Security in onderzoek en onderwijs TouW-symposium 24 november 2012 Harald Vranken Met Met dank aan: aan: Marko van van Eekelen Arjan Kok Kok Julien Schmaltz Freek Verbeek Jens Haag Sven Kiljan Carlos Montes Portela afstudeerders
Agenda Onderwijs Security en IT Software security CPP IT security engineer Onderzoek afstudeeropdrachten promotie-onderzoeken post-doc onderzoek 2
Cursus Security en IT Breed overzicht van vakgebied IT security Cryptografie Beveiliging van software Beveiliging van besturingssystemen en databases Beveiliging van computernetwerken Aspecten van beheer en privacy
Cursus Security en IT Nadruk op beveiliging in technische zin Welke kwetsbaarheden zijn er in computersystemen? Welke aanvallen zijn daardoor mogelijk? Hoe kunnen we deze aanvallen voorkomen? Hoe kunnen we geslaagde aanvallen ontdekken?
Cursus Security en IT Doelen van security Confidentialiteit Confidentiality Integrity beschermen van vertrouwelijkheid, privacy Availability Integriteit beschermen tegen modificeren (aanpassen, verwijderen) Security Beschikbaarheid beschermen van toegankelijkheid
Cursus Security en IT Cryptografie: oudheid (1) 1900 vchr. hiëroglyfen in Egypte 50 vchr. Caesar-cijfer monoalfabetische substitutie Voorbeeld: Klare tekst: HOI Cijfertekst: KRL A B C D E F G H I J K L M N O P Q R S T U V W X Y Z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Cursus Security en IT Cryptografie: oudheid (2) WO II: Enigma polyalfabetische substitutie Voorbeeld: Klare tekst: HOI Cijfertekst: NXO
Cursus Security en IT Cryptografie: tegenwoordig Gefundeerd op wiskunde AES RSA klare tekst encryptiealgoritme E cijfertekst decryptiealgoritme D klare tekst Dit is geheim Kbh bq azszbg Dit is geheim encryptiesleutel K e decryptiesleutel K d
Cursus Security en IT Beveiliging van databases Voorbeeld: SQL-injectie Vranken RAbn3%cd SELECT Username FROM Users WHERE (Username = 'Vranken ) AND (Password = 'RAbn3%cd ) ' OR 1=1 -- ' OR 1=1 -- SELECT Username FROM Users WHERE (Username = '' OR 1=1 --') AND (Password = '' OR 1=1 --')
Cursus Security en IT Virtueel security lab Zelf aan de slag in een computernetwerk als hacker, beveiliger en gebruiker
Cursus Security en IT Virtueel security lab Voorbeeld van opdracht: DMZ en firewalls internet firewall demilitarized zone firewall intranet
Cursus Security en IT Access control
Agenda Onderwijs Security en IT Software security CPP IT security engineer Onderzoek afstudeeropdrachten promotie-onderzoeken post-doc onderzoek 13
Cursus Software security Software security engineering software so that it continues to function correctly under malicious attack understanding software-induced security risks and how to manage them Kernprincipe: building security in
Cursus Software security Vulnerabilities Validatie van invoer en uitvoer Buffer overflow Excepties en privileges Ontwikkelen van beveiligde software Risicomanagement en risicoanalyse Statische codeanalyse Security testing Language-based security Safety Language-based access control Informatieflowanalyse Ethiek van software security
Cursus Software security Oorzaken security-problemen Connectivity, extensibility, complexity 50% implementation-level bugs, 50% design-level flaws 7,000 6,000 5,000 4,000 3,000 2,000 1,000 Number of vulnerabilities 0 2012 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 Year
Cursus Software security Beste practices
Cursus Software security Vulnerabilities Meest voorkomende kwetsbaarheden met grote impact OWASP TOP 10 SQL injection buffer overflow path manipulation command injection cross-site scripting (XSS) HTTP response splitting
Cursus Software security Buffer overflow Arrays in C/C++ user data system data 1 2 3 4 5 6 7 8 X char invoer[8] returnadres programma code
Cursus Software security Vulnerabilities in webapplicatie
Cursus Software security Cross-site scripting
Cursus Software security Cross-site scripting
Cursus Software security Statische codeanalyse: Fortify
Cursus Software security Statische codeanalyse
Cursus Software security Language-based access control Java security Sandbox Code signing Security policies
Agenda Onderwijs Security en IT Software security CPP IT security engineer Onderzoek afstudeeropdrachten promotie-onderzoeken post-doc onderzoek 26
CPP IT Security Engineer Gebaseerd op Security en IT en Software security Talrijke extra s uitvoerige begeleiding (19 bijeenkomten) extra onderwerpen (aansluitend op actualiteit) practica
Agenda Onderwijs Security en IT Software security CPP IT security engineer Onderzoek afstudeeropdrachten promotie-onderzoeken post-doc onderzoek 28
Onderzoek Afstudeeropdrachten BPM&IT afstudeerders Promotie-onderzoeken gedistribueerd virtueel security lab digitaal betalingsverkeer smart grids Post-doc onderzoek 29
Afstudeeronderzoek Afstudeeropdrachten BPM&IT Organisatie en beheer De organisatie van botnetbestrijding in Nederland (Timo Schless; 2013) Security-beleid en maatregelen rondom BYOD en de invloed op de privacy van werknemers (André Schild; 2013) Cyberbeveiliging als bedrijfsproces (Gert-Jan Schouten; 2013) Social engineering Online hengelen zonder vergunning: mogelijkheden, effectiviteit en acceptatie van maatregelen tegen phishing in financiële sector (Koen Dreijer; sep. 2012) Beveiliging tegen social engineering bij de Limburgse gemeenten (Jack van der Goes; dec. 2012) Security van cloud computing Beweegredenen van overheidsorganisaties voor outsourcing naar cloud computing en de effecten op de informatiebeveiliging (René van Giersbergen; 2013) Risico s door de cloud: organisatorische en juridische aandachtspunten en maatregelen (Yvonne van Boxmeer; apr. 2012) Databeveiliging in de cloud: maatregelen en aandachtspunten voor IaaS cloud computing (Jeroen Verhoeven; jun. 2012) Technische impact van hybride cloud computing op IAM (Gert Kiewiet; dec. 2011) Succesfactoren voor implementatie van cloud IAM (Tim Piepers; 2013) 30
Promotieonderzoek Gedistribueerd virtueel security lab Jens Haag (buitenpromovendus) Uitbreiden van virtuele security lab (stand-alone) naar gedistribueerd virtueel security lab student virtual internet docent student 31
Promotieonderzoek Architecturen: decentraal/centraal VH VH VH VH UNIX-Socket UML-Switch GH RBE GH RBE UNIX-Socket UML-Switch 32
Promotieonderzoek Toepassing in onderwijs Inzet bij cursussen Welke opdrachten; wat vinden studenten ervan? Automatische feedback/grading 33
Promotieonderzoek Digitaal betalingsverkeer Kennisprogramma Veiligheid Digitaal Betalingsverkeer (KVDB) doel: verbeteren van veiligheid, beveiliging en vertrouwen in digitale betalingsverkeer samenwerking tussen banken, justitie en universiteiten interdisciplinair onderzoek op 4 deelgebieden (4 AIO s) criminologie/politiekunde psychologie informatica rechtswetenschap 34
Promotieonderzoek Digitaal betalingsverkeer Sven Kiljan (AIO) Technische beveiliging van digitaal betalingsverkeer beveiliging bruikbaarheid van de beveiliging Plan verkenning van gebruikte technische principes analyse of principes voldoende veiligheid bieden ontwerp van veilige(re) oplossingen evaluatie van toekomstige verbeteringen 35
Promotieonderzoek Smart grids Carlos Montes Portela (buitenpromovendus ) Elektriciteitsvoorziening nu: statisch en voorspelbaar aanbod volgt vraag: van centrales naar verbruikers elektriciteitsnetten ontworpen voor piekbelasting Elektriciteitsvoorziening in toekomst: dynamisch en onvoorspelbaar vraag volgt aanbod: decentrale productie, andere vraag dynamische, duurzame productie (weersafhankelijk) 36
Promotieonderzoek Smart grid Netwerk met componenten en technologieën die informatie beschikbaar maken over toestand en energiestromen in het netwerk energiestromen stuurbaar maken Onderzoek naar ICT-architectuur voor smart grid: functionaliteit + privacy + security 37
Promotieonderzoek Smart grid: privacy en security by design 38
Promotieonderzoek Smart grid voorbeeld 39
Post-doc onderzoek Formele verificatie Freek Verbeek (post-doc) en Julien Schmaltz (UD) EURO-MILS project (Multiple Independent Level of Security) Europees consortium van 14 partners (8 bedrijven, 3 onderzoekinstituten, 3 universiteiten) Online embedded systemen in kritische systemen (avionica en automotive) vereist juiste mix van security en safety maatregelen security architectuur gebaseerd op mechanismen voor separatie (virtualisatie) en gecontroleerde informatiestromen OU: formele verificatie ten behoeve van security certificering
Afronding Security: spannend, relevant en actueel Meer weten? Volg onderwijs! Security en IT, Software security, CPP IT security engineer Zelf onderzoek doen? Doe een afstudeer- of promotieonderzoek! Master BPM&IT, CS of SE 41