen en is daardoor qua de sfeer vergelijkbaar met een andere bestseller, Beide verhalen zouden met enige regelmaat weer opnieuw beleefd moeten worden om mensen een idee te laten krijgen van wat er mis kan gaan als we niet continu opletten over de hoeveelheid macht die we toestaan en het onttrekken van het recht op privacy. Daar zijn we ons, nu meer dan ooit, hopelijk van bewust geworden sinds dat Snowden ons wekelijks stukjes informatie voert over de mogelijkheden die spionagediensten zoals onder andere de NSA en GCHQ (kent u ECHELON nog?) tegenwoordig blijken te hebben om allerlei (informatie over) communicatie te onderscheppen. Let op! Niet het feit dat overheden (en bedrijven) spioneren heeft mij verbaasd. Spionage is van alle tijden en zal altijd een van de manieren blijven om een voorsprong te krijgen of houden op anderen. En ook de enorme hoeveelheid gegevens die verzameld wordt, verbaasde mij in eerste instantie niet. We hebben tegenwoordig de technologische middelen en waarom zouden we die dan niet gebruiken als we het benodigde budget krijgen toegewezen? Wat me wel intrigeert is de enorme hoeveelheid data die verzameld wordt over willekeurige personen, en het feit dat dit in veel gevallen gebeurt zonder dat de toezichthouders daarvan vooraf op de hoogte zijn gesteld. Daaruit blijken twee zaken: Macht corrumpeert en als we niet voldoende opletten dan ligt een volgende stap om die macht te misbruiken zeker op de loer. Vandaar dat ik me bij deze volledig wil aansluiten bij de woorden van Eurocommissaris mevrouw Neelie Kroes die in een recente presentatie heeft aangegeven dat burgers, instellingen, bedrijven en overheden niet naïef moeten zijn om te denken dat wetgeving spionage en mogelijke inbreuk op privacy zal stoppen, maar dat ze zich bewust moeten zijn van de technologische mogelijkheden en zichzelf zo goed mogelijk hiertegen dienen te beschermen 4. Madison Gurkha voelt deze maatschappelijke verantwoording al sinds de oprichting in Vanuit onze technologische kennis en kunde proberen we het niveau van ICT-beveiliging binnen Nederland, maar ook internationaal, telkens een stukje te verbeteren. Wij merken dat informatiebeveiliging van het stokpaardje van een gedreven IT-manager die de gegevens van het bedrijf of instelling wil beschermen, nu langzaam de aandacht aan het krijgen is die het verdient op C-level en uiteindelijk deel begint uit te maken van beslissingen die in de board-room genomen worden. De volgende stap is dat wij (burgers, instellingen, bedrijven en overheden) gegevensbeveiliging niet meer zien als iets dat we net voordat het systeem in productie gaat nog even laten controleren, maar dat we het integraal opnemen in de bouw van het volledige systeem; dus vanaf de basis. Ik hoop van harte dat we die stap in minder dan dertien jaar kunnen zetten. Hans Van de Looy. Partner / Principal Security Consultant Madison Gurkha januari 2014

3 In Het Nieuws belichten we nieuwe ontwikkelingen in de IT-beveiligingswereld en rondom Madison Gurkha. Succesvolle beursdagen HET NIEUWS Madison Gurkha, ITSX en Digital Investigation stonden dit jaar met een gezamenlijke stand op de Infosecurity vakbeurs. Wij hebben dit keer groots uitgepakt met een ruime eilandstand vlakbij de ingang. Dat we bijna niet te missen waren, hebben we gemerkt. Wij kijken terug op twee drukke, succesvolle beursdagen met veel nieuwe en bestaande contacten, inspirerende gesprekken en veel interesse voor de Live Demo. Hierin lieten we aan het publiek zien hoe gemakkelijk het is om een netwerk met APT s (Advanced Persistent Threats) te besmetten. Bedankt voor uw bezoek en graag tot volgend jaar! Gastexpert in de Madison Gurkha Update? In de vorige Update heeft u het artikel kunnen lezen van gastexpert Tom de Wit van Louwers IP Technology Advocaten over de Richtsnoeren beveiliging van persoonsgegevens. Heeft u ook een interessant onderwerp, een stelling, belangrijke facts o.i.d. op het gebied van ITbeveiliging die u graag met onze lezers wilt delen, stuur uw artikel(max 1000 woorden) naar redactie@madison-gurkha.com en wie weet bent u onze volgende gastexpert in de Madison Gurkha Update. BHS 2014 in het teken van Inlichtingendiensten, Spionage en Privacy De vorige keer hebben wij de datum genoemd waarop de volgende Black Hat Sessions plaats zal vinden. Vergeten of nog niet genoteerd? Wij helpen u graag herinneren: 17 juni De Black Hat Sessions 2014 zal in het thema staan van Inlichtingendiensten, Spionage en Privacy. Dat het wederom een inspirerende dag zal worden met gerenommeerde sprekers uit het vakgebied is één ding dat zeker is. In de volgende Update zullen wij het sprekersprogramma uit de doeken doen. Wilt u zich graag presenteren tijdens dit event? Wij bieden verschillende mogelijkheden om uw naam te verbinden aan dit unieke evenement. Neem gerust contact met ons op voor aanvullende informatie. Ethical Hackers gezocht Het kan u bijna niet meer ontgaan! Madison Gurkha groeit gestaag door en dat betekent ruimte voor nieuwe gedreven, enthousiaste ethical hackers die willen werken aan uitdagende projecten binnen één van de meest toonaangevende ITbeveiligingsbedrijven van Nederland. Inmiddels is ons team met drie consultants versterkt. Wie volgt? Wij zijn nog opzoek naar: Security consultants Senior Security Consultants (SSC) Junior Security Consultants (JSC) Kijk voor meer informatie over de verschillende vacatures op onze website. Kandidaten met aantoonbare beveiligingskennis van Microsoft-producten en technologieën en zij die source code reviews uit kunnen voeren hebben op dit moment onze voorkeur. Madison Gurkha januari

4 HET INTERVIEW Winn Schwartau is een invloedrijke Amerikaanse expert op het gebied van beveiliging, privacy en informatieoorlog, en de man achter de InfowarCon-conferenties. Hans Van de Looy interviewde hem voor deze Update. Things are only going to get worse First of all, can you give a short introduction of yourself? I grew up in an engineering family. My father worked on oscilloscopes: he was an engineer in the Navy. My mother also was an engineer, so (analog) engineering was natural to me. I seemed to have a natural ability to understand systems. My first career was as an engineer/producer in rock & roll, working on many live events, and that taught me a huge amount of what we were going to be dealing with here in this magnificent cyber world, where things can go very wrong. When I first came in contact with you (well over two decades ago) you were already heavily involved in cyberwarfare; way ahead of everyone else. When did you start thinking about this; what started your quest? The concept of being way ahead of everybody else is very, very overrated. The, or my, concept of cyberwar really came about from a single event back in the late 80 s, the early computer virus days. I have odd places where I do a lot of my thinking, this one was in a shower. I was thinking about viruses and then thinking, for unknown reasons, about hostility and malicious use of viruses at an accelerated level, higher purposes, use by governments or seriously bad guys. And then I entered in what if we added this, what if we added this and what if we added a bit of this kind hostility and I m sort of gluing together the various different attack vectors such as they were back in those days and then added some engineering speculation, some information I had from the Feds and glued it together into a paper and that s what became the genesis of my work with information warfare. It was no military experience, no real warfare experience, it was simply understanding technology and putting it into a different framework and viewing it from a different perspective. Information warfare also sounds like something military. Is it military or does it stretch beyond that field? I use the term information warfare very early because I viewed it, and I still do, as a method of conflict. Not in the strictly military or political meaning of the word war but it was meant for conflict and how far it can escalate. That s why I broke the classes of information warfare into personal, corporate and then nation, state and terrorist NGOgroups. It does sound militaristic and a lot of people inside the Pentagon, way back when, said no, that s too warfare. We need to make it information operations. So there was a lot of semantics being played. At the same time, some people said Oh no, it s not information warfare, it s cyber. Well, in my mind information warfare combines a lot more domains. It means the cyber component, it means the human component, it means psychological operations, it means influence over populations or over your own groups and constituencies. So I m gonna stick to the term information warfare, the legal construct of war notwithstanding that can be left and relegated to additional conversations, but I think technically it is still the most accurate. What are your thoughts about mister Snowden and his actions? Was his disclosure harmful or a blessing in the sense that it raised awareness? When Mr. Snowden comes up, a lot of opinions go flying very very heated and in many directions. My gut reaction when Snowden came out was How did this new, non-college graduate guy get so accelerated through Booz Allen and the NSA in order to have access to all of these incredible things? It did not make sense to me. And some of the revelations coming out since have been social engineering. I think one way or another that the internal security operations, security awareness, security practices within this particular government agency and contracting group something went very, very, very wrong in the process. I can not pretend to understand how wrong or where it went wrong but certainly it did. From a political standpoint, there is a great cry for greater openness and transparency and then the argument always goes; Well today s government may be good, what about tomorrows government when they have the same tools? Do we want to give them the cyber death star or not? And that is the debate and I stay out of all politics. When you hear some Dutch politicians speak about cyberwarfare and intelligence, they seem a bit naive. How is that in the US? Oh Hans, you are just picking on the Dutch. When you look at politicians and getting them to understand the intricacies of this field, even when we don t understand them all, that is expecting a lot from an elected official. It is true everywhere, people think cyber warfare and what is going to come into their mind, what images are going to come about, it s going to be something from Die Hard or Independence Day or maybe in some of my books, but it is not just the Dutch, it s everywhere. It is so incredibly complex and I think that everybody needs to realise that the foundation of the global economy, the basis the way civilization runs today is founded upon a fundamentally flawed experiment conducted in the late 1960 s that slipped and slid into the fundamental underlying architecture. So ignorance yes, it abounds in all levels and at the political level more than any other. Can you give us a glimpse of the future of info war/intelligence? Well the future of intelligence More of the same would be what I expect. I remember the comment You have lost your privacy, get over it or You have no privacy, get over it is not going to ring well globally. But when you have, whether it is the NSA or 4 Madison Gurkha januari 2014

5 HET INTERVIEW some other very very large, well-funded and articulated organisation globally conducting similar activities, intelligence is only going to get more so. When we look at future technologies and we look at miniature drones, bumble bots, the ability to infect machines with Stuxnet-level quality code, developed by nation-states that can be put into both mobile and fixed environments. When you look at the scale of the capabilities, again it goes back to a flawed fundamental infrastructure, not caring about security for the last thirty years much at all, and if I were running the intelligence community I would certainly take advantage of it all. It is in their best interest and hell, it is their job to spy! So I guess I am not all that surprised. The future of info war... look at new technologies, look at the convergence of software and hardware systems, whether it s bionics, bio-engineering, robotics, exoskeletons, all of them convergences of these technologies. Are you going to see an influence in information warfare and cyber conflict not just from the kinetic standpoint of seeing somebody s octopeds perhaps running across battlefields as much as the lack of real security planning and testing in hostile environments with this technology. And I worry about it less than the battlefield (because they will take care of it sooner or later) but when it gets deployed to the private sector we just willy nilly put it out there. Unfortunately we had to cancel the original InfoWarCon and we are going to have instead a very small, invite only closed meeting with some military groups around the world. The reason for the cancellation was US government sequestration and budget problems. So we have restructured to meet the needs of serious infowarriors. If anyone is interested, let us know, but it is not going to be major conference as we had in the past. What other projects are you working on? Gotta love you Hans ;-). What other projects am I working on? My god. The Cyber Ethics and Safety for Kids and Parents is still a project that we have been looking for some great corporate sponsorships on for the last 24 months. Everybody talks a good game and then nothing happens. That can get into a capitalistic versus socialistic discussion but finding the corporations and/or government entities that are willing to sponsor those kinds of efforts are far and few between. The redesigned InfoWarCon is taking an entirely new twist, something that I had not expected. Other projects I am trying to deprojectise myself but that fails miserably on a regular basis. I have got two other books that I am working on: Advanced Time-based Security and Beyond Information Warfare. I still haven t decided whether I am going to glue them to one volume, make it two separate volumes. So those projects are going on plus endless speaking, hither and yon and the travel which brings up Europe. When will I be in Europe? It looks like some time in April or May for a quick visit, then back in the June, early July time frame for another one. Oh I have got March up in Norway, there is a large security hacker conference there in the beginning of March. Then back to Iceland at some time, maybe for another snowfall up there So yes. Back and forth and I try to make sure that my page is updated appropriately. What questions haven t we asked that we should have? Well Hans, you have made that what questions haven t you asked very open ended and I am kind of going to throw out a couple of thoughts, not the questions that you didn t get but thoughts that are really preoccupying my mind. Nr. 1 Things are only going to get worse. I do not see a great deal of hope right now. What I want to see and I know Bill Cheswick and I were talking about this a few months ago, and RSA actually turned the paper down, was how do we reconstruct and build a fundamentally new infrastructure backbone that offers lot of the convenience that we have today but with security build into it. We have 2013: World- Cyber-War I has begun. Damn. I wish I had been wrong 50 years of experience in what not to do, what doesn t work, we have seen it. What could we build now using the resources and I mean mental resources of the community, not even vendors, just the community at large, what could be designed? I really think about that. Another thing I think about a great deal is in a physical world we are allowed to defend ourselves, I am allowed to remove your weapons. If you come attack me with a knife or a gun I can remove it and if you are in the Unites States certainly I can shoot you. If you re in a stand your ground law state in the United States I can shoot you for really stupid reasons. But in cyberspace out here we are not allowed to remove our adversaries weapons. I ve had a lot of conversations, especially with the hope that InfoWarCon was going to take place, with various groups and posed the question. I said if the lawyers can figure out a way to say no to absolutely everything yet in the physical space they can figure out how to have to stand your ground law, seems to me that we should be able to figure out a way to allow cyber entities to be able to defend themselves in a proportionate method that allows us to somehow remove the offensive capabilities of the bad guys who are attacking us with something other than just merely disconnecting. Another thought that I have been having is solving Denial of Service is actually fundamentally trivial and I am really surprised that even some of the work, I published a paper 19 years ago step by step, here is how to solve the denial of service across the internet, was never really picked up on more. Everybody that read it said Yeah right on, right on, well it sounds perfect but it requires some global cooperation and maybe with some of the reinvigorated or some of the private discussions that we are going to have with some of the global entities, that may change. So all questions are great, they pop up all the time and they are all interrelated, so Hans, no you didn t not ask the right questions. It is about creating environments were the right questions can be asked and even if they are unpopular, provide unpopular answers cause this popularity contest of politics, catering to every single entity on the internet equally, those are recipes for failure and we really need to rethink things very, very fundamentally if we have any hope to get out of this quagmire we are in. Madison Gurkha januari

6 HET INZICHT In de rubriek Het Inzicht stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Deze keer geeft Jan Hendrikx meer inzicht in netwerkimplementatie en wat daarbij mis kan gaan. In het inzicht van deze maand nu eens geen spectaculaire hack die aanvallers toegang verschaft tot al uw vertrouwelijke bestanden. Nee, veel subtieler en saaier. Het gaat om een stukje netwerkimplementatie dat we regelmatig bij klanten tegenkomen waarbij men zelf, weliswaar onbedoeld, medewerkers toegang verschaft tot vertrouwelijke informatie. Traditionele werkplek Madison Gurkha wordt regelmatig gevraagd om de beveiliging van kantoorwerkplekken te onderzoeken op mogelijke kwetsbaarheden. Hierbij bekijken we de computer op de vaste werkplek van de werknemer. Naast de inrichting van de standaard werkplekcomputer zelf, kijken we wanneer de klant hier om vraagt ook naar de mogelijkheden om met onze eigen laptops toegang te krijgen tot andere informatiebronnen en systemen op het netwerk. Dat dit soort onderzoek nuttig is mag duidelijk zijn, maar in het geval dat uw organisatie gebruik maakt van virtuele werkplekken zoals thin clients of thuiswerkplekken is een dergelijk onderzoek mogelijk niet voldoende om alle risico s in kaart te brengen. Wolf Virtuele werkplek Steeds vaker zien we bij organisaties flexibele werkplekken en thuiswerkoplossingen waarbij gebruikers vanaf een thin client, een laptop of een privé-computer met speciale software in kunnen loggen op een virtueel bureaublad. Een dergelijk bureaublad wordt vaak aangeboden via een centrale server of een groep servers. De virtuele werkplek is voorzien van alle benodigde bedrijfssoftware en geeft de gebruiker toegang tot zowel persoonlijke als gedeelde mappen en andere diensten op het interne netwerk van de organisatie. Daarnaast is het vaak mogelijk om lokale opslagmedia zoals USB-sticks en harde schijven te koppelen aan de virtuele werkplek om zo bestanden uit te wisselen. Aangezien het om een centrale oplossing gaat, is het beheer van zo n werkplek efficiënt. Immers updates en wijzigingen kunnen centraal worden doorgevoerd en bestanden van gebruikers gemakkelijk worden gebackupt. Tevens is de oplossing schaalbaar waardoor er gemakkelijk extra werkplekken kunnen worden toegevoegd. Netwerkfiltering Ook zien we bij klanten vaak dat het computernetwerk is opgedeeld in verschillende zones. Hierbij is iedere zone afgeschermd door middel van een firewall die het netwerkverkeer tussen de zones filtert. Zo is er dan bijvoorbeeld een kantoornetwerk voor alle computers van de medewerkers en een productienetwerk voor de bedrijfskritische servers met vertrouwelijke gegevens waar alleen bepaalde afdelingen en beheerders toegang toe hebben. Hierbij beschouwt men het kantoornetwerk als de onvertrouwde zone en het productienetwerk als vertrouwde zone. Omdat veel organisaties erop vertrouwen dat de firewall tussen de verschillende zones voldoende bescherming biedt tegen ongewenste netwerkverbindingen tussen de verschillende zones, worden er hierbinnen zelf geen aanvullende maatregelen genomen. Het idee erachter is dat systemen binnen iedere zone een zelfde mate van vertrouwelijkheid kennen. Vaak 6 Madison Gurkha januari 2014

7 HET INZICHT in schaapskleren zien we dan ook dat binnen een productienetwerk zaken als gedeelde mappen, FTP-servers, databases, beheerinterfaces van netwerkapparatuur en beheerpagina s van bedrijfskritische applicaties niet verder worden afgeschermd. Plaatsing De servers die gebruikt worden voor het aanbieden van de virtuele werkplek bevinden zich meestal in een serverruimte, al dan niet beheerd door eigen beheerders of een externe beheerpartij. Bij het implementeren van virtuele werkplekken worden de fysieke servers die de werkplek aanbieden in een serverruimte geplaatst aangezien deze ruimte voorzien is van alle noodzakelijke voorzieningen zoals netwerktoegang, centrale opslag, (nood) stroom en koeling. In deze serverruimte staan vaak ook andere serversystemen van een organisatie. Dit laatste hoeft geen probleem te zijn mits de virtuele werkplekservers zich maar niet in het productienetwerk bevinden. En juist hier gaat het vaak mis. In de praktijk zien we namelijk regelmatig dat deze servers direct verbonden zijn met het productienetwerk, waardoor het virtuele bureaublad feitelijk fungeert als een stepping stone naar het productielandschap. Dit kan betekenen dat gebruikers die vanuit huis, remote via hun corporate laptop of met een thin client vanaf het kantoornetwerk zijn aangemeld op hun virtuele bureaublad directe toegang hebben tot beheerservices in het productienetwerk. Zo n virtuele werkplek aangeboden vanuit het productienetwerk is dan als het ware een wolf in schaapskleren. Het laat medewerkers op afstand binnen het productienetwerk werken in plaats vanaf het kantoornetwerk waardoor de aangebrachte netwerkfiltering tussen het kantoor- en het productienetwerk wordt omzeild. Onderzoek kantoornetwerk Bij een beveiligingsonderzoek waarbij alleen gekeken wordt welke services er vanaf het kantoornetwerk benaderbaar zijn in het productienetwerk, zien we in dit geval alleen dat de tussenliggende firewall open staat richting het systeem in het productienetwerk dat de virtuele werkplek aanbiedt. Omdat dit type netwerkverkeer noodzakelijk is voor onder andere thin clients, het om slechts een enkele netwerkpoort en om legitiem netwerkverkeer gaat, valt dit vaak niet direct op. Of het productienetwerk goed is afgeschermd voor netwerkverkeer afkomstig van de virtuele werkplekserver, wordt op die manier niet onderzocht. Met andere woorden, door alleen een onderzoek vanaf het kantoornetwerk uit te voeren, wordt niet zichtbaar of gebruikers via hun thin client bij services kunnen komen die men normaal afgeschermd zou willen hebben. Gevolgen Wanneer zo n virtuele werkplekserver zich binnen een vertrouwde zone bevindt, kan dit ernstige gevolgen hebben. Ondanks dat een virtueel bureaublad vaak op meerdere manieren is afgeschermd, is het in de praktijk toch vaak mogelijk toegang te krijgen tot andere serversystemen binnen het productienetwerk. Ook zien we vaak dat er geen netwerkfiltering plaatsvindt voor netwerkverkeer afkomstig vanuit het productienetwerk richting de andere netwerkzones binnen de organisatie en zelfs richting netwerken van klanten en leveranciers. Verder kunnen servers binnen het productienetwerk op deze manier blootgesteld worden aan virussen en andere bedreigingen door kwaadaardige bestanden die door medewerkers per ongeluk op de virtuele werkplek worden geplaatst. Hoe zit het bij u? Nu denkt u waarschijnlijk: Tja, da s ook niet slim om het zo in te richten. De reden dat we dit artikel publiceren, is dat we regelmatig zien dat klanten hun virtuele werkplekoplossing toch op deze onveilige manier hebben ingericht. Het gaat daarbij helaas niet alleen om kleine organisaties, ook bij grote organisaties komen we dit probleem regelmatig tegen. Misschien is het daarom verstandig om eens na te gaan hoe uw virtuele werkplekoplossing is ingericht. Ga eens praten met uw beheerders om er zeker van te zijn dat uw organisatie het wel goed voor elkaar heeft. Of, nog beter, laat de inrichting van uw virtuele werkplekoplossing eens grondig onderzoeken door onze mensen. Madison Gurkha januari

8 DE HACK Dit keer in de rubriek De Hack vertellen Ward Wouts en Stefan Castille, Senior Security Consultants bij Madison Gurkha, over Preboot execution Environment (PXE) netbooting. Wat is PXE netbooting? PXE staat voor Preboot execution Environment. Samen met DHCP, dat IP-adressen aan nieuw opgestarte computers uitdeelt, en TFTP, een vereenvoudigde FTP-variant, maakt PXE het mogelijk om computers zonder voorgeïnstalleerd besturingssysteem over het netwerk op te starten. Dit wordt veel gebruikt voor thin-clients, die geen harde schijf hebben, en voor nieuw te installeren systemen en virtuele systemen. Voor beheerders is dit een fantastische stap voorwaarts. Ineens hoeft er niet meer gerommeld te worden met dvd s of cd-roms, er kunnen centraal images bijgehouden worden. Deze kunnen simpel naar de gebruikte systemen uitgerold worden en het herinstalleren van systemen kan in een vloek en een zucht gedaan worden. Geweldig. PXE netboot attacks Hoe werkt het? PXE is in feite een klein besturingssysteem in de firmware van de computer dat het mogelijk maakt om een groter besturingssysteem te downloaden. De flow is als volgt: 1. De computer start op; 2. PXE doet een DHCP-verzoek voor een IP-adres en informatie voor verdere opstartstappen; 3. PXE haalt via TFTP een eerste bootstrapimage op; 4. Het bootstrap-image kan een volledig OS ophalen en starten of het systeem installeren door bestanden op te halen en op de harde schijf weg te schrijven. Het bootstrap-image kan ook beslissen om verder te gaan met het OS op de lokale schijf. Om via PXE op te kunnen starten moet er aan enkele voorwaarden voldaan worden. Zo heeft de computer toegang nodig tot het netwerk, in ieder geval tot het systeem waar de verschillende images zijn opgeslagen. Bij (her)installatie zal de computer, indien het een Windows-systeem is, aangemeld moeten worden bij het domein. Wanneer deze acties geautomatiseerd uitgevoerd worden, is 8 Madison Gurkha januari 2014

9 DE HACK het nodig dat de vereiste credentials worden opgenomen in de images. Kwetsbaarheden? Aangezien dit stuk in onze Madison Gurkha Update staat voelt u hem al aankomen: ook wij vinden PXE-omgevingen geweldig, maar dan vanuit ons perspectief als penetratietesters. We zien in de praktijk twee verschillende aanvalsscenario s. Ten eerste kunnen we proberen de thin-client of het te installeren systeem zo ver te krijgen onze eigen programmatuur uit te voeren. Ten tweede kunnen we kijken of we voldoende informatie kunnen achterhalen om het Windowsdomein aan te vallen. Het systeem aanvallen Waarom zou je überhaupt het PXE-client willen aanvallen? Een nieuw systeem of thinclient bevat geen vertrouwelijke gegevens. Dus wat kunnen we nu eigenlijk bereiken als we een eigen image op het systeem kunnen plaatsen? Een voor de hand liggend antwoord is: we kunnen een gebruikersnaam en wachtwoord achterhalen. We kunnen ook meeliften op de verbinding van de gebruiker en zo toegang krijgen tot vertrouwelijke data. Hierop zijn vele variaties te verzinnen. Een mogelijkheid is om als OS-image een virtual machine host besturingssysteem (bijvoorbeeld VMWare ESX) te starten en daarbinnen het normale besturingssysteem te laden. Wanneer we dit doen merkt een eindgebruiker niet dat we de client aanvallen, maar wij kunnen over het netwerk toegang tot het systeem krijgen alsof we er fysiek toegang toe hebben. We kunnen schijven toevoegen, netwerken benaderen en scherm, toetsenbord en muis gebruiken. Ook kunnen we het geheugen van virtuele machines uitlezen. Maar hoe krijgen we dit nu voor elkaar? Bij het opstarten worden er ten minste drie verschillende netwerkverbindingen gebruikt. Deze kunnen we alle drie afzonderlijk aanvallen, maar de meest eenvoudige manier is het aanvallen van de DHCP-verbinding. Bij DHCP vraagt het systeem aan het netwerk welk IP-adres het mag gebruiken. Alle systemen op het netwerk kunnen deze vraag zien. Het eerste antwoord dat binnenkomt is bepalend (een zogenaamde race-condition ). Naast het IP-adres kan er ook een lijst van DNS-systemen, de gateway en een locatie voor opstartbestanden via DHCP verkondigd worden. Als wij als aanvaller sneller een antwoord geven dan de DHCP-server, kunnen we dus bepalen welke opstartbestanden gebruikt worden voor het starten van systeem en zo onze virtuele machine optuigen. Het domein aanvallen We zien dat in veel PXE-omgevingen de te installeren systemen tijdens het opstarten gebruik maken van domeincredentials. Enerzijds om installatiebestanden op te halen, anderzijds om zich te registreren in Active Directory. Als aanvaller kunnen we een clientsysteem nabootsen en de installatieprocedure doorlopen. Vervolgens kunnen we het geïnstalleerde systeem doorzoeken op credentials en andere interessante gegevens. Een eenvoudige manier om zo n systeem na te bootsen is door gebruik te maken van een eigen virtuele machine en deze via PXE te laten opstarten. Wanneer dit niet mogelijk is kunnen we proberen het netwerkverkeer af te luisteren en daar de credentials uit te halen. Onze ervaring is echter dat de methode met virtuele machines zo effectief is dat we het netwerkverkeer hiervoor nooit hoeven te onderscheppen en te analyseren. Een veel gemaakte fout is om de ingebakken domeincredentials te veel rechten te geven, bijvoorbeeld beheerrechten op het domein. Wanneer we dit aantreffen hebben we effectief beheerrechten op alle machines in het Een veel gemaakte fout is om de ingebakken domeincredentials te veel rechten te geven domein. Een andere veel gemaakte fout is het lokale beheeraccount niet wijzigen, zodat deze op alle geïnstalleerde systemen identiek is. In dit geval hebben we dus beheerrechten op alle via PXE geïnstalleerde systemen. Wat valt er tegen te doen? Het voorkomen van de race-condition in de DHCP is bij het gebruik van moderne switches vrij eenvoudig: configureer de switches om alleen DHCP-antwoorden van de eigen DHCP-server door te laten. Dit is sowieso een goed idee, ook als er geen gebruik gemaakt wordt van PXE. Naast beveiligingsproblemen wanneer iemand expres een DHCPserver aan het netwerk toevoegt, kunnen er ook functionele problemen ontstaan wanneer iemand dat per ongeluk doet. Voor het voorkomen van de aanvallen tegen het domein moet iets meer werk verzet worden. Ten eerste moet er voor gezorgd worden dat er gebruik gemaakt wordt van de minimale set privileges om het systeem aan het domein toe te voegen. Hiervoor is het goed om een apart account aan te maken dat alleen voor deze specifieke functies rechten heeft. Daarnaast kan er bij het installeren van systemen voor gezorgd worden dat er in het bootstrap-image gecontroleerd wordt of het systeem überhaupt wel geïnstalleerd moet worden. In veruit de meeste gevallen weet een beheerder of helpdeskmedewerker dit en kan het opsturen van het volledige OS voorkomen worden wanneer het systeem niet voor installatie gemarkeerd is. Geen nieuw OS betekent hier geen netwerkverkeer om af te luisteren en geen vers systeem (eventueel in een VM) om te onderzoeken. Madison Gurkha januari