Security in onderzoek en onderwijs

Vergelijkbare documenten
Cursus Software security. Harald Vranken

Open Universiteit Master Software Engineering. Prof.dr. Marko van Eekelen Programmaleider Master Software Engineering

Inhoud. Introductie tot de cursus

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Inhoud leereenheid 1. Introductie tot software security. Introductie 15. Leerkern Software security 16 2 Software security touchpoints 19

Deny nothing. Doubt everything.

5/15/2014. Open Universiteit Master Software Engineering. Prof.dr. Marko van Eekelen Programmaleider Master Software Engineering

Onderzoek aan de faculteit Informatica. TouW-symposium 24 november 2012 Lex Bijlsma, decaan

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

Secure Software Alliance

Master Software Engineering. Inhoud, begeleiding, tentamen dr. Anda Counotte Docent en mentor

Factsheet SECURITY SCANNING Managed Services

Plan van aanpak. 1 Inleiding. 2 Onderzoek. 3 Taken. Kwaliteitswaarborging van webapplicaties. Rachid Ben Moussa

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

Informatiebeveiliging in de 21 e eeuw

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

Curriculum Afkortingen Bachelor Informatica Propedeuse Postpropedeuse Start Vervolg Afsluiting 60,0 Gebonden keuze (8,6 EC) Afsluiting

Curriculum Afkortingen Bachelor Informatica Propedeuse Postpropedeuse Start Vervolg Afsluiting 60,0 Gebonden keuze (8,6 EC) Afsluiting

Factsheet SECURITY SCANNING Managed Services

1 1 t/m 3. Beveiliging van software. Beveiliging van besturingssystemen

Back to the Future. Marinus Kuivenhoven Sogeti

Zest Application Professionals Training &Workshops

NLT Gecertificeerde Module. Cybersecurity. Petra van den Bos Marko van Eekelen Erik Poll Radboud Universiteit Nijmegen

Trends in de Campusinfrastuctuur. In samenwerking met Stratix

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

Inhoud leereenheid 2. Software vulnerabilities. Introductie 23. Leerkern 23. Terugkoppeling 26

Inhoud leereenheid 1. Security en IT: inleiding. Introductie 15. Leerkern 15. Terugkoppeling 18. Uitwerking van de opgaven 18

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Studentprofiel in onze drie masteropleidingen. Keuzes

Een toekomst in de cloud? Stefan van der Wal - Security Consultant ON2IT

WEBAPPLICATIE-SCAN. Kiezen op Afstand

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Security & Privacy in a Connected World

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop

Maak kennis met. donderdag 19 november 2015

Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager.

Privacy & Data event 18 mei Privacy by Design. Jan Rochat, Chief Technology Officer

Informatiebeveiliging & Privacy - by Design

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Insecurities within automatic update systems

Masters Software Engineering en Computer Science Programma, toelating en wijze van studeren

Sebyde AppScan Reseller. 7 Januari 2014

Security Pentest. 18 Januari Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Cyber Security: hoe verder?

Security theorie. Omdat theorie heel praktisch is. Arjen Kamphuis & Menso Heus arjen@gendo.nl menso@gendo.nl

Uw bedrijf beschermd tegen cybercriminaliteit

Security by Design. Security Event AMIS. 4 december 2014

ISSX, Experts in IT Security. Wat is een penetratietest?

IAM en Cloud Computing

Paphos Group Risk & Security Mobile App Security Testing

Keurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten.

Factsheet SECURITY CONSULTANCY Managed Services

operating system beveiliging

Beveiliging en bescherming privacy

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Beperk zo veel mogelijk de verwerking van persoonsgegevens.

Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011

HET CENTRALE SECURITY PLATFORM

Onderzoek naar de invulling van de IV- en ICT- vlakken van het negenvlak.

Zwaarbewolkt met kans op neerslag

Informatica aan de Universiteit Antwerpen

Data en Applicatie Migratie naar de Cloud

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Informatiebeveiliging

Informatiebeveiliging

Edegem, 8 juni PROFIBUS Belgium VZW PROFIBUS, PROFINET & IO-Link. De PROFIBUS, PROFINET & IO- Link dag 2010

Studieschema bachelor Informatica

Vernieuwing Bacheloropleidingen Informatica en Informatiekunde

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst?

Nationale IT Security Monitor Peter Vermeulen Pb7 Research

Privacy Compliance in een Cloud Omgeving

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Targets. Wie zou er iets tegen ons hebben? We zijn toch geen bank? Wat kunnen ze doen met onze gegevens?

Databeveiliging en Hosting Asperion

Oplossingen overzicht voor Traderouter > 02/11/2010

Master software engineering

Beveiligingsaspecten van webapplicatie ontwikkeling

CURRICULUM VITAE. PERSONALIA: Naam : M. Geboortejaar : 1969 Burgerlijke staat : Ongehuwd FUNCTIE. : Infrastructuur Specialist

Overzicht. Belang van computer beveiliging. I. Inleiding Computer Beveiliging. Wie ben jij, en wat ga jij daar doen?

Gerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK.

Vernieuwing Bacheloropleidingen Informatica en Informatiekunde

Kwetsbaarheden in BIOS/UEFI

Cloudsourcing onder Architectuur. Martin van den Berg Serviceline Manager Architectuur Sogeti Nederland 13 oktober 2011

Agenda Next Level in Control. 15:00 16:00 Next Plenair - Control Productivity - Control Security - Control Flexibility

DE 5 VERBETERPUNTEN VAN UW SECURITY

Juridisch risicomanagement in de Cloud

Joomla & Security. Ing. Gertjan Oude Lohuis Byte Internet 19 november 2007

Equivalentie tussen: vormingen georganiseerd door het ministerie van Defensie en opleidingen van het volwassenenonderwijs

Security Solutions. End-to-end security. Voor de beveiliging van uw fysieke toegangscontrolesysteem.

Next Generation Firewall. Jordy Bax Technology Lead

Agentschap NL Bodem+ naar Azure. 2 maart 2011 Microsoft Applicatie Platform Congres, Zeist

Einde ondersteuning Windows XP 9 april 2014: wat te doen?

III Stream IT Auditing. UWV / CIP / VU- IT auditing

ALLES WAT U MOET WETEN OVER. HUPRA s CLOUDWERKPLEK. Werken waar en wanneer u maar wilt!

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Identity & Access Management & Cloud Computing

Uitvoeringsregeling bij de Onderwijs- en examenregeling wo bacheloropleiding Informatica

WEBSECURITY INFORMATICA STUDENTENWERKING. Gemaakt door Bryan De Houwer en Yuri Moens

Transcriptie:

Security in onderzoek en onderwijs TouW-symposium 24 november 2012 Harald Vranken Met Met dank aan: aan: Marko van van Eekelen Arjan Kok Kok Julien Schmaltz Freek Verbeek Jens Haag Sven Kiljan Carlos Montes Portela afstudeerders

Agenda Onderwijs Security en IT Software security CPP IT security engineer Onderzoek afstudeeropdrachten promotie-onderzoeken post-doc onderzoek 2

Cursus Security en IT Breed overzicht van vakgebied IT security Cryptografie Beveiliging van software Beveiliging van besturingssystemen en databases Beveiliging van computernetwerken Aspecten van beheer en privacy

Cursus Security en IT Nadruk op beveiliging in technische zin Welke kwetsbaarheden zijn er in computersystemen? Welke aanvallen zijn daardoor mogelijk? Hoe kunnen we deze aanvallen voorkomen? Hoe kunnen we geslaagde aanvallen ontdekken?

Cursus Security en IT Doelen van security Confidentialiteit Confidentiality Integrity beschermen van vertrouwelijkheid, privacy Availability Integriteit beschermen tegen modificeren (aanpassen, verwijderen) Security Beschikbaarheid beschermen van toegankelijkheid

Cursus Security en IT Cryptografie: oudheid (1) 1900 vchr. hiëroglyfen in Egypte 50 vchr. Caesar-cijfer monoalfabetische substitutie Voorbeeld: Klare tekst: HOI Cijfertekst: KRL A B C D E F G H I J K L M N O P Q R S T U V W X Y Z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

Cursus Security en IT Cryptografie: oudheid (2) WO II: Enigma polyalfabetische substitutie Voorbeeld: Klare tekst: HOI Cijfertekst: NXO

Cursus Security en IT Cryptografie: tegenwoordig Gefundeerd op wiskunde AES RSA klare tekst encryptiealgoritme E cijfertekst decryptiealgoritme D klare tekst Dit is geheim Kbh bq azszbg Dit is geheim encryptiesleutel K e decryptiesleutel K d

Cursus Security en IT Beveiliging van databases Voorbeeld: SQL-injectie Vranken RAbn3%cd SELECT Username FROM Users WHERE (Username = 'Vranken ) AND (Password = 'RAbn3%cd ) ' OR 1=1 -- ' OR 1=1 -- SELECT Username FROM Users WHERE (Username = '' OR 1=1 --') AND (Password = '' OR 1=1 --')

Cursus Security en IT Virtueel security lab Zelf aan de slag in een computernetwerk als hacker, beveiliger en gebruiker

Cursus Security en IT Virtueel security lab Voorbeeld van opdracht: DMZ en firewalls internet firewall demilitarized zone firewall intranet

Cursus Security en IT Access control

Agenda Onderwijs Security en IT Software security CPP IT security engineer Onderzoek afstudeeropdrachten promotie-onderzoeken post-doc onderzoek 13

Cursus Software security Software security engineering software so that it continues to function correctly under malicious attack understanding software-induced security risks and how to manage them Kernprincipe: building security in

Cursus Software security Vulnerabilities Validatie van invoer en uitvoer Buffer overflow Excepties en privileges Ontwikkelen van beveiligde software Risicomanagement en risicoanalyse Statische codeanalyse Security testing Language-based security Safety Language-based access control Informatieflowanalyse Ethiek van software security

Cursus Software security Oorzaken security-problemen Connectivity, extensibility, complexity 50% implementation-level bugs, 50% design-level flaws 7,000 6,000 5,000 4,000 3,000 2,000 1,000 Number of vulnerabilities 0 2012 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 Year

Cursus Software security Beste practices

Cursus Software security Vulnerabilities Meest voorkomende kwetsbaarheden met grote impact OWASP TOP 10 SQL injection buffer overflow path manipulation command injection cross-site scripting (XSS) HTTP response splitting

Cursus Software security Buffer overflow Arrays in C/C++ user data system data 1 2 3 4 5 6 7 8 X char invoer[8] returnadres programma code

Cursus Software security Vulnerabilities in webapplicatie

Cursus Software security Cross-site scripting

Cursus Software security Cross-site scripting

Cursus Software security Statische codeanalyse: Fortify

Cursus Software security Statische codeanalyse

Cursus Software security Language-based access control Java security Sandbox Code signing Security policies

Agenda Onderwijs Security en IT Software security CPP IT security engineer Onderzoek afstudeeropdrachten promotie-onderzoeken post-doc onderzoek 26

CPP IT Security Engineer Gebaseerd op Security en IT en Software security Talrijke extra s uitvoerige begeleiding (19 bijeenkomten) extra onderwerpen (aansluitend op actualiteit) practica

Agenda Onderwijs Security en IT Software security CPP IT security engineer Onderzoek afstudeeropdrachten promotie-onderzoeken post-doc onderzoek 28

Onderzoek Afstudeeropdrachten BPM&IT afstudeerders Promotie-onderzoeken gedistribueerd virtueel security lab digitaal betalingsverkeer smart grids Post-doc onderzoek 29

Afstudeeronderzoek Afstudeeropdrachten BPM&IT Organisatie en beheer De organisatie van botnetbestrijding in Nederland (Timo Schless; 2013) Security-beleid en maatregelen rondom BYOD en de invloed op de privacy van werknemers (André Schild; 2013) Cyberbeveiliging als bedrijfsproces (Gert-Jan Schouten; 2013) Social engineering Online hengelen zonder vergunning: mogelijkheden, effectiviteit en acceptatie van maatregelen tegen phishing in financiële sector (Koen Dreijer; sep. 2012) Beveiliging tegen social engineering bij de Limburgse gemeenten (Jack van der Goes; dec. 2012) Security van cloud computing Beweegredenen van overheidsorganisaties voor outsourcing naar cloud computing en de effecten op de informatiebeveiliging (René van Giersbergen; 2013) Risico s door de cloud: organisatorische en juridische aandachtspunten en maatregelen (Yvonne van Boxmeer; apr. 2012) Databeveiliging in de cloud: maatregelen en aandachtspunten voor IaaS cloud computing (Jeroen Verhoeven; jun. 2012) Technische impact van hybride cloud computing op IAM (Gert Kiewiet; dec. 2011) Succesfactoren voor implementatie van cloud IAM (Tim Piepers; 2013) 30

Promotieonderzoek Gedistribueerd virtueel security lab Jens Haag (buitenpromovendus) Uitbreiden van virtuele security lab (stand-alone) naar gedistribueerd virtueel security lab student virtual internet docent student 31

Promotieonderzoek Architecturen: decentraal/centraal VH VH VH VH UNIX-Socket UML-Switch GH RBE GH RBE UNIX-Socket UML-Switch 32

Promotieonderzoek Toepassing in onderwijs Inzet bij cursussen Welke opdrachten; wat vinden studenten ervan? Automatische feedback/grading 33

Promotieonderzoek Digitaal betalingsverkeer Kennisprogramma Veiligheid Digitaal Betalingsverkeer (KVDB) doel: verbeteren van veiligheid, beveiliging en vertrouwen in digitale betalingsverkeer samenwerking tussen banken, justitie en universiteiten interdisciplinair onderzoek op 4 deelgebieden (4 AIO s) criminologie/politiekunde psychologie informatica rechtswetenschap 34

Promotieonderzoek Digitaal betalingsverkeer Sven Kiljan (AIO) Technische beveiliging van digitaal betalingsverkeer beveiliging bruikbaarheid van de beveiliging Plan verkenning van gebruikte technische principes analyse of principes voldoende veiligheid bieden ontwerp van veilige(re) oplossingen evaluatie van toekomstige verbeteringen 35

Promotieonderzoek Smart grids Carlos Montes Portela (buitenpromovendus ) Elektriciteitsvoorziening nu: statisch en voorspelbaar aanbod volgt vraag: van centrales naar verbruikers elektriciteitsnetten ontworpen voor piekbelasting Elektriciteitsvoorziening in toekomst: dynamisch en onvoorspelbaar vraag volgt aanbod: decentrale productie, andere vraag dynamische, duurzame productie (weersafhankelijk) 36

Promotieonderzoek Smart grid Netwerk met componenten en technologieën die informatie beschikbaar maken over toestand en energiestromen in het netwerk energiestromen stuurbaar maken Onderzoek naar ICT-architectuur voor smart grid: functionaliteit + privacy + security 37

Promotieonderzoek Smart grid: privacy en security by design 38

Promotieonderzoek Smart grid voorbeeld 39

Post-doc onderzoek Formele verificatie Freek Verbeek (post-doc) en Julien Schmaltz (UD) EURO-MILS project (Multiple Independent Level of Security) Europees consortium van 14 partners (8 bedrijven, 3 onderzoekinstituten, 3 universiteiten) Online embedded systemen in kritische systemen (avionica en automotive) vereist juiste mix van security en safety maatregelen security architectuur gebaseerd op mechanismen voor separatie (virtualisatie) en gecontroleerde informatiestromen OU: formele verificatie ten behoeve van security certificering

Afronding Security: spannend, relevant en actueel Meer weten? Volg onderwijs! Security en IT, Software security, CPP IT security engineer Zelf onderzoek doen? Doe een afstudeer- of promotieonderzoek! Master BPM&IT, CS of SE 41

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback