5 NAJAAR Your Security is Our Business 2009 U P D A T E W W W. M A D I S O N - G U R K H A. C O M DE COLUMN 2 Guido van Rooij HET NIEUWS 3 Vernieuwd: Training Secure Programming HET INZICHT 4 Nova USB-Stick onderzoek DE HACK 6 ZIP Hack HET INTERVIEW 8 Wil Allsopp: Unauthorised Acces DE KLANT 9 Uit de ICT Branche HET EVENT 10 Hacking At Random DE AGENDA 11 HET COLOFON 11 WEDSTRIJD Stuur ons je leukste ICT-beveiligingsanecdote voor de volgende Madison Gurkha Update en win een gesigneerd exemplaar van Wil Allsopp s nieuwe boek Unauthorised Access: Physical Penetration Testing For IT Security Teams.
DE COLUMN In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom ICT-beveiliging. Deze keer vertelt Guido van Rooij over Geschiedenisles. Geschiedenisles Op de lagere en middelbare school heeft iedereen geschiedenis gehad. Toen ik dat op school kreeg, werd me verteld dat we dat vak kregen om uit het verleden te leren voor de toekomst. Zo zouden we fouten voorkomen die anderen al eens hebben gemaakt. In theorie klinkt dat prachtig, maar in de praktijk valt het resultaat vaak bar tegen: Eind zeventiger jaren zag je in de duurdere wijken van Nederland garagedeuren geplaatst worden die met behulp van een apparaatje op afstand konden worden geopend. Erg handig! Wat minder handig was, was dat wanneer je met een dergelijk apparaatje rond ging rijden in de wijk, ook de garagedeuren van de beide buurmannen konden worden geopend. De kenners onder ons herkennen natuurlijk gelijk het probleem dat er geen challenge response systeem met encryptie werd toegepast. Ditzelfde euvel zien we sindsdien nog veel vaker opduiken. Op een bepaalde manier bekeken zijn de grote draadloze spriettelefoons ook behept dit probleem: ze zijn afluisterbaar en kennen geen (challenge response) authenticatie. Zelfs de eerste draadloze sleutels voor auto s hadden dit probleem. Toch jammer van die geschiedenislessen... Bij software ontwikkeling is het helaas niet anders. Zo bestaan buffer overflows al heel lang. Ze werden begin jaren zeventig voor het eerst beschreven. Controle op de lengte van de invoer kan buffer overflows echter voorkomen. Een programmeur die met invoer van buiten af omgaat, dient hier uitermate voorzichtig mee om te springen. Er moet gecontroleerd worden of de invoer voldoet aan het formaat dat ervan wordt verwacht. Totdat deze controles hebben plaatsgevonden zou er niks mee mogen gebeuren. Een sterke invoercontrole voorkomt problemen als buffer overflows, heap overflows, diverse injectie-problemen (waarvan de bekendste wel SQL-injectie is). Toch zien we telkens weer dat programmeurs zich niet bewust zijn van de diverse problemen uit het verleden, laat staan de oplossingen daarvoor. Het is op zijn minst opmerkelijk hoe mensen verbaasd reageren op een demonstratie van een bufferoverflow, ook al is het probleem dus al bijna 40 jaar oud. Tijdens onze audits zien we met de regelmaat van de klok problemen die door een gebrek aan invoercontrole worden veroorzaakt. In een poging om de problemen voor te zijn hebben we enkele jaren geleden een training ontwikkeld. Het doel van deze training Secure programmeren is om ontwikkelaars bewust te maken van de impact van de diverse beveiligingsproblemen. Bovendien proberen we ze handvatten te geven om problemen te voorkomen. Onze cursus is onlangs geheel vernieuwd. We hebben geprobeerd om de cursus toegankelijker te maken en bovendien is hij meer interactief geworden. Tim Hemel zal in deze update verder ingaan op de opzet en inhoud van deze hernieuwde training. Natuurlijk is het secure ontwikkelen van programmatuur niet genoeg. Het mag een open deur zijn, maar security is voor een groot gedeelte afhankelijk van de mensen die in een organisatie werken. Daarom speelt social engineering een belangrijke rol bij het onderzoeken van beveiliging. In de tweede update (Winter 2008) is al eens verslag gedaan van een succesvolle social engineering aanval. Ter preventie van het doorbreken van beveiliging door al te vriendelijk (wellicht naïef) personeel, geeft Madison Gurkha awareness trainingen. Deze trainingen kunnen worden toegespitst op de specifieke situatie van een bedrijf, of op een bepaalde doelgroep binnen een bedrijf. Een voorbeeld is een persoon die telefonische vragen van klanten beantwoordt. Daar geldt uiteraard dat privacy van de klanten van het grootste belang is; het mag niet zo zijn dat een slimme jongen gegevens lospeutert over een andere klant. Een ander voorbeeld van een specifieke doelgroep zijn bewakers en receptionistes. Door slimme tactieken gebruiken, kan het voorkomen dat mensen ongeautoriseerd toegang tot een bedrijf krijgen. Het is dan ook belangrijk dat de bewakers en receptionistes hierop voorbereid zijn. Ir. Guido van Rooij Partner, Principal Security Consultant 2 Madison Gurkha najaar 2009
In Het Nieuws belichten we iedere Madison Gurkha Update belangrijke recente ontwikkelingen die in het beveiligingsnieuws zijn verschenen. Ook alle nieuwe ontwikkelingen rondom Madison Gurkha komen in deze rubriek uitgebreid aan bod. HET NIEUWS Vernieuwde training Secure Programming De afgelopen maanden heeft Madison Gurkha haar 2-daagse training secure programming eens kritisch bekeken en aangepast. Tim Hemel vertelt waarom deze aanpassingen gedaan zijn en hoe dit de kwaliteit van de training ten goede is gekomen. Wat denkt u: hoe nieuw is de gemiddelde kwetsbaarheid die Madison Gurkha aantreft in een webapplicatie? a. 1,5 jaar b. 3 jaar c. 5 jaar d. 10 jaar Als we bedenken dat de meeste webapplicaties van onze klanten niet afhankelijk zijn van de laatste technologische mogelijkheden, dan verbaast het nauwelijks dat de meeste kwetsbaarheden die we vinden toch wel zeker vijf jaar oud zijn. De eerste discussies over de problematiek van cross-site-scripting (volgens de OWASP top 10 de meest voorkomende kwetsbaarheid) dateren bijvoorbeeld al van 1996. Dat de onderliggende programmeerfouten vandaag de dag nog steeds worden gemaakt, wijst op een overduidelijk gebrek aan beveiligingsbewustzijn bij programmeurs. Dit was een reden voor Madison Gurkha om de training secure programming eens onder de loep te nemen. op een hersenvriendelijke manier. Het was een ambitieus doel: de bestaande training zodanig aanpassen dat de informatie zo hersenvriendelijk mogelijk wordt gepresenteerd en tegelijkertijd zo min mogelijk concessies doen aan de hoeveelheid leerstof. Na een aantal maanden werk is uiteindelijk een training ontstaan waarmee we vinden dat dit doel is bereikt. dat de cursisten tijdens de training kunnen gebruiken. In de praktijk blijkt vaak dat ontwikkelaars zo gericht zijn op het werkend krijgen van hun software, dat niet wordt beseft dat de software ook misbruikt kan worden. Er ontstaat als het ware een blinde vlek. Voor veilig programmeren is een compleet andere mindset nodig. Om deze mindset te kweken besteden wij aandacht aan het bewustworden van misbruik. Ook de belangrijkste security design principes, die in elk facet van IT-beveiliging terug te vinden zijn, worden hier behandeld. Om het bewustzijn extra aan te scherpen wordt in een live hacking demo het verband gelegd tussen de risico s en onveilige code. In het hele ontwikkelproces is het programmeren slechts een deel. Om beveiliging te integreren in het hele software-ontwikkelproces wordt ook aandacht besteed aan de andere fases: zoals het verzamelen van security requirements, het maken van een veilig ontwerp, code reviews en het testen van de beveiliging. Ook dit gebeurt aan de hand De onderzoeker Markus Jakobsson heeft het effect onderzocht van security awareness campagnes. Het blijkt dat veel gebruikers de adviezen wel kennen, maar in de praktijk nauwelijks toepassen of op een verkeerde manier toepassen. De reden hiervoor is dat er geen wezenlijk begrip wordt gekweekt met de adviezen. Werking van de hersenen Uit onderzoek naar hoe onze hersenen leren blijkt dat de hersenen bepaalde informatie veel beter kunnen opnemen wanneer er verbanden worden gelegd met informatie die we al kennen. Een cluster van informatie wordt bovendien door onze hersenen als belangrijker beschouwd dan geïsoleerde brokken informatie. Als we dus willen dat bewustzijn wordt gekweekt, zullen we de kennis dan ook op een zodanige manier moeten aanbieden dat onze hersenen deze kennis eenvoudig opnemen, met andere woorden: Oefeningen Het grootste onderdeel van de training bestaat uit het programmeren zelf: secure coding. Omdat uiteindelijk de code voor een groot gedeelte bepaalt hoe veilig een applicatie is, zijn aan de technische diepgang van dit gedeelte geen concessies gedaan. Met veel voorbeelden toont Madison Gurkha aan hoe beveiligingsproblemen kunnen ontstaan en bespreken wij op welke manieren ontwikkelaars deze kunnen oplossen. Door middel van veel oefeningen krijgen cursisten zelf handson ervaring met de problematiek, waardoor dergelijk situaties in de praktijk beter herkend worden. Een extra uitdaging bij het maken van de oefeningen was ervoor te zorgen dat iedere programmeur, onafhankelijk van de gebruikte programmeertaal, deze oefeningen kan doen. Om te voorkomen dat hierdoor de link met de praktijk verloren gaat, zijn extra oefeningen toegevoegd waarbij Madison Gurkha de cursisten aanspoort tot het onderzoeken van het specifieke beveiligingsgedrag van hun eigen ontwikkelomgeving. Voor deze oefeningen is een apart werkboek gemaakt van oefeningen, waarbij ook de cursisten moeten samenwerken. Hoe meer mensen immers naar een applicatie kijken, des te meer beveiligingsproblemen kunnen worden gedetecteerd. We hopen met de vernieuwde training te bereiken dat een duurzaam bewustzijn ontstaat bij de teams die deze training volgen en dat de applicaties die ze ontwikkelen op termijn steeds minder beveiligingsproblemen zullen bevatten. Specifieke vragen over de training beantwoorden we graag. Mist u een nieuwsitem, of heeft u nog ander opvallend of aanvullend security nieuws? Meld het aan ons door een mail te sturen naar: redactie@madison-gurkha.com. Wie weet staat uw nieuwtje in de volgende Madison Gurkha Update! Madison Gurkha najaar 2009 3
Nova USB-Stick o HET INZICHT In de rubriek Het Inzicht stellen wij meestal bepaalde technische beveiligingsproblemen aan de orde. Ditmaal meer informatie over het onderzoek van NOVA naar USB-sticks, dat Madison Gurkha heeft ondersteunt. Onlangs heeft Madison Gurkha een onderzoek van NOVA TV ondersteund. NOVA liet zien hoe nietsvermoedende medewerkers van banken, politieke partijen, ambassades en meer een USB-stick in hun computer stopten. Een USB-stick die door NOVA-medewerkers ter plekke was achtergelaten. Om binnen te komen gebruikten de reporters een smoes, zoals: ik wil graag wat informatie voor een werkstuk van mijn zoontje. Dat was meestal voldoende om binnen te komen. De stick bevatte een sticker met een adres, waarnaar deze teruggestuurd kon worden. Veel mensen stopten echter de stick in hun PC, zich niet bewust van de risico s. NOVA heeft in totaal 81 sticks verspreid. Van deze 81 sticks zijn er 35 teruggestuurd en zijn er 16 (circa 20%) in een computer gestopt. NOVA heeft in totaal 81 sticks verspreid. Van deze 81 sticks zijn er 35 teruggestuurd en zijn er 16 (circa 20%) in een (Windows) computer gestopt. USB-sticks USB-sticks van het type U3 kunnen software bevatten die op Windows-systemen automatisch opstart. Deze functie heet autoplay of autorun. Zonder dat de gebruiker iets hoeft te doen, wordt de software gestart. In het geval van NOVA werd gebruik gemaakt van speciaal door Madison Gurkha geprepareerde USB-sticks, die slechts wat informatie over het systeem naar een van onze machines op internet stuurden. Kwaadaardige software Om aan te tonen wat mogelijk is, werden ook beelden getoond van twee USB-sticks die we voorzien hadden van kwaadaardige software. Deze zijn uiteraard niet door NOVA gebruikt. De ene stick deed ogenschijnlijk niets, maar installeerde een VNC-server en meldde zijn aanwezigheid. Een 4 Madison Gurkha najaar 2009
HET INZICHT onderzoek aanvaller kan dan de machine op afstand beheren en heeft in feite de volledige controle. Een tweede stick bevatte software die alle toetsaanslagen opvangt en naar een vooraf gespecificeerde machine op internet stuurt. Daarnaast stuurde deze stick regelmatig screendumps op. De programmatuur werd in dit geval verborgen op de stick door deze als het ware aan de bestaande programmatuur (die de USB-stickfabrikant meelevert) te plakken. Beheerrechten Wat in NOVA wat minder belicht werd, was hoe je dit soort aanvallen voorkomt. Laat ik voorop stellen dat niet alle systemen software op een USB-stick automatisch zullen starten. Op Windows XP systemen werkt autorun alleen voor gebruikers die beheerrechten hebben of Power User zijn. Helaas zijn dat er nog veel te veel. Een gebruiker heeft normaal geen beheerrechten nodig en zou die ook niet moeten krijgen. Werken met beheerrechten (d.w.z. als Administrator ) brengt namelijk grote risico s met zich mee. Een USB-stick met een zelfstartend programma kan dan bijvoorbeeld de virusscanner en firewall uitschakelen. Dat mag een beheerder namelijk. U zult zeggen: maar die virusscanner detecteert de kwaadaardige software toch? Helaas, het is redelijk eenvoudig om software zodanig aan te passen dat de virusscanners deze niet vinden. Gevaren Dat autorun gevaarlijk is, is al lang bekend. Apple heeft autorun uitgezet sinds de komst van Mac OS X. Linux heeft het nooit gehad. Maar ook Windows wordt voorzichtiger: in Windows Vista en Windows 7 krijg je een pop-up scherm met de vraag of je het programma wilt starten. Maar als mensen dan op ja klikken, zijn ze alsnog de klos. Naast het wegnemen van beheerrechten bij gewone gebruikers is het uitschakelen van autorun een goede preventieve maatregel. Dat kan met gpedit of TweakUI. Maar nog beter is natuurlijk de eindgebruikers voor te lichten over de gevaren. Dan doel ik niet specifiek op USB-sticks. Een per post verzonden CD-ROM die er professioneel uitziet, kan ook kwaadaardige software bevatten en moet dus ook niet zomaar in een PC gestopt worden. Maar eigenlijk wisten we dat al. Hebben we in onze jeugd niet al gehoord dat we geen snoepjes moeten aannemen van vreemde mensen? U kunt de NOVA uitzending over de USB sticks terugzien via onze website. Ga naar het (laatste) nieuws op www.madison-gurkha.com. Heeft u onderwerpen die u graag een keer terug zou willen zien in deze rubriek? Laat het dan weten aan onze redactie via: redactie@madison-gurkha.com. Madison Gurkha najaar 2009 5
DE HACK In de rubriek De Hack belichten we iedere Madison Gurkha Update een opmerkelijke situatie die tijdens een beveiligingsaudit werd aangetroffen. Deze keer het woord aan Pieter de Boer over een hack met behulp van ZIP-bestanden. ZIP Hack Zoals u ongetwijfeld zelf al wist of uit vorige artikelen van de Update hebt kunnen leren, is het veilig ontwikkelen van software niet eenvoudig. Er wordt door ontwikkelaars heel wat tijd en moeite gestoken in het veilig maken en houden van software. Door de snelle ontwikkeling van technologie moeten ontwikkelaars steeds de eigen kennis bijspijkeren om up-to-date te blijven. Moderne ontwikkelplatforms helpen ontwikkelaars met het voorkomen van beveiligingsproblemen. Deze problemen worden ondervangen door de in het verleden opgedane kennis toe te passen. In dit artikel zullen we zien dat soms hele oude lessen nog steeds geleerd moeten worden. Madison Gurkha onderzoekt per jaar tientallen applicaties, verdeeld over een verscheidenheid aan klanten. Gek genoeg zijn er vaak periodes waarin we een bepaald soort probleem opeens bij meerdere klanten aantreffen. Zo ook hier: exact hetzelfde probleem werd vlak achter elkaar bij drie klanten, in drie verschillende applicaties, gevonden. 6 Madison Gurkha najaar 2009
DE HACK Uitpakken De drie applicaties waren nieuw en gebouwd met moderne platforms. Twee gebruikten het.net-platform van Microsoft, de derde was een J2EE-applicatie draaiend op een UNIX-variant. Het.NET-platform is zo gemaakt dat een aantal veelvoorkomende problemen, met name in webapplicaties, voorkomen worden. Het gaat vaak pas mis als er eigen componenten worden geschreven of third-party ponenten worden toegevoegd. De drie applicaties kenden com- een importeerfunctie, waarbij bestanden door de gebruiker konden worden opgestuurd naar de applicatie die vervolgens de verwerking hiervan uitvoerde. Het beveiligingsprobleem zat hem in de afhandeling van ZIPbestanden. In een dergelijk bestand kunnen meerdere andere bestanden worden gecombineerd, zodat ze eenvoudig in een keer geïmporteerd kunnen worden. Een ZIP-bestand bevat dus een lijst van bestanden en de bestanden zelf. Wanneer een applicatie toegang wil tot de bestanden zelf, moet het ZIP-bestand uitgepakt worden. Dit gebeurt normaalgesproken door alle in het ZIP-bestand opgenomen bestanden weg te schrijven naar disk en ze dan een voor een te verwerken. In een van de.net-applicaties was de werkwijze als volgt: Pak het ZIP-bestand uit naar een tijdelijke folder op disk Lees het eerste bestand in en verwerk het Verwijder het bestand na verwerken Lees het (eventuele) volgende bestand in en verwerk het Blijf dit doen tot alle bestanden zijn verwerkt Verwijder het ZIP-bestand zelf Bestanden in het ZIP-bestand werden geplaatst in een folder als C:\TEMP. De website zelf was geplaatst in een andere folder, bijvoorbeeld C:\Website. Het bleek mogelijk te zijn om een ZIP-bestand te maken zodanig dat bij het uitpakken bestanden in C:\Website werden gezet in plaats van C:\TEMP. We hadden eerder al vastgesteld dat de website in C:\Website te vinden was, zodat dat niet geraden hoefde te worden. Vervolgens pasten we een oude truuk toe: directory traversal. We maakten een ZIP-bestand aan met daarin een bestand..\website\test.txt en stuurden dit naar de website. Zoals wellicht bekend betekent.. in een pad dat er teruggegaan moet worden naar de hogerliggende folder. De website pakte de ZIP-file uit in C:\TEMP. Door de..\websites kwam het bestand test.txt echter terecht in C:\Websites. Fout forceren Het daadwerkelijk misbruik maken van het probleem had nog wat voeten in de aarde. Ons doel was om toegang te krijgen tot het systeem door een ASP of ASP.NET script te uploaden dat commando s uit kan voeren via CMD.EXE, de DOS-prompt van Windows. Omdat de applicatie bestanden direct na inlezen verwijderde, waren deze daarna niet meer opvraagbaar op de website. Hierdoor was het niet mogelijk om ons script uit te laten voeren. We probeerden allereerst om tijdens het uploaden snel achter elkaar het desbetreffende bestand van de website op te vragen. Zodoende zouden we wellicht het bestand kunnen opvragen vlak voordat de applicatie het zou verwijderen. Dit gaf echter niet afdoende snel resultaat. Uiteindelijk bleek de oplossing te liggen in de foutafhandeling van de applicatie. Door een ZIP-bestand te uploaden met daarin twee maal hetzelfde bestand, werd een fout geforceerd. Deze brak de verwerking van de bestanden in het ZIP-bestand af en er werden geen bestanden meer verwijderd. Het was hierdoor mogelijk een ASP.NET-script te uploaden waarmee commando s uitgevoerd konden worden, zonder dat dat script door de webapplicatie verwijderd zou worden. Ook dit werkte niet meteen omdat de webapplicatie geen rechten had om CMD.EXE uit te voeren. Het uploaden van een CMD.EXE-bestand loste ook dit probleem op, waarna we systeemtoegang hadden. Succesvolle aanval Uit bovenstaande omschrijving van de aanval blijkt dat er aan een aantal voorwaarden moest worden voldaan om een succesvolle aanval uit te kunnen voeren. Door gelaagde beveiliging toe te passen zou het niet gelukt zijn systeemtoegang te krijgen. Als de webapplicatie niet uitlekte waar de website op disk stond, zou het waarschijnlijk niet gelukt zijn die locatie te vinden. Bij striktere permissies van de webroot, was het niet mogelijk geweest er bestanden te plaatsen. Wanneer de foutafhandeling iets anders was geweest, waren de bestanden verwijderd voordat ze opgevraagd konden worden. Creativiteit Er vallen een aantal lessen te leren uit deze hack. Allereerst hoe complex beveiligingsproblemen kunnen zijn en hoe het misbruiken ervan soms een dosis geluk en in ieder geval creativiteit vereisen. Verder dat oude lessen nog steeds geleerd moeten blijven worden, zowel technisch-inhoudelijk (pas op met het aanmaken van bestanden op basis van gebruikersinvoer!) als op het gebied van risicovermijding middels gelaagde beveiliging. Ook is het een les om niet blind te vertrouwen op standaard platformen. Hoewel deze steeds meer beveiligingsrisico s out-of-the-box voorkomen, blijft het zaak ook zelf rekening te houden met ongewenste invoer. Ik ben benieuwd wanneer de volgende ZIP-afhandeling langskomt en of we daar snel gestopt worden door een gelaagde beveiliging of dat we toch weer systeemtoegang weten te krijgen. Madison Gurkha najaar 2009 7
HET INTERVIEW Madison Gurkha Update interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld om zijn of haar visie te delen over dit steeds belangrijker wordende onderwerp. Ditmaal een interview met onze medewerker Wil Allsopp over zijn nieuwe boek. Wil Allsopp Het nieuwe boek van Wil Allsopp Unauthorised Access: Physical Penetration Testing For IT Security Teams is sinds 7 augustus in Europa te verkrijgen en zal in de loop van oktober in de VS uitkomen. When and how did you get into IT security? Just over 10 years ago I met these guys in a bar and they were talking about security. At the time I was working as a programmer and they wanted someone with specific programming skills. That was a company called tiger team security. I worked for them for a while in the Netherlands. That is how I got into it and I ve been doing it ever since. It sounds like a cliche I was in a bar and something happened. All my anecdotes revolve around being in bars, but what are you going to do. After that I ve been working for some other companies, large and small. Before joining Madison Gurkha I was with this great company called INS, International Network Services. And then they were taken over by BT, so I left. What prompted you to write a book on physical security testing? I first thought about doing a book on web application testing, but who cares, there are plenty of books on that. So I decided to pick a subject that hadn t been written about as much. Physical pen testing is a pretty broad field and in fact nothing had been published about in its own context under one cover. What are the specific topics the book goes into? Going by the list of contents of the book. First I try to explain what us penetration testers actually do in the real world. Which is strange to most people that aren t in the business, and sometimes it s strange to us insiders as well. So that involves what it is that we do, what our purpose is. How we plan for it and then how we go about actually executing the test when the basics have been laid. That ll be the first three chapters of the book. After that the book goes into the techniques that are used for physical penetration tests. Which involves social engineering, or getting people to let you go into their building by persuasion. Saying the right things to people really does open doors in life and in companies you are penetrating. Now if you can t get anyone to open the door for you, you might have to open it yourself, the basic techniques for that are treated in the chapter on lock picking. Then there is a chapter on information gathering. If you, once you re executing your attack, don t have advance information, you re going to be walking around looking all clueless. That ll make you stand out a lot from the people that actually belong on the site you re penetrating. You want to prevent that by gathering information beforehand. Next there s a chapter on hacking wireless networks. If you can hack into a wireless network, chances are you don t even need to get into a building at all. Which means you can t get caught trying to get into a building. Which reduces stress and makes you a happier person for the time being. Not that this type of stress is not a bad thing, it s actually a lot of fun afterwards, but it can be very nerve wrecking in the moment. There s a chapter on gathering the things you need to execute the penetration tests. This covers your basic tools. Things you really really need. Most important of all is of course a letter from the person responsible for hiring you that ll prevent you from going to jail if you get caught. This is followed by some anecdotes of penetrations I ve performed in the past. And two chapters on defending your organisation against these type of attacks. What was your favorite chapter to work on? Without a shadow of a doubt that would be chapter 9. It s got three anecdotes. That was fun to write, because I got to call up old colleagues and ask do you remember working on this? It was good to sort of relive those days and share them, because it s an odd way to earn a living. A lot of the time people wouldn t believe, well I wouldn t believe what we do for a living. If we didn t do it all the time. It s a bit surreal. The first of those stories talks about how we penetrated an electrical company. This involved breaking in to a power station. Once inside we got full access to their internal control network. You actually see that a lot, that companies have this trusted network on the inside. Where once you get into a small bit of it you get access to basically Which is strange that needs protecting. While this is in a way convenient for the IT-staff, because it takes very little work and thought to set up, in the long run doing it right wouldn t have been that much more work and would have prevented a lot severe security issues. More details on this story and the other stories can ofcourse be found in the book. Are there any things in the book that didn t turn out the way you wanted? Well, the title for example has unauthorized spelled with an s. A lot of people think that s the British way to spell it, but it s not. And in American-English, I think they are also using a z. And everytime that this term is used in the book it is spelled differently. Also the captions for some of the picutres are switched around, which will be obvious when you read the book. It s a mess. But on the whole it s not too bad. Actually on the whole I m very happy. The cover is very good. :) Seeing you started out in security in a bar and this interview is being taken in a bar, which beer do you recommend? Well, that would definately be the Chouffe. Op 24 september zal Wil een presentatie over zijn boek geven tijdens de bijeenkomst van de Nederlandse afdeling van OWASP (zie de agenda op pagina 11). Kent u iemand die ook graag zijn of haar visie wil delen in een interview (u mag uzelf natuurlijk ook opgeven)? Neem dan contact op met de redactie door een mail te sturen naar: redactie@madison-gurkha.com. 8 Madison Gurkha najaar 2009
In elke Madison Gurkha Update vragen wij een klant het spreekwoordelijke hemd van het lijf met betrekking tot zijn of haar relatie met ICT-beveiliging. Voor iedereen herkenbare verhalen uit de praktijk, uiteraard zo onherkenbaar mogelijk gebracht. Deze keer het woord aan de heer X van instelling Y. DE KLANT Wat zijn de 3 belangrijkste kwaliteiten waarover men moet beschikken om deze functie met succes te kunnen uitoefenen? Naast een goede algemene kennis van security: Coördinerend vermogen om alle security-activiteiten en projecten te kunnen managen.helikopter view om het overall security-landschap te kunnen overzien. Communicatief vaardig op zowel strategisch, tactisch als operationeel niveau. Wat zijn uw ervaringen met Madison Gurkha? Madison handelt snel en effectief, is flexibel naar hun klanten en beschikt over een team van kundige medewerkers. Zij doen wat ze beloven en dat vind ik belangrijk. In welke branche is uw organisatie actief? Mijn organisatie is actief in de ICT-branche. Hoeveel mensen houden zich in uw organisatie bezig met informatie beveiliging (mag breed worden opgevat)? Bij onze organisatie houden zich procentueel gezien veel mensen met informatiebeveiliging bezig. Ieder vanuit zijn eigen discipline. Een programmeur houdt zich bijvoorbeeld bezig met secure programmeren, een tester bedenkt abuse cases en een netwerkbeheerder past de juiste firewall rules toe. Informatiebeveiliging maakt deel uit van de dagelijkse werkzaamheden. Wat is uw functie? Ik ben als Security Officer verantwoordelijk voor alle fysieke- en informatiebeveiligingsaspecten van het bedrijf. Wat vindt u de leuke en wat de minder leuke kanten van uw functie? De leuke kanten van mijn functie zijn het implementeren van nieuwe security-oplossingen en processen ter verbetering van het security-niveau. Minder leuk vind ik een inbraakmelding waarvoor ik s nachts naar de zaak kom, terwijl het een kwajongensstreek blijkt te zijn. Wat zijn in uw organisatie op dit moment de belangrijkste uitdagingen op het gebied van informatie beveiliging? Implementatie van een Information Security Management System conform ISO 27001 en alle daarbij behorende activiteiten en projecten zoals bijvoorbeeld het ontwikkelen en implementeren van security standaarden, Risico Management en Business Continuity Management. Hoe gaat u deze aanpakken en hoe helpt Madison Gurkha daarbij? Voor het gehele ISO 27001-traject is een project plan gemaakt. De gehele organisatie is betrokken bij de uitvoering van het plan. Madison Gurkha zorgt daarbij voor opleiding en audits. Onlangs hebben een aantal mensen in uw organisatie de geheel vernieuwde training secure programming gevolgd. Hoe is deze training bevallen? De training is voor ons een kennismaking met secure programming. Vanuit die basis kunnen onze ontwikkelaars hun security programmeervaardigheden verder ontwikkelen. Wat waren de belangrijkste eye-openers tijdens de training? Algemene security awareness bij softwareontwikkeling en natuurlijk zaken als cross-site scripting, SQL injection en bufferoverflow. Madison Gurkha voert per jaar tientallen ICT-beveiligingsaudits uit voor uiteenlopende organisaties: van verzekeraars tot banken, van pensioenfondsen tot de overheid en van technologiebedrijven tot internetwinkels. Al onze klanten hebben één ding gemeen: ze nemen ICT-beveiliging uitermate serieus. Zij weten als geen ander hoe belangrijk het is om zorgvuldig met kostbare en vertrouwelijke gegevens om te gaan. Zij laten hun technische ICT-beveiligingsrisico s daarom dus ook structureel onderzoeken door Madison Gurkha. Madison Gurkha najaar 2009 9
HET EVENT Begin augustus was Vierhouten het hacking epicentrum van Nederland, zo niet Europa of de wereld. Tijdens Hacking at Random (HAR) waren meer dan 2500 hackers afgereisd naar de Veluwe om... Tja, hoe moeten we het omschrijven? Lees het verslag van Hans van de Looy. Vijftig uur nadat de tear-down was gestart zijn de velden weer schoon, is de Zonnehal weer leeg (op wat lost-and-found spul na) en staat er enkel nog een tent die pas donderdag opgehaald moet worden. Hacking At Random (HAR) 2009 is over. Alle drie de netwerken zijn weer afgebroken. Twee data netwerken (bekabeld en WiFi) die uiteindelijk door middel van een 10Gbps koppeling aan het Internet zaten, zijn weer in onderdelen uiteen gehaald. Delen ervan zijn terug in opslag en het geleende spul is terug bij de leverancier. Ook het DECT telefoonnetwerk van EventPhone dat gedurende het gehele event (dus vanaf het begin van de opbouw tot en met het einde van de afbraak) dienst heeft gedaan als een van de belangrijkste communicatiemogelijkheden is ook weer in kratten opgeborgen zodat het klaar is voor een volgende keer (waarschijnlijk het jaarlijkse CCC Congres in Berlijn). Het terrein is leeg. De laatste golfkarretjes worden klaargezet voor transport en de vrachtwagens die gebruikt zijn voor het vervoer van te veel om op te noemen staan klaar om de Paasheuvel te verlaten. Ook de mensen zijn leeg. De afgelopen weken zijn heftig geweest. Een aantal vrijwilligers dat varieerde van enkele tientallen tot meer dan honderd personen hebben er uiteindelijk voor gezorgd dat ook dit hacker event weer vlekkeloos is verlopen. Sommige teams hebben shifts gedraaid van 20 uur. Maar elk van hen geeft aan dat het een geweldig feest is geweest. Kwalitatief goede en interessante lezingen op allerlei gebied. Workshops die mensen uitdaagden om nieuwe projecten te starten. Oude vriendschappen die door middel van dit event weer van nieuwe energie zijn voorzien en nieuwe contacten die hier een basis hebben gevonden. Regelmatig wordt in de pers de omschrijving Een Woodstock voor 10 Madison Gurkha najaar 2009
DE AGENDA Iedere Madison Gurkha Update presenteren wij in de agenda een lijst met interessante bijeenkomsten die de komende tijd zullen plaatsvinden. Hackers gegeven en als je er bij bent geweest weet je precies wat ze daarmee bedoelen. Rond de 2300 personen op het terrein en de politie (die bij elk event van een dergelijke omvang aanwezig moet zijn) heeft maar weinig te doen gehad. Ook de cybercops die aanwezig waren hebben vooral van het weer kunnen genieten. De abusedesk die de organisatie 24x7 beschikbaar had heeft geen enkele call binnengekregen. Vandaar dat het me ook flink tegen de borst stuit dat sommige pers, zonder ook maar een bezoek te hebben gebracht aan HAR, een verslag publiceren en van elkaar overnemen dat werkelijk nergens op slaat. Hierin worden kreten opgenomen als: De vaste campinggasten zijn inmiddels door de bedrijfsleiding gewaarschuwd: Kijk de komende dagen uit. Je weet maar nooit of iemand een kijkje in jouw computer neemt. Gelukkig zijn er ook voldoende persmensen op afgekomen die wel aan waarheidsvinding doen en deze hebben wel door dat het hier niet om een bijeenkomst van computercriminelen gaat, maar dat tijdens HAR vooral de topspecialisten op het gebied van ICT-beveiliging, netwerken en algemene creativiteit bij elkaar komen om samen na te gaan hoe bepaalde problemen aangepakt zouden kunnen worden: bijvoorbeeld hoe bepaalde informatie juist beter beveiligd en andere hoeveelheden bitjes beter gedeeld kunnen worden, waarom bepaalde wetten nooit kunnen werken en of privacy nog beschermd kan worden. Vandaar dat Madison Gurkha het zo belangrijk vond dat we dit initiatief actief gesponsord hebben, zowel met een bepaald geldbedrag, als met de inzet van personen tijdens de opbouw, het event zelf en de afbraak. Maar ook is er tijd voor fun. Zoals het vliegen met quad-copters, het spelen van hacker jeopardy, je vermaken met de flipperkasten in de HARCade en het Dutch Open van TOOOL (The Open Organisation Of Lockpickers). En er is sfeer. s Avonds als het donkerder begint te worden komt dit pas echt tot zijn recht. Dan zie je overal op het terrein lichtsculpturen en andere kunstwerken die juist dan tot leven lijken te komen. Een hacker event als HAR is dan ook niets om je zorgen over te maken. Het is wel een van de must-join bijeenkomsten van experts en over vier jaar is het volgende HXX event weer in Nederland. Natuurlijk kan een artikel als dit niet zonder een URL. In dit geval die van de HAR wiki: https://wiki.har2009.org/page/main_page. Deze zal uiteindelijk alle links bevatten naar informatie over HAR 2009, inclusief alle opnamen van de presentaties en andere impressies van het event. Ook deze informatie is bijeengebracht voor, maar vooral door, alle mensen die HAR tot een succes hebben gemaakt, namelijk alle aanwezigen bij HAR. 16-19 september 2009 BruCON - Brussel, België http://www.brucon.org/ Van 16 tot en met 19 september 2009 zal de eerste BruCON plaatsvinden in Brussel, België. BruCON bestaat in feite uit twee delen: twee dagen tutorials, gevolgd door twee dagen conferentie. Het onderwerp is in beide gevallen beveiliging. Walter Belgers van Madison Gurkha zal op de conferentie workshops lockpicken geven. 4-5 november 2009 Infosecurity.nl - Jaarbeurs Utrecht www.infosecurity.nl 24 september 2009 OWASP NL meeting - Eindhoven Tijdens deze bijeenkomst zal Wil Alssopp meer vertellen over zijn boek: Unauthorised Access. Madison Gurkha sponsort deze bijeenkomst. 6-7 oktober 2009 GOVCERT Symposium, Rotterdam www.govcert.nl 28-30 oktober 2009 Hack.lu, Luxemburg www.hack.lu 29 oktober 2009 NLUUG The Open Web - Ede www.nluug.nl 19-20 November - 2009 Confidence - Warschau http://200902.confidence.org.pl HET COLOFON Redactie Caroline van de Wiel Tim Hemel Remco Huisman Frans Kollée Ward Wouts Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan Contactgegevens Madison Gurkha B.V. Postbus 2216 5600 CE Eindhoven Nederland T +31 40 2377990 F +31 40 2371699 E info@madison-gurkha.com Redactie redactie@madison-gurkha.com Bezoekadres Vestdijk 9 5611 CA Eindhoven Nederland Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend. Madison Gurkha. Madison Gurkha najaar 2009 11
its Information Technology Security experts o o o o o o o o o o o o o o o o