DE COLUMN 2 HET NIEUWS 3 HET INZICHT 4 DE HACK 6-7 HET INTERVIEW 8 DE KLANT 9 HET VERSLAG DE AGENDA 11 HET COLOFON 11.

Transcriptie

1 Your Security is Our Business 7voorjaar 2010 u p d a t e DE COLUMN 2 Hans van de Looy HET NIEUWS 3 Wachtwoorden e-banking per SMS Google-hack schudt wereld wakker Madison Gurkha 10-jarig bestaan Nieuwe collega s gezocht HET INZICHT 4 Cloud Computing Het EVENT 5 Black Hats Sessions part VIII DE HACK 6-7 Webservices vaak onvoldoende beveiligd HET INTERVIEW 8 Arnoud Engelfriet van ICTRecht DE KLANT 9 Uit de transport en logistiek HET VERSLAG Industrial Control Systems Cyber Security Training DE AGENDA 11 HET COLOFON 11

2 de column In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom ICT-beveiliging. Deze keer Hans van de Looy over IPv6. IPv6 voor het te laat is... In de voorgaande Update hebben we een artikel geplaatst met de pakkende titel IPv6: nieuwe bedreiging? (zie pdf als u het artikel nog niet gelezen heeft). Niet om de lezers af te schrikken, maar juist om u bewust te maken van deze oude standaard waarvan de invoering nog steeds niet op grote schaal plaatsvindt, maar waarvan de noodzaak tot invoering wel steeds nijpender wordt. Zelfs nu.nl heeft in november 2009 een artikel ( -- heeft u ook zo n hekel aan lange URL s?) opgenomen waarin een aantal interessante opmerkingen wordt geplaatst die eigenlijk toch wel ergens de alarmbellen zouden moeten laten afgaan. Ik citeer hier een aantal losse uitspraken die zijn overgenomen uit een onderzoek van de Europese Commissie en TNO: IPv4 internetadressen zullen in 2011 op zijn, Slechts 17% van de overheidsorganisaties en bedrijven in Europa, het Midden-Oosten en Azië maakt gebruik van IPv6, Een tijdige, wereldwijde overstap op IPv6 is noodzakelijk om de groei en stabiliteit te waarborgen. Dat zijn stuk voor stuk uitspraken die op zijn minst zouden moeten uitnodigen om stappen te gaan ondernemen om te investeren in IPv6, en toch gebeurt dat minder dan dat wenselijk wordt geacht. De redenen ervoor zijn natuurlijk ook voor de hand liggend. We hebben net een financiële crisis achter de rug, en wellicht moet er nog een tweede gedeelte van de W-curve komen, dus we zitten niet te wachten op nieuwe, mogelijk dure, investeringen. We hebben nu toch al toegang tot het interweb, dus wij zullen geen last hebben van het tekort aan beschikbare IPv4 adressen. IPv4 kennen we en die andere adressen zijn veel te moeilijk. Allemaal op zich logische verklaringen, maar van de andere kant zijn het ook stuk voor stuk redenen die worden ingegeven door tunnelvisie en oogkleppen. Dus heb ook ik, ondermeer ingegeven door deze column, wat onderzoek gedaan. Natuurlijk zijn onze scansystemen al voorzien van IPv6, zodat we onze klanten ook via dat protocol kunnen bereiken en testen, maar onze eigen webserver is, op het moment van schrijven, nog niet voorzien van een IPv6 adres (dit zou wel eens anders kunnen zijn op het moment dat u dit leest). Dus er zijn al vooruitstrevende ISP s die gewoon IPv6 aanbieden, mocht u hiervan gebruik willen maken. Dus aan de serverkant zit het vaak wel goed. Daar kunnen we relatief eenvoudig overstappen. De volgende stap is dan natuurlijk om te zien hoe het met de internetverbinding voor clients is gesteld. Daar zie ik een geheel ander beeld. Een van de bekendste providers XS4ALL geeft aan dat ze haar netwerk in 2002 al geschikt heeft gemaakt voor IPv6, maar dat inbel- en ADSL-diensten allen op IPv4 zijn gebaseerd. IPv6 is daar wel mogelijk, maar alleen via een experimentele tunneldienst. Ook de verschillende kabelaars en zelfs glasvezelleveranciers bieden alleen IPv4 aan en als je ze vraagt naar het aanbieden van (native) IPv6 kan geen van hen aangeven wanneer dit het geval zal zijn. Waarom dan nu toch al aandacht besteden aan IPv6? Niemand vindt het een aantrekkelijk idee om (te) vroeg met iets nieuws te starten. Maar IPv6 is niet nieuw meer. Het protocol is al in december 1998 gespecificeerd. Op dit moment geen aandacht besteden aan IPv6 kan, zoals het eerder vermelde artikel in de vorige Update al aangaf, betekenen dat er nu al een risico wordt gelopen dat bepaalde systemen onbewust toch al bereikbaar blijken te zijn via dit protocol, met alle gevolgen van dien. En wellicht de belangrijkste reden om nu aandacht te gaan besteden aan IPv6 is dat er nu goed over kan worden nagedacht. Nu kunnen er goed doordachte plannen gemaakt worden voor een (geleidelijke) overgang. Een overgang waarbij de regie wordt ingegeven door kennis en opgedane ervaring en niet door tijdsdruk. Of zal uiteindelijk toch blijken dat mensen niets willen leren van het verleden en uiteindelijk toch weer worden opgejaagd door de volgende deadline. Misschien niet in 2011 als het laatste IPv4 adres wordt uitgedeeld (zie voor de IPv4 countdown) maar ook niet lang daarna. Waarbij ik nog de kanttekening wil plaatsen dat de Maja kalender verkeerd geïnterpreteerd blijkt te zijn, dus zullen we ook na 2012 allemaal nog steeds bezig met het veilig houden van allerlei (gevoelige) gegevens -- of ze nu via IPv4 of IPv6 worden uitgewisseld dat maakt voor ons niets uit. Voor u wel? Hans Van de Looy Partner, Principal Security Consultant 2 Madison Gurkha voorjaar 2010

3 In Het Nieuws belichten we iedere Madison Gurkha Update belangrijke recente ontwikkelingen die in het beveiligingsnieuws zijn verschenen. Ook alle nieuwe ontwikkelingen rondom Madison Gurkha komen in deze rubriek uitgebreid aan bod. het NIEUWS - hack schudt wereld wakker Een golf van bezorgdheid over netwerkbeveiliging trok over de wereld als gevolg van de gedeeltelijk succesvolle aanval op de zwaarbeveiligde systemen van Google. Een team hackers gesteund door de Chinese overheid, wordt daarvoor verantwoordelijk gehouden. Financiële instellingen in de Verenigde Staten, producenten en dienstverleners onderzoeken nu met experts koortsachtig of hun beveiligingssystemen ook zijn gekraakt zonder dat zij zich daarvan bewust waren. [...] Verder in het artikel in de Automatiserings Gids geeft Hans van de Looy zijn mening over computerinbraak bij bedrijven naar aanleiding van de Google-hack. Het volledige artikel is te lezen op de site van de Automatisering Gids: Wachtwoorden e-banking per SMS ING-klanten hoeven vanaf 15 maart niet meer naar het postkantoor om een nieuw wachtwoord voor internetbankieren aan te vragen. Straks verstuurt ING een sms met de gegevens. Maar hoe veilig is deze methode? Hans van de Looy geeft in een Radio 1 uitzending antwoord op de vraag of het versturen van wachtwoorden per SMS veilig is. Het volledige interview is te beluisteren op de site van Radio 1: nl/contents/12263-versturen-sms-met-ingwachtwoord-veilig Vacatures Madison Gurkha 10-jarig bestaan Madison Gurkha is opgericht tijdens de dot.com crisis: de internet zeepbel die leegliep. Dit jaar vieren wij ons 10-jarig jubileum tijdens de volgende - nu financiële - crisis. Madison Gurkha wordt hierdoor echter nauwelijks geraakt. Onze kwaliteit, flexibiliteit en pragmatische aanpak wordt nog altijd zeer goed gewaardeerd. Madison Gurkha blijft zich positief ontwikkelen en beheerst groeien. Om ons 10 jarig bestaan te vieren gaan wij van 15 tot en met 19 april voor een korte trip naar Jordanië. Op 15, 16 en 19 april zullen wij daarom gesloten zijn. Wij zullen u hierover nader informeren. Madison Gurkha is een jonge, groeiende en veelbelovende organisatie op het gebied van (technische) IT security. Madison Gurkha levert kwalitatief zeer hoogwaardige diensten aan grotere organisaties zoals landelijke opererende overheidsinstellingen, (beursgenoteerde) multi-nationals en financiële instellingen. Kijk voor meer informatie over de verschillende vacatures op onze website. Door onze aanhoudende groei zijn wij dringend op zoek naar: Junior Security Consultant (JSC) g Security Consultant (SC) Senior Security Consultant (SSC) g Kandidaten met aantoonbare security kennis van Microsoft producten en technologieën hebben op dit moment onze voorkeur. Mist u een nieuwsitem, of heeft u nog ander opvallend of aanvullend security nieuws? Meld het aan ons door een mail te sturen naar: redactie@madison-gurkha.com. Wie weet staat uw nieuwtje in de volgende Madison Gurkha Update! Ben jij degene die we zoeken? Stuur dan snel je CV met sollicitatiebrief naar hrm@ madison-gurkha.com. Madison Gurkha voorjaar

4 In de rubriek Het Inzicht stellen wij meestal bepaalde technische beveiligingsproblemen aan de orde. Deze keer geeft Laurens Houben antwoord op de vraag wat Cloud Computing is, gaat hij in op de gevaren die daarbij optreden. het inzicht Cloud Computing Het fenomeen Cloud Computing bestaat al enige tijd. Maar wat is het nu precies? Het is een parallel computersysteem waarbij de software verdeeld is over meerdere computers op het internet. Cloud computing dient er voor om schaalbare en vaak gevirtualiseerde diensten aan te bieden over het internet. Deze zijn dan beschikbaar via een webbrowser terwijl de software en data op servers van de dienstverlener blijven. Bij Cloud Computing zijn de gebruikers geen eigenaar van de software die ze gebruiken. Ze betalen dus enkel voor de diensten die ze gebruiken in de vorm van prepaid of in abonnementsvorm. Dit bespaart hoge kosten voor de aanschaf van soft- en hardware. Cloud Computing wordt in 3 categorieën verdeeld: Cloud Applicaties Bij Software as a Service (SaaS) staat de applicatie volledig onder controle van de dienstverlener. De gebruiker kan er gebruik van maken maar kan er niets aan veranderen. v o o r b e e l d e n z i j n: Webmail, Google Apps, Twitter, Facebook en salesforce.com. Cloud Platforms Bij Platform as a Service (PaaS) wordt de gebruiker veel meer toegestaan. Er wordt hier vaak gewerkt met een ontwikkelingstaal of framework zoals Phyton,.NET of Java waarin de gebruiker zelf kan werken. In dit systeem wordt het framework en de infrastructuur beheerd door de dienstverlener en kan de gebruiker verder instaan voor de applicaties. v o o r b e e l d e n z i j n: PayPal, Google App Engine, Amazon S3 en Rackspace Cloud Sites. Cloud Infrastructure: Bij Infrastructure as a Service (IaaS) wordt de infrastructuur aangeboden via een virtualisatie of hardware-integratie. In deze laag vinden we de servers, netwerken en andere hardwaretoepassingen. Dit laat de gebruiker volledige vrijheid toe over de hardware. voorbeelden zijn: Amazon CloudWatch, Go- Grid en Amazon VPC. Al deze haast onbeperkte rekenkracht en mogelijkheden bieden nieuwe scenario s voor veel bedrijven en individuen. Wat dacht u van wachtwoorden hacken door middel van Cloud Computing? De mensen achter hebben handig gebruik gemaakt van de mogelijkheden die de cloud biedt. Ze maken gebruik van een cluster van 400 virtuele computers om WPAcodes te vergelijken tegen een database met 284 miljoen mogelijke wachtwoorden. Dit alles kunnen ze in slechts 20 minuten waar deze actie op een normale duo-core computer ongeveer 5 dagen zou duren. Het ontcijferen van een wachtwoord kost 17 dollar en wordt per toegestuurd wanneer deze wordt gevonden. Botnets Cybercriminelen hebben al jaren hun eigen clouds. Deze worden botnets genoemd en zijn zeer groot, krachtig en multifunctioneel. Ze worden gebruikt voor het versturen van spam, het stelen van financiële informatie, het aanbieden van malware of het versturen van enorme hoeveelheden data waardoor websites onbereikbaar kunnen worden. Deze functionaliteiten zijn net als bij Cloud Computing te koop en te huur in webshops voor botnets. Botnets vinden ook hun weg naar de cloud. Een nieuwe variant van de Zeus bot gebruikt de cloud van Amazon om geïnfecteerde computers aan te sturen. De malware verspreidt zich via en verwijst gebruikers naar een website waar een bestand ter download wordt aangeboden. Wanneer dit bestand wordt uitgevoerd door de gebruiker zal er contact worden gelegd met de command and control server die zich in de Amazon EC2 cloud bevindt en instructies geeft aan de Zeus bot. De Zeus bot injecteert zichzelf in het systeem van de gebruiker en wacht totdat er een bankrekening wordt ingevoerd. Cybercriminelen maken ook gebruik van RDS Managed Database Hosting van Amazon als een backup van hun data in het geval ze toegang verliezen tot het originele domain van waar de command and control server zich bevindt. Zo zijn ze er van verzekerd dat ze alle verzamelde financiële informatie niet verliezen. Speeltuin Is de cloud wel veilig? Indien een cloud provider zijn netwerk niet monitort kan een cybercrimineel de service misbruiken voor de eerder genoemde scenario s. Amazon s EC2 cloud is al een speeltuin geworden voor security onderzoekers. Door misbruik van het inschrijfsysteem is het voor hen mogelijk om het 20 computers per gebruiker limiet te omzeilen. Ook hebben onderzoekers virtuele computer templates kunnen creëren die rootkits en malware bevatten. Wanneer een Amazon-klant dit template gebruikt is deze kwetsbaar voor aanvallen. De cloud biedt cybercriminelen een grote voorraad rekenkracht, ruimte en mogelijkheden. Indien dit niet goed wordt gemonitort door de aanbieders zal in de toekomst een hoop veranderen op securitygebied. Een aantal interessante websites die verder ingaan op de gevaren van de cloud zijn: at_download/fullreport the_cloud_isnt_safe_or_did_blackhat_just_ scare_us.php Heeft u onderwerpen die u graag een keer terug zou willen zien in deze rubriek? Laat het dan weten aan onze redactie via: redactie@madison-gurkha.com. 4 Madison Gurkha voorjaar 2010

5 het event Deze achtste editie van de Black Hat Sessions wordt georganiseerd door Array Seminars en Madison Gurkha en staat in het teken van Hacking the Cloud Hierbij een overzicht van het programma. Black Hat Sessions VIII, 27 april 2010, De Reehorst Ede Hacking the Cloud Al aan het eind van de vorige eeuw u Ontvangst en registratie bezigde Sun Microsystems de slogan: u Opening door de dagvoorzitter The network is the computer. Dat was Walter Belgers, Madison Gurkha toen nog niet echt praktisch toepasbaar u Crime from the cloud Arnoud Engelfriet Ralph Moonen Ralph Moonen CISSP, Ferdinand Directeur Vroom IT Security Martin experts Knobloch Ian de Villiers Walter Belgers en tamelijk visionair. Nu, anno 2009/2010, lijkt het realiteit te Cloud Computing heeft de toekomst. Althans, als we de ICT- en businessanalisten zijn geworden. Na mogen geloven. Maar Cloud Computing brengt ook risico s met zich mee; immers, Application Service Providing (ASP) en data bevindt zich niet meer onder controle van de gebruiker, maar in de cloud. En ook SAAS (Software as a Service), hebben kunnen cybercriminelen de cloud gebruiken voor eigen kwaadaardige doeleinden. Deze achtste editie van de Black Hat Sessions staat in het teken van Hacking the we het nu over The Cloud. Via de cloud Over dit laatste is nog weinig bekend of geschreven maar toch zijn de eerste botnets Cloud en in wordt de cloud georganiseerd al aangetroffen. door De Array cloud Seminars heeft grote en Madison voordelen Gurkha. voor cybercriminelen kun je processorcapaciteit krijgen, extern Arnoud Engelfriet Ralph Moonen Ferdinand waaronder Vroom het vermogen Martin Knobloch zich snel Ian en de naadloos Villiers te Walter kunnen Belgers verplaatsen, en het spoorloos eind kunnen van de vorige verdwijnen. eeuw bezigde Ralph Moonen Sun Microsystems zal in deze de presentatie slogan: The een network beeld schetsen geheugen en software huren, zelfs voor Al aan het de desktop. Dit maakt IT erg flexibel, maar van de mogelijkheden die de cloud biedt aan cybercriminelen, en de problemen waar is the computer. Dat was toen nog niet echt praktisch toepasbaar en tamelijk visionair. is het ook veilig? Nu, anno 2010, dit ons lijkt voor het stelt, realiteit zoals te zijn de geworden. mogelijkheden Na Application en onmogelijkheden Service Providing van forensics (ASP) in de cloud en of en hoe een aanval vanuit de cloud kan worden tegengegaan. Deze achtste editie van en de SAAS Black (Software u Pauze Hat Sessions as a Service), / Informatiemarkt staat in hebben het teken we het van nu Hacking over The the Cloud. Via de cloud kun je Bestemd voor u Cloud en wordt georganiseerd processorcapaciteit u The door law Array of krijgen, the Seminars cloud extern en geheugen Madison en Gurkha. software huren, zelfs voor de desktop. De bijeenkomst wordt georganiseerd voor Dit maakt mr. IT erg ir. flexibel, Arnoud maar Engelfriet, is het ook Partner veilig? bij De juridisch sprekers adviesbureau van deze editie ICTRecht van de Black beheerders van systemen, netwerken EULAs zijn niet rechtsgeldig. In Europa geldt de DMCA niet dus je mag kopieerbeveiligingen omzeilen. Feitelijke informatie mag onbeperkt worden gekopieerd en herge- Al aan het eind van de vorige Hat Sessions eeuw bezigde gaan in op Sun de Microsystems risico s van Cloud de slogan: Computing, The network vandaar Hacking the Cloud. en applicaties, security officers, interne is the computer. Dat was Ook toen dit nog jaar bruikt. niet hebben echt we Het praktisch weer een citaatrecht toepasbaar aantal bijzondere op afbeeldingen en tamelijk sprekers geldt visionair. weten aan te trekken. Arnoud alleen als je plaatje maximaal 194x155 auditors, het management en andere geïnteresseerden. Na dit seminar kunt u de over de juridische aspecten van Cloud Computing. Naast juridische voetangels en klem- Engelfriet van ICTRecht zal wederom op onnavolgbare wijze zijn ideeën met ons delen Nu, anno 2010, lijkt het realiteit te pixels zijn geworden. groot is. Na Als Application je server in Service Thailand Providing staat, val (ASP) je niet onder Nederlands recht. De en SAAS (Software as a Service), hebben GPL is we een het licentie, nu over geen The overeenkomst. Cloud. Via de cloud kun je kansen die Cloud Computing biedt beter men zijn er Wie de technische denkt dat dit risico s. allemaal En wie correct zijn wat is, applicaties of geen idee betreft heeft beter waar op dit de over hoogte gaat, is van processorcapaciteit krijgen, extern geheugen en software huren, zelfs voor de desktop. Arnoud Engelfriet afwegen tegen de risico s. dan de mensen harte Ralph Moonen van uitgenodigd OWASP? Ferdinand Ralph bij deze Vroom Moonen lezing Martin van ITSX Knobloch ICT-jurist bekijkt Arnoud de Ian cloud de Villiers Engelfriet. vanuit een Walter Internetrecht ander Belgers is een De bijeenkom Dit maakt IT erg flexibel, maar is het ook veilig? De sprekers van deze editie van de Black voor beheer perspectief, complex namelijk onderwerp hoe kunnen waar cybercriminelen veel misverstanden cloud en inzetten mythes voor over hun bestaan, duistere en Arnoud Hat Sessions gaan in op de risico s gaat van Cloud proberen Computing, deze weg vandaar te nemen Hacking - of in the ieder Cloud. werken en ap geval zijn mening daarover te geven. Het programma praktijken? Last but not least spreekt Ian de Villiers van het Zuid-Afrikaanse SensePost u Vendorsessie interne audi Ook dit jaar hebben we weer een aantal bijzondere sprekers weten aan te trekken. Arnoud Research Labs over Clobbering the Cloud. Wat zijn de problemen met Cloud Computing en andere ge Het programma start om 9.30 uur en duurt u Lunch / Informatiemarkt Engelfriet van ICTRecht zal wederom op onnavolgbare wijze zijn ideeën met ons delen Deze achtste editie van de Black Hat Sessions staat in het teken van Hacking the tot uur. Aansluitend wordt nog een als we u het OWASP: hebben over Cloud zaken Security als privacy en beveiliging? seminar kun over de juridische aspecten van Cloud Computing. Naast juridische voetangels en klemmen zijn er de technische risico s. En wie zijn wat applicaties betreft beter op de hoogte de risico s. Computing b Cloud en wordt borrel georganiseerd. Registratie is mogelijk vanaf 8.30 uur. dan de mensen van OWASP? Ralph Ferdinand georganiseerd Vroom door (Security Array Seminars Officer) en en Martin Madison Knobloch Gurkha. (Software Architect en Secu- rity Consultant), OWASP Dutch Chapter Al aan het eind van Deze Moonen de vorige lezing van eeuw bestaat ITSX bekijkt bezigde uit twee de Sun delen: cloud vanuit een ander De bijeenkomst wordt georganisee Microsystems de slogan: The network voor beheerders van systemen, net perspectief, namelijk hoe kunnen is the computer. Dat Welke cybercriminelen was risico s toen nog loopt de cloud niet u echt als u inzetten praktisch uw data voor toepasbaar toevertrouwt hun duistere en aan tamelijk de cloud? visionair. Deze werken presentatie en applicaties, security offic Kosten praktijken? Last but not Deze least Black spreekt geeft Hat Sessions Ian een de overzicht Villiers wordt georganiseerd van van het de Zuid-Afrikaanse huidige door: stand SensePost van beveiliging in de cloud en maakt een Nu, anno 2010, lijkt het realiteit te zijn geworden. Na Application Service Providing (ASP) interne auditors, het management De kosten voor deelname aan het Research seminar Labs over Clobbering the vergelijking Cloud. Wat tussen zijn de privacy problemen in de met cloud Cloud en in Computing de traditionele it modellen. en Praktisch andere geïnteresseerden. in Na dit en SAAS (Software de as vorm a Service), van tips hebben hoe u we uw het virtuele nu over infrastructuur The Cloud. Via en webapplicaties de cloud kun je veilig kunt houden. Martin krijgen, Secure Knobloch extern Software geheugen Ian de Development Villiers en software Walter met Belgers huren, OWASP. zelfs Deze voor presentatie de desktop. geeft Computing een overzicht biedt beter afwegen teg bedragen 295,-- (excl. BTW) per als we persoon. Documentatie, broodjes en koffie het hebben over zaken als privacy en beveiliging? seminar kunt u de kansen die Cloud Arnoud Engelfriet Ralph Moonen processorcapaciteit Ferdinand Vroom Dit maakt IT erg flexibel, van OWASP maar is tooling het ook en veilig? documentatie De sprekers projecten. van deze Wat editie zijn van SAMM, de Black ASVS, de risico s. OWASP Live zijn inbegrepen. Speciaal voor alle relaties Hat Sessions gaan CD...? in op de Wanneer risico s van en hoe Cloud gebruik Computing, je welke vandaar tooling Hacking en wat vind the Cloud. je in welke documentatie. van Madison Gurkha geldt op dit bedrag Tijdens deze presentatie wordt verteld hoe OWASP jou kan helpen veiliger software Ook dit jaar hebben we weer een aantal bijzondere sprekers weten aan te trekken. Arnoud een korting van 35,--. Zo betaalt u dus applicaties te ontwikkelen. Arnoud Engelfriet Deze Ralph achtste Moonen editie Ferdinand van Deze Black Vroom de Black Hat Sessions Engelfriet Martin Hat Sessions wordt Knobloch van georganiseerd u ICTRecht staat Vendorsessie Ian de in zal Villiers het door: wederom teken Walter van op Hacking onnavolgbare Belgers the wijze zijn ideeën met ons delen maar 260,-- (excl. Cloud BTW) en per wordt persoon. georganiseerd over door de Array juridische u Seminars Pauze aspecten en / Informatiemarkt Madison van Cloud Gurkha. Computing. Naast juridische voetangels en klemmen zijn er de u technische Clobbering risico s. the En Cloud wie zijn wat applicaties betreft beter op de hoogte Geef bij uw online-inschrijving aan dat u een relatie bent van Al aan Madison het eind Gurkha van de vorige en eeuw Ian de Villiers, Security Analyst, SensePost Information Security dan bezigde mensen Sun van Microsystems OWASP? Ralph de slogan: Moonen The van network ITSX bekijkt de cloud vanuit een ander De bijeenkomst w de korting wordt verrekend. Cloud Computing dominates the headlines these days but like most paradigm changes Deze achtste editie is the van computer. de Black Hat Dat was Sessions toen nog staat voor beheerders v perspectief, niet in het echt teken namelijk praktisch van hoe Hacking toepasbaar this kunnen the introduces cybercriminelen en tamelijk visionair. new risks and de new cloud opportunities inzetten voor for hun us duistere to consider. Some deep werken en applica Cloud en wordt Nu, georganiseerd anno 2010, lijkt door het Array realiteit Seminars te praktijken? zijn geworden. Madison Last but Na technical Gurkha. not Application least research spreekt Service has Ian Providing de gone Villiers (ASP) into van the het underlying Zuid-Afrikaanse technologies SensePost (like Virtualization) but interne auditors, h Als u zich uiterlijk en vijf SAAS weken (Software voor as het a Service), hebben Research we Labs het over nu to over Clobbering some The extent Cloud. the this Cloud. Via serves de cloud Wat only zijn kun to de muddy je problemen the waters met Cloud when Computing considering the overall en andere geïntere evenement Al aan het eind registreert, van processorcapaciteit de vorige ontvangt eeuw u bezigde krijgen, hierop Sun extern Microsystems als geheugen we het hebben de en slogan: software threat over zaken The landscape. huren, network als zelfs privacy During voor en de this beveiliging? desktop. talk, SensePost will attempt to separate fact from fiction seminar kunt u de ook nog eens 10% vroegboekkorting. Bij while walking through several real-world attacks on the cloud. Computing biedt b is the computer. Dit Dat maakt was toen IT erg nog flexibel, niet echt maar praktisch het ook toepasbaar veilig? De en sprekers tamelijk van visionair. deze editie van de Black oud Engelfriet Ralph Moonen Ferdinand Vroom Martin Knobloch Ian de Villiers gelijktijdige aanmelding van 4 personen Originally Walter Belgers presented the US, this talk will focus both on attacks against the cloud de risico s. Nu, anno 2010, lijkt Hat het Sessions realiteit gaan te zijn in geworden. op risico s Na van Application Cloud Computing, Service Providing vandaar (ASP) Hacking the Cloud. and on using these platforms as attack tools for general Internet mayhem. For purposes of en meer SAAS geldt (Software een Ook as verlaagd a dit Service), jaar hebben tarief. hebben Het we weer het een nu aantal over The bijzondere Cloud. sprekers weten aan te trekken. Arnoud Via de of cloud demonstration kun je we will focus most of our demos and attacks against the big inschrijfformulier processorcapaciteit Engelfriet kunt krijgen, u vinden van extern ICTRecht via geheugen onze zal wederom en software op onnavolgbare huren, zelfs players, voor wijze de and zijn desktop. highlight ideeën met recent ons developments. delen Deze Black Hat Sessions wordt georganiseerd door: website: Dit maakt IT erg flexibel, over de maar juridische het aspecten ook (klik veilig? van De Cloud sprekers Computing van u deze Afsluiting Naast editie juridische van door de Black de voetangels dagvoorzitter en klemmen in op zijn de er risico s de technische van Cloud risico s. Computing, En wie vandaar zijn wat Hacking applicaties Walter Belgers, the betreft Cloud. Madison beter op Gurkha de hoogte ze achtste editie van de Black Hat Sessions staat in het teken van Hacking the op Hat de Sessions Black Hat gaan banner). ud en wordt georganiseerd door Array Seminars en Madison Gurkha. dan de mensen van OWASP? Ralph Moonen van u ITSX Borreluur bekijkt / de Informatiemarkt cloud vanuit een ander De bijeenkomst wordt georganiseerd Ook dit jaar hebben we weer een aantal bijzondere sprekers weten aan te trekken. Arnoud voor beheerders van systemen, netwerken en applicaties, security officers, Engelfriet van ICTRecht perspectief, zal wederom namelijk op hoe onnavolgbare kunnen cybercriminelen wijze zijn ideeën cloud met ons inzetten delen voor hun duistere aan het eind van de vorige eeuw bezigde Sun Microsystems de slogan: The network over de juridische praktijken? aspecten van Last Cloud but not Computing. least spreekt Naast Ian juridische de Villiers voetangels van het Zuid-Afrikaanse en klemmen zijn er de technische Research risico s. Labs over En wie Clobbering zijn wat applicaties the Cloud. betreft Wat zijn beter de problemen op de hoogte met Cloud Computing en andere geïnteresseerden. Na dit SensePost interne auditors, het management he computer. Dat was toen nog niet echt praktisch toepasbaar en tamelijk visionair., anno 2010, lijkt het realiteit te zijn geworden. Na Application Service Providing (ASP) als we het hebben over zaken als privacy en beveiliging? seminar kunt u de kansen die Cloud dan de mensen van OWASP? Ralph Moonen van ITSX bekijkt de cloud vanuit een ander De bijeenkomst wordt georganiseerd SAAS (Software as a Service), hebben we het nu over The Cloud. Via de cloud kun je voor beheerders van Computing Madison systemen, Gurkha biedt netwerken en applicaties, de risico s. security officers, beter voorjaar afwegen 2010 tegen 5 perspectief, namelijk hoe kunnen cybercriminelen de cloud inzetten voor hun duistere cessorcapaciteit krijgen, extern geheugen en software huren, zelfs voor de desktop. praktijken? Last but not least spreekt Ian de Villiers van het Zuid-Afrikaanse SensePost interne auditors, het management

6 de hack In de rubriek De Hack belichten we iedere Madison Gurkha Update een opmerkelijke situatie die tijdens een beveiligingsaudit werd aangetroffen. Deze keer gaat Frans Kollée van Madison Gurkha in op de ontbrekende beveiliging bij het ontsluiten van webservices. Webservices vaak onvoldoende of niet beveiligd Dit keer geen diepgaand voorbeeld van een specifieke hack, maar inzage in de ontbrekende beveiliging bij het ontsluiten van webservices, gebaseerd op diverse praktijkervaringen. We constateren dat webservices steeds vaker worden ingezet om functionaliteit te bieden naast het gebruik van de reguliere webapplicaties. De aangeboden functionaliteit is over het algemeen overlappend met als doel om informatie tussen systemen uit te wisselen zonder dat daarvoor een webbrowser voor nodig is. Hoewel de functionaliteit vaak overlappend is, kan dit niet worden gezegd met betrekking tot de beveiliging. Tijdens onze beveiligingsonderzoeken zien we vaak dat er ruimschoots aandacht is besteed aan de beveiliging van de webapplicatie, maar dat de webservices onvoldoende en soms helemaal niet zijn beveiligd. Het lijkt erop alsof de fouten die vroeger gemaakt werden bij het ontwikkelen en aanbieden van webapplicaties, nu opnieuw worden gemaakt bij webservices. Bij de ontwikkeling en implementatie van webapplicaties zien we dat er steeds meer aandacht is voor beveiligingsaspecten zoals versleutelde communicatie, authenticatie, autorisatie, invoervalidatie en het afschermen van administratieve interfaces. Overbodige informatie zoals stacktraces en debuginformatie wordt steeds vaker afgeschermd zodat ook hier geen informatie uitlekt. Bij de ontwikkeling van webservices is het ineens anders en zien we regelmatig dat authenticatie niet of nauwelijks is geïmplementeerd, autorisatiecontrole onvoldoende is en dat er geen invoervalidatie plaatsvindt. De stacktraces en debug-informatie geven in veel gevallen onnodig veel informatie weg. Webservices kunnen op verschillende manieren worden aangeboden. We gaan in dit artikel uit van het aanbieden van webservices via de SOAP/XML interface. Het creëren van op SOAP/XML gebaseerde webservices is met de huidige frameworks een stuk eenvoudiger geworden. Allerlei ondersteunende processen en informatie worden automatisch gegenereerd zodat een webservice al snel in gebruik kan worden genomen. In de navolgende paragrafen geven we een overzicht van zaken die we regelmatig tegen komen. Hieruit blijkt dat, juist doordat de frameworks veel zaken automatisch regelen en dus de time-to-market een stuk korter is geworden, de aandacht voor beveiliging is afgenomen. Informatie over webservices In de meeste gevallen krijgen we van klanten de informatie dat er een of meerdere webservices actief zijn. Vaak vinden we deze informatie ook terug in de publieke zoekmachines of zijn er aanwijzingen op de website van de klant zelf over de aanwezigheid hiervan. De URL voor de service ziet er dan bijvoorbeeld zo uit: personal.asmx. Indien we deze opvragen, zien we in veel gevallen een overzicht van de aangeboden webservices. Deze informatie is niet afgeschermd. Dit overzicht geeft op zich al veel informatie onnodig weg. Ook de WSDL-informatie is dan vaak beschikbaar. Hiertoe breiden we de URL uit met: Alle informatie voor het maken van een SOAP-request is hierdoor beschikbaar. Invoervalidatie Met de verkregen informatie gaan we vervolgens zelf berichten maken. Hierbij testen we bijvoorbeeld wat er 6 Madison Gurkha voorjaar 2010

7 de hack gebeurt indien er ongeldige berichten worden verstuurd. In veel gevallen levert dat uitgebreide debug-informatie op die we later weer kunnen gebruiken. De inzet van geautomatiseerde fuzzing technieken is vaak niet eens nodig. Ook het meesturen van een zogenaamd SOAP-attachment, levert vaak ongewild veel informatie op. Dit komt omdat de ontvangende webservice helemaal geen attachment verwacht en er geen additionele beveiligingsmaatregelen zijn genomen. Autorisatie Indien we geldige berichten opsturen, waarbij we bijvoorbeeld identificatiegegevens aanpassen, blijkt vaak dat er gegevens kunnen worden opgevraagd die niet voor ons bestemd zijn. Ter illustratie het volgende voorbeeld. Stel dat er een webservice wordt aangeboden aan klanten. Iedere klant krijgt een inlogcode en in het bericht wordt het klantnummer opgenomen. Voor het gebruik van de webservice wordt om een geldige inlogcode op basis van HTTPS-authenticatie gevraagd. Nadat er succesvol is geauthentificeerd, wordt de gevraagde informatie geleverd. Hierbij wordt er volledig vertrouwd op de eerdere authenticatie. Zodra we authenticeren als klant A, en in het bericht het klantnummer van klant B opnemen, zien we de informatie van klant B. Hierbij is er dus duidelijk sprake van het ontbreken van autorisatiecontrole. Deze controle is er overigens meestal wel als dezelfde functionaliteit via de webapplicatie wordt aangeboden. Een andere kwetsbaarheid in bovenstaand voorbeeld is het ontbreken van integriteitcontroles. Manipulaties van het XMLbericht worden niet gedetecteerd. Met name in een SOA georiënteerde omgeving is het belangrijk dat integriteitcontroles en end-to-end versleuteling zijn geïmplementeerd. XML validatie De inhoud van het XML-bericht wordt vaak onvoldoende gevalideerd. Dit opent mogelijkheden voor aanvallen zoals XML-Entity-Expansion en XPATH-injection. Behalve Denial of Service aanvallen, kan er op deze wijze informatie uit de database worden gehaald. Een Denial of Service aanval voeren we in de praktijk niet uit, maar we tonen wel aan de mogelijkheid aanwezig is. Het rechtstreeks opvragen van allerlei informatie uit de achterliggende database is ons meerdere malen gelukt. History repeating Bij het ontsluiten van webapplicaties wordt er bij de ontwikkeling steeds meer aandacht besteed aan de risico s en beveiligingseisen. Over het algemeen wordt niet alleen vertrouwd op de applicatie zelf, maar zijn er additionele beveiligingsmaatregelen genomen op de webserver zelf en wordt er gebruik gemaakt van applicatiefirewalls. Bij het ontsluiten van de webservices zien we vaak dat er op applicatieniveau minder beveiligingsmaatregelen zijn genomen. Additionele beveiligingsmaatregelen op de webserver ontbreken vaak in zijn geheel, evenals de bescherming door een applicatiefirewall. Dit komt overeen met de in het verleden gemaakte fouten die we zagen bij webapplicaties die via het internet werden aangeboden. Madison Gurkha voorjaar

8 het interview Madison Gurkha Update interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld om zijn of haar visie te delen over dit steeds belangrijker wordende onderwerp. Ditmaal een interview met mr. ir. Arnoud Engelfriet, partner bij juridisch adviesbureau ICTRecht. Arnoud Engelfriet Waarom heb je je als jurist gespecialiseerd in ICT? Tijdens mijn studie informatica ( ) raakte ik geïnteresseerd in de relatie tussen internet en recht. Ik beheerde o.a. een FAQ over PGP, encryptiesoftware waar allerlei juridische problemen aan kleefden. De computerstudentenvereniging waar ik toen voorzitter van was, kreeg eerst te maken met auteursrechten en Scientology en daarna met aanbieden van het Anarchist Cookbook. Ik ben daar toen met twee medestudenten dieper ingedoken want we wilden uitzoeken hoe dat juridisch zat. In december 2001 begon ik de site Iusmentis.com. met uitleg over intellectueel eigendom. Van de oorspronkelijke twaalf artikelen is de site ondertussen gegroeid naar meer dan 350 in het Nederlands en Engels. Het begon als hobby, mijn opgedane kennis over het onderwerp delen. Ik vind dat kennis over IT en recht breed beschikbaar moet zijn, en via deze site kan ik dat uiten. In 2008 maakte ik van deze hobby mijn werk door partner te worden bij juridisch adviesbureau ICTRecht.nl. Wat is de gemiddelde kennis van juristen over IT? IT is echt een specialisme, net zoals huurrecht, arbeidsrecht of faillissementsrecht. Het is dus niet gek dat niet iedere jurist daar verstand van heeft. Jammer vind ik wel dat veel advocaten claimen het te kunnen maar in de praktijk maar bar weinig verstand van zaken hebben. Dat is onnodig werk voor iedereen en een hoop verspild geld. en van rechters? Veel mensen geven af op rechters die niets van IT weten. Ik vind dat onzin. Rechters zijn er om recht te spreken, niet om te weten hoe ze zerodayexploits in Acrobat kunnen ontdekken. Het is de taak van de partijen die voor de rechter staan om uit te leggen hoe het technisch zit, en op basis daarvan besluit de rechter wat rechtens is. Verder moet je niet vergeten dat rechters altijd met een concreet geval zitten waar NU een knoop moet worden doorgehakt. Er is niet altijd tijd voor een elegante oplossing die voor de lange termijn werkt. In IT termen is de rechter de bugfixer die NU een systeem weer aan de gang moet krijgen, en niet de architect die versie 3.0 geheel van de grond af opnieuw gaat ontwerpen. Welke juridische ICT problemen kom je het meest tegen? Ik krijg veel vragen over auteursrechten. Mensen weten niet wat er wel en niet mag van die wet, en ze staan elke keer versteld als ik aangeef wat er allemaal niet mag. Nee, je mag geen logo s of foto s op je Hyve plakken, software van internet plukken of teksten hergebruiken - tenzij je toestemming hebt. En als je de auteur niet kunt vinden, dan heb je pech. Bijzonder frustrerend. In de harde IT gaat het vaak om downtime en storingen in software. Dat kan soms tot miljoenen euro s schade lijden, en dat moet natuurlijk verhaald worden. Over smaad op forums en blogs krijg ik ook veel vragen. Daar is alleen heel weinig aan te doen, zulke scheldpartijen en geruzie zijn lastig te ontwarren en juridisch zijn het nauwelijks zinvolle zaken. ICTRecht hanteert een keurmerk voor websites. Kun je daar wat meer over vertellen? Er is veel wet- en regelgeving voor bedrijven die elektronisch zakendoen. Zo moet je allerlei informatie over jezelf op je site zetten, bijvoorbeeld je KVK- en BTW-nummer *wacht tot lezer heeft vastgesteld of zijn bedrijf dat doet*. Ook moeten je algemene voorwaarden op een bepaalde manier worden aangeboden om rechtsgeldig van kracht te zijn als je klant iets koopt of een dienst afneemt. Webwinkels zijn verder nog gebonden aan wetgeving uit het consumentenrecht, zoals de Wet Koop op Afstand en de Wet Oneerlijke Handelspraktijken. Zo moet een webwinkel een uitprobeerrecht van zeven werkdagen geven, en mag een spelletjessite niet kinderen aanzetten om bij hun ouders te gaan zeuren om iets te kopen. Voor ons keurmerk controleren we sites in diverse branches op deze informatieplichten en andere relevante wetgeving. Als men voldoet, dan mag men ons logo voeren. De komende Black Hat Sessions hebben als Thema Hacking the Cloud. Jij spreekt ook tijdens dit evenement. Kun je alvast een tipje van de sluier oplichten van de juridische voetangels en klemmen in the Cloud? Ik noemde net al storingen en downtime, dat is natuurlijk bij de cloud een probleem net zoals bij gewone websites. Maar ook heel belangrijk gaat faillissement worden: wat gebeurt er als je cloudapplicatieaanbieder failliet gaat en zijn hostingrekening niet meer betaalt? Daar sta je dan met je login voor documentbeheer, agenda of boekhoudprogramma dat ineens offline is. Welke ontwikkelingen zie je op het gebied van IT en recht de komende jaren? Rond auteursrechten hebben we een paar stevige noten te kraken. Wat gaan we doen met de verspreiding van muziek, films en dergelijke via internet? Hoe gaan we dat legaliseren, en hoe leggen we dat de rechthebbenden uit? Ook privacy moet zichzelf uitvinden. Het idee van volledige controle over je eigen informatie (zoals de privacywet nu nastreeft) werkt niet en kan niet meer werken. Daar moet een nieuwe aanpak voor komen, maar dat is wel een heel fundamenteel probleem. 8 Madison Gurkha voorjaar 2010

9 In elke Madison Gurkha Update vragen wij een klant het spreekwoordelijke hemd van het lijf met betrekking tot zijn of haar relatie met ICT-beveiliging. Voor eenieder herkenbare verhalen uit de praktijk, uiteraard zo onherkenbaar mogelijk gebracht. Deze keer het woord aan de heer X van instelling Y. de klant Security. Dat heb je niet om het bedrijf stil te zetten, maar om bepaalde risico s die groot zijn te kunnen managen en op die manier meer mogelijkheden te hebben. Wat vind u de leuke en wat de minder leuke kanten van uw functie? Leuke kanten: leuke dynamiek. Minder leuke kanten: dat je na een aantal jaren bij wisseling van het management hetzelfde verhaal steeds weer opnieuw moet vertellen. Hoewel je wel heel duidelijke vooruitgang binnen het bedrijf merkt. Mensen worden zich meer bewust van informatiebeveiliging. Een aantal jaren geleden waren het virussen, hackers en whizzkids die een beetje speelden, maar inmiddels is het een ander spel geworden. Het is een serieuze misdaad geworden die ook om een serieuze aanpak vraagt. Vervult u nog nevenfuncties op IT-beveiligingsgebied buiten uw organisatie? Ik heb genoeg interessante nevenfuncties, onder andere de participatie in een aantal overleggen met andere grote bedrijven, overheids- en universitaire instellingen. Welke ontwikkelingen vind je het meest bedreigend? Het meest bedreigende is vaak ook de grootste kans. Als het meest bedreigende zie ik het feit dat de muren van bedrijfsnetwerken gaan vallen. Dit heeft twee effecten: enerzijds dat de bedrijfsnetwerken open worden en dat er allerlei apparaten binnenkomen die je niet meer onder controle hebt. Aan de andere kant heeft dat het effect dat allerlei data in SAAS-achtige toepassingen op het internet terecht komen bij partijen die soms niet eens onder dezelfde wetgeving vallen als wij en daardoor compleet buiten je invloedssfeer komen. Het is een uitdaging om als bedrijf over voldoende middelen en methoden te beschikken om controle te houden over al die situaties. In welke branche is uw organisatie actief? Logistiek en Transport. Wat is uw functie? Information Security Officer. Hoeveel mensen houden zich in uw organisatie bezig met informatiebeveiliging? Er is geen specifieke security-organisatie. Per unit is er een aanspreekpunt die zich vaak in deeltijd hiermee bezighoudt. Bij elkaar opgeteld gaat het in totaal om ongeveer 7-8 personen, maar in feite hebben alle lijnmanagers security als taak binnen hun functie. Wat zijn de drie belangrijkste kwaliteiten waarover men moet beschikken om deze functie met succes te kunnen uitoefenen? Gevoel en inzicht in de business hebben. Redelijk inzicht in techniek en hype van realiteit kunnen scheiden. Goed met mensen om kunnen gaan. Het is meer dan alleen het strak handhaven van beleid, je moet snappen wanneer je moet afwijken van het bestaande beleid omdat het in het belang van de business is. Information Security is er om de business te enablen en niet om de business tegen te gaan. Of zoals een Canadese professor het eens zei: waarom zitten er remmen op een auto? Dat is niet om te stoppen, maar om harder te kunnen rijden. Zo is het ook met Information Wat zijn in uw organisatie op dit moment de belangrijkste uitdagingen op het gebied van informatiebeveiliging? Een van de uitdagingen voor elk bedrijf is het omgaan met lekke software. Leveranciers van software maken hun software achteraf pas veiliger, door fouten achteraf te herstellen en (d.m.v. het uitbrengen van updates en patches). Naarmate je eigen IT-omgeving ingewikkelder wordt, wordt ook de samenhang tussen al die elementen groter en wordt het lastiger om bijvoorbeeld updates door te voeren. Je wordt afhankelijker van verschillende partijen die elk in een ander tempo ontwikkelen. Welke maatregelen worden genomen om deze lekke software tegen te gaan? Alle trucs die we hebben (protocolfiltering etc.) worden daar waar nodig toegepast, waardoor een omgeving wordt gecreëerd waar een virus of worm niet dieper in de organisatie kan doordringen dan de plek waar het op dat moment zit. Ik zie het als een uitdaging om de organisatie dusdanig in te richten dat je eventuele problemen kunt inkapselen en daarmee beperken tot een bepaalde omgeving. Dit is lastig omdat omgevingen steeds complexer worden en de afhankelijkheid van softwareleveranciers en de onderlinge afhankelijkheid van hun software groter wordt. Hoe helpt MG het onder controle houden van deze risico s? Door het regelmatig op vakkundige wijze testen van de systemen om te kijken of die nog steeds veilig zijn. En dat kunnen dan systemen binnen onze invloedssfeer zijn, maar met toestemming van de eigenaars ook systemen buiten onze invloedssfeer. Madison Gurkha voert per jaar tientallen ICT-beveiligingsaudits uit voor uiteenlopende organisaties: van verzekeraars tot banken, van pensioenfondsen tot de overheid en van technologiebedrijven tot internetwinkels. Al onze klanten hebben één ding gemeen: ze nemen ICT-beveiliging uitermate serieus. Zij weten als geen ander hoe belangrijk het is om zorgvuldig met kostbare en vertrouwelijke gegevens om te gaan. Zij laten hun technische ICT-beveiligingsrisico s daarom dus ook structureel onderzoeken door Madison Gurkha. Madison Gurkha voorjaar

10 In de rubriek Het Verslag laten wij u delen in onze ervaringen tijdens conferenties, seminars en trainingen. Deze keer doet Pieter de Boer verslag van zijn deelname aan de training Industrial Control Systems Cyber Security voor gevorderden in Idaho. het verslag Industrial Control Systems Security Training Nog voordat de barre winter Nederland binnentrok, mocht ik vorig jaar november op uitnodiging van het NICC (zie Update 6) naar het koude Idaho Falls afreizen. Daar werd namelijk een training gegeven met de naam `Industrial Control Systems Cyber Security Advanced Training. Deze training werd verzorgd door mensen van het Idaho National Laboratory (INL), een overheidsinstelling waar veel onderzoek plaatsvindt, met name op nucleair gebied. Testen te risicovol Madison Gurkha heeft klanten in allerlei sectoren, waaronder de industrie en nutsbedrijven. Deze klanten hebben vaak naast het gebruikelijke kantoornetwerk een productienetwerk waar kritieke procesaansturing op plaatsvindt. Denk hierbij aan zaken als het besturen van waterpompen voor drinkwatervoorziening, het openen van kranen om chemicaliën samen te laten komen, of het opschalen van stroomleverantie door energiecentrales. Veelal kunnen slechts zeer beperkt beveiligingsonderzoeken worden uitgevoerd op de procesnetwerken. Mocht er iets misgaan, dan kan dat immers verstrekkende gevolgen hebben. Het testen zelf is zo risicovol dat het in een aantal gevallen op de koop toegenomen wordt dat onbekende lekken blijven bestaan omdat ze niet getest kunnen worden. Het leek ons goed meer te leren over de specifieke bedreigingen voor procesnetwerken en mogelijkheden om beveiliging hiervan te verbeteren. De training door INL bood deze mogelijkheid. De groep van ongeveer dertig personen bestond uit security consultants zoals ik, werknemers van industriële- en nutsbedrijven en werknemers van bedrijven die industriële apparatuur maken. Het was een zeer gemengde club, waardoor er veel kennis en ervaring gedeeld kon worden. Red/Blue team exercise De training zelf duurde vijf dagen en bestond uit drie dagen instructie, het uitvoeren van een zogenaamde red team/ blue team exercise en een evaluatie daarvan. De eerste drie dagen waren gevuld met uitleg over hoe procesnetwerken gebouwd worden, uit welke componenten ze bestaan en welke beveiligingsrisico s specifiek gelden voor deze netwerken. Ook werd aandacht besteed aan technieken en tools die aanvallers en testers tot hun beschikking hebben om procesnetwerken aan te vallen. De gehele donderdag stond in het teken van een `exercise. De groep was eerder in de week opgesplitst in een blauw (verdedigend) team en een rood (aanvallend) team. Het blauwe team kreeg de verantwoordelijkheid om een simulatie van een bedrijfsnetwerk met daarin een chemische installatie in stand te houden en ervoor te zorgen dat de productie van een geheim chemisch product doorgang vond. Het rode team was zogenaamd aangenomen door een concurrent van het bedrijf om enerzijds het recept van het product te achterhalen en anderzijds de productie te verstoren. Ik was ingedeeld in het rode team. Met adrenaline gevulde dag Het was een met adrenaline gevulde dag. Al snel had het rode team lekken gevonden in systemen van het blauwe team en probeerden we toegang te krijgen tot het netwerk. Doordat het blauwe team erg snel patches uitrolde en handmatig lekken dichtte, bleek het niet eenvoudig verder te komen. Uiteindelijk werd gedurende de dag op meerdere manieren toch toegang verkregen en kon zelfs, (helaas) laat in de middag, het productieproces verstoord worden. Dit lukte doordat het systeem waar de aansturing van het chemische proces op plaatsvond overgenomen kon worden. Voor elke gelukte aanval kreeg het rode team punten; voor elke afgeslagen aanval of het dichten van lekken kreeg het blauwe team punten. Aan het eind van de dag had het rode team net wat minder punten dan het blauwe, waardoor het blauwe team officieel als winnaar uit de bus kwam. Vrijdag volgde de evaluatie van de vorige dag. Het moment om lessen te leren voor 10 Madison Gurkha voorjaar 2010

11 het dagelijkse leven en deze hopelijk later in de praktijk te brengen. Het gesimuleerde netwerk kende allerlei beveiligingsproblemen en manieren waarop aanvallers toegang konden krijgen tot het procesnetwerk. Helaas is dat de dagelijkse praktijk. Via problemen in websites of door het laten bezoeken van gevaarlijke PDF-bestanden weten aanvallers toegang te krijgen tot bedrijfsnetwerken. Door het ontbreken van patches kan vervolgens verder ingebroken worden op systemen. Wanneer productienetwerken gekoppeld zijn aan kantoornetwerken, hetgeen steeds meer voorkomt, kunnen aanvallers daarna overgaan tot het aanvallen van het procesnetwerk. Het blauwe team merkte dat het niet eenvoudig is om een groot netwerk te overzien en duidelijk te krijgen welke beveiligingsproblemen op welke wijze opgelost kunnen worden. In de simulatie was, heel realistisch, ervoor gezorgd dat documentatie van het te beheren netwerk niet geheel overeen kwam met de werkelijkheid. Ook was er een managementteam aanwezig dat niet zonder goede reden toestemming gaf om systemen af te sluiten, patches uit te voeren of netwerkpoorten te sluiten. Al met al kwamen allerlei facetten van de dagelijkse praktijk terug in de simulatie. Belangrijkste lessen Voor mij was de belangrijkste les dat procesnetwerken vaak erg statisch van karakter zijn. Ze zijn veelal jaren geleden gebouwd en worden daarna niet meer aangepast. Systemen die het proces aansturen zijn tegenwoordig vaak gebaseerd op Windows, waar door de jaren heen honderden beveiligingslekken in gevonden zijn, waarvan een groot het verslag aantal ook via het netwerk te misbruiken zijn. Patches kunnen vaak niet uitgerold worden, al was het alleen maar omdat softwareleveranciers dan geen garantie meer kunnen of willen geven op de correcte werking van de systemen. Verder wordt er veel gebruik gemaakt van netwerkprotocollen die slechts zeer beperkt of helemaal geen beveiligingsmogelijkheden kennen. Een aanvaller die eenmaal toegang heeft gekregen tot het procesnetwerk kan door eenvoudigweg de juiste pakketten te sturen het proces ernstig (of juist subtiel) verstoren. Het gebruik van dit soort protocollen is logisch gezien de leeftijd ervan. De wereld is veranderd en de dreigingen ook, maar de techniek loopt vaak achter. In kantoornetwerken worden systemen om de paar jaar vervangen of opnieuw ingericht, waardoor veiligere systemen eenvoudig intrede kunnen doen. In procesnetwerken kan dit al gauw vijf tot tien keer zo lang duren. Als ik iets van het geleerde aan u zou door moeten geven, dan is het wel het belang van goede isolatie tussen systemen en netwerken. Het beste is geen enkele communicatie tussen procesnetwerk en andere netwerken. Indien het dan toch echt nodig is, zorg ervoor dat een zo nauw mogelijk communicatiekanaal wordt gemaakt. Zelfs een uitgaande databaseverbinding vanuit het procesnetwerk kan een aanvaller al de mogelijkheid geven vanuit het kantoornetwerk het procesnetwerk op te komen. Het is dus zaak om de kanalen die er zijn goed te monitoren en de gebruikte software up-to-date te houden. Wees gerust creatief in uw oplossingen, en probeer er voor te zorgen dat uw leveranciers security net zo serieus nemen als uzelf. de agenda Als u op de hoogte wilt blijven van de laatste ontwikkelingen in de ICT-beveiligingswereld dan zijn beurzen en conferenties de ideale gelegenheid om uw kennis te verrijken en om contacten op te doen. Iedere Madison Gurkha Update presenteren wij in de agenda een lijst met interessante bijeenkomsten die de komende tijd zullen plaatsvinden. 27 april 2010 Black Hat Sessions VIII Ede, Nederland Deze achtste editie van de Black Hat Sessions wordt georganiseerd door Array Seminars en Madison Gurkha en staat in het teken van Hacking the Cloud De bijeenkomst wordt georganiseerd voor beheerders van systemen, netwerken en applicaties, security officers, interne auditors, het management en andere geïnteresseerden. Na dit seminar kunt u de kansen die Cloud Computing biedt beter afwegen tegen de risico s. Het programma start om 9.30 uur en duurt tot uur. Aansluitend wordt nog een borrel georganiseerd. Registratie is mogelijk vanaf 8.30 uur. Zie voor het uitgebreide programma het artikel Het Event elders in deze Update. 1 en 2 juli 2010 Hack in the Box Amsterdam, Nederland De grootste beveiligingsconferentie van Azië, Hack in the Box (HitB), komt volgend jaar voor het eerst naar Amsterdam. Hack in the Box begon in 2003 in Maleisië en vindt sinds 2007 ook elk jaar in Dubai plaats. Daarbij richt het zich voornamelijk op security professionals die technisch goed onderlegd zijn. De conferentie begint met een training van twee dagen, gevolgd door twee dagen met lezingen. het colofon Redactie Walter Belgers Tim Hemel Laurens Houben Remco Huisman Frans Kollée Ward Wouts Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan Contactgegevens Madison Gurkha B.V. Postbus CE Eindhoven Nederland T F E info@madison-gurkha.com Redactie redactie@madison-gurkha.com Bezoekadres Vestdijk CA Eindhoven Nederland Voor een digitale versie van de Madison Gurkha Update kunt u terecht op Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend. Madison Gurkha voorjaar

12 Arnoud Engelfriet Ralph Moonen Ferdinand Vroom Martin Knobloch Ian de Villiers Walter Belgers Deze achtste editie van de Black Hat Sessions staat in het teken van Hacking the Cloud en wordt georganiseerd door Array Seminars en Madison Gurkha. Al aan het eind van de vorige eeuw bezigde Sun Microsystems de slogan: The network is the computer. Dat was toen nog niet echt praktisch toepasbaar en tamelijk visionair. Nu, anno 2010, lijkt het realiteit te zijn geworden. Na Application Service Providing (ASP) en SAAS (Software as a Service), hebben we het nu over The Cloud. Via de cloud kun je processorcapaciteit krijgen, extern geheugen en software huren, zelfs voor de desktop. Dit maakt IT erg flexibel, maar is het ook veilig? De sprekers van deze editie van de Black Hat Sessions gaan in op de risico s van Cloud Computing, vandaar Hacking the Cloud. Ook dit jaar hebben we weer een aantal bijzondere sprekers weten aan te trekken. Arnoud Engelfriet van ICTRecht zal wederom op onnavolgbare wijze zijn ideeën met ons delen over de juridische aspecten van Cloud Computing. Naast juridische voetangels en klemmen zijn er de technische risico s. En wie zijn wat applicaties betreft beter op de hoogte dan de mensen van OWASP? Ralph Moonen van ITSX bekijkt de cloud vanuit een ander perspectief, namelijk hoe kunnen cybercriminelen de cloud inzetten voor hun duistere praktijken? Last but not least spreekt Ian de Villiers van het Zuid-Afrikaanse SensePost Research Labs over Clobbering the Cloud. Wat zijn de problemen met Cloud Computing als we het hebben over zaken als privacy en beveiliging? De bijeenkomst wordt georganiseerd voor beheerders van systemen, netwerken en applicaties, security officers, interne auditors, het management en andere geïnteresseerden. Na dit seminar kunt u de kansen die Cloud Computing biedt beter afwegen tegen de risico s. Deze Black Hat Sessions wordt georganiseerd door: