Informatiebeveiliging in de 21 e eeuw beveiliging van de cloud webapplicatiepenetratietests vulnerability-assessments 12 maart 2012 R.C.J. (Rob) Himmelreich MSIT, CISA, CRISC
Introductie Rob Himmelreich informatiebeveiliger, risicomanager, IT-auditor Achtergrond Bedrijfskundige Informatica Master of Security in Information Technology (MSIT, TUe) Certified Information Systems Auditor (CISA, Isaca) Certified in Risk and Informations Systems Control (CRISC, Isaca) Specialisatie securitymanagement, penetratietests, vulnerability assessments, applicatiebeveiliging, netwerkbeveiliging, fysieke beveiliging, business continuity Page 2
Security? social engineering Wat is informatiebeveiliging? Waarom beveiligen we? Page 3
Informatiebeveiliging in de 21 e eeuw Wat is informatiebeveiliging? Welke veranderingen vinden plaats? Wat zijn nu en in de toekomst de grootste uitdagingen? Page 4
De Geschiedenis van het WWW 6 augustus 1991 Page 5
Cloud vanuit security-perspectief Page 6
Security in de vorige eeuw Page 7
Security-architectuur (oud) Page 8
Security-architectuur (nieuw) Anytime Anyplace Any device BYOD! Page 9
Security-architectuur (hybride) Page 10
Commercieel gebruik van Internet Eerste verschijning term e-commerce in 1994 Hoge mate van idealisme in de begindagen van het WWW Commercieel gebruik tot 1995 geweerd Privatisering van de Internetbackbone op 30 april 1995 Pioniers: 1994: Pizza Hut 1995: Amazon 1996: ebay Page 11
Cloud: wat is een webapplicatie? Een webapplicatie is een applicatie waartoe toegang wordt verkregen via het Internet of intranet. Een webapplicatie is gecodeerd in een door webbrowser ondersteunde taal. - Een webapplicatie kan altijd, overal en van elk apparaat worden benaderd - Een webapplicatie heeft geen client-software nodig, alleen een webbrowser - Een webapplicatie wordt centraal beheerd en beveiligd - Een webapplicatie maakt deel uit van een proces (versus statische website) - De webapplicatie is uw enige line of defence Page 12
De wereld van nu Bron: xkcd.com Page 13
En beveiliging? 2001: De eerste webapplicatie-aanvallen worden bekend (directory traversal) Onder meer creditcardgegevens worden buitgemaakt en bankgegevens ingezien Een firewall alleen is niet meer voldoende Page 14
En beveiliging? SQL-injection Verkrijg databasetoegang via de webapplicatie Page 15
En beveiliging? Session hijacking Sessies van legitieme gebruikers worden overgenomen Page 16
En beveiliging? Cross-site scripting De website toont ongewenste inhoud van buitenaf. Hiermee kunnen bijvoorbeeld man in the middle -aanvallen worden uitgevoerd Page 17
Incidenten afgelopen jaar 5 februari - Hackers kraken computersysteem Amerikaanse aandelenbeurs 18 maart - Hackers stelen RSA SecurID-informatie 23 april - Sony haalde PlayStation Network offline na hack 29 april - Hackers PSN maakten gegevens 2,2 miljoen creditcards buit 2 mei - Sony: vermoedelijk 10 miljoen creditcardaccounts buitgemaakt 30 mei - Hacker maakt mailadressen 80.000 Duinrell-klanten buit 1 september - DigiNotar gaf mogelijk valse ssl-certificaten uit na ontdekking hack 6 september - Hackers stalen wellicht persoonsgegevens miljoen leden Smulweb 15 september - Miljoenennota uitgelekt door blunder 20 september - Beveiliging websites mogelijk in gevaar door ssl-kwetsbaarheid 26 september - Hacker verminkt 200.000 sites 28 september - Recherche pakt 17-jarige jongen op vanwege KLPD-hack 8 oktober - Vijftig gemeentesites blijken nauwelijks beveiligd 24 oktober - Cheaptickets.nl laat gegevens 715.000 klanten uitlekken 4 november KPN staakt uitgifte certificaten na ontdekking verdachte sporen 18 november Criminelen hacken waterinstallatie en vernielen waterpomp 22 november Gegevens 13.000 kinderen toegankelijk via Sinterklaarjournaal.nl 29 november Website FD.nl serveert malware 24 januari Databasestoring legt internetbankieren ING plat 11 februari Gehackte KPN mailaccounts afkomstig van Baby Dump-database 5 maart Hackers stelen muziek Michael Jackson 6 maart Hackers maken wachtwoorden buit via Proserve 12 maart - Beveiliging Chrome voor derde keer binnen korte tijd gekraakt Nog steeds worden dezelfde fouten gemaakt als tien jaar geleden! Page 18
Risico s Datalekken Valse berichten Bestellen zonder betalen Ontvangen zonder betalen Frauduleuze ideal-transacties Gebruikersgegevens (username/wachtwoord) Creditcardgegevens Privacy Artikeldatabase verwijderen Prijzen aanpassen Voorraad aanpassen Cross-site scripting (man in the middle attacks) Denial of Service Etc. Page 19
Hoe pakken hackers dat aan? 1. Doelwit uitzoeken (gericht, portscan, willekeurig) 2. Informatie verzamelen (portscan, DNS-loopup, etc.) 3. Vulnerability scan 4. Misbruik maken van bekende kwetsbaarheden Waar gaat het in 90% van de gevallen mis? 1. Software bugs 2. Configuratiefouten Live demo Page 20
Live demo information gathering http://www.domaintools.com/ http://www.webyield.net/ipa.php http://www.bing.com http://tclinks.net/web-tools/display_server_header.asp http://cve.mitre.org/cve/cve.html Page 21
Wat doet u hieraan? Page 22
Waar te beginnen? 1. De voorkant Identificeer kwetsbaarheden Installeer updates Identificeer de toegangspunten Verklein het aanvalsoppervlak, beveilig de webapplicatie Beperk de bevoegdheden (gebruikersaccounts, autorisaties) Gebruik sterke wachtwoorden Zekerheid door periodieke onafhankelijke penetratietests en vulnerability assessments Page 23
Verkrijg meer zekerheid 2. De achterkant Breng het applicatielandschap in kaart Controleer de interface met financiële administratie en logistieke systemen Bepaal controles in het complete proces niet uitsluitend op onderdelen Implementeer preventieve maatregelen Implementeer repressieve maatregelen (ontdekking, acteren op uitzonderingen) Zekerheid door audits Page 24
Borging door middel van een proces 3. Beheer Bepaal verantwoordelijkheden voor beveiliging Implementeer een proces voor gebruikersbeheer Implementeer een proces voor autorisatiebeheer Implementeer een proces voor wijzigingsbeheer Maak afspraken bij uitbestede diensten (Service Level Agreement) Controleer uitbestede diensten (onafhankelijke audit / certificering) Zekerheid en continuïteit door beleid Page 25
Wat is een vulnerability-assessment? Page 26
Wat is een vulnerability-assessment? Page 27
Wat is een penetratietest? Page 28
Wat is een penetratietest? Page 29
Wat is een penetratietest? Page 30
Hoe gaat een penetratietest in zijn werk? Page 31