update i T S X DE COLUMN 2 Remco Huisman HET NIEUWS 3 DigiD IT Security meets Legal Vakbeurs Infosecurity

Transcriptie

1 Your Security is Our Business 22 sept 2014 update DE COLUMN 2 Remco Huisman HET NIEUWS 3 DigiD IT Security meets Legal Vakbeurs Infosecurity HET INTERVIEW 4 Interview met Marianne Korpershoek, Louwers IP Technology Advocaten HET INZICHT 7 Ton van Deursen over kennismanagement bij Madison Gurkha DE HACK 10 Mobiele applicaties; Risico s, kwetsbaarheden en aanvalsvectoren door Daniël Dragi čevićć HET verslag 12 Black Hat Sessions Part XII: Inlichtingendiensten, Spionage & Privacy ITSX 16 Het is meer dan alleen een IT feestje! door Arthur Donkers Risicomanagement met ISO en ISO Nieuwe locatie ITSX HET INZICHT EXTRA 18 Rinke Beimin geeft meer inzicht in password policies agenda 19 HET COLOFON 19 i T S X

2 de column In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer Remco Huisman over de vinkjescultuur. De vinkjescultuur Het onderwerp van informatiebeveiliging en privacy krijgt steeds meer de aandacht die het verdient, zeker vanuit het oogpunt van wet- en regelgeving. Dat is voor ons vakgebied (in principe) een positieve ontwikkeling. In het nog niet zo heel verre verleden zijn er voorbeelden te noemen die aantonen dat wet- en regelgeving noodzakelijk is om verbeteringen te realiseren op het gebied van informatiebeveiliging en privacy. Neem Lektober in Brenno de Winter toonde dat najaar aan dat veel gemeentes hun zaakjes niet echt op orde hadden. Dat die gemeentewebsites lek waren is niet fraai, maar erger was dat daarmee ook de betrouwbaarheid van DigiD in gevaar kwam. Het lek op de ene website had immers (potentieel) gevolgen voor de veiligheid van alle andere bij DigiD aangesloten sites. Dat werd een te serieus en bedreigend probleem en voilà, de Logius DigiD norm was geboren. Gemeentes en andere DigiD-gebruikers zoals veel ziekenhuizen, maar ook bijvoorbeeld SVB, UWV en de Belastingdienst, dienen jaarlijks aan te tonen dat zij aan deze norm voldoen. Hoe kun je aan deze norm voldoen? Door het zetten van vinkjes of je aan bepaalde onderdelen van de norm wel of niet voldoet. Het zetten van vinkjes is uiteraard noodzakelijk voor de administratieve afhandeling. Tot zover werkt een dergelijk norm alleen maar positief. Zorgelijk wordt het als een norm tot een de facto standaard wordt verheven om aan de informatiebeveiligings- en privacyverplichtingenˈte voldoen. Want wat zegt het over de kwetsbaarheid van bijvoorbeeld het (interne) netwerk, de WiFi-aansluiting, applicaties die geen gebruik maken van DigiD, het EPD of de toegang tot het GBA? Allemaal onderdelen waarvoor onder de Logius DigiD norm geen vinkjes hoeven te worden gezet, maar die wel cruciaal zijn voor de algehele IT-beveiliging. In dit soort - helaas reguliere - gevallen, lijkt de norm een negatief bijeffect te krijgen; in plaats van informatiebeveiliging en privacy optimale aandacht te geven, verschuilt men zich achter de goedbedoelde norm om daarmee eigenlijk het omgekeerde te doen. Wat te denken van de organisatie die door het CBP op de hielen werd gezeten voor een eerdere datalekkage. Deze organisatie gunde de penetratietest niet aan Madison Gurkha met als argument jullie vinden te veel. Daarmee werd het namelijk moeilijker voor ze om het vinkje te krijgen. Uiteraard zijn wij blij met het compliment, maar het toont ook aan tot welke uitwassen de vinkjescultuurˈ kan leiden. Genoeg over goedbedoelde normen met onbedoelde neveneffecten. Er ligt alweer een nieuwe Update. Er is sinds het laatste exemplaar veel gebeurd en er staat ook weer veel op stapel. Zo kunt u meer lezen over de afgelopen Black Hat Sessions: drukker en succesvoller dan ooit. De workshop Hacken met een Teensy smaakt naar meer. Met trots kondigen we ook een nieuwe samenwerking aan met een ogenschijnlijk onverwachte partner: Louwers IP Technology Advocaten. Toch is deze samenwerking heel logisch, want zoals ik al eerder schreef: wet- en regelgeving op het gebied van informatiebeveiliging en privacy neemt alleen maar toe. Ook geven we in deze Update een kijkje in onze keuken: Hoe komt het nou dat onze consultants zo goed zijn? Door hun kennis en kunde natuurlijk! Maar hoe komen ze daaraan? Daarnaast bieden we deze editie meer inzicht in password policies en laten we in de rubriek De Hack mobiele applicaties de revue passeren. Resteert mij nog een persoonlijk mededeling. In Update 21 heeft u kunnen lezen over mijn voornemen om de Alpe d Huez zes keer op te fietsen om geld in te zamelen voor KWF Kankerbestrijding. Het is gelukt en als team hebben we ruim euro opgehaald. Bij deze nogmaals mijn dank aan alle sponsors en ITSX en Madison Gurkha in het bijzonder. Remco Huisman Commercieel directeur PS! Oh ja, reserveert u 29 en 30 oktober vast in uw agenda. Dan staat Madison Gurkha samen met ITSX weer op de Infosecurity vakbeurs in Utrecht. 2 Madison Gurkha september 2014

3 In Het Nieuws belichten we nieuwe ontwikkelingen in de IT-beveiligingswereld en rondom Madison Gurkha. het NIEUWS IT Security meets Legal Op 13 november organiseren Madison Gurkha, ITSX en Louwers IP Technology Advocaten een Black Hat for Lawyers gericht op bedrijfsjuristen die beter begrip willen krijgen van de niet-juridische aspecten als het gaat om IT-beveiliging. Tijdens deze zeer praktijkgerichte sessie legt Madison Gurkha uit hoe de techniek van het hacken werkt en laten ITSX en Louwers IP Technology Advocaten zien hoe bedrijven hun organisaties en hun contracten zo kunnen inrichten dat de informatiebeveiliging geborgd blijft. Zie ook het interview op pag 4. De Black Hat for Lawyers wordt georganiseerd in het van Abbemuseum te Eindhoven en zal duren van uur tot uur met aansluitend de mogelijkheid tot netwerken en verdere discussie. Is er binnen uw organisatie interesse? Ga naar voor meer informatie en om u aan te melden. Relaties van Madison Gurkha profiteren van 10% relatiekorting. Vakbeurs Infosecurity Op 29 en 30 oktober a.s. staat er weer een Infosecurity vakbeurs gepland. Madison Gurkha en ITSX zijn dit jaar aanwezig, op dezelfde stand als vorig jaar (meteen vooraan bij de ingang) om u op een interactieve kennis te laten maken met de verschillende expertises op het gebied van informatiebeveiliging en privacy en onze multidisciplinaire aanpak hierin. Op onze website vindt u de registratiebanner voor een gratis toegangsbadge. Binnenkort volgt hier bovendien meer informatie over de demo s en presentaties die wij voor u in petto hebben. DigiD assessment In een Kamerbrief dd. 9 juli 2014 heeft Minister Plasterk, minister van Binnenlandse Zaken en Koninkrijksrelaties, laten weten de uiterste inleverdatum voor het assessmentrapport in het vervolg te bepalen op 1 mei. Daarbij geldt tevens dat het assessmentrapport niet eerder dan 1 januari mag worden ingediend. Dit betekent concreet dat de aangesloten organisaties het eerstvolgende assessmentrapport moeten inleveren bij Logius vóór 1 mei Voor de volledige brief zie: De uitvoering van het assessment mag wel vóór januari 2015 plaatsvinden. Het is van groot belang hier tijdig mee te beginnen. Madison Gurkha is actief betrokken geweest bij de totstandkoming van de auditmethode en heeft ruime ervaring opgedaan met de uitvoering van DigiD audits. Benieuwd naar onze unieke aanpak? Neem vrijblijvend contact op via sales@madison-gurkha.com voor meer informatie. Het laatste kwartaal is voor ons de drukste tijd van het jaar. Kom niet voor vervelende verrassingen te staan en neem tijdig contact met ons op om de audit in te plannen en voor te bereiden. Graag tot ziens op 29 en 30 oktober in de Jaarbeurs Utrecht bij stand B154. Madison Gurkha september

4 het interview Deze keer een interview met Marianne Korpershoek, advocaat en mede-oprichter Louwers IP Technology Advocaten waarmee Madison Gurkha en ITSX een samenwerking zijn aangegaan. Complexe vraagstukken samen oplossen Veranderingsprocessen als gevolg van een snel ontwikkelend IT-landschap vergen de nodige inspanning van organisaties op het gebied van informatiebeveiliging en privacy. Madison Gurkha, ITSX en Louwers IP Technology Advocaten bundelen hun individuele expertises om zowel de technische, organisatorische als juridische kant van security en privacy voor uw organisatie in kaart te brengen en te borgen. 4 Madison Gurkha september 2014

5 het interview Het vroeg inschakelen van een advocaat zorgt er juist voor dat de juridische valkuilen vermeden worden en dat juridische problemen in de kiem gesmoord worden Wie is Louwers IP Technology Advocaten? Wij zijn een nichekantoor met acht advocaten gespecialiseerd in innovatie en intellectueel eigendomsrecht zoals auteursrecht, merken- en octrooirecht en technologierecht. Bij dit laatste moet je denken aan IT, privacy, security, technologielicenties en andere contracten en procedures over bijvoorbeeld (mislukte) automatisering. Wat zijn de belangrijkste diensten die Louwers IP Technology Advocaten verleent en aan wat voor een soort klanten? Louwers IP Technology Advocaten werkt voor het grotere MKB, het grootbedrijf, lagere overheden en de Rijksoverheid. Binnen de ICT concentreren we ons daarbij vooral op de markt van de afnemers en inkoop. De advocaten van Louwers zijn zowel sterk in het geven van advies, het uitonderhandelen en opstellen van contracten als procederen over technologievraagstukken. Met name dat laatste (procederen) onderscheidt ons van andere juristen. De kritische blik van de rechter dwingt je als jurist het probleem tot op het bot te analyseren. Die ervaring zorgt er weer voor dat je proactief kan adviseren en daarmee de beste oplossing voor de klant kunt bieden. Hoe blijven jullie up-to-date in de snel veranderende markt? Dimmes Doornhein is sinds 1 januari 2014 als Chief Technology Officer (CTO) verbonden aan Louwers IP Technology Advocaten. Dimmes is een internationaal ervaren technologie ondernemer die alle hoeken en gaten van de technologiemarkt kent. Louwers IP Technology Advocaten is al sinds 2006 een nichekantoor op het gebied van intellectueel eigendom en technologie. Ondanks het feit dat Louwers een flink track-record heeft op het gebied van technologie, wilden we graag ook een andere kijk hebben op de markt. Advocaten komen in de regel pas in het geweer wanneer er problemen zijn, met als gevolg dat projecten enorm vertragen en de advocaatkosten onnodig hoog worden. Terwijl het vroeg inschakelen van een advocaat er juist voor zorgt dat de juridische valkuilen vermeden worden en dat juridische problemen in de kiem gesmoord worden. Dimmes weet als geen ander dat time to market en rapid prototyping van levensbelang zijn in de huidige markt. Dat heeft onze aanpak veranderd en ervoor gezorgd dat we al in de (business)plan fase mee kunnen denken. Madison Gurkha september

6 het interview Waarom samenwerken met Madison Gurkha en ITSX? Complexe vraagstukken zoals privacy en informatiebeveiliging kunnen niet alleen óf juridisch óf technisch óf organisatorisch worden opgelost. Het moet een package deal zijn waarbij de drie vakgebieden naadloos op elkaar aansluiten. Alleen op die manier weet een bedrijf zeker dat zijn gegevens in alle opzichten optimaal beveiligd zijn. Uiteraard kunnen onze diensten ook bij andere partijen worden afgenomen maar Madison Gurkha, ITSX en Louwers IP Technology Advocaten werken intensief samen om een dienstenpakket te ontwikkelen die een klant volledig ontzorgt. Welke ontwikkelingen zie je op het gebied van privacy- en datalekkenwetgeving? Vooraanstaande wetenschappers en journalisten maken steeds meer en opnieuw duidelijk hoe diep de informatietechnologie binnendringt in het privédomein van mensen; banken die persoonsgegevens verkopen of bijvoorbeeld leningen die worden geweigerd op basis van iemands profiel. Deze ontwikkeling baart wereldwijd zorgen. In Europa is er strengere privacywetgeving in de maak die Europa-breed de bestaande privacyregels verder aan moet scherpen. Bedrijven worden hierin verplicht om naast de bestaande verplichtingen, een privacy impact assessment (PIA) uit te voeren en de privacy zo goed mogelijk te borgen door middel van privacy by design in de ontwerpfase van systemen waarbij persoonsgegevens worden verwerkt. Als de plannen doorgaan, kunnen de privacy waakhonden straks forse boetes opleggen die kunnen oplopen tot maximaal 100 miljoen euro of 5% van de wereldwijde omzet. Om deze ontwikkelingen voor bedrijven en overheden beheersbaar te houden is het van groot belang dat alle informatie tijdig in kaart wordt gebracht en dat er een realistische inschatting gemaakt wordt van de impact op het moment dat het verkeerd gaat. Marianne (M.C.) Korpershoek Marianne Korpershoek studeerde rechten aan de Rijksuniversiteit Leiden. In 1989 is zij begonnen als jurist bij Albert Heijn in Zaandam. In 1997 is zij gestart als advocaat in Tilburg. In 1999 heeft zij de post-academische specialisatie-opleiding ICT-recht aan de Grotius Academie afgerond. Van 2000 tot 2004 was zij in Eindhoven werkzaam bij een ander kantoor en aansluitend als zelfstandig IT-advocaat. Per 1 december 2006 is Marianne Korpershoek met Ernst-Jan Louwers een nichekantoor begonnen onder de naam Louwers IP Technology Advocaten te Eindhoven. Sinds 1 augustus 2014 is het kantoor ook gevestigd in Den Haag. Hoe maken jullie het complexe verhaal van wet- en regelgeving zo inzichtelijk en actueel mogelijk? In dit kader spreekt Huub de Jong, advocaat bij Louwers, binnenkort tijdens een studiemiddag waarbij de juridische aspecten van IT security worden behandeld. Meer informatie is te vinden op Daarnaast vindt er ook een wisselwerking plaats waarbij bedrijfsjuristen meer inzicht krijgen in de techniek. Op 18 november a.s. organiseren we samen met Madison Gurkha en ITSX een interactief seminar; een Black Hat for Lawyers waarbij we zowel de technische, organisatorische als juridische kant van security en privacy belichten. De sessie is bij uitstek geschikt voor bedrijfsjuristen en advocaten die dagelijks te maken hebben met het vertalen van vereisten uit wet- en regelgeving naar maatregelen die in bedrijfsprocessen en ICT moeten worden genomen. Want hoe kun je de organisatie weerbaar maken tegen inbreuken op informatiebeveiliging zodat de bedrijfsdoelen worden beschermd? Om antwoord te geven op deze vraag is het in eerste instantie van belang om een basale kennis te hebben over de techniek van IT security. Meer informatie over deze middag vindt u elders in deze Update. Ten Hagestraat EG Eindhoven E korpershoek@louwersadvocaten.nl T Zuid-Hollandlaan AL s-gravenhage E dejong@louwersadvocaten.nl T Madison Gurkha september 2014

7 In deze extra rubriek van het Inzicht vertelt Ton van Deursen hoe de security consultants van Madison Gurkha ervoor zorgen dat hun kennis en kunde te allen tijde optimaal en up-to-date is. het inzicht Hoe wij onze kennis opdoen en bijhouden Madison Gurkha september

8 HET INZICHT Een vraag die ons als security consultants van Madison Gurkha regelmatig gesteld wordt, is: Waar halen jullie je kennis vandaan? De IT-beveiligingsonderzoeken die je als security consultant uitvoert, zijn immers erg divers. De ene week onderzoek je een ASP.NET-applicatie, de week erna doe je een WiFi-onderzoek en de week daarna een penetratietest van een intern netwerk. De security mindset Het belangrijkste is dat security een mindset is. Security consultants zien de wereld anders dan anderen. Ze zijn altijd op zoek naar hoe iets stuk gemaakt kan worden. Het oog van een security consultant valt meteen op dat toegangspoortje waar je toch zeker met zijn tweeën door kunt. Een onbeheerde netwerkpoort waar je zo je laptop op in kan prikken is een kwelling voor een security consultant. Menig security consultant zal zich afvragen wat de applicatie zou doen als hij per ongeluk zijn telefoonnummer afsluit met een aanhalingsteken. Een goede security consultant hoeft daarom niet alle technische details van de te onderzoeken technologie, applicatie of systeem te kennen. Hij gebruikt zijn creativiteit om zo snel mogelijk uit te vinden wat de meest zinvolle aanvalspaden zijn. Hiervoor is het nodig om te kunnen denken als een tegenstander of aanvaller; als iemand die er alles aan doet om jouw systeem te laten doen waarvoor het niet bedoeld is. Het creëren van een security mindset is makkelijker gezegd dan gedaan. Van kleins af aan worden we getraind om dingen te maken; niet stuk te maken. We leren hoe we een toren van blokken maken, hoe we een band plakken en hoe we een applicatie ontwikkelen die zowel op Android als op ios draait. We leren niet hoe we zonder sleutel het huis van de buren in kunnen, hoe we negatieve bedragen over kunnen boeken, of hoe we zonder te betalen aan boodschappen kunnen komen. Een belangrijke bron van kennisvergaring is onze NERD-tijd Als security consultant zul je ervoor moeten zorgen dat je je security mindset traint. Dit doe je voornamelijk door je kennis van aanvalstechnieken, verdedigingstechnieken, kwetsbaarheden en (nieuwe) technologieën op peil te houden. Je leert dan immers van de fouten die anderen gemaakt hebben en zult daarom sneller mogelijke aanvalspaden kunnen identificeren. NERD: Never Ending Research and Development Als security consultants bij Madison Gurkha zorgen we er op een aantal manieren voor dat onze technische kennis up-todate blijft. Een belangrijke bron van kennisvergaring is onze NERD-tijd. De (vermoedelijk niet toevallig gekozen) afkorting NERD staat voor Never Ending Research and Development. Als consultant worden we één dag per week als NERD vrijgeroosterd om technische kennis op te doen. Deze tijd gebruiken we voor het bijlezen van security blogs, mailinglijsten en forums. Verder kunnen we in deze tijd software- en hardwaretools ter ondersteuning van onze onderzoekswerkzaamheden uitproberen. Als laatste houdt een grote groep zich bezig met het schrijven van software voor het automatiseren van een gedeelte van onze werkzaamheden. Verder hanteren we het vier-ogen-principe. Dit houdt in dat nagenoeg alle onderzoeken worden uitgevoerd door minimaal twee personen in doorgaans roulerende teams. Noodzakelijkerwijs werken consultants hierdoor samen met verschillende achtergronden, kennisniveaus en creatieve vermogens. Het samenwerken met verschillende consultants zorgt ervoor dat we scherp blijven en dat kennis niet geconcentreerd blijft, maar zich juist verspreidt. Hoewel het vier-ogen-principe garandeert dat kennis ten minste op één persoon overgedragen wordt, verdient in sommige gevallen kennisdeling met alle consultants de voorkeur. Hiervoor hebben we een halve dag per maand kennisdelings- 8 Madison Gurkha september 2014

9 HET INZICHT Security consultants zijn altijd op zoek naar hoe iets stuk gemaakt kan worden sessies. Hierbij geven maandelijks enkele security consultants een presentatie of workshop. In een dergelijke sessie presenteert een security consultant een uitgevoerde aanval, een nieuwe tool, een gebruikte techniek, of ieder ander onderwerp dat voor technische consultants van belang kan zijn. Als laatste bron van kennisvergaring gebruiken we als consultants cursussen en hackerconferenties. Op hackerconferenties is veel te leren over state-of-the-art aanvallen. Relevante cursussen zijn er in allerlei soorten en maten. Afhankelijk van interesse bepaalt de consultant welke cursus en welk onderwerp geschikt is. Naast de vele online cursussen die er de laatste jaren zijn verschenen op het gebied van IT security, zijn er ook een aantal trainingsinstituten die bewezen hebben hoogwaardige IT security cursussen te kunnen verzorgen. SANS SEC660 Een cursus die bij mij al een tijdje op het lijstje stond, was SEC660 van het trainingsinstituut SANS. De officiële titel van SEC660 is Advanced Penetration Testing, Exploits, and Ethical Hacking, ofwel penetration testing voor gevorderden. In mei van dit jaar heb ik deze cursus met collega Matthijs Koot gevolgd. De cursus werd gegeven door de auteur van het cursusmateriaal Stephen Sims. Stephen heeft jarenlange ervaring als penetration tester en ik kan met recht zeggen dat hij een geweldige cursusleider is. SEC660 is een zesdaagse cursus die doorgaat in de avonduren en propvol genoemd mag worden. De cursus biedt een gezonde mix van theorie, demo s en hands-on oefeningen. Het gaat te ver om de volledige inhoud van de cursus te bespreken, maar een kleine greep uit het cursusmateriaal: manipulatie van netwerkprotocollen, het omzeilen van network admission control, aanvallen op cryptografische implementaties, tools en technieken voor fuzzing, uitbreken uit dichtgetimmerde omgevingen en het schrijven van exploits voor Linux, Windows XP, 7 en 8. Twee onderwerpen waren voor mij persoonlijk bijzonder interessant. Als eerste het aanvallen van routing- en switchingprotocollen. De inrichtingen van netwerken wordt namelijk vaak veilig geacht. Echter, in de praktijk wordt in bedrijfsnetwerken erg veel gebruikgemaakt van verouderde protocollen en onveilige standaardconfiguraties. Hierdoor is het regelmatig mogelijk om je als aanvaller naar een ander VLAN te verplaatsen en soms is het zelfs mogelijk om routeringsinformatie te injecteren. Het tweede hoogtepunt van de cursus was voor mij het vinden van beveiligingslekken door middel van fuzzing en het uitbuiten hiervan door het schrijven van exploits. Met fuzzing wordt getracht op een intelligente manier incorrecte data naar een applicatie te sturen. Het doel hiervan is te achterhalen op welke punten de invoervalidatie tekortschiet. Wanneer een dergelijke kwetsbaarheid gevonden is, kan hiervoor een exploit geschreven worden om uitgebreide toegang te krijgen. In moderne besturingssystemen wordt dit echter bemoeilijkt door beveiligingsmaatregelen als DEP en ASLR. Een groot deel van de cursus was erop gericht om technieken te leren om deze beveiligingsmaatregelen te omzeilen. De laatste dag van SEC660 was gereserveerd voor een capture-the-flag. Tijdens deze zes uur durende challenge moest zoveel mogelijk van de opgedane kennis in de praktijk gebracht worden om vlaggen te verzamelen. Afhankelijk van de moeilijkheidsgraad van de challenges konden punten verzameld worden en de prijs voor de winnaar van de capture-theflag was de felbegeerde SEC660- medaille (zie de afbeelding). Met twee uitstekende medecursisten vormden Matthijs en ik een team om zoveel mogelijk vlaggen te verzamelen. En zoals het echte Gurkhas betaamt, prijkt de medaille nu in de trofeeënkast in Eindhoven. Madison Gurkha september

10 DE HACK Dit keer in de rubriek De Hack vertelt Daniël Dragicevi č c over het gebruik van mobiele apps en de verschillende risico s die het met zich meebrengt. Mobiele applicaties; Risico s, kwetsbaarheden en aanvalsvectoren We leven in een post-pc tijdperk. Dat wil zeggen, een groot deel van onze werkzaamheden - zowel privé als zakelijk - voeren we al tijden niet meer enkel uit vanachter onze computer. We maken voor onze werkzaamheden steeds meer gebruik van mobiele apparaten. Deze nieuwe manier van werken brengt risico s met zich mee. Meer en meer kritieke data wordt via onder andere webservices ontsloten voor gebruik op tablets en mobiele telefoons. In ons werkveld voeren we naast webapplicatie-onderzoeken ook steeds meer onderzoeken naar mobiele apps en achterliggende serversystemen uit. Tijdens deze onderzoeken komen we veelal dezelfde risico s en kwetsbaarheden tegen. In dit artikel wil ik graag ingaan op de verschillende risico s die het gebruik van mobiele apps met zich meebrengt. Risico s Bij ingebruikname van mobiele apps voor het verwerken van vertrouwelijke gegevens zijn er een aantal risico s die moeten worden onderkend. Allereerst, het gebruik in onbeveiligde omgevingen. Inherent aan het gebruik van mobiele apparaten is dat er overal mee kan worden gewerkt. Dat wil zeggen, de netwerkinfrastructuur die wordt gebruikt om vertrouwelijke gegevens op te halen of te versturen kan niet altijd worden vertrouwd. Het risico op zogenaamde man-in-the-middle-aanvallen is in dit scenario vele malen groter dan wanneer iemand bijvoorbeeld op zijn of haar werkplek op kantoor zit. Door ervoor te zorgen dat een app controleert met welk serversysteem wordt gecommuniceerd voordat gevoelige gegevens worden verzonden of ontvangen, kan een succesvolle MitMaanval worden voorkomen. Vooral in publieke ruimtes als treinen, stations en restaurants is het risico van verlies of diefstal van een telefoon of tablet een scenario waarmee rekening gehouden moet worden. Een correcte versleuteling van opgeslagen gegevens en de mogelijkheid tot het op afstand wissen van een toestel zijn maatregelen die kunnen worden genomen om ervoor te zorgen dat vertrouwelijke gegevens niet op straat komen te liggen. Vervolgens is er de diversiteit aan mobiele platformen. Denk aan ios, Android, Windows Phone en BlackBerry. Al deze platformen hebben een eigen architectuur en beveiligingsmodel. De beveiligingsmodellen die door de verschillende platformen worden gebruikt verschillen veel van elkaar. Bijvoorbeeld de veilige opslag van gegevens: op een ios-systeem kan de zogenaamde keychain als veilige opslagplaats voor gebruikersgegevens worden gebruikt. Gegevens die een app in de keychain opslaat zijn enkel voor die specifieke app benaderbaar. Bij een Androidsysteem is de keychain enkel bedoeld voor een veilige opslag van van sleutel- en certificaatmateriaal. App-ontwikkelaars zullen voor Android zelf moeten zorgen voor een veilige manier van opslag van gebruikersgegevens. Een app die voor meerdere platformen 10 Madison Gurkha september 2014

11 de hack beschikbaar is, kan ook op het ene platform veel veiliger zijn opgezet dan op het andere platform. Wanneer in uw organisatie verschillende platformen worden gebruikt, kan het verhelderend zijn om de verschillen tussen de gebruikte apps in kaart te brengen. Dit geeft een duidelijker beeld van de risico s per mobiel platform. Wanneer we kijken naar de systeembeveiliging van mobiele apparaten, zien we eveneens belangrijke verschillen. Waar bij Apple s ios, Microsoft s Windows Phone en RIM s BlackBerry OS een gecentraliseerde oplossing is gekozen voor het uitrollen van (beveiligings)updates, is er bij Android een afhankelijkheid van de fabrikant van het toestel voor het ontvangen van updates. Dit zorgt er doorgaans voor dat een groot deel van de Android-gebaseerde toestellen niet voorzien zijn van de laatste (beveiligings)updates. Het gevolg hiervan is dat er tot op de dag van vandaag nog toestellen verkocht worden met een Android-versie die ouder is dan drie jaar en waarin kritieke beveiligingslekken niet zijn opgelost. Ook het zogenaamde rooten of jailbreaken van mobiele apparaten is een groot risico voor zowel de systeemveiligheid als de veiligheid van opgeslagen gegevens. Wanneer een gebruiker zijn/haar toestel jailbreakt of root, zorgt hij/zij er in essentie voor dat beveiligingsmechanismen zoals sandboxes worden omzeild. Gegevens van andere apps kunnen gemakkelijk worden uitgelezen. Ook kunnen systeemaanroepen van andere apps worden onderschept om zodoende ingebouwde beveiligingsmaatregelen als de SSL-certificaatcontrole of de veilige versleuteling van gegevens te omzeilen. Naast de verschillen in systeembeveiliging, beveiligingsmodel en architectuur zitten er grote verschillen in het toelatingsbeleid van apps in verschillende app stores. Apple hanteert, evenals Microsoft en RIM, een strikt toelatingsbeleid voor apps die in de App Store worden verkocht. Er wordt onder De beveiligingsmodellen die door de verschillende platformen worden gebruikt verschillen veel van elkaar andere gecontroleerd of de app doet wat in de beschrijving staat en voldoet aan de overeenkomst voor ontwikkelaars. Ook wordt gekeken of de app bugs bevat of crashes veroorzaakt en of de gebruikersinterface aan de gestelde richtlijnen voldoet. Deze vorm van controle is niet waterdicht, maar werpt een zodanige drempel op dat er nauwelijks tot geen malware beschikbaar komt voor ios, Windows Phone en BlackBerry OS. Google hanteert voor Google Play geen toelatingsbeleid. Ook is het bij Android-toestellen mogelijk om apps uit andere bronnen (o.a. app stores van fabrikanten) te downloaden. Dit scala aan ongecontroleerde distributiekanalen zorgt voor een grote hoeveelheid malware die specifiek is geschreven voor Android. Een onbetrouwbare netwerkinfrastructuur, diefstal of verlies van mobiele apparaten, kwetsbare besturingssystemen, jailbreaking/ rooting en mobiele malware vormen aanzienlijke risico s voor de integriteit en vertrouwelijkheid van gegevens die in mobiele apps worden gebruikt en verwerkt. De beveiligingsmodellen, systeembeveiliging en architectuur van de verschillende platformen zullen moeten worden vergeleken en er zal moeten worden nagegaan welk platform het meest geschikt is om te kunnen gebruiken voor verwerking van vertrouwelijke gegevens binnen uw organisatie. Kwetsbaarheden Zoals ik al eerder aangaf voeren we bij Madison Gurkha een groot aantal beveiligingsonderzoeken uit op webapplicaties. In onze rapportages verwijzen we vaak naar de OWASP Top 10 voor web-kwetsbaarheden. Sinds eind 2010 is er ook een OWASP Top 10 voor mobiele apps. De laatste versie van de OWASP Mobile Top 10 is in 2014 gepubliceerd. Deze bevat de volgende kwetsbaarheden: M1: Insufficient server controls M2: Insecure data storage M3: Insufficient Transport Layer protection M4: Unintended data leakage M5: Poor authorization and authentication M6: Broken cryptography M7: Client Side Injection M8: Security decisions via untrusted inputs M9: Improper session handling M10: Lack of binary protections In een vervolgartikel zal ik ingaan op de verschillende kwetsbaarheden die in de OWASP Mobile Top 10 zijn opgenomen. Hierbij wil ik ook graag enkele voorbeelden geven van kwetsbaarheden die we in de praktijk tegenkomen. Ook worden maatregelen besproken die kunnen worden genomen om deze kwetsbaarheden tegen te gaan. Madison Gurkha september

12 het verslag In de rubriek Het Verslag laten wij u delen in onze ervaringen tijdens conferenties, seminars en trainingen. Deze keer doet Matthijs Koot inhoudelijk verslag van de Black Hat Sessions Part XII. Op 17 juni 2014 vond de Black Hat Sessions Part XII plaats in de ReeHorst in Ede. Deze twaalfde editie van het jaarlijkse congres van Madison Gurkha stond in het teken van Inlichtingendiensten, Spionage & Privacy. 12 Madison Gurkha september 2014

13 het verslag Het overvolle programma bestond dit jaar uit een keynote speech van D66-Europarlementariër Marietje Schaake (zie de verslaglegging hieronder) en Wilma van Dijk, de nieuwe directeur Cyber Security bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Naast het plenaire programma konden de deelnemers kiezen uit verschillende parallelle tracks zodat zij ongeacht hun achtergrond - technisch of niet-technisch - een interessant programma konden volgen. Helaas hebben we te weinig ruimte om alle presentaties hier te behandelen. Matthijs Koot, senior security consultant bij Madison Gurkha, heeft de dag als toehoorder bijgewoond en legt in dit artikel verslag van twee lezingen. Een uitgebreidere versie van dit verslag, met meer van de lezingen vindt u op onze website. Verder wijzen wij u graag op de verschillende expertverslagen die zijn gepubliceerd op Computable. Workshop Hacken met een Teensy Tijdens de workshop zijn de deelnemers hands-on aan de slag gegaan met de Teensy: een programmeerbare USB-stick. Security consultants van Madison Gurkha legden uit hoe de Teensy werkt, wat je er mee kan, en hoe het kan worden gebruikt voor digitale spionage. De workshop en het interactieve element is bijzonder goed ontvangen door de deelnemers. Omdat er ruimte was voor maximaal twintig deelnemers per workshop bekijken wij de mogelijkheden een soortgelijke workshop op een ander moment nogmaals te verzorgen. Uiteraard houden wij u hierover op de hoogte. Keynote Marietje Schaake Marietje Schaake, Europarlementariër voor D66, is enkele uren terug uit Iran als ze om 09:30 het spits van de conferentie afbijt. Ze geeft een sterk betoog over internetvrijheid en besteedt aandacht aan ontwikkelingen in onder meer Iran. In Iran bestaat geen internetvrijheid: het land heeft eigenlijk geen internet, maar een nationaal intranet, dat uitgebreid wordt gemonitord door de staat. De Iraanse versie van internet wordt ook wel halalnet genoemd: de islamitische staat bepaalt wat er wel en niet mag, en wat gecensureerd wordt. Als voorbeeld noemt Marietje een parodie die Iraanse jongeren hadden gemaakt op het liedje Happy van Pharrell Williams. De Iraanse jongeren zongen en dansten in de parodievideo. Dat was natuurlijk niet de bedoeling, vond de staat, en de jongeren werden gearresteerd. Wet- en regelgeving kan helpen misbruik van technologie te beperken, vindt Marietje. Bijvoorbeeld door handelsbeleid: surveillance- en hackingtechnologie kan worden ondergebracht onder dual-use-technologie, waarvan de export is gereguleerd. Technologie kan ook onder licentieverplichtingen worden geplaatst. Marietje zegt technologie niet te willen verbieden, maar de economische transacties rondom zulke technologie te willen reguleren. Vanaf 10:00, op de helft van haar tijdslot, gaat Marietje liefst een half uur het gesprek aan met het publiek. Er zijn veel goede vragen, onder meer over toezicht en de (in) effectiviteit voor exportrestricties. Een key take-away uit de discussie vond ik Marietje s opmerking dat we een fundamentele discussie nodig over wat het anno 2014 betekent een democratie te zijn. In 2015 is Nederland gastheer van de vierde internationale Cyberspace Conference: hopelijk laat Nederland zich daar zien met goede ideeën over deze vraag. Frans-Paul van der Putten over China en cyberveiligheid Om 14:30 trapt Frans-Paul van der Putten, China-expert bij het Nederlands Instituut voor Internationale Betrekkingen Clingendael, zijn inhoudelijk sterke lezing af over de achtergronden en contexten van Chinese spionage. Van der Putten s eerste slide bevat de persoonsnamen, nicknames en foto s van vijf officieren van Unit 61398, een onderdeel van het Chinese militaire systeem dat zich bezig zou houden met digitale spionage gericht op energie- en metaalbedrijven. Deze officieren zijn volgens de Amerikaanse overheid militaire hackers, en worden daarom vervolgd. Het is voor de eerste keer in de geschiedenis dat de Amerikaanse overheid overgaat tot vervolging van mensen die in dienst van een andere staat cybercriminaliteit plegen, zegt Van der Putten. Van der Putten adresseert de vraag of de Amerikaanse beschuldigingen terecht zijn, en hoe belangrijk Nederland is als doelwit. impressie van de dag ochtend 08:30 Ontvangst 09:30 Keynote: Marietje Schaake 10:30 Sandro Etalle 11:45 Ot van Daalen Madison Gurkha september

14 het verslag Workshop Hacken met een Teensy Hardware Hacking met wat software erbij spreekt altijd aan Eye opener 1ste klas Leuk om met dit soort technologie te spelen en te zien dat dit ook werkt Afsluiting 14 Madison Gurkha september 2014

15 het verslag Hij schetst de context aan de hand van vijf punten. Ten eerste heeft China een kwetsbaar politiek systeem. Het systeem lijkt machtig en sterk (grote overheid en krijgsmacht), maar is het niet: er zijn allerlei symptomen waaruit blijkt dat de politieke elite zich bijzonder kwetsbaar voelt. Denk daarbij aan de manier waarop China omgaat met dissidenten: er wordt erg veel inspanning geleverd hen de kop in te drukken. Ook heeft de Communistische Partij geen officiële oppositie. Ten tweede ervaart China een vijandige wereld. Dit begon bij de Opiumoorlog (1839, GB), gevolgd door bezettingen van Beijing (1860, 1900, 1937), de steun van de VS aan de Tibetaanse opstand (1959), het wapenembargo door de VS en EU (1989), en recenter, NAVO-steun aan opstand Libië (2011) en de steun van Obama aan Japan in het eilandengeschil (2014). China vertrouwt Amerika en Japan niet. Ten derde is China één van de hoofddoelen van de NSA. Uit Snowden-onthullingen weten we bijvoorbeeld dat de NSA telecomfabrikant Huawei en de technische topuniversiteit Tsinghua University bespioneerde. Ten vierde is economische ontwikkeling de voornaamste bestaansreden van de Communistische Partij. Er is een transitie gaande van goedkope massaproductie naar hoogwaardige high-tech productie (binnenlandse consumptie als economische motor). Ten vijfde laat het beleid van China ten aanzien van internet en staatsveiligheid zien dat China het internet gedeeltelijk als gevaar ziet vanwege de activiteiten van de NSA en Taiwan. Van der Putten spreekt over het monitoren van dissidenten c.q. minderheden in ballingschap, het verzamelen van strategische data van potentiële tegenstanders, en het verkrijgen van defensietechnologie die China vanwege het wapenembargo sinds 1989 niet van de VS en Europa kan krijgen. Van der Putten sluit af met de opmerking dat Nederlandse technologie net zo relevant is voor China s ontwikkelingsmodel als Amerikaanse technologie. Zeker zolang de Communistische Partij aan de macht is, moeten we in Nederland dus niet verbaasd staan te kijken als we sporen van Chinese spionage aantreffen. Vanuit Madison Gurkha mogen we terugkijken op een zeer geslaagde editie met een recordaantal deelnemers, veel interessante lezingen en een leuke informele sfeer onder deelnemers, sponsoren en sprekers. Wij kijken er naar uit om met de volgende editie aan te slag te gaan, waarin we de gedane suggesties en ideeën zeker zullen meenemen. Hopelijk bent u er dan ook (weer) bij! De Black Hat Sessions 2015 staat vooralsnog gepland op dinsdag 18 juni Uiteraard houden wij u hierover op de hoogte. Black Hat Sessions Part XII is mede mogelijk gemaakt door veel sponsoren en media- en kennispartners, waarvoor dank! Computable, Kahuna, Palo Alto, WebSence, WeSecure (zie bijgesloten flyer voor de gratis hands-on workshops), TSTC, AT Computing, SCOS, Oi ict, NLUUG, Louwers IP Technology Advocaten, ITSX, ISACA, NOREA, PvIB, ICT Magazine, Certified Secure, CIP, Infosecurity magazine en het Ngi-NGN. Speciale dank gaat uit naar de sprekers van deze editie: Marietje Schaake, Wilma van Dijk, Wolter Pieters, Ot van Daalen, Arthur Donkers, Frans-Paul van der Putten, Sandro Etalle, Wouter Lueks, Job de Haas en Sander Degen. impressie van de dag MIDDAG 12:30 Lunch 14:30 Job de Haas Keynote: WIlma van Dijk Op vindt u de aftermovie voor een sfeerimpressie van de dag en de filmopnames van de verschillende lezingen. Ook kunt u hier terecht voor de hand-outs van de presentaties. Madison Gurkha september

16 ITSX In de ITSX-rubriek vertelt Arthur Donkers, directeur en IT security consultant bij ITSX, over de M_o_R-aanpak. Verder belichten we de training Risicomanagement en de nieuwe locatie van ITSX. Het is meer dan alleen een IT feestje! Eerder vertelde Arthur Donkers over zijn ervaringen met Management of Risk (M_o_R) n.a.v. de cursus M_o_R Foundation and Practitioner (zie ook Update 20). Inmiddels is M_o_R een onderdeel van de visie en strategie van ITSX geworden. Hiermee kan ITSX informatiebeveiliging integraal op alle niveaus van een organisatie aanpakken; op een kosteneffectieve manier. Te vaak horen we dat informatiebeveiliging een IT probleem is. Hacking, Denial-of- Service en malware hebben impact op IT en moeten daarom ook maar door IT worden opgelost. Als je informatiebeveiliging met een technische bril bekijkt, dan heb je in dit soort gevallen gelijk. Maar is dit wel het hele plaatje? Heeft deze technische bril misschien wel te grote oogkleppen? Organisaties zijn meer en meer afhankelijk geworden van IT-middelen en uitval of inbraken kunnen grote gevolgen hebben. Organisaties treffen daarom veel technische maatregelen om hun IT-middelen te beschermen. Maar hackers, spionnen en ander digitaal tuig zijn ook net mensen en liever lui dan moe. Als de technische maatregelen (vaak alleen aan de buitenkant) voldoende sterk zijn, proberen zij op een andere manier binnen te komen. Dit lukt vaak via social engineering van medewerkers (phishing), door het hacken van externe leveranciers of via fysieke inbraken en aanvallen met USB-sticks. Het blijkt al snel dat bescherming van IT-middelen alleen niet voldoende is; dreigingen en risico s komen op alle vlakken voor, zeker aan de menselijke kant. Een organisatie moet daarom over de hele breedte haar risico s kennen en beheersen. Bovendien is het belangrijk de beperkte beveiligingseuro s daar in te zetten waar ze het meeste bescherming bieden. Management of Risk (M_o_R) ondersteunt deze totaalbenadering van risicomanagement. M_o_R biedt een aanpak om op de verschillende niveaus in de organisatie risico s te identificeren, inschatten en verhelpen. Overigens is het interessante aan de M_o_R-aanpak dat een risico zowel negatief als positief kan zijn. In dat laatste geval wordt het vaak een opportunity genoemd en schept het mogelijkheden voor een organisatie om haar klanten beter van dienst te zijn of de concurrentie een stap voor te zijn. Deze mogelijkheden kunnen met M_o_R op dezelfde wijze worden beheerd als de risico s. Soms verdient de invoering van M_o_R zich alleen al terug door het herkennen en uitbuiten van deze opportunities. De verschillende niveaus van M_o_R komen overeen met de verschillende niveaus binnen een organisatie, te weten: Strategisch niveau: M_o_R ondersteunt de langetermijnstrategie, de visie en de uiteindelijke doelstellingen van een organisatie ( world domination in five years ). Op dit niveau is het belangrijk om de business-risico s en opportunities te identificeren en in te schatten. Specifieke IT-risico s spelen op dit niveau nog geen rol. De risico s en mogelijkheden vanuit de markt zijn van veel groter belang. Op strategisch niveau wordt, afhankelijk van de organisatie, vaak een planningshorizon van drie tot vijf jaar gehanteerd waarop het risicomanagement moet aansluiten. Programma niveau: Organisaties maken ontwikkelingen en verbeteringen door die via interne programma s worden bestuurd. Een programma is vaak een kralenketting van projecten die elk een deel van de verbetering moeten realiseren. De verbeterprogramma s zijn van cruciaal belang voor de ontwikkeling en het voortbestaan van een organisatie en moeten de risico s die met grote veranderingen samengaan op de juiste manier beheersen. Dergelijke veranderprogramma s hebben vaak maar een kleine IT-component; aspecten zoals cultuur, mensen en proces- sen zijn hierin veel belangrijker. Op dit niveau wordt vaak een planningshorizon van één tot drie jaar gehanteerd. Project niveau: Organisaties voeren projecten uit met het doel iets op te leveren voor haar klanten of voor zichzelf. De uitvoering van deze projecten kent veel risico s, vaak gerelateerd aan tijd of budgetoverschrijding. Het beheren en beheersen van deze risico s stelt een organisatie in staat haar projecten binnen de gestelde tijd en budget af te ronden. Op projectniveau beginnen IT gerelateerde risico s ook een rol te spelen, met name omdat IT wordt ingezet als een tool om (een deel van ) het project uit te voeren. De planningshorizon op dit niveau loopt vaak tot één jaar. Operationeel niveau: Dit is het niveau waarop de dagelijkse activiteiten van de organisatie plaatsvinden. Hier spelen IT-risico s, naast de risico s op andere gebieden, een belangrijke rol. M_o_R wordt hier aangevuld met standaarden zoals ISO en ISO Deze combinatie zorgt voor een procesmatige aanpak en beheersing van risico s dat aansluit aan bij bekende standaarden zoals ITIL, NEN 7510 en ISO 27001/2. Dit wordt dagelijks in de praktijk toegepast. ITSX hanteert deze integrale aanpak van risico s over de hele breedte van de organisatie en breder dan alleen op IT-niveau. De visie en strategie van ITSX is haar klanten te ondersteunen bij integrale beveiliging op alle niveaus vanuit een beheersing van de risico s en opportunities. Alleen op die manier kan in onze ogen informatiebeveiliging meer zijn dan een business prevention department of het loket met de paarse krokodil. 16 Madison Gurkha september 2014

17 ITSX Risicomanagement met ISO en ISO De cursus werd afgesloten met twee examens om de bijbehorende ISO-certificaten te behalen en daarmee gecertificeerd risk manager te worden. Een pittige kluif voor de cursisten maar meer dan de moeite waard voor hen die verantwoordelijk of betrokken zijn bij risicomanagement of informatiebeveiliging. In juni dit jaar verzorgde ITSX voor een gemêleerd gezelschap van IT-professionals, managers en auditors de training Risicomanagement. Tijdens deze speciale driedaagse training werden twee van de belangrijkste internationale risicomanagementstandaarden behandeld: ISO en ISO Hierbij geldt dat ISO een algemene risicomanagementstandaard is en ISO specifiek aansluit op ISO Beide zijn goed te combineren en samen te pakken in een driedaagse training. De risicomanagementhandvatten- en standaarden die op de cursus de revue passeren, gebruikt Ivan Mercalina, security consultant bij ITSX, dagelijks in zijn werk als risico-analist bij een grote Nederlandse bank waarbij hij de risico s van bedrijfsprocessen kwantificeert en aanbevelingen doet om deze risico s aanvaardbaar te houden. Bij iedere verandering zoals een nieuw domein of nieuwe regelgeving moet de impact ervan op de bedrijfsdoelen worden bepaald. Niet om alle IT-middelen absoluut veilig te krijgen, maar om - ten gunste van de bedrijfsdoelen - de bedrijfsmiddelen te classificeren naar belangrijkheid en om aanverwante risico s inzichtelijk te maken. Hiermee wordt het voor de organisatie inzichtelijk hoe zij het beste haar budget kan besteden om de risico s op een kosteneffectieve manier beheersbaar te houden. NIEUWS ITSX is verhuisd ITSX is sinds 1 juni gevestigd op de campus van de The Hague security Delta. In de volgende Update vertellen we over onze eerste ervaringen in Den Haag. Kamer 8.01 HSD Campus Wilhelmina van Pruisenweg AN Den Haag i T S X Madison Gurkha september

18 het inzicht EXTRA In de rubriek Het Inzicht stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Deze keer geeft Rinke Beimin meer inzicht in password policies. Password policies De meest gebruikte authenticatiemethode voor digitale systemen is het wachtwoord. De voornaamste reden hiervoor is dat wachtwoorden goedkoop en snel te implementeren zijn. Het kiezen van sterke wachtwoorden blijkt in de praktijk echter erg lastig te zijn. Dit blijkt bijvoorbeeld uit de bekende LinkedIn-hack, die plaatsvond in juni Tijdens deze hack verkreeg een Russische hacker toegang tot ruim zes miljoen wachtwoordhashes. Analyse van de hashes * toonde aan dat onder andere de volgende wachtwoorden werden gebruikt: Cissp1, cissp2004 en cissplinkedin (CISSP is een bekend certificaat voor security professionals). Zouden dit wachtwoorden zijn die door security professionals worden gebruikt voor toegang tot hun eigen, echte LinkedIn-profiel? Als security professionals al moeite hebben met het kiezen van goede wachtwoorden, hoe kan dit dan verwacht worden van de gewone computergebruiker? In dit artikel wordt eerst stilgestaan bij wat password policies zijn en welke aanvallen slagen wanneer zwakke wachtwoorden gebruikt worden. Ten slotte worden enkele best practices behandeld waarmee een flinke stap in de richting kan worden gezet naar een betrouwbaar wachtwoordbeleid. Password policies Password policies zijn een onderdeel van security policies. Binnen een organisatie beschrijven security policies alle maatregelen en afspraken omtrent de complete aanpak van security, waaronder zowel alle fysieke en digitale security. Het onderdeel password policy beschrijft alle zaken rondom het gebruik en de implementatie van wachtwoorden. Hierin wordt onder andere beschreven welk type wachtwoorden er worden geaccepteerd, hoe vaak een gebruiker mag proberen in te loggen, hoe er met wachtwoorden om dient te worden gegaan en de duur waarna wachtwoorden verstrijken (wachtwoordrotatie). Een password policy kan een adviserende functie hebben, maar het is uiteraard aan te raden om deze regels ook technisch af te dwingen. Er zijn twee manieren waarop aanvallers de sterkte van gebruikerswachtwoorden kunnen achterhalen: via onlineaanvallen en via offline-aanvallen. Wat valt er te zeggen over de sterkte van wachtwoorden in het licht van deze aanvallen? Online-aanvallen Het online aanvallen van wachtwoorden gebeurt het vaakst door wachtwoorden geautomatiseerd te raden tegen een vooraf bekende of veelgebruikte gebruikersnaam (brute-force attack). De meest simpele vorm van deze aanval is het raden van wachtwoorden op een inlogportaal via de browser. Niet alleen webapplicaties kunnen op deze manier worden aangevallen, ook voor diensten als FTP, IMAP, RDP en SSH is dit mogelijk. Om deze aanval lastiger te maken kan een lockout-mechanisme worden geïmplementeerd. Zorg er bijvoorbeeld voor dat gebruikers maximaal drie tot vijf maal mogen proberen in te loggen, waarna ze hun account bij een systeembeheerder moeten laten ontgrendelen. Een andere interessante aanval is om gebruikers te enumereren, bijvoorbeeld als gebruikersnamen een vaste structuur hebben, en om dan voor iedere gebruikersnaam het veelvoorkomende wachtwoord Welkom01! te proberen. Zou dit tot een geslaagde inlogpoging leiden in uw organisatie? Offline-aanvallen Wachtwoorden worden, als het goed is, gehasht opgeslagen in databases. Wachtwoordhashes worden berekend op basis van een hashfunctie die wordt toegepast op het originele wachtwoord, waardoor wachtwoorden niet onmiddellijk leesbaar zijn als de database door een aanvaller wordt gecompromitteerd. Het offline aanvallen van wachtwoorden betekent dat een aanvaller de originele wachtwoorden probeert te achterhalen op basis van deze wachtwoordhashes (de inhoud van de database is dan al in handen van de aanvaller). Dit wordt ook wel aangeduid als het kraken van wachtwoorden (password cracking). Het verschil in snelheid ten opzichte van het online aanvallen van wachtwoorden, is dat wachtwoorden offline kunnen worden gekraakt met miljarden pogingen per seconde. De vraag is in dit geval niet of er wachtwoorden uitlekken, maar hoeveel wachtwoorden er zullen uitlekken. Mensen zijn in het algemeen niet erg creatief in het bedenken van wachtwoorden. Zeker niet wanneer er een stapel werk ligt te wachten en ze door de server worden geattendeerd op hun halfjaarlijkse wachtwoordrotatie. Dit leidt vaak tot wachtwoorden die een combinatie bevatten van seizoenen, jaartallen, voornamen of geografische namen. Software die wachtwoordhashes aanvalt (bijv. John, Hashcat) kan dan ook gemakkelijk geconfigureerd worden om woordenlijsten te gebruiken die dergelijke veelgebruikte termen bevatten. Vaak bevatten password policies de regel dat 18 Madison Gurkha september 2014

19 het inzicht EXTRA het verslag Agenda wachtwoorden hoofdletters, cijfers en speciale tekens dienen te bevatten. Om aan deze regel te voldoen voegen mensen deze tekens veelal voor of na het wachtwoord toe. De eerdergenoemde software kan woordenlijsten vervolgens combineren met een regelset om ook deze tekenreeksen voor en na het wachtwoord te genereren. Deze combinatie van woordenlijsten met regelsets, tezamen met het feit dat miljarden wachtwoorden per seconde kunnen worden getest, leidt er in de praktijk toe dat van veel gehashte wachtwoorden het originele wachtwoord kan worden verkregen. Best practices We sluiten dit artikel af met een aantal best practices die ter harte kunnen worden genomen om de kansen op een inbraakpoging door aanvallers zo klein mogelijk te houden: Pas standaardwachtwoorden aan na het in gebruik nemen van nieuwe software. Hoogstwaarschijnlijk is dit de meest simpele - en tegelijkertijd ook de meestvoorkomende manier - waarop aanvallers binnen kunnen dringen bij organisaties. Voor alle duidelijkheid: tijdens onze onderzoeken komen we nog steeds regelmatig binnen dankzij standaardwachtwoorden. Om accounts enigszins te beschermen tegen offline-aanvallen dient afgedwongen te worden dat wachtwoorden minimaal negen karakters zijn. Wachtwoorden van acht karakters kunnen met minimale hardware binnen redelijke tijd gekraakt worden. Tevens dienen hoofdletters, cijfers en speciale karakters te worden opgenomen in het wachtwoord om de ruimte van mogelijke wachtwoorden (password space) zo groot mogelijk te maken. Dwing bij voorkeur af dat speciale karakters of cijfers niet aan het begin of het eind van het wachtwoord voorkomen, aangezien dit in veel regelsets wordt meegenomen wanneer hashes offline worden aangevallen. Implementeer een blacklist van veelvoorkomende wachtwoorden die door gebruikers niet mogen worden gekozen als wachtwoord. Implementeer ook een blacklist per gebruiker voor eerder gebruikte wachtwoorden die niet meer door die specifieke gebruiker gebruikt mogen worden. Dit voorkomt dat het wachtwoordrotatiemechanisme er niet tot leidt dat een gebruiker steeds switcht tussen twee wachtwoorden. In gevallen waar wachtwoorden sterk moeten verschillen kunnen nieuwe wachtwoorden worden verworpen op basis van te grote overeenkomsten. Implementeer een computationeel zwaar algoritme om wachtwoordhashes mee te genereren, zoals PBKDF2. Voor de functionaliteit van de applicatie is de snelheid van het algoritme verwaarloosbaar; een legitieme gebruiker voert namelijk maar een aantal inlogpogingen uit. Voor het kraken van wachtwoorden maakt dit echter een enorm verschil. Geef mensen bedenktijd voor het wijzigen van hun wachtwoord en geef tips voor het bedenken van goede wachtwoorden. Wanneer een persoon per direct een wachtwoord moet wijzigen, alvorens het werk te hervatten, zal in de regel geen sterk wachtwoord bedacht worden. Raad mensen tevens aan een gemakkelijk te onthouden zin te gebruiken (passphrase). Die zijn veel langer dan wachtwoorden. * In de Madison Gurkha Update presenteren wij een lijst met interessante bijeenkomsten die komende tijd zullen plaatsvinden. 25 september 2014 Veilig informatie delen: lessen, gevolgen en toekomst Sociëteit de Witte, Den Haag Seminar georganiseerd door ECP omtrent het veilig delen van informatie. Naast verschillende presentaties vindt er een paneldiscussie plaats met o.a. Walter Belgers van Madison Gurkha. Deelname is kosteloos. 8 oktober 2014 Security-Congres 2014 Behoorlijk beveiligd Postillion Hotel Utrecht, Bunnik Hét congres zonder files, georganiseerd door ISACA, NOREA en PviB. Naast plenaire lezingen heeft u de mogelijkheid deel te nemen aan parallelle sessies. Madison Gurkha steunt het congres als sponsor. 29 en 30 oktober 2014 Vakbeurs Infosecurity.nl Jaarbeurs Utrecht Infosecurity.nl is dé Nederlandse vakbeurs op het gebied van IT security. Een must voor iedere IT-professional. Het centrale thema dit jaar is the Internet of Things. Wij ontmoeten u graag op onze stand B154, meteen vooraan bij de ingang. 18 november 2014 Black Hat for Lawyers Van Abbemuseum Eindhoven Zeer praktijkgerichte kennismiddag gericht op bedrijfsjuristen dagelijks te maken hebben met het vertalen van vereisten uit weten regelgeving naar maatregelen die in bedrijfsprocessen en ICT moeten worden genomen. Meer informatie vindt u elders in deze Update. het colofon Redactie Rinke Beimin Daniël Dragičević Laurens Houben Remco Huisman Matthijs Koot Maayke van Remmen Ward Wouts Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan Contactgegevens Madison Gurkha B.V. Postbus CE Eindhoven Nederland T F E info@madison-gurkha.com Redactie redactie@madison-gurkha.com Bezoekadres Vestdijk CA Eindhoven Nederland Voor een digitale versie van de Madison Gurkha Update kunt u terecht op Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend. Madison Gurkha september

20 Informatiebeveiliging & Privacy Verschillende expertises: één integraal advies Informatiebeveiliging & Privacy Techniek Organisatie Your Security is Our Business i T S X Alle aspecten in één integraal advies Recht één team, één advies, één aanspreekpunt Meer informatie Wilt u meer weten over onze unieke multidisciplinaire aanpak op het gebied van informatiebeveiliging en privacy? Neem dan vrijblijvend contact op met ITSX via info@itsx.com of Madison Gurkha B.V. info@madison-gurkha.com ITSX B.V. info@itsx.com Louwers IP Technology Advocaten info@louwersadvocaten.nl