update i T S X DE COLUMN 2 Remco Huisman HET NIEUWS 3 DigiD IT Security meets Legal Vakbeurs Infosecurity

Maat: px
Weergave met pagina beginnen:

Download "update i T S X DE COLUMN 2 Remco Huisman HET NIEUWS 3 DigiD IT Security meets Legal Vakbeurs Infosecurity"

Transcriptie

1 Your Security is Our Business 22 sept 2014 update DE COLUMN 2 Remco Huisman HET NIEUWS 3 DigiD IT Security meets Legal Vakbeurs Infosecurity HET INTERVIEW 4 Interview met Marianne Korpershoek, Louwers IP Technology Advocaten HET INZICHT 7 Ton van Deursen over kennismanagement bij Madison Gurkha DE HACK 10 Mobiele applicaties; Risico s, kwetsbaarheden en aanvalsvectoren door Daniël Dragi čevićć HET verslag 12 Black Hat Sessions Part XII: Inlichtingendiensten, Spionage & Privacy ITSX 16 Het is meer dan alleen een IT feestje! door Arthur Donkers Risicomanagement met ISO en ISO Nieuwe locatie ITSX HET INZICHT EXTRA 18 Rinke Beimin geeft meer inzicht in password policies agenda 19 HET COLOFON 19 i T S X

2 de column In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer Remco Huisman over de vinkjescultuur. De vinkjescultuur Het onderwerp van informatiebeveiliging en privacy krijgt steeds meer de aandacht die het verdient, zeker vanuit het oogpunt van wet- en regelgeving. Dat is voor ons vakgebied (in principe) een positieve ontwikkeling. In het nog niet zo heel verre verleden zijn er voorbeelden te noemen die aantonen dat wet- en regelgeving noodzakelijk is om verbeteringen te realiseren op het gebied van informatiebeveiliging en privacy. Neem Lektober in Brenno de Winter toonde dat najaar aan dat veel gemeentes hun zaakjes niet echt op orde hadden. Dat die gemeentewebsites lek waren is niet fraai, maar erger was dat daarmee ook de betrouwbaarheid van DigiD in gevaar kwam. Het lek op de ene website had immers (potentieel) gevolgen voor de veiligheid van alle andere bij DigiD aangesloten sites. Dat werd een te serieus en bedreigend probleem en voilà, de Logius DigiD norm was geboren. Gemeentes en andere DigiD-gebruikers zoals veel ziekenhuizen, maar ook bijvoorbeeld SVB, UWV en de Belastingdienst, dienen jaarlijks aan te tonen dat zij aan deze norm voldoen. Hoe kun je aan deze norm voldoen? Door het zetten van vinkjes of je aan bepaalde onderdelen van de norm wel of niet voldoet. Het zetten van vinkjes is uiteraard noodzakelijk voor de administratieve afhandeling. Tot zover werkt een dergelijk norm alleen maar positief. Zorgelijk wordt het als een norm tot een de facto standaard wordt verheven om aan de informatiebeveiligings- en privacyverplichtingenˈte voldoen. Want wat zegt het over de kwetsbaarheid van bijvoorbeeld het (interne) netwerk, de WiFi-aansluiting, applicaties die geen gebruik maken van DigiD, het EPD of de toegang tot het GBA? Allemaal onderdelen waarvoor onder de Logius DigiD norm geen vinkjes hoeven te worden gezet, maar die wel cruciaal zijn voor de algehele IT-beveiliging. In dit soort - helaas reguliere - gevallen, lijkt de norm een negatief bijeffect te krijgen; in plaats van informatiebeveiliging en privacy optimale aandacht te geven, verschuilt men zich achter de goedbedoelde norm om daarmee eigenlijk het omgekeerde te doen. Wat te denken van de organisatie die door het CBP op de hielen werd gezeten voor een eerdere datalekkage. Deze organisatie gunde de penetratietest niet aan Madison Gurkha met als argument jullie vinden te veel. Daarmee werd het namelijk moeilijker voor ze om het vinkje te krijgen. Uiteraard zijn wij blij met het compliment, maar het toont ook aan tot welke uitwassen de vinkjescultuurˈ kan leiden. Genoeg over goedbedoelde normen met onbedoelde neveneffecten. Er ligt alweer een nieuwe Update. Er is sinds het laatste exemplaar veel gebeurd en er staat ook weer veel op stapel. Zo kunt u meer lezen over de afgelopen Black Hat Sessions: drukker en succesvoller dan ooit. De workshop Hacken met een Teensy smaakt naar meer. Met trots kondigen we ook een nieuwe samenwerking aan met een ogenschijnlijk onverwachte partner: Louwers IP Technology Advocaten. Toch is deze samenwerking heel logisch, want zoals ik al eerder schreef: wet- en regelgeving op het gebied van informatiebeveiliging en privacy neemt alleen maar toe. Ook geven we in deze Update een kijkje in onze keuken: Hoe komt het nou dat onze consultants zo goed zijn? Door hun kennis en kunde natuurlijk! Maar hoe komen ze daaraan? Daarnaast bieden we deze editie meer inzicht in password policies en laten we in de rubriek De Hack mobiele applicaties de revue passeren. Resteert mij nog een persoonlijk mededeling. In Update 21 heeft u kunnen lezen over mijn voornemen om de Alpe d Huez zes keer op te fietsen om geld in te zamelen voor KWF Kankerbestrijding. Het is gelukt en als team hebben we ruim euro opgehaald. Bij deze nogmaals mijn dank aan alle sponsors en ITSX en Madison Gurkha in het bijzonder. Remco Huisman Commercieel directeur PS! Oh ja, reserveert u 29 en 30 oktober vast in uw agenda. Dan staat Madison Gurkha samen met ITSX weer op de Infosecurity vakbeurs in Utrecht. 2 Madison Gurkha september 2014

3 In Het Nieuws belichten we nieuwe ontwikkelingen in de IT-beveiligingswereld en rondom Madison Gurkha. het NIEUWS IT Security meets Legal Op 13 november organiseren Madison Gurkha, ITSX en Louwers IP Technology Advocaten een Black Hat for Lawyers gericht op bedrijfsjuristen die beter begrip willen krijgen van de niet-juridische aspecten als het gaat om IT-beveiliging. Tijdens deze zeer praktijkgerichte sessie legt Madison Gurkha uit hoe de techniek van het hacken werkt en laten ITSX en Louwers IP Technology Advocaten zien hoe bedrijven hun organisaties en hun contracten zo kunnen inrichten dat de informatiebeveiliging geborgd blijft. Zie ook het interview op pag 4. De Black Hat for Lawyers wordt georganiseerd in het van Abbemuseum te Eindhoven en zal duren van uur tot uur met aansluitend de mogelijkheid tot netwerken en verdere discussie. Is er binnen uw organisatie interesse? Ga naar voor meer informatie en om u aan te melden. Relaties van Madison Gurkha profiteren van 10% relatiekorting. Vakbeurs Infosecurity Op 29 en 30 oktober a.s. staat er weer een Infosecurity vakbeurs gepland. Madison Gurkha en ITSX zijn dit jaar aanwezig, op dezelfde stand als vorig jaar (meteen vooraan bij de ingang) om u op een interactieve kennis te laten maken met de verschillende expertises op het gebied van informatiebeveiliging en privacy en onze multidisciplinaire aanpak hierin. Op onze website vindt u de registratiebanner voor een gratis toegangsbadge. Binnenkort volgt hier bovendien meer informatie over de demo s en presentaties die wij voor u in petto hebben. DigiD assessment In een Kamerbrief dd. 9 juli 2014 heeft Minister Plasterk, minister van Binnenlandse Zaken en Koninkrijksrelaties, laten weten de uiterste inleverdatum voor het assessmentrapport in het vervolg te bepalen op 1 mei. Daarbij geldt tevens dat het assessmentrapport niet eerder dan 1 januari mag worden ingediend. Dit betekent concreet dat de aangesloten organisaties het eerstvolgende assessmentrapport moeten inleveren bij Logius vóór 1 mei Voor de volledige brief zie:www.rijksoverheid.nl De uitvoering van het assessment mag wel vóór januari 2015 plaatsvinden. Het is van groot belang hier tijdig mee te beginnen. Madison Gurkha is actief betrokken geweest bij de totstandkoming van de auditmethode en heeft ruime ervaring opgedaan met de uitvoering van DigiD audits. Benieuwd naar onze unieke aanpak? Neem vrijblijvend contact op via voor meer informatie. Het laatste kwartaal is voor ons de drukste tijd van het jaar. Kom niet voor vervelende verrassingen te staan en neem tijdig contact met ons op om de audit in te plannen en voor te bereiden. Graag tot ziens op 29 en 30 oktober in de Jaarbeurs Utrecht bij stand B154. Madison Gurkha september

4 het interview Deze keer een interview met Marianne Korpershoek, advocaat en mede-oprichter Louwers IP Technology Advocaten waarmee Madison Gurkha en ITSX een samenwerking zijn aangegaan. Complexe vraagstukken samen oplossen Veranderingsprocessen als gevolg van een snel ontwikkelend IT-landschap vergen de nodige inspanning van organisaties op het gebied van informatiebeveiliging en privacy. Madison Gurkha, ITSX en Louwers IP Technology Advocaten bundelen hun individuele expertises om zowel de technische, organisatorische als juridische kant van security en privacy voor uw organisatie in kaart te brengen en te borgen. 4 Madison Gurkha september 2014

5 het interview Het vroeg inschakelen van een advocaat zorgt er juist voor dat de juridische valkuilen vermeden worden en dat juridische problemen in de kiem gesmoord worden Wie is Louwers IP Technology Advocaten? Wij zijn een nichekantoor met acht advocaten gespecialiseerd in innovatie en intellectueel eigendomsrecht zoals auteursrecht, merken- en octrooirecht en technologierecht. Bij dit laatste moet je denken aan IT, privacy, security, technologielicenties en andere contracten en procedures over bijvoorbeeld (mislukte) automatisering. Wat zijn de belangrijkste diensten die Louwers IP Technology Advocaten verleent en aan wat voor een soort klanten? Louwers IP Technology Advocaten werkt voor het grotere MKB, het grootbedrijf, lagere overheden en de Rijksoverheid. Binnen de ICT concentreren we ons daarbij vooral op de markt van de afnemers en inkoop. De advocaten van Louwers zijn zowel sterk in het geven van advies, het uitonderhandelen en opstellen van contracten als procederen over technologievraagstukken. Met name dat laatste (procederen) onderscheidt ons van andere juristen. De kritische blik van de rechter dwingt je als jurist het probleem tot op het bot te analyseren. Die ervaring zorgt er weer voor dat je proactief kan adviseren en daarmee de beste oplossing voor de klant kunt bieden. Hoe blijven jullie up-to-date in de snel veranderende markt? Dimmes Doornhein is sinds 1 januari 2014 als Chief Technology Officer (CTO) verbonden aan Louwers IP Technology Advocaten. Dimmes is een internationaal ervaren technologie ondernemer die alle hoeken en gaten van de technologiemarkt kent. Louwers IP Technology Advocaten is al sinds 2006 een nichekantoor op het gebied van intellectueel eigendom en technologie. Ondanks het feit dat Louwers een flink track-record heeft op het gebied van technologie, wilden we graag ook een andere kijk hebben op de markt. Advocaten komen in de regel pas in het geweer wanneer er problemen zijn, met als gevolg dat projecten enorm vertragen en de advocaatkosten onnodig hoog worden. Terwijl het vroeg inschakelen van een advocaat er juist voor zorgt dat de juridische valkuilen vermeden worden en dat juridische problemen in de kiem gesmoord worden. Dimmes weet als geen ander dat time to market en rapid prototyping van levensbelang zijn in de huidige markt. Dat heeft onze aanpak veranderd en ervoor gezorgd dat we al in de (business)plan fase mee kunnen denken. Madison Gurkha september

6 het interview Waarom samenwerken met Madison Gurkha en ITSX? Complexe vraagstukken zoals privacy en informatiebeveiliging kunnen niet alleen óf juridisch óf technisch óf organisatorisch worden opgelost. Het moet een package deal zijn waarbij de drie vakgebieden naadloos op elkaar aansluiten. Alleen op die manier weet een bedrijf zeker dat zijn gegevens in alle opzichten optimaal beveiligd zijn. Uiteraard kunnen onze diensten ook bij andere partijen worden afgenomen maar Madison Gurkha, ITSX en Louwers IP Technology Advocaten werken intensief samen om een dienstenpakket te ontwikkelen die een klant volledig ontzorgt. Welke ontwikkelingen zie je op het gebied van privacy- en datalekkenwetgeving? Vooraanstaande wetenschappers en journalisten maken steeds meer en opnieuw duidelijk hoe diep de informatietechnologie binnendringt in het privédomein van mensen; banken die persoonsgegevens verkopen of bijvoorbeeld leningen die worden geweigerd op basis van iemands profiel. Deze ontwikkeling baart wereldwijd zorgen. In Europa is er strengere privacywetgeving in de maak die Europa-breed de bestaande privacyregels verder aan moet scherpen. Bedrijven worden hierin verplicht om naast de bestaande verplichtingen, een privacy impact assessment (PIA) uit te voeren en de privacy zo goed mogelijk te borgen door middel van privacy by design in de ontwerpfase van systemen waarbij persoonsgegevens worden verwerkt. Als de plannen doorgaan, kunnen de privacy waakhonden straks forse boetes opleggen die kunnen oplopen tot maximaal 100 miljoen euro of 5% van de wereldwijde omzet. Om deze ontwikkelingen voor bedrijven en overheden beheersbaar te houden is het van groot belang dat alle informatie tijdig in kaart wordt gebracht en dat er een realistische inschatting gemaakt wordt van de impact op het moment dat het verkeerd gaat. Marianne (M.C.) Korpershoek Marianne Korpershoek studeerde rechten aan de Rijksuniversiteit Leiden. In 1989 is zij begonnen als jurist bij Albert Heijn in Zaandam. In 1997 is zij gestart als advocaat in Tilburg. In 1999 heeft zij de post-academische specialisatie-opleiding ICT-recht aan de Grotius Academie afgerond. Van 2000 tot 2004 was zij in Eindhoven werkzaam bij een ander kantoor en aansluitend als zelfstandig IT-advocaat. Per 1 december 2006 is Marianne Korpershoek met Ernst-Jan Louwers een nichekantoor begonnen onder de naam Louwers IP Technology Advocaten te Eindhoven. Sinds 1 augustus 2014 is het kantoor ook gevestigd in Den Haag. Hoe maken jullie het complexe verhaal van wet- en regelgeving zo inzichtelijk en actueel mogelijk? In dit kader spreekt Huub de Jong, advocaat bij Louwers, binnenkort tijdens een studiemiddag waarbij de juridische aspecten van IT security worden behandeld. Meer informatie is te vinden op Daarnaast vindt er ook een wisselwerking plaats waarbij bedrijfsjuristen meer inzicht krijgen in de techniek. Op 18 november a.s. organiseren we samen met Madison Gurkha en ITSX een interactief seminar; een Black Hat for Lawyers waarbij we zowel de technische, organisatorische als juridische kant van security en privacy belichten. De sessie is bij uitstek geschikt voor bedrijfsjuristen en advocaten die dagelijks te maken hebben met het vertalen van vereisten uit wet- en regelgeving naar maatregelen die in bedrijfsprocessen en ICT moeten worden genomen. Want hoe kun je de organisatie weerbaar maken tegen inbreuken op informatiebeveiliging zodat de bedrijfsdoelen worden beschermd? Om antwoord te geven op deze vraag is het in eerste instantie van belang om een basale kennis te hebben over de techniek van IT security. Meer informatie over deze middag vindt u elders in deze Update. Ten Hagestraat EG Eindhoven E T Zuid-Hollandlaan AL s-gravenhage E T Madison Gurkha september 2014

7 In deze extra rubriek van het Inzicht vertelt Ton van Deursen hoe de security consultants van Madison Gurkha ervoor zorgen dat hun kennis en kunde te allen tijde optimaal en up-to-date is. het inzicht Hoe wij onze kennis opdoen en bijhouden Madison Gurkha september

8 HET INZICHT Een vraag die ons als security consultants van Madison Gurkha regelmatig gesteld wordt, is: Waar halen jullie je kennis vandaan? De IT-beveiligingsonderzoeken die je als security consultant uitvoert, zijn immers erg divers. De ene week onderzoek je een ASP.NET-applicatie, de week erna doe je een WiFi-onderzoek en de week daarna een penetratietest van een intern netwerk. De security mindset Het belangrijkste is dat security een mindset is. Security consultants zien de wereld anders dan anderen. Ze zijn altijd op zoek naar hoe iets stuk gemaakt kan worden. Het oog van een security consultant valt meteen op dat toegangspoortje waar je toch zeker met zijn tweeën door kunt. Een onbeheerde netwerkpoort waar je zo je laptop op in kan prikken is een kwelling voor een security consultant. Menig security consultant zal zich afvragen wat de applicatie zou doen als hij per ongeluk zijn telefoonnummer afsluit met een aanhalingsteken. Een goede security consultant hoeft daarom niet alle technische details van de te onderzoeken technologie, applicatie of systeem te kennen. Hij gebruikt zijn creativiteit om zo snel mogelijk uit te vinden wat de meest zinvolle aanvalspaden zijn. Hiervoor is het nodig om te kunnen denken als een tegenstander of aanvaller; als iemand die er alles aan doet om jouw systeem te laten doen waarvoor het niet bedoeld is. Het creëren van een security mindset is makkelijker gezegd dan gedaan. Van kleins af aan worden we getraind om dingen te maken; niet stuk te maken. We leren hoe we een toren van blokken maken, hoe we een band plakken en hoe we een applicatie ontwikkelen die zowel op Android als op ios draait. We leren niet hoe we zonder sleutel het huis van de buren in kunnen, hoe we negatieve bedragen over kunnen boeken, of hoe we zonder te betalen aan boodschappen kunnen komen. Een belangrijke bron van kennisvergaring is onze NERD-tijd Als security consultant zul je ervoor moeten zorgen dat je je security mindset traint. Dit doe je voornamelijk door je kennis van aanvalstechnieken, verdedigingstechnieken, kwetsbaarheden en (nieuwe) technologieën op peil te houden. Je leert dan immers van de fouten die anderen gemaakt hebben en zult daarom sneller mogelijke aanvalspaden kunnen identificeren. NERD: Never Ending Research and Development Als security consultants bij Madison Gurkha zorgen we er op een aantal manieren voor dat onze technische kennis up-todate blijft. Een belangrijke bron van kennisvergaring is onze NERD-tijd. De (vermoedelijk niet toevallig gekozen) afkorting NERD staat voor Never Ending Research and Development. Als consultant worden we één dag per week als NERD vrijgeroosterd om technische kennis op te doen. Deze tijd gebruiken we voor het bijlezen van security blogs, mailinglijsten en forums. Verder kunnen we in deze tijd software- en hardwaretools ter ondersteuning van onze onderzoekswerkzaamheden uitproberen. Als laatste houdt een grote groep zich bezig met het schrijven van software voor het automatiseren van een gedeelte van onze werkzaamheden. Verder hanteren we het vier-ogen-principe. Dit houdt in dat nagenoeg alle onderzoeken worden uitgevoerd door minimaal twee personen in doorgaans roulerende teams. Noodzakelijkerwijs werken consultants hierdoor samen met verschillende achtergronden, kennisniveaus en creatieve vermogens. Het samenwerken met verschillende consultants zorgt ervoor dat we scherp blijven en dat kennis niet geconcentreerd blijft, maar zich juist verspreidt. Hoewel het vier-ogen-principe garandeert dat kennis ten minste op één persoon overgedragen wordt, verdient in sommige gevallen kennisdeling met alle consultants de voorkeur. Hiervoor hebben we een halve dag per maand kennisdelings- 8 Madison Gurkha september 2014

9 HET INZICHT Security consultants zijn altijd op zoek naar hoe iets stuk gemaakt kan worden sessies. Hierbij geven maandelijks enkele security consultants een presentatie of workshop. In een dergelijke sessie presenteert een security consultant een uitgevoerde aanval, een nieuwe tool, een gebruikte techniek, of ieder ander onderwerp dat voor technische consultants van belang kan zijn. Als laatste bron van kennisvergaring gebruiken we als consultants cursussen en hackerconferenties. Op hackerconferenties is veel te leren over state-of-the-art aanvallen. Relevante cursussen zijn er in allerlei soorten en maten. Afhankelijk van interesse bepaalt de consultant welke cursus en welk onderwerp geschikt is. Naast de vele online cursussen die er de laatste jaren zijn verschenen op het gebied van IT security, zijn er ook een aantal trainingsinstituten die bewezen hebben hoogwaardige IT security cursussen te kunnen verzorgen. SANS SEC660 Een cursus die bij mij al een tijdje op het lijstje stond, was SEC660 van het trainingsinstituut SANS. De officiële titel van SEC660 is Advanced Penetration Testing, Exploits, and Ethical Hacking, ofwel penetration testing voor gevorderden. In mei van dit jaar heb ik deze cursus met collega Matthijs Koot gevolgd. De cursus werd gegeven door de auteur van het cursusmateriaal Stephen Sims. Stephen heeft jarenlange ervaring als penetration tester en ik kan met recht zeggen dat hij een geweldige cursusleider is. SEC660 is een zesdaagse cursus die doorgaat in de avonduren en propvol genoemd mag worden. De cursus biedt een gezonde mix van theorie, demo s en hands-on oefeningen. Het gaat te ver om de volledige inhoud van de cursus te bespreken, maar een kleine greep uit het cursusmateriaal: manipulatie van netwerkprotocollen, het omzeilen van network admission control, aanvallen op cryptografische implementaties, tools en technieken voor fuzzing, uitbreken uit dichtgetimmerde omgevingen en het schrijven van exploits voor Linux, Windows XP, 7 en 8. Twee onderwerpen waren voor mij persoonlijk bijzonder interessant. Als eerste het aanvallen van routing- en switchingprotocollen. De inrichtingen van netwerken wordt namelijk vaak veilig geacht. Echter, in de praktijk wordt in bedrijfsnetwerken erg veel gebruikgemaakt van verouderde protocollen en onveilige standaardconfiguraties. Hierdoor is het regelmatig mogelijk om je als aanvaller naar een ander VLAN te verplaatsen en soms is het zelfs mogelijk om routeringsinformatie te injecteren. Het tweede hoogtepunt van de cursus was voor mij het vinden van beveiligingslekken door middel van fuzzing en het uitbuiten hiervan door het schrijven van exploits. Met fuzzing wordt getracht op een intelligente manier incorrecte data naar een applicatie te sturen. Het doel hiervan is te achterhalen op welke punten de invoervalidatie tekortschiet. Wanneer een dergelijke kwetsbaarheid gevonden is, kan hiervoor een exploit geschreven worden om uitgebreide toegang te krijgen. In moderne besturingssystemen wordt dit echter bemoeilijkt door beveiligingsmaatregelen als DEP en ASLR. Een groot deel van de cursus was erop gericht om technieken te leren om deze beveiligingsmaatregelen te omzeilen. De laatste dag van SEC660 was gereserveerd voor een capture-the-flag. Tijdens deze zes uur durende challenge moest zoveel mogelijk van de opgedane kennis in de praktijk gebracht worden om vlaggen te verzamelen. Afhankelijk van de moeilijkheidsgraad van de challenges konden punten verzameld worden en de prijs voor de winnaar van de capture-theflag was de felbegeerde SEC660- medaille (zie de afbeelding). Met twee uitstekende medecursisten vormden Matthijs en ik een team om zoveel mogelijk vlaggen te verzamelen. En zoals het echte Gurkhas betaamt, prijkt de medaille nu in de trofeeënkast in Eindhoven. Madison Gurkha september

10 DE HACK Dit keer in de rubriek De Hack vertelt Daniël Dragicevi č c over het gebruik van mobiele apps en de verschillende risico s die het met zich meebrengt. Mobiele applicaties; Risico s, kwetsbaarheden en aanvalsvectoren We leven in een post-pc tijdperk. Dat wil zeggen, een groot deel van onze werkzaamheden - zowel privé als zakelijk - voeren we al tijden niet meer enkel uit vanachter onze computer. We maken voor onze werkzaamheden steeds meer gebruik van mobiele apparaten. Deze nieuwe manier van werken brengt risico s met zich mee. Meer en meer kritieke data wordt via onder andere webservices ontsloten voor gebruik op tablets en mobiele telefoons. In ons werkveld voeren we naast webapplicatie-onderzoeken ook steeds meer onderzoeken naar mobiele apps en achterliggende serversystemen uit. Tijdens deze onderzoeken komen we veelal dezelfde risico s en kwetsbaarheden tegen. In dit artikel wil ik graag ingaan op de verschillende risico s die het gebruik van mobiele apps met zich meebrengt. Risico s Bij ingebruikname van mobiele apps voor het verwerken van vertrouwelijke gegevens zijn er een aantal risico s die moeten worden onderkend. Allereerst, het gebruik in onbeveiligde omgevingen. Inherent aan het gebruik van mobiele apparaten is dat er overal mee kan worden gewerkt. Dat wil zeggen, de netwerkinfrastructuur die wordt gebruikt om vertrouwelijke gegevens op te halen of te versturen kan niet altijd worden vertrouwd. Het risico op zogenaamde man-in-the-middle-aanvallen is in dit scenario vele malen groter dan wanneer iemand bijvoorbeeld op zijn of haar werkplek op kantoor zit. Door ervoor te zorgen dat een app controleert met welk serversysteem wordt gecommuniceerd voordat gevoelige gegevens worden verzonden of ontvangen, kan een succesvolle MitMaanval worden voorkomen. Vooral in publieke ruimtes als treinen, stations en restaurants is het risico van verlies of diefstal van een telefoon of tablet een scenario waarmee rekening gehouden moet worden. Een correcte versleuteling van opgeslagen gegevens en de mogelijkheid tot het op afstand wissen van een toestel zijn maatregelen die kunnen worden genomen om ervoor te zorgen dat vertrouwelijke gegevens niet op straat komen te liggen. Vervolgens is er de diversiteit aan mobiele platformen. Denk aan ios, Android, Windows Phone en BlackBerry. Al deze platformen hebben een eigen architectuur en beveiligingsmodel. De beveiligingsmodellen die door de verschillende platformen worden gebruikt verschillen veel van elkaar. Bijvoorbeeld de veilige opslag van gegevens: op een ios-systeem kan de zogenaamde keychain als veilige opslagplaats voor gebruikersgegevens worden gebruikt. Gegevens die een app in de keychain opslaat zijn enkel voor die specifieke app benaderbaar. Bij een Androidsysteem is de keychain enkel bedoeld voor een veilige opslag van van sleutel- en certificaatmateriaal. App-ontwikkelaars zullen voor Android zelf moeten zorgen voor een veilige manier van opslag van gebruikersgegevens. Een app die voor meerdere platformen 10 Madison Gurkha september 2014

11 de hack beschikbaar is, kan ook op het ene platform veel veiliger zijn opgezet dan op het andere platform. Wanneer in uw organisatie verschillende platformen worden gebruikt, kan het verhelderend zijn om de verschillen tussen de gebruikte apps in kaart te brengen. Dit geeft een duidelijker beeld van de risico s per mobiel platform. Wanneer we kijken naar de systeembeveiliging van mobiele apparaten, zien we eveneens belangrijke verschillen. Waar bij Apple s ios, Microsoft s Windows Phone en RIM s BlackBerry OS een gecentraliseerde oplossing is gekozen voor het uitrollen van (beveiligings)updates, is er bij Android een afhankelijkheid van de fabrikant van het toestel voor het ontvangen van updates. Dit zorgt er doorgaans voor dat een groot deel van de Android-gebaseerde toestellen niet voorzien zijn van de laatste (beveiligings)updates. Het gevolg hiervan is dat er tot op de dag van vandaag nog toestellen verkocht worden met een Android-versie die ouder is dan drie jaar en waarin kritieke beveiligingslekken niet zijn opgelost. Ook het zogenaamde rooten of jailbreaken van mobiele apparaten is een groot risico voor zowel de systeemveiligheid als de veiligheid van opgeslagen gegevens. Wanneer een gebruiker zijn/haar toestel jailbreakt of root, zorgt hij/zij er in essentie voor dat beveiligingsmechanismen zoals sandboxes worden omzeild. Gegevens van andere apps kunnen gemakkelijk worden uitgelezen. Ook kunnen systeemaanroepen van andere apps worden onderschept om zodoende ingebouwde beveiligingsmaatregelen als de SSL-certificaatcontrole of de veilige versleuteling van gegevens te omzeilen. Naast de verschillen in systeembeveiliging, beveiligingsmodel en architectuur zitten er grote verschillen in het toelatingsbeleid van apps in verschillende app stores. Apple hanteert, evenals Microsoft en RIM, een strikt toelatingsbeleid voor apps die in de App Store worden verkocht. Er wordt onder De beveiligingsmodellen die door de verschillende platformen worden gebruikt verschillen veel van elkaar andere gecontroleerd of de app doet wat in de beschrijving staat en voldoet aan de overeenkomst voor ontwikkelaars. Ook wordt gekeken of de app bugs bevat of crashes veroorzaakt en of de gebruikersinterface aan de gestelde richtlijnen voldoet. Deze vorm van controle is niet waterdicht, maar werpt een zodanige drempel op dat er nauwelijks tot geen malware beschikbaar komt voor ios, Windows Phone en BlackBerry OS. Google hanteert voor Google Play geen toelatingsbeleid. Ook is het bij Android-toestellen mogelijk om apps uit andere bronnen (o.a. app stores van fabrikanten) te downloaden. Dit scala aan ongecontroleerde distributiekanalen zorgt voor een grote hoeveelheid malware die specifiek is geschreven voor Android. Een onbetrouwbare netwerkinfrastructuur, diefstal of verlies van mobiele apparaten, kwetsbare besturingssystemen, jailbreaking/ rooting en mobiele malware vormen aanzienlijke risico s voor de integriteit en vertrouwelijkheid van gegevens die in mobiele apps worden gebruikt en verwerkt. De beveiligingsmodellen, systeembeveiliging en architectuur van de verschillende platformen zullen moeten worden vergeleken en er zal moeten worden nagegaan welk platform het meest geschikt is om te kunnen gebruiken voor verwerking van vertrouwelijke gegevens binnen uw organisatie. Kwetsbaarheden Zoals ik al eerder aangaf voeren we bij Madison Gurkha een groot aantal beveiligingsonderzoeken uit op webapplicaties. In onze rapportages verwijzen we vaak naar de OWASP Top 10 voor web-kwetsbaarheden. Sinds eind 2010 is er ook een OWASP Top 10 voor mobiele apps. De laatste versie van de OWASP Mobile Top 10 is in 2014 gepubliceerd. Deze bevat de volgende kwetsbaarheden: M1: Insufficient server controls M2: Insecure data storage M3: Insufficient Transport Layer protection M4: Unintended data leakage M5: Poor authorization and authentication M6: Broken cryptography M7: Client Side Injection M8: Security decisions via untrusted inputs M9: Improper session handling M10: Lack of binary protections In een vervolgartikel zal ik ingaan op de verschillende kwetsbaarheden die in de OWASP Mobile Top 10 zijn opgenomen. Hierbij wil ik ook graag enkele voorbeelden geven van kwetsbaarheden die we in de praktijk tegenkomen. Ook worden maatregelen besproken die kunnen worden genomen om deze kwetsbaarheden tegen te gaan. Madison Gurkha september

12 het verslag In de rubriek Het Verslag laten wij u delen in onze ervaringen tijdens conferenties, seminars en trainingen. Deze keer doet Matthijs Koot inhoudelijk verslag van de Black Hat Sessions Part XII. Op 17 juni 2014 vond de Black Hat Sessions Part XII plaats in de ReeHorst in Ede. Deze twaalfde editie van het jaarlijkse congres van Madison Gurkha stond in het teken van Inlichtingendiensten, Spionage & Privacy. 12 Madison Gurkha september 2014

13 het verslag Het overvolle programma bestond dit jaar uit een keynote speech van D66-Europarlementariër Marietje Schaake (zie de verslaglegging hieronder) en Wilma van Dijk, de nieuwe directeur Cyber Security bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Naast het plenaire programma konden de deelnemers kiezen uit verschillende parallelle tracks zodat zij ongeacht hun achtergrond - technisch of niet-technisch - een interessant programma konden volgen. Helaas hebben we te weinig ruimte om alle presentaties hier te behandelen. Matthijs Koot, senior security consultant bij Madison Gurkha, heeft de dag als toehoorder bijgewoond en legt in dit artikel verslag van twee lezingen. Een uitgebreidere versie van dit verslag, met meer van de lezingen vindt u op onze website. Verder wijzen wij u graag op de verschillende expertverslagen die zijn gepubliceerd op Computable. Workshop Hacken met een Teensy Tijdens de workshop zijn de deelnemers hands-on aan de slag gegaan met de Teensy: een programmeerbare USB-stick. Security consultants van Madison Gurkha legden uit hoe de Teensy werkt, wat je er mee kan, en hoe het kan worden gebruikt voor digitale spionage. De workshop en het interactieve element is bijzonder goed ontvangen door de deelnemers. Omdat er ruimte was voor maximaal twintig deelnemers per workshop bekijken wij de mogelijkheden een soortgelijke workshop op een ander moment nogmaals te verzorgen. Uiteraard houden wij u hierover op de hoogte. Keynote Marietje Schaake Marietje Schaake, Europarlementariër voor D66, is enkele uren terug uit Iran als ze om 09:30 het spits van de conferentie afbijt. Ze geeft een sterk betoog over internetvrijheid en besteedt aandacht aan ontwikkelingen in onder meer Iran. In Iran bestaat geen internetvrijheid: het land heeft eigenlijk geen internet, maar een nationaal intranet, dat uitgebreid wordt gemonitord door de staat. De Iraanse versie van internet wordt ook wel halalnet genoemd: de islamitische staat bepaalt wat er wel en niet mag, en wat gecensureerd wordt. Als voorbeeld noemt Marietje een parodie die Iraanse jongeren hadden gemaakt op het liedje Happy van Pharrell Williams. De Iraanse jongeren zongen en dansten in de parodievideo. Dat was natuurlijk niet de bedoeling, vond de staat, en de jongeren werden gearresteerd. Wet- en regelgeving kan helpen misbruik van technologie te beperken, vindt Marietje. Bijvoorbeeld door handelsbeleid: surveillance- en hackingtechnologie kan worden ondergebracht onder dual-use-technologie, waarvan de export is gereguleerd. Technologie kan ook onder licentieverplichtingen worden geplaatst. Marietje zegt technologie niet te willen verbieden, maar de economische transacties rondom zulke technologie te willen reguleren. Vanaf 10:00, op de helft van haar tijdslot, gaat Marietje liefst een half uur het gesprek aan met het publiek. Er zijn veel goede vragen, onder meer over toezicht en de (in) effectiviteit voor exportrestricties. Een key take-away uit de discussie vond ik Marietje s opmerking dat we een fundamentele discussie nodig over wat het anno 2014 betekent een democratie te zijn. In 2015 is Nederland gastheer van de vierde internationale Cyberspace Conference: hopelijk laat Nederland zich daar zien met goede ideeën over deze vraag. Frans-Paul van der Putten over China en cyberveiligheid Om 14:30 trapt Frans-Paul van der Putten, China-expert bij het Nederlands Instituut voor Internationale Betrekkingen Clingendael, zijn inhoudelijk sterke lezing af over de achtergronden en contexten van Chinese spionage. Van der Putten s eerste slide bevat de persoonsnamen, nicknames en foto s van vijf officieren van Unit 61398, een onderdeel van het Chinese militaire systeem dat zich bezig zou houden met digitale spionage gericht op energie- en metaalbedrijven. Deze officieren zijn volgens de Amerikaanse overheid militaire hackers, en worden daarom vervolgd. Het is voor de eerste keer in de geschiedenis dat de Amerikaanse overheid overgaat tot vervolging van mensen die in dienst van een andere staat cybercriminaliteit plegen, zegt Van der Putten. Van der Putten adresseert de vraag of de Amerikaanse beschuldigingen terecht zijn, en hoe belangrijk Nederland is als doelwit. impressie van de dag ochtend 08:30 Ontvangst 09:30 Keynote: Marietje Schaake 10:30 Sandro Etalle 11:45 Ot van Daalen Madison Gurkha september

14 het verslag Workshop Hacken met een Teensy Hardware Hacking met wat software erbij spreekt altijd aan Eye opener 1ste klas Leuk om met dit soort technologie te spelen en te zien dat dit ook werkt Afsluiting 14 Madison Gurkha september 2014

15 het verslag Hij schetst de context aan de hand van vijf punten. Ten eerste heeft China een kwetsbaar politiek systeem. Het systeem lijkt machtig en sterk (grote overheid en krijgsmacht), maar is het niet: er zijn allerlei symptomen waaruit blijkt dat de politieke elite zich bijzonder kwetsbaar voelt. Denk daarbij aan de manier waarop China omgaat met dissidenten: er wordt erg veel inspanning geleverd hen de kop in te drukken. Ook heeft de Communistische Partij geen officiële oppositie. Ten tweede ervaart China een vijandige wereld. Dit begon bij de Opiumoorlog (1839, GB), gevolgd door bezettingen van Beijing (1860, 1900, 1937), de steun van de VS aan de Tibetaanse opstand (1959), het wapenembargo door de VS en EU (1989), en recenter, NAVO-steun aan opstand Libië (2011) en de steun van Obama aan Japan in het eilandengeschil (2014). China vertrouwt Amerika en Japan niet. Ten derde is China één van de hoofddoelen van de NSA. Uit Snowden-onthullingen weten we bijvoorbeeld dat de NSA telecomfabrikant Huawei en de technische topuniversiteit Tsinghua University bespioneerde. Ten vierde is economische ontwikkeling de voornaamste bestaansreden van de Communistische Partij. Er is een transitie gaande van goedkope massaproductie naar hoogwaardige high-tech productie (binnenlandse consumptie als economische motor). Ten vijfde laat het beleid van China ten aanzien van internet en staatsveiligheid zien dat China het internet gedeeltelijk als gevaar ziet vanwege de activiteiten van de NSA en Taiwan. Van der Putten spreekt over het monitoren van dissidenten c.q. minderheden in ballingschap, het verzamelen van strategische data van potentiële tegenstanders, en het verkrijgen van defensietechnologie die China vanwege het wapenembargo sinds 1989 niet van de VS en Europa kan krijgen. Van der Putten sluit af met de opmerking dat Nederlandse technologie net zo relevant is voor China s ontwikkelingsmodel als Amerikaanse technologie. Zeker zolang de Communistische Partij aan de macht is, moeten we in Nederland dus niet verbaasd staan te kijken als we sporen van Chinese spionage aantreffen. Vanuit Madison Gurkha mogen we terugkijken op een zeer geslaagde editie met een recordaantal deelnemers, veel interessante lezingen en een leuke informele sfeer onder deelnemers, sponsoren en sprekers. Wij kijken er naar uit om met de volgende editie aan te slag te gaan, waarin we de gedane suggesties en ideeën zeker zullen meenemen. Hopelijk bent u er dan ook (weer) bij! De Black Hat Sessions 2015 staat vooralsnog gepland op dinsdag 18 juni Uiteraard houden wij u hierover op de hoogte. Black Hat Sessions Part XII is mede mogelijk gemaakt door veel sponsoren en media- en kennispartners, waarvoor dank! Computable, Kahuna, Palo Alto, WebSence, WeSecure (zie bijgesloten flyer voor de gratis hands-on workshops), TSTC, AT Computing, SCOS, Oi ict, NLUUG, Louwers IP Technology Advocaten, ITSX, ISACA, NOREA, PvIB, ICT Magazine, Certified Secure, CIP, Infosecurity magazine en het Ngi-NGN. Speciale dank gaat uit naar de sprekers van deze editie: Marietje Schaake, Wilma van Dijk, Wolter Pieters, Ot van Daalen, Arthur Donkers, Frans-Paul van der Putten, Sandro Etalle, Wouter Lueks, Job de Haas en Sander Degen. impressie van de dag MIDDAG 12:30 Lunch 14:30 Job de Haas Keynote: WIlma van Dijk Op vindt u de aftermovie voor een sfeerimpressie van de dag en de filmopnames van de verschillende lezingen. Ook kunt u hier terecht voor de hand-outs van de presentaties. Madison Gurkha september

16 ITSX In de ITSX-rubriek vertelt Arthur Donkers, directeur en IT security consultant bij ITSX, over de M_o_R-aanpak. Verder belichten we de training Risicomanagement en de nieuwe locatie van ITSX. Het is meer dan alleen een IT feestje! Eerder vertelde Arthur Donkers over zijn ervaringen met Management of Risk (M_o_R) n.a.v. de cursus M_o_R Foundation and Practitioner (zie ook Update 20). Inmiddels is M_o_R een onderdeel van de visie en strategie van ITSX geworden. Hiermee kan ITSX informatiebeveiliging integraal op alle niveaus van een organisatie aanpakken; op een kosteneffectieve manier. Te vaak horen we dat informatiebeveiliging een IT probleem is. Hacking, Denial-of- Service en malware hebben impact op IT en moeten daarom ook maar door IT worden opgelost. Als je informatiebeveiliging met een technische bril bekijkt, dan heb je in dit soort gevallen gelijk. Maar is dit wel het hele plaatje? Heeft deze technische bril misschien wel te grote oogkleppen? Organisaties zijn meer en meer afhankelijk geworden van IT-middelen en uitval of inbraken kunnen grote gevolgen hebben. Organisaties treffen daarom veel technische maatregelen om hun IT-middelen te beschermen. Maar hackers, spionnen en ander digitaal tuig zijn ook net mensen en liever lui dan moe. Als de technische maatregelen (vaak alleen aan de buitenkant) voldoende sterk zijn, proberen zij op een andere manier binnen te komen. Dit lukt vaak via social engineering van medewerkers (phishing), door het hacken van externe leveranciers of via fysieke inbraken en aanvallen met USB-sticks. Het blijkt al snel dat bescherming van IT-middelen alleen niet voldoende is; dreigingen en risico s komen op alle vlakken voor, zeker aan de menselijke kant. Een organisatie moet daarom over de hele breedte haar risico s kennen en beheersen. Bovendien is het belangrijk de beperkte beveiligingseuro s daar in te zetten waar ze het meeste bescherming bieden. Management of Risk (M_o_R) ondersteunt deze totaalbenadering van risicomanagement. M_o_R biedt een aanpak om op de verschillende niveaus in de organisatie risico s te identificeren, inschatten en verhelpen. Overigens is het interessante aan de M_o_R-aanpak dat een risico zowel negatief als positief kan zijn. In dat laatste geval wordt het vaak een opportunity genoemd en schept het mogelijkheden voor een organisatie om haar klanten beter van dienst te zijn of de concurrentie een stap voor te zijn. Deze mogelijkheden kunnen met M_o_R op dezelfde wijze worden beheerd als de risico s. Soms verdient de invoering van M_o_R zich alleen al terug door het herkennen en uitbuiten van deze opportunities. De verschillende niveaus van M_o_R komen overeen met de verschillende niveaus binnen een organisatie, te weten: Strategisch niveau: M_o_R ondersteunt de langetermijnstrategie, de visie en de uiteindelijke doelstellingen van een organisatie ( world domination in five years ). Op dit niveau is het belangrijk om de business-risico s en opportunities te identificeren en in te schatten. Specifieke IT-risico s spelen op dit niveau nog geen rol. De risico s en mogelijkheden vanuit de markt zijn van veel groter belang. Op strategisch niveau wordt, afhankelijk van de organisatie, vaak een planningshorizon van drie tot vijf jaar gehanteerd waarop het risicomanagement moet aansluiten. Programma niveau: Organisaties maken ontwikkelingen en verbeteringen door die via interne programma s worden bestuurd. Een programma is vaak een kralenketting van projecten die elk een deel van de verbetering moeten realiseren. De verbeterprogramma s zijn van cruciaal belang voor de ontwikkeling en het voortbestaan van een organisatie en moeten de risico s die met grote veranderingen samengaan op de juiste manier beheersen. Dergelijke veranderprogramma s hebben vaak maar een kleine IT-component; aspecten zoals cultuur, mensen en proces- sen zijn hierin veel belangrijker. Op dit niveau wordt vaak een planningshorizon van één tot drie jaar gehanteerd. Project niveau: Organisaties voeren projecten uit met het doel iets op te leveren voor haar klanten of voor zichzelf. De uitvoering van deze projecten kent veel risico s, vaak gerelateerd aan tijd of budgetoverschrijding. Het beheren en beheersen van deze risico s stelt een organisatie in staat haar projecten binnen de gestelde tijd en budget af te ronden. Op projectniveau beginnen IT gerelateerde risico s ook een rol te spelen, met name omdat IT wordt ingezet als een tool om (een deel van ) het project uit te voeren. De planningshorizon op dit niveau loopt vaak tot één jaar. Operationeel niveau: Dit is het niveau waarop de dagelijkse activiteiten van de organisatie plaatsvinden. Hier spelen IT-risico s, naast de risico s op andere gebieden, een belangrijke rol. M_o_R wordt hier aangevuld met standaarden zoals ISO en ISO Deze combinatie zorgt voor een procesmatige aanpak en beheersing van risico s dat aansluit aan bij bekende standaarden zoals ITIL, NEN 7510 en ISO 27001/2. Dit wordt dagelijks in de praktijk toegepast. ITSX hanteert deze integrale aanpak van risico s over de hele breedte van de organisatie en breder dan alleen op IT-niveau. De visie en strategie van ITSX is haar klanten te ondersteunen bij integrale beveiliging op alle niveaus vanuit een beheersing van de risico s en opportunities. Alleen op die manier kan in onze ogen informatiebeveiliging meer zijn dan een business prevention department of het loket met de paarse krokodil. 16 Madison Gurkha september 2014

17 ITSX Risicomanagement met ISO en ISO De cursus werd afgesloten met twee examens om de bijbehorende ISO-certificaten te behalen en daarmee gecertificeerd risk manager te worden. Een pittige kluif voor de cursisten maar meer dan de moeite waard voor hen die verantwoordelijk of betrokken zijn bij risicomanagement of informatiebeveiliging. In juni dit jaar verzorgde ITSX voor een gemêleerd gezelschap van IT-professionals, managers en auditors de training Risicomanagement. Tijdens deze speciale driedaagse training werden twee van de belangrijkste internationale risicomanagementstandaarden behandeld: ISO en ISO Hierbij geldt dat ISO een algemene risicomanagementstandaard is en ISO specifiek aansluit op ISO Beide zijn goed te combineren en samen te pakken in een driedaagse training. De risicomanagementhandvatten- en standaarden die op de cursus de revue passeren, gebruikt Ivan Mercalina, security consultant bij ITSX, dagelijks in zijn werk als risico-analist bij een grote Nederlandse bank waarbij hij de risico s van bedrijfsprocessen kwantificeert en aanbevelingen doet om deze risico s aanvaardbaar te houden. Bij iedere verandering zoals een nieuw domein of nieuwe regelgeving moet de impact ervan op de bedrijfsdoelen worden bepaald. Niet om alle IT-middelen absoluut veilig te krijgen, maar om - ten gunste van de bedrijfsdoelen - de bedrijfsmiddelen te classificeren naar belangrijkheid en om aanverwante risico s inzichtelijk te maken. Hiermee wordt het voor de organisatie inzichtelijk hoe zij het beste haar budget kan besteden om de risico s op een kosteneffectieve manier beheersbaar te houden. NIEUWS ITSX is verhuisd ITSX is sinds 1 juni gevestigd op de campus van de The Hague security Delta. In de volgende Update vertellen we over onze eerste ervaringen in Den Haag. Kamer 8.01 HSD Campus Wilhelmina van Pruisenweg AN Den Haag i T S X Madison Gurkha september

18 het inzicht EXTRA In de rubriek Het Inzicht stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Deze keer geeft Rinke Beimin meer inzicht in password policies. Password policies De meest gebruikte authenticatiemethode voor digitale systemen is het wachtwoord. De voornaamste reden hiervoor is dat wachtwoorden goedkoop en snel te implementeren zijn. Het kiezen van sterke wachtwoorden blijkt in de praktijk echter erg lastig te zijn. Dit blijkt bijvoorbeeld uit de bekende LinkedIn-hack, die plaatsvond in juni Tijdens deze hack verkreeg een Russische hacker toegang tot ruim zes miljoen wachtwoordhashes. Analyse van de hashes * toonde aan dat onder andere de volgende wachtwoorden werden gebruikt: Cissp1, cissp2004 en cissplinkedin (CISSP is een bekend certificaat voor security professionals). Zouden dit wachtwoorden zijn die door security professionals worden gebruikt voor toegang tot hun eigen, echte LinkedIn-profiel? Als security professionals al moeite hebben met het kiezen van goede wachtwoorden, hoe kan dit dan verwacht worden van de gewone computergebruiker? In dit artikel wordt eerst stilgestaan bij wat password policies zijn en welke aanvallen slagen wanneer zwakke wachtwoorden gebruikt worden. Ten slotte worden enkele best practices behandeld waarmee een flinke stap in de richting kan worden gezet naar een betrouwbaar wachtwoordbeleid. Password policies Password policies zijn een onderdeel van security policies. Binnen een organisatie beschrijven security policies alle maatregelen en afspraken omtrent de complete aanpak van security, waaronder zowel alle fysieke en digitale security. Het onderdeel password policy beschrijft alle zaken rondom het gebruik en de implementatie van wachtwoorden. Hierin wordt onder andere beschreven welk type wachtwoorden er worden geaccepteerd, hoe vaak een gebruiker mag proberen in te loggen, hoe er met wachtwoorden om dient te worden gegaan en de duur waarna wachtwoorden verstrijken (wachtwoordrotatie). Een password policy kan een adviserende functie hebben, maar het is uiteraard aan te raden om deze regels ook technisch af te dwingen. Er zijn twee manieren waarop aanvallers de sterkte van gebruikerswachtwoorden kunnen achterhalen: via onlineaanvallen en via offline-aanvallen. Wat valt er te zeggen over de sterkte van wachtwoorden in het licht van deze aanvallen? Online-aanvallen Het online aanvallen van wachtwoorden gebeurt het vaakst door wachtwoorden geautomatiseerd te raden tegen een vooraf bekende of veelgebruikte gebruikersnaam (brute-force attack). De meest simpele vorm van deze aanval is het raden van wachtwoorden op een inlogportaal via de browser. Niet alleen webapplicaties kunnen op deze manier worden aangevallen, ook voor diensten als FTP, IMAP, RDP en SSH is dit mogelijk. Om deze aanval lastiger te maken kan een lockout-mechanisme worden geïmplementeerd. Zorg er bijvoorbeeld voor dat gebruikers maximaal drie tot vijf maal mogen proberen in te loggen, waarna ze hun account bij een systeembeheerder moeten laten ontgrendelen. Een andere interessante aanval is om gebruikers te enumereren, bijvoorbeeld als gebruikersnamen een vaste structuur hebben, en om dan voor iedere gebruikersnaam het veelvoorkomende wachtwoord Welkom01! te proberen. Zou dit tot een geslaagde inlogpoging leiden in uw organisatie? Offline-aanvallen Wachtwoorden worden, als het goed is, gehasht opgeslagen in databases. Wachtwoordhashes worden berekend op basis van een hashfunctie die wordt toegepast op het originele wachtwoord, waardoor wachtwoorden niet onmiddellijk leesbaar zijn als de database door een aanvaller wordt gecompromitteerd. Het offline aanvallen van wachtwoorden betekent dat een aanvaller de originele wachtwoorden probeert te achterhalen op basis van deze wachtwoordhashes (de inhoud van de database is dan al in handen van de aanvaller). Dit wordt ook wel aangeduid als het kraken van wachtwoorden (password cracking). Het verschil in snelheid ten opzichte van het online aanvallen van wachtwoorden, is dat wachtwoorden offline kunnen worden gekraakt met miljarden pogingen per seconde. De vraag is in dit geval niet of er wachtwoorden uitlekken, maar hoeveel wachtwoorden er zullen uitlekken. Mensen zijn in het algemeen niet erg creatief in het bedenken van wachtwoorden. Zeker niet wanneer er een stapel werk ligt te wachten en ze door de server worden geattendeerd op hun halfjaarlijkse wachtwoordrotatie. Dit leidt vaak tot wachtwoorden die een combinatie bevatten van seizoenen, jaartallen, voornamen of geografische namen. Software die wachtwoordhashes aanvalt (bijv. John, Hashcat) kan dan ook gemakkelijk geconfigureerd worden om woordenlijsten te gebruiken die dergelijke veelgebruikte termen bevatten. Vaak bevatten password policies de regel dat 18 Madison Gurkha september 2014

19 het inzicht EXTRA het verslag Agenda wachtwoorden hoofdletters, cijfers en speciale tekens dienen te bevatten. Om aan deze regel te voldoen voegen mensen deze tekens veelal voor of na het wachtwoord toe. De eerdergenoemde software kan woordenlijsten vervolgens combineren met een regelset om ook deze tekenreeksen voor en na het wachtwoord te genereren. Deze combinatie van woordenlijsten met regelsets, tezamen met het feit dat miljarden wachtwoorden per seconde kunnen worden getest, leidt er in de praktijk toe dat van veel gehashte wachtwoorden het originele wachtwoord kan worden verkregen. Best practices We sluiten dit artikel af met een aantal best practices die ter harte kunnen worden genomen om de kansen op een inbraakpoging door aanvallers zo klein mogelijk te houden: Pas standaardwachtwoorden aan na het in gebruik nemen van nieuwe software. Hoogstwaarschijnlijk is dit de meest simpele - en tegelijkertijd ook de meestvoorkomende manier - waarop aanvallers binnen kunnen dringen bij organisaties. Voor alle duidelijkheid: tijdens onze onderzoeken komen we nog steeds regelmatig binnen dankzij standaardwachtwoorden. Om accounts enigszins te beschermen tegen offline-aanvallen dient afgedwongen te worden dat wachtwoorden minimaal negen karakters zijn. Wachtwoorden van acht karakters kunnen met minimale hardware binnen redelijke tijd gekraakt worden. Tevens dienen hoofdletters, cijfers en speciale karakters te worden opgenomen in het wachtwoord om de ruimte van mogelijke wachtwoorden (password space) zo groot mogelijk te maken. Dwing bij voorkeur af dat speciale karakters of cijfers niet aan het begin of het eind van het wachtwoord voorkomen, aangezien dit in veel regelsets wordt meegenomen wanneer hashes offline worden aangevallen. Implementeer een blacklist van veelvoorkomende wachtwoorden die door gebruikers niet mogen worden gekozen als wachtwoord. Implementeer ook een blacklist per gebruiker voor eerder gebruikte wachtwoorden die niet meer door die specifieke gebruiker gebruikt mogen worden. Dit voorkomt dat het wachtwoordrotatiemechanisme er niet tot leidt dat een gebruiker steeds switcht tussen twee wachtwoorden. In gevallen waar wachtwoorden sterk moeten verschillen kunnen nieuwe wachtwoorden worden verworpen op basis van te grote overeenkomsten. Implementeer een computationeel zwaar algoritme om wachtwoordhashes mee te genereren, zoals PBKDF2. Voor de functionaliteit van de applicatie is de snelheid van het algoritme verwaarloosbaar; een legitieme gebruiker voert namelijk maar een aantal inlogpogingen uit. Voor het kraken van wachtwoorden maakt dit echter een enorm verschil. Geef mensen bedenktijd voor het wijzigen van hun wachtwoord en geef tips voor het bedenken van goede wachtwoorden. Wanneer een persoon per direct een wachtwoord moet wijzigen, alvorens het werk te hervatten, zal in de regel geen sterk wachtwoord bedacht worden. Raad mensen tevens aan een gemakkelijk te onthouden zin te gebruiken (passphrase). Die zijn veel langer dan wachtwoorden. * In de Madison Gurkha Update presenteren wij een lijst met interessante bijeenkomsten die komende tijd zullen plaatsvinden. 25 september 2014 Veilig informatie delen: lessen, gevolgen en toekomst Sociëteit de Witte, Den Haag Seminar georganiseerd door ECP omtrent het veilig delen van informatie. Naast verschillende presentaties vindt er een paneldiscussie plaats met o.a. Walter Belgers van Madison Gurkha. Deelname is kosteloos. 8 oktober 2014 Security-Congres 2014 Behoorlijk beveiligd Postillion Hotel Utrecht, Bunnik Hét congres zonder files, georganiseerd door ISACA, NOREA en PviB. Naast plenaire lezingen heeft u de mogelijkheid deel te nemen aan parallelle sessies. Madison Gurkha steunt het congres als sponsor. 29 en 30 oktober 2014 Vakbeurs Infosecurity.nl Jaarbeurs Utrecht Infosecurity.nl is dé Nederlandse vakbeurs op het gebied van IT security. Een must voor iedere IT-professional. Het centrale thema dit jaar is the Internet of Things. Wij ontmoeten u graag op onze stand B154, meteen vooraan bij de ingang. 18 november 2014 Black Hat for Lawyers Van Abbemuseum Eindhoven Zeer praktijkgerichte kennismiddag gericht op bedrijfsjuristen dagelijks te maken hebben met het vertalen van vereisten uit weten regelgeving naar maatregelen die in bedrijfsprocessen en ICT moeten worden genomen. Meer informatie vindt u elders in deze Update. het colofon Redactie Rinke Beimin Daniël Dragičević Laurens Houben Remco Huisman Matthijs Koot Maayke van Remmen Ward Wouts Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan Contactgegevens Madison Gurkha B.V. Postbus CE Eindhoven Nederland T F E Redactie Bezoekadres Vestdijk CA Eindhoven Nederland Voor een digitale versie van de Madison Gurkha Update kunt u terecht op Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend. Madison Gurkha september

20 Informatiebeveiliging & Privacy Verschillende expertises: één integraal advies Informatiebeveiliging & Privacy Techniek Organisatie Your Security is Our Business i T S X Alle aspecten in één integraal advies Recht één team, één advies, één aanspreekpunt Meer informatie Wilt u meer weten over onze unieke multidisciplinaire aanpak op het gebied van informatiebeveiliging en privacy? Neem dan vrijblijvend contact op met ITSX via of Madison Gurkha B.V ITSX B.V Louwers IP Technology Advocaten

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

VERSLAG Black Hat Sessions Part XII

VERSLAG Black Hat Sessions Part XII VERSLAG Black Hat Sessions Part XII Op 17 juni vond de twaalfde editie van de Black Hat Sessions plaats. Matthijs Koot, security consultant bij Madison Gurkha, heeft de dag als toehoorder bijgewoond en

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Uw bedrijf beschermd tegen cybercriminaliteit

Uw bedrijf beschermd tegen cybercriminaliteit Uw bedrijf beschermd tegen cybercriminaliteit MKB is gemakkelijke prooi voor cybercriminelen Welke ondernemer realiseert zich niet af en toe hoe vervelend het zou zijn als er bij zijn bedrijf wordt ingebroken?

Nadere informatie

Zest Application Professionals Training &Workshops

Zest Application Professionals Training &Workshops Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on

Nadere informatie

Factsheet Enterprise Mobility

Factsheet Enterprise Mobility Factsheet Enterprise Mobility www.vxcompany.com Informatie willen we overal, altijd en op elk device beschikbaar hebben. Privé, maar zeker ook zakelijk. Met het gebruik van mobile devices zoals smartphones

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Training en workshops

Training en workshops Mirabeau Academy HACKING OWASP TOP 10 Training en workshops MIRABEAU ACADEMY AHEAD IN A DIGITAL WORLD Digitaal denken zit in onze code. We weten exact wat er online speelt. Sinds 2001 ontwikkelen we platformen

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Microsoft Office 365 voor bedrijven. Remcoh legt uit

Microsoft Office 365 voor bedrijven. Remcoh legt uit Microsoft Office 365 voor bedrijven Remcoh legt uit Beter samenwerken, ook onderweg Starten met Office 365 is starten met het nieuwe werken. Met Office 365 heeft u namelijk de mogelijkheid om altijd en

Nadere informatie

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Testnet Presentatie Websecurity Testen Hack Me, Test Me 1 Testnet Voorjaarsevenement 05 April 2006 Hack Me, Test Me Websecurity test onmisbaar voor testanalist en testmanager Edwin van Vliet Yacht Test Expertise Center Hack me, Test me Websecurity test, onmisbaar

Nadere informatie

Black Hat Sessions X Past Present Future. Inhoud. 2004 BHS III Live Hacking - Looking at both sides of the fence

Black Hat Sessions X Past Present Future. Inhoud. 2004 BHS III Live Hacking - Looking at both sides of the fence Black Hat Sessions X Past Present Future Madison Gurkha BV 4 april 2012 Stefan Castille, MSc., GCIH, SCSA Frans Kollée, CISSP, GCIA, GSNA Inhoud Een terugblik naar 2004 BHS III De situatie vandaag de dag

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Windows Server 2003 End of support

Windows Server 2003 End of support Windows Server 2003 End of support Wat betekent dit voor mijn organisatie? Remcoh legt uit Met dit nieuwsitem brengt Remcoh de naderende End of Support datum voor Windows Server 2003 onder uw aandacht.

Nadere informatie

Your Security is Our Business. Consultancy. IT-beveiligingsonderzoeken. Penetratietesten. Security Awareness

Your Security is Our Business. Consultancy. IT-beveiligingsonderzoeken. Penetratietesten. Security Awareness Your Security is Our Business Consultancy IT-beveiligingsonderzoeken Penetratietesten Security Awareness Customer Focus De medewerkers van Madison Gurkha zijn heel sterk in het meedenken en het zich verplaatsen

Nadere informatie

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich P R E V E N T I E Cybercontract biedt bedrijven toegang tot een unieke set gespecialiseerde diensten bij lokale professionals! Diensten van bewezen kwaliteit snel en centraal toegankelijk. Zo helpen we

Nadere informatie

Certified Ethical Hacker v9 (CEH v9)

Certified Ethical Hacker v9 (CEH v9) Certified Ethical Hacker v9 (CEH v9) Opleiding van 8 sessies Start: 18-02-2016, Tramstraat 63, 9052 Zwijnaarde Lesdata van deze opleiding: 18/02/2016 ( 09:00-12:00 ) 18/02/2016 ( 13:00-16:00 ) 19/02/2016

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Mobile Device Security

Mobile Device Security Masterclass met 14 sprekers! Masterclass Mobile Device Security Krijg inzicht in risico s en kwetsbaarheden bij beveiliging van Next Generation Smartphones & Tablets Speerpunten Benut de mogelijkheden

Nadere informatie

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een

Nadere informatie

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox A Algemeen 1. Gegevens aanvrager Naam: Adres: Dochter- Bedrijven 50% aandel of meer: Heeft u een vestiging in de VS/ Canada Graag een opgave van uw activiteiten: Graag een opgave van uw website(s) : 2.

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers Je bent zichtbaarder dan je denkt Een programma over cyber security awareness Informatie voor managers Je bent zichtbaarder dan je denkt Informatie voor managers 2 Voorwoord Het cybersecuritybeeld van

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

Smartphones onder vuur

Smartphones onder vuur Smartphones onder vuur Dominick Bertens Account Manager NAVO & NL Agenda Sectra Communications Bedreigingen Bring Your Own Device Panthon 3 Samenvatting Security Masterclass Vragen Sectra Communications

Nadere informatie

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Kinderen van een jaar weten tegenwoordig al de weg op een tablet. De computer en het internet zijn niet

Nadere informatie

HANDLEIDING EXTERNE TOEGANG CURAMARE

HANDLEIDING EXTERNE TOEGANG CURAMARE HANDLEIDING EXTERNE TOEGANG CURAMARE Via onze SonicWALL Secure Remote Access Appliance is het mogelijk om vanaf thuis in te loggen op de RDS omgeving van CuraMare. Deze handleiding beschrijft de inlogmethode

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Doe de poll via the Live App

Doe de poll via the Live App INGRID LIGTHART Je software in de private cloud Doe de poll via the Live App Iedereen heeft het over cloud Cloud is de toekomst Doe mee aan de private cloud poll! Geef nu uw mening via de Exact live app

Nadere informatie

Gebruik tweefactorauthenticatie

Gebruik tweefactorauthenticatie Gebruik tweefactorauthenticatie Overweeg een wachtwoordmanager, simpele wachtwoorden zijn onveilig Factsheet FS-2015-02 versie 1.0 24 maart 2015 Accounts worden beveiligd door middel van een gebruikersnaam

Nadere informatie

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015 Asset 1 van 17 Mobile Application Management en security Gepubliceerd op 18 april 2015 Veel organisaties hebben de afgelopen jaren hun eigen mobiele enterprise apps ontwikkeld. De data hierin is potentieel

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

1. Uw tablet beveiligen

1. Uw tablet beveiligen 11 1. Uw tablet beveiligen Het risico op virussen of andere schadelijke software (malware genoemd) is bekend van pc s. Minder bekend is dat u ook op een tablet met malware geconfronteerd kan worden als

Nadere informatie

4G Dienstbeschrijving Februari 2013

4G Dienstbeschrijving Februari 2013 4G Dienstbeschrijving Februari 2013 Inhoud 4G; WAT IS HET?... 3 WAAROM 4G VAN KPN?... 3 WAT KUNT U MET 4G?... 3 WAT HEEFT U NODIG OM GEBRUIK TE KUNNEN MAKEN VAN 4G?... 4 INTERNET TOEGANG EN APN INSTELLINGEN...

Nadere informatie

TO CLOUD OR NOT TO CLOUD

TO CLOUD OR NOT TO CLOUD TO CLOUD OR NOT TO CLOUD DE VOOR- EN NADELEN VAN DIGITALE FACTUURVERWERKING IN DE CLOUD Organisatie Easy Systems B.V. Telefoon +31 (0)318 648 748 E-mail info@easysystems.nl Website www.easysystems.nl Auteur

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Veelgestelde Vragen Veilig Online Pakket van HISCOX

Veelgestelde Vragen Veilig Online Pakket van HISCOX Juni 2014 1 Veelgestelde Vragen Veilig Online Pakket van HISCOX Bescherming Verzekering Service Juni 2014 2 Inhoud 1. Waarom biedt Hiscox in samenwerking met ABN AMRO het Veilig Online Pakket aan? 3 2.

Nadere informatie

WEBSITE APK WAAR KOMEN DE GEGEVENS VANDAAN?

WEBSITE APK WAAR KOMEN DE GEGEVENS VANDAAN? 1 WEBSITE APK WAAR KOMEN DE GEGEVENS VANDAAN? OPZET Voor het bepalen van de scores in de website APK wordt uitsluitend gebruik gemaakt van openbare gegevens of gegevens die direct uit uw website volgen.

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag > Retouradres Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Directoraat Generaal Bestuur en Koninkrijksrelaties Burgerschap en Informatiebeleid www.rijksoverheid.nl

Nadere informatie

Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht

Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht Alstublieft, een cadeautje van uw gemeente! Maak gebruik van het Nieuwe Internet en geef uw burgers een eigen veilige plek in de

Nadere informatie

VOOR EN NADELEN VAN DE CLOUD

VOOR EN NADELEN VAN DE CLOUD VOOR EN NADELEN VAN DE CLOUD VOOR EN NADELEN VAN DE CLOUD Cloud storage. Back-up in de cloud. Er zijn verschillende benamingen voor diensten die computergebruikers in staat stellen om hun documenten en

Nadere informatie

DigiNotar certificaten

DigiNotar certificaten DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

Deze privacy policy is van toepassing op de verwerking van persoonsgegevens van gebruikers van de websites en apps van McDiver.

Deze privacy policy is van toepassing op de verwerking van persoonsgegevens van gebruikers van de websites en apps van McDiver. Privacy Policy Wij respecteren jouw privacy. Jouw gegevens worden niet ongevraagd met derden gedeeld en je kunt zelf beslissen welke gegevens je wel of juist niet online wilt delen. Benieuwd naar alle

Nadere informatie

Zarafa Email en Agenda

Zarafa Email en Agenda Pagina 1 van 6 Zarafa Email en Agenda Altijd en overal kunnen beschikken over je email, een up-to-date agenda en al je contactpersonen? Direct een mailtje terug kunnen sturen? Een nieuwe afspraak kunnen

Nadere informatie

Dienstbeschrijving Internet Veiligheidspakket Versie september 2015

Dienstbeschrijving Internet Veiligheidspakket Versie september 2015 Dienstbeschrijving Internet Veiligheidspakket Versie september 2015 Inhoudsopgave Hoofdstuk 1. Inleiding 3 1.1 F-Secure 3 1.2 Verschillende pakketten 3 Hoofdstuk 2. Pc en Mac 4 2.1 Functionaliteiten 4

Nadere informatie

Academy4learning. Trainingsaanbod 2015-2016

Academy4learning. Trainingsaanbod 2015-2016 Academy4learning Aan de slag met Academy4learning Welkom bij Academy4learning! Met praktijkgerichte trainingen en workshops ondersteunen we docenten en medewerkers bij de invoering en het gebruik van digitaal

Nadere informatie

Zakelijk Mobiel. Dienstbeschrijving Juni 2013

Zakelijk Mobiel. Dienstbeschrijving Juni 2013 Zakelijk Mobiel Dienstbeschrijving Juni 2013 INHOUD ONBEZORGD MOBIEL BELLEN EN INTERNETTEN 3 ZAKELIJK MOBIEL ABONNEMENTEN VOOR IEDEREEN 4 ZAKELIJK MOBIEL GROEP SIM VOOR LAPTOP/TABLET 4 DELEN VAN TEGOEDEN

Nadere informatie

Geautomatiseerd Website Vulnerability Management. PFCongres/ 17 april 2010

Geautomatiseerd Website Vulnerability Management. PFCongres/ 17 april 2010 Geautomatiseerd Website Vulnerability Management Ing. Sijmen Ruwhof (ZCE) PFCongres/ 17 april 2010 Even voorstellen: Sijmen Ruwhof Afgestudeerd Information Engineer, met informatiebeveiliging als specialisatie

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Deny nothing. Doubt everything.

Deny nothing. Doubt everything. Deny nothing. Doubt everything. Hack to the Future Marinus Kuivenhoven Sr. Security Specialist Houten, 23 juni 2015 marinus.kuivenhoven@sogeti.com 2 Het valt op Wij leren niet van het verleden Zekerheid

Nadere informatie

Kijken, kiezen, maar wat te kopen?

Kijken, kiezen, maar wat te kopen? Kijken, kiezen, maar wat te kopen? 15 aandachtspunten bij overgang naar de cloud Cloud biedt voor veel organisaties de mogelijkheid om te innoveren zonder hoge investeringen. Zowel Telecom providers als

Nadere informatie

Informatie is overal: Heeft u er grip op?

Informatie is overal: Heeft u er grip op? Informatie is overal: Heeft u er grip op? Zowel implementatie als certificering Omdat onze auditors geregistreerd zijn bij de Nederlandse Orde van Register EDP-auditors (NOREA), kan Koenen en Co zowel

Nadere informatie

Kenmerken Nomadesk Software

Kenmerken Nomadesk Software Kenmerken Nomadesk Software DATABEVEILIGING Versleutelde lokale schijf Nomadesk creëert een veilige virtuele omgeving, een Vault, op uw lokale harde schijf. Alle mappen en bestanden opgeslagen op de Vault

Nadere informatie

Bepalen toekomstige computertechnologie

Bepalen toekomstige computertechnologie Eén van de onmenselijke kanten van de computer is dat hij, eenmaal goed geprogrammeerd en goed werkend, zo volslagen eerlijk is (Isaac Asimov) Hoofdstuk 26 Bepalen toekomstige V1.1 / 01 september 2015

Nadere informatie

Security Management Trendonderzoek. Chloë Hezemans

Security Management Trendonderzoek. Chloë Hezemans Security Management Trendonderzoek Chloë Hezemans Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020? Voorstellen Chloë

Nadere informatie

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006 Bart de Wijs Stappen ze bij u ook gewoon door de achterdeur binnen? All rights reserved. 5/17/2006 IT Security in de Industrie FHI 11 Mei 2006 Achterdeuren? Heeft u ook: Slide 2 Van die handige USB memory

Nadere informatie

Brochure ISO 27002 Advanced

Brochure ISO 27002 Advanced Brochure ISO 27002 Advanced Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische Universiteit

Nadere informatie

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting Telematica Hoofdstuk 20 4Passief: n Afluisteren Bedreigingen n Alleen gegevens (inclusief passwords) opgenomen n Geen gegevens gewijzigd of vernietigd n Op LAN kan elk station alle boodschappen ontvangen

Nadere informatie

Office 365. Auteur: Roy Scholten Datum: 9/11/2015 Versie: 1.3 OPENICT B.V.

Office 365. Auteur: Roy Scholten Datum: 9/11/2015 Versie: 1.3 OPENICT B.V. Office 365. Auteur: Roy Scholten Datum: 9/11/2015 Versie: 1.3 Over Open ICT De afgelopen jaren zijn de technische ontwikkelingen snel gegaan, de typemachine is vervangen door de tablet. De ontwikkelingssnelheid

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Forecast XL Technology

Forecast XL Technology Forecast XL Technology Introductie Forecast XL is een vertrouwde, eenvoudig te gebruiken cloud applicatie, gekenmerkt door redundante IT-omgevingen en dynamische toewijzing van middelen. Gebruikers kunnen

Nadere informatie

Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V.

Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V. Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V. Past Present Future Black Hat Sessions 2012 AGENDA Past Present Future Black Hat Sessions 2012 Wie is DI? Shenandoa case Uitdagingen Eerste Bevindingen

Nadere informatie

OpenText RightFax. Intuitive Business Intelligence. Whitepaper. BI/Dashboard oplossing voor OpenText RightFax

OpenText RightFax. Intuitive Business Intelligence. Whitepaper. BI/Dashboard oplossing voor OpenText RightFax OpenText RightFax Intuitive Business Intelligence Whitepaper BI/Dashboard oplossing voor OpenText RightFax Beschrijving van de oplossing, functionaliteit & implementatie Inhoud 1 Introductie 2 Kenmerken

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Identify and mitigate your IT risk

Identify and mitigate your IT risk Identify and mitigate your IT risk ICT risico = bedrijfsrisico In de ontwikkeling die organisaties doormaken, speelt ICT een belangrijke rol. ICT heeft bedrijfsprocessen efficiënter en effectiever gemaakt.

Nadere informatie

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. John Lieberwerth Agenda Even voorstellen Cloud Computing De tien Plagen Gebruikersorganisatie en ICT

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

Waarom Webfysio? www.webfysio.nl - team@webfysio.nl

Waarom Webfysio? www.webfysio.nl - team@webfysio.nl Uw cliënt verdient toch maatwerk zorg? Waarom Webfysio? Uw eigen online en blended maatwerk educatie- & zorgpakketten aanbieden Online communicatie via cliënt specifieke agenda, notificaties en email Direct

Nadere informatie

Oplossingen overzicht voor Traderouter > 02/11/2010

Oplossingen overzicht voor Traderouter > 02/11/2010 Oplossingen overzicht voor Traderouter > 02/11/2010 Netconnex is opgericht in 2004 (Gezeteld in Belgie maar het hoofd datacenter gelegen in Nederland [omgeving Amsterdam]). Zeer gestaag groeiende onderneming

Nadere informatie

BeheerVisie ondersteunt StUF-ZKN 3.10

BeheerVisie ondersteunt StUF-ZKN 3.10 Nieuwsbrief BeheerVisie Nieuwsbrief BeheerVisie 2015, Editie 2 Nieuws BeheerVisie ondersteunt StUF-ZKN 3.10 BeheerVisie geeft advies MeldDesk App Message Router MeldDesk Gebruikers Forum Nieuwe MeldDesk

Nadere informatie

Meest mobiele organisatie van Nederland

Meest mobiele organisatie van Nederland Resultaten onderzoek Meest mobiele organisatie van Nederland Juni 2013 Uitkomsten onderzoek onder top organisaties in Nederland Uitgevoerd door Keala Research & Consultancy in de periode mei tot en met

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

WHITEPAPER IN 5 MINUTEN. 12. Mooier, maar vooral beter

WHITEPAPER IN 5 MINUTEN. 12. Mooier, maar vooral beter WHITEPAPER IN 5 MINUTEN S E P T E M B E R 2 0 1 4 12. Mooier, maar vooral beter Introductie Steeds vaker krijgen we de vraag om een redesign te doen van een app of een website. De stap naar responsive

Nadere informatie

Remcoh Mobile Device beheer. Remcoh legt uit

Remcoh Mobile Device beheer. Remcoh legt uit Remcoh Mobile Device beheer Remcoh legt uit White Paper Middels deze white paper informeert en adviseert Remcoh u over slim beheer van mobiele apparaten en toegang daarmee tot uw bedrijfsgegevens. Waarom

Nadere informatie

Kwetsbaarheden in BIOS/UEFI

Kwetsbaarheden in BIOS/UEFI Kwetsbaarheden in BIOS/UEFI ONDERZOEKSRAPPORT DOOR TERRY VAN DER JAGT, 0902878 8 maart 2015 Inhoudsopgave Inleiding... 2 Wat is een aanval op een kwetsbaarheid in het BIOS?... 2 Hoe wordt een BIOS geïnfecteerd?...

Nadere informatie

Doel van de opleiding informatieveiligheid

Doel van de opleiding informatieveiligheid Doel van de opleiding informatieveiligheid Het netwerk voor elektronische uitwisseling van persoonsgegevens tussen de diverse instellingen van de sociale zekerheid, dat door de Kruispuntbank wordt beheerd,

Nadere informatie

Werken in de Cloud. Prijzen.xls. Geschikt voor. Werken in de cloud

Werken in de Cloud. Prijzen.xls. Geschikt voor. Werken in de cloud Pag. 1 Downloads.xls Facturatie.xls Voorraad.xls Prijzen.xls Prijzen.xls Werknemers.xls Klantgegevens.xls Prijzen.xls Voorraad.xls xls Werknemers.xls Voorraad.xls Werknemers.xls Downloads.xls Werknemers.xls

Nadere informatie

Windows Server 2008 helpt museum met het veilig delen van informatie

Windows Server 2008 helpt museum met het veilig delen van informatie Windows Server 2008 helpt museum met het veilig delen van informatie Het Rijksmuseum Amsterdam beschikt over een collectie Nederlandse kunstwerken vanaf de Middeleeuwen tot en met de twintigste eeuw. Het

Nadere informatie

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken.

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken. Cloud computing Kennismaking Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken. Onze kennis, ervaring, methodieken en ons netwerk levert aantoonbare toegevoegde waarde en

Nadere informatie