Professionele Bachelor in de Toegepaste informatica

STAGEVERSLAG Door student Wim Caudenbergh Stageverslag ingediend voor het behalen van het diploma van Professionele Bachelor in de Toegepaste informatica Academiejaar 2012-2013 Stagebegeleider: Stagementor: Bedrijf: Locatie: Griet Barrezeele Gunter Luyten IBM Evere

Contents Stageplaats... 3 Situering van het SOC... 3 Tools... 6 Collega s... 8 Opdrachten... 10 Seats... 10 M1 Queue... 11 Devices onderhouden... 11 Projecten... 12 Educatie... 14 Wat heb ik bijgeleerd/slotwoord... 15 Tips naar de opleiding toe... 15 Dankwoord... 16 Bijlages... 17 Bijlage 1: Commando symlinks... 17 Bijlage 2: Voorbeeld geëscaleerde alert.... 17 Bijlage 3: Installatiescript headless Virtualbox op CentOs... 17 Bronnen... 19 2 P a g e

Stageplaats Situering van het SOC Mijn stage vond plaats in het SOC (Security Operations Center) bij IBM. Ik zal hier proberen uitleggen wat de situering is van het SOC in het bedrijf om zo een beeld te schetsen wat mijn plaats bij IBM was. Geografisch Geografisch gelegen ligt het SOC waar ik mijn stage heb gedaan in Evere, gelegen in Brussel. Dit was maar een paar kilometer verwijderd van bij mij thuis maar heb toch wat problemen gehad om hier te raken met het openbaar vervoer. Er rijden namelijk shuttles van IBM naar het station en omgekeerd maar mijn bus stopt 1.5km verder in Diegem. Dit betekende dagelijks een trip van minstens 3km. Ik heb het steeds over het SOC in Brussel, dit is omdat het deel uit maakt van Global Security Operations. Er zijn verschillende Operations Centers verspreid over de wereld, Brussel is hier maar één van. Zo zijn er Centers te vinden in: Brisbane, Australia Tokyo, Japan Bangalore, India Brussels, Belgium Hortolandia, Brazil Atlanta, USA Detroit, USA Boulder, USA Wroclaw, Poland (Nieuw) Riyadh, Saudi Arabia (Nieuw) 3 P a g ina

Er wordt voor gezorgd dat er 24/7 een team klaar staat en dit is eenvoudig te verwezenlijken als er globaal gewerkt kan worden. Zo kunnen wij in Brussel en in Polen de shift over nemen van Indië, en neemt de US het over van ons als wij vertrekken. In het bedrijf IBM is een internationaal technologie en consulting bedrijf ook bekend als Big Blue. Ze bieden verschillende producten en services aan. De services worden verdeeld onder 5 grote categorieën: Business services Global Technology services Outsourcing services Training Additional services Mijn stage ging door bij de Global Technology services. Deze bevat een waslijst aan verschillende diensten dat IBM aanbiedt onder deze categorie: Cloud Computing Data Center Services End user services Security Services Server services Services for the Mobile Enterprise Storage and data services Technical Support Services En nog veel meer Als Threat Analyst hoor ik vanzelfsprekend bij Security Services dat dan ook weer opgedeeld kan worden over verschillende soorten security services dat de klant wil gebruiken. Wij zijn lid van het MSS: Assessment, Design and Implementation Services Managed Security Services Data Security Services En meer 4 P a g e

In het Het MSS (Managed Security Systems) hebben we het GSO (Global Security Operations). Een Center van het GSO noemen we een SOC. De services van het GSO kunnen we onderverdelen in 4 categorieën: MIDS (Managed Intrusion Detection Service) MFS (Managed Firewall Service) VMS (Vulnerability Management Service) SELM (Security Event and Log Management) Onze stage verliep vooral in het MIDS gedeelte. Het Managed Intrusion Detection Service is verantwoordelijk voor het onderhoud, monitoring en ondersteuning van de IDS / IPS-apparaten. Dit is een kritische dienst bij het GSO, daarom staat hier 24/7 een team voor klaar. Het omvat controleren van events die ons in staat stellen om te rapporteren en handelen naar kwaadaardige activiteiten of misschien inbreuk op de beveiliging die de klant hun gegevens in gevaar kunnen brengen. Naast dit hoort ook bijvoorbeeld het tunen van de devices bij de klanten, klanten op de hoogte houden, Ik zal hier over uitbreiden in het hoofdstuk Opdrachten. De tweede categorie is MFS(Managed Firewall Service), deze service is verantwoordelijk voor het onderhouden, monitoring en ondersteunen van firewall devices. Het omvat eveneens het verzamelen van logs en events, health checks uitvoeren, aanmaken en onderhouden van policies, het opzetten van een VPN verbinding en ondersteuning bieden bij de deployment van het apparaat. 5 P a g e

VMS, of Vulnerability Management Service, is het onderzoeken en ontdekken van vulnerabilities binnen de infrastructuur van de klant. Dit wordt bijvoorbeeld gedaan door behulp van vulnerability scans over het netwerk. Resultaten van deze scans worden weergegeven op het klanten Portaal (Zie Tools ) Als laatste hebben we nog het SELM of Security Event and Log Management. Zij staan in voor het assisteren van bedrijven bij het opslagen en het human readable maken van deze logs. Tools Er zijn heel veel tools beschikbaar bij IBM. De ene wat gebruiksvriendelijker dan de andere. Ik ga hier wat praten over de tools waar ik in contact mee gekomen ben en tools dat gebruikt worden als analist in het GSO. Sametime Sametime is ons chat programma. Als we iemand willen spreken van IBM zoeken we hun op in Sametime en pingen we hun. Er zijn ook verschillende chatrooms voorzien voor verschillende diensten. Zo was ik elke dag aanwezig in de TA (threat analysis) room samen met de andere analisten. De chat was zeer belangrijk voor ons aangezien zo al het werk verdeeld werd en dergelijke. Als je met een probleem zat kon je het aan iemand vragen in de chatroom of een privé bericht sturen naar een persoon met meer ervaring op dat vlak. SiteMax SiteMax is een chatsysteem dat voorzien is voor de klanten om contact op te kunnen nemen met het personeel. Als men bijvoorbeeld veel vragen had waarbij Instant Messaging eenvoudiger zou zijn dan ticket updates en e-mails, vroeg de klant om een chat gesprek te openen met één van de analisten. Dit systeem is verbonden met het Portaal. Lotus Notes Lotus Notes wordt gebruikt als e-mail en kalender client. We kregen meermaals meer dan 10 mails per dag. Deze gingen bijvoorbeeld over nieuwe firmware upgrades van de IPS/IDS devices, een belangrijke mededeling, een vraag omdat je niet altijd op dezelfde uren op SameTime kunt zitten, Ook kregen we elke dag een mail van de X-Force Unit met wat belangrijk security nieuws. We krijgen ook regelmatig bezoek aan het SOC hier in Brussel. Hier krijgen wij op voorhand een mailtje van en wordt er een herinnering geplaatst in onze kalender. AT&T Mobility VPN Client Deze tool werd gebruikt om te connecteren met het IBM netwerk. Dit was noodzakelijk aangezien wij ons in een ander gebouw en fysiek op een ander netwerk bevonden. doorgaans wordt de client gebruikt om vanop afstand met het intern netwerk te verbinden voor iedereen dat niet op kantoor hoeft/hoort te zijn. 6 P a g e

Cisco VPN Client Dient om op het MSS netwerk te raken en de resources te gebruiken op dit netwerk van buitenaf. Dit is een beschermde omgeving, niet iedereen van IBM heeft hier toegang toe en is beschermd met een 2-factor beveiliging (wachtwoord en een RSA SecurID token). Customer Portal Het portaal wordt gebruikt door de klant. Hier kunnen zij nieuwe alerts bezien, hun policies nakijken, een PCR (Policy Change Request) aanvragen, een authorized scanner toevoegen zodat de analist hier van op de hoogte is als hier een alert van getriggerd wordt en nog veel meer. Een uitgebreide uitleg over de mogelijkheden op het Customer Portal vindt u in het volgende filmpje. SiteProtector http://youtu.be/l5ecluemhss Deze tool wordt gebruikt om bijvoorbeeld policies of bepaalde instellingen te veranderen aan firewalls of IPS/IDS devices bij de klant. Unified Console Dit is een web based monitoring applicatie waar wij alle alerts bekijken van de klanten. Dit is ons meest gebruikte tool als analist omdat ~70% van ons werk het analyseren van alerts inhoud. Als ik over seats praat, gaat het over deze applicatie, meer hierover bij Opdrachten. De Console bevat ook meerdere tools die het mogelijk maken om eerdere gelijkaardige alerts te vergelijken bij dezelfde klant, bepaalde patronen te ontdekken en andere correlaties te maken. Na het analyseren van een alert kunnen we deze escaleren indien nodig. Als we dit doen maakt de console een nieuwe ticket aan die we daarna kunnen opvolgen in Remedy. Nagios Nagios is een monitoring tool dat een systeem kan monitoren en alerts sturen als er iets misloopt met het device. Dit wordt gebruikt om de devices bij klanten te monitoren. De uitslagen van de tests dat Nagios doet op de toestellen kunnen we daarna dan bekijken of opnieuw uitvoeren in Remedy. Remedy Remedy is ook een veelgebruikte tool door ons. Remedy is een workflow en trouble ticketing systeem waar wij bijna alles kunnen opzoeken, bewerken en opvolgen. Daarmee bedoel ik alle ticketjes dat aangemaakt zijn, alle klanten en hun devices. De client versie wordt gebruikt om op de Remedy servers te connecteren en bevat ook verschillende tools om bijvoorbeeld een mail naar de klant te sturen als een ticket geüpdatet of aangemaakt wordt. En om de Nagios Health Checks te bekijken per device. 7 P a g e

OOB Servers Dit zijn de Out-of-Band servers. Met Out-of-Band wordt bedoeld, het bereiken van een apparaat op een andere methode als de primaire methode. Hier wordt er gebruik gemaakt van een telefoonlijn. Deze heb ik persoonlijk niet hoeven te gebruiken maar zijn een belangrijke back-up option voor als er iets misloopt met de configuratie van een remote device. Proxy Server en Jump Servers Deze gebruiken we om contact te kunnen maken met de devices van de klanten. Als veiligheidsmaatregel kunnen we nooit rechtstreeks aan die devices. FTP & TFTP Servers Het MSS gebruikt ook FTP en TFTP servers om verschillende updates, upgrades, uit te voeren op customer devices. Collega s Wie Een belangrijk onderdeel van de stage vind ik zelf het contact onderhouden met de collega s. Gunter is onze manager en kende ik al op voorhand door de presentatie die hij gegeven heeft in de les Capita Selecta op de KHL. Ook op de jobbeurs hebben wij een gesprek gehad, dit maakte de eerste dag al direct wat minder stresserend. Op de eerste dag maakten we kennis met Jelle en Thomas die, naast Gunter, ook in KHLeuven gezeten. Zij hebben ook beide vroeger een stage gelopen in het SOC. Deze twee collega s hebben ons het meeste bijgebracht en geholpen bij onze opdrachten. Zij zijn beide ook analist (het TIA team) in het SOC. Een paar weken voor de stage afgeliep is Arvid erbij gekomen. Hij is eveneens een oud student van de KHL en heeft ook nog stage gelopen in het SOC. De laatste persoon van onze dienst die ook bij TIA zit is Rembert. Naast TIA is er ook nog het DMG (device managment), team dat instaat voor de verschillende devices bij customers. Lid hiervan zijn Kris, Christof, Frederick en Ramzi. Elke collega stond telkens klaar om te helpen bij elk probleem en vond het dus een plezier om in de ochtend naar de stage te komen. We hebben ook een kleine teambuild gedaan door met heel de office naar de 3 fonteinen te gaan om daar iets te gaan eten en wat bij te praten. Ook kregen we soms bezoek van collega s uit een ander land. Zoals bijvoorbeeld Melissa Thomann. Zij is een Executive van het GSO en komt uit Atlanta, US. Zij wou eens zien hoe het er bij ons aan toe ging en wij konden dan ook vragen stellen over hoe het in de toekomst verder zou gaan met het SOC en andere zaken. Een andere bezoeker was Ola uit Zweden, Ola doet aan Service Delivery Management en is een weekje in België om eens te zien hoe alles hier in zijn werk gaat. 8 P a g e

Office Pranks Omdat het niet altijd even serieus moet zijn werden er tussen Mij, Ewoud (mijn mede stagiaire), Jelle en Thomas wat grapjes uitgehaald. Meestal waren deze ook security gerelateerd dus we leerden altijd wel iets bij. If a man insisted always on being serious, and never allowed himself a bit of fun and relaxation, he would go mad or become unstable without knowing it. Het begon bij het niet locken van onze Herodotus laptops als we even een pauze namen. Bij het terugkomen was dan onze achtergrond veranderd of ons beeld 180 gedraaid. Als bij al vrij onschuldig maar dit hielp zeker en vast om ons er aan te doen denken onze laptop te locken in het vervolg. De kleinere grapjes daarna waren het omwisselen van de laptops zodat het leek of ons wachtwoord niet meer werkte of de klassieke plakband onder de optische muis plakken. Ook een boot disk in de dvd-drive steken waardoor het leek dat er een andere OS op het systeem stond heeft een paar mensen doen verschieten. In de laatste week moesten we elkaar vanzelfsprekend overtreffen. Jelle en Thomas hebben zo een webpagina aangemaakt dat sprekend lijkt op het Windows 7 inlogscherm. Als men dan het wachtwoord invult en op Inloggen drukt wordt het wachtwoord doorgestuurd naar een database. Ze hebben dan onze laptops opgestart met een live cd van Ubuntu en naar deze website gesurft in full screen. Maar met een getraind oog zag ik dat er iets mis was met mijn resolutie en dat Jelle de verkeerde username had geplaatst op het scherm, waardoor ik het door had voor ik iets ingevuld had. Als tegenprestatie heb ik dan op een laptop waar zij regelmatig video s op zien tijdens de pauze alle video s vervangen door een symbolische link naar de befaamde Rick Roll video en hun originele video s verborgen. (Commando staat in de bijlages onder moest er interesse zijn.) Ook is het login geluid naar ditzelfde liedje veranderd en komt er een mooie boodschap bij het openen van de terminal. 9 P a g e

Opdrachten Seats Zoals al eerder gezegd houdt deze taak ~70% van het werk als analist in. Als we in de ochtend binnenkomen is het eerste wat we doen, onze laptop opzetten en de Threat Analyst chat joinen. Hier zit altijd een OD (OD staat voor "On Duty" Team Lead.) op. Dit is de persoon alles in het oog houdt en het werk verdeeld onder de analisten. Ook is er een Verifier aanwezig, deze persoon verifies bijvoorbeeld een policy change dat een analist heeft voorbereid. Als we de chat joinen en we willen seatwerk doen vragen we een seat aan de OD. Deze zorgt er dan voor dat er genoeg seats vrij zijn. Hij kan er ook meer aanmaken of er een paar verwijderen. Deze seats kunnen we bereiken op de Unified Console die alleen te bereiken is op het interne netwerk. Een seat is eigenlijk een queue. Over al deze queues zijn de devices van de klanten verdeelt die threat alerts generen. Zo heeft Seat 2 bijvoorbeeld klant X en Y maar Seat 3 klant W en Z. Als er dan een threat detecteert wordt bij klant Y komt de alert binnen op Seat 2. De analist bekijkt dan de event details om wat meer te weten te komen over de alert. Hieruit kunnen we meestal afleiden of het inderdaad iets gevaarlijk is of niet. Hoe gevaarlijk het is duiden we aan met een severity level low, medium of high. Als we de alert als high escaleren moeten we meestal bellen naar de klant. De klant kan ook Special Instructions hebben. Deze lijst wordt bijgehouden door de analist en valt te bekijken als we een alert escaleren. Deze kan dingen bevatten zoals de vraag om niet te bellen, zelf niet bij een high severity alert. Of bijvoorbeeld dat bij een bepaald soort trigger er direct gebeld moet worden. De klant heeft ook een Authorized Scanners list, deze bevat een lijst met ip adressen dat het netwerk mogen scannen op zwakheden. De klant kan deze zelf invullen op het klantenportaal. Als de klant aanduidt dat hij wilt verwittigd worden als deze scans een alert genereren, dan kan hij dat aanduiden en komt de alert in onze lijst te staan. Anders niet. Als we merken dat de alert een true positive is of als we iets aan de klant willen laten weten vullen we eerst de issue description in. Hier komt een kort en bondige uitleg te staan waarom je de alert geëscaleerd hebt. We vullen ook een vakje in waar we in zetten wat we allemaal gedaan hebben bij het onderzoeken van de alert. Een laatste vakje dient voor raad mee te geven aan de klant, wat zouden ze moeten doen om deze threat te stoppen of om het probleem op te lossen. Vanaf dit allemaal ingevuld is drukken we op Apply en wordt er een ticketje gemaakt die de klant kan bezien. We verzenden ook een e-mail met de melding dat er nieuwe ticket aanwezig is op het portaal. Een voorbeeld van zo n ingevulde ticket zie je in Bijlage 2. 10 P a g e

M1 Queue Na dat deze ticket aangemaakt is wordt deze opgeslagen op de Remedy servers en kunnen we deze dus bekijken met behulp van de Remedy client. Een ticket kan verschillende statussen hebben, zoals: Assigned, New, Pending Customer, Pending Closure, Als de klant een ticketje bekijkt op het portaal en hier een antwoord op geeft wordt de status op New gezet. Deze kunnen we nu bekijken op de M1 queue. Hier is het de bedoeling deze ticketjes verder te verwerken. Het kan zijn dat deze gewoon gesloten moeten worden, maar het kan ook zijn dat de klant meer uitleg vraagt of een opmerking wil geven op iets. Zo kan het zijn wij bijvoorbeeld een onbevoegde scan hebben geëscaleerd en dat de klant merkt dat dit eigenlijk wel bevoegd zou moeten zijn. Zij antwoorden dit dan op het ticket en wij geven dan meer uitleg over hoe zij dit dan zelf kunnen doen op het klantenportaal. Hierna kunnen we de ticket sluiten door deze op Pending Closure te zetten. De ticket gaat dan automatisch dicht na een bepaalde tijd als de klant geen antwoord meer geeft. Devices onderhouden QA Als er een nieuw device bij de klant geplaatst wordt moet hier een Quality Assurance test op uitgevoerd worden om te zien of alles wel correct geplaatst is en alles juist ingesteld is. Dit gebeurt aan de hand van een spreadsheet dat we zelf moeten bij aanvullen en een handleiding dat alle stappen beschrijft. Hiervan heb ik er een paar gedaan met Jelle. Firmware Upgrade Regelmatig moet er wel eens een firmware upgrade gedaan worden op de devices. Dit kan eenvoudig zijn zoals upgraden van 4.5 naar 4.6. dit is gewoon de files naar het devices kopiëren van de (T)FTP servers en een commando uitvoeren dat deze installeert. Als men van 1.x naar de laatste nieuwe versie gaat wordt het al wat ingewikkelder. Dan moeten er verschillende upgrades gedaan worden, een back-up genomen worden en een re-image gedaan worden van het apparaat. Dit kan gedaan worden via een web based applicatie of via ssh. Eerst heb ik dit helemaal manueel geprobeerd met een oude laptop met een com poort om de output van het device te lezen. Dan heb ik met SCP alle patches en dergelijke op het apparaat gezet vanaf de laptop de upgrade uitgevoerd. Later heb ik dit samen met Jelle ook eens gedaan op een device van een echte klant waar dit nodig was. We hebben dit gedaan met de web based applicatie. Dit was veel eenvoudiger maar dan ook minder interessant. Troubleshooting Er kan altijd wel iets mislopen met de devices of de honderden custom made policies op een device. Als er dan wat mis is met geeft Nagios een alert. Nagios gaat namelijk nakijken hoe het device zich normaal zou moeten gedragen (deze gegevens staan op Remedy) en vergelijkt dit met wat er allemaal op het apparaat gebeurd. Daarna beginnen we te troubleshooten op het apparaat. Zo kan er veel mislopen, zoals een file dat corrupt geraakt is of een harde schijf dat te vol raakt. 11 P a g e

Project Mario Aranda We hebben ook een mailtje gehad van Mario Aranda. Hij had een project voor ons waar we aan konden werken als we wouden. Het project bestond uit het nakijken van een hoop devices dat Nagios alerts gaven. Zoals eerder gezegd geeft Nagios alerts als er een verschil is tussen hoe het device nu geconfigureerd is en hoe het zou moeten zijn (Dit staat opgeslagen op de Remedy Servers). Onze taak was dan manueel op deze machines in te loggen en uit te vinden waarom dit eigenlijk zo was. Daarna moesten de entries in Remedy aangepast worden indien nodig. Deze taak heeft toch redelijk wat tijd ingenomen en begon na een tijd toch wel wat oninteressant te worden. Maar het heeft er wel voor gezorgd dat ik wat beter met de machines kon werken en dat ik wat meer te weten ben gekomen over de configuraties zelf van de machines. Projecten Een analist moet altijd op de hoogte blijven van de nieuwe ontwikkelingen in de security wereld. Ook het praktisch uittesten, analyseren en bijleren is een belangrijk onderdeel van het werk als threat analyst. Daarom is er op de afdeling een labo voorzien. We hebben ook wat oude desktop pc s, een rack met wat servers, IDS en en IPS en, en wat andere hardware staan waar we alles op kunnen testen. Zo zijn we ook begonnen met wat projectjes uit te voeren. Nieuwe hardware Op een dag werd Jelle gecontacteerd door een kameraad dat in een ander bedrijf werkt. Zij deden hun oude hardware weg en wij mochten het komen halen als we wouden. Het ging om een fileserver en wat backup servers met tapes. Deze devices kunnen we zeker gebruiken en zijn het nog diezelfde dag gaan ophalen. Virtueel netwerk Jelle en Thomas waren al eerder bezig met het opbouwen van een virtueel netwerk dat volledig afgeschermd is van het interne IBM netwerk of het internet (tenzij nodig). Dit om verschillende malware en dergelijke op te testen. Hiervoor is het ook nodig eenvoudig nieuwe virtuele machines aan te maken waar deze op getest kunnen worden. Ik ben begonnen met het uittesten van VirtualBox op de hardware dat beschikbaar is in het lab. Eerst de default installatie op de full desktop versie van CentOs 6.4. Daarna hebben we VirtualBox geïnstalleerd op een headless basic server versie van CentOs 6.4. (Een headless server is een server dat geconfigureerd is om bestuurd te worden via het netwerk.) Hierbij konden we dan makkelijk virtuele machines aanmaken via de webbrowser en besturen door middel van een RDP sessie (remote desktop). We hebben ook een scriptje gemaakt dat normaal gezien alles zou moeten installeren en configureren op een Centos 6.4 basic server. Deze staat in Bijlage 3. 12 P a g e

Na wat testen te doen op verschillende machines moet ik concluderen dat dit geen goede manier is. Dit om verschillende redenen: VirtualBox is gemaakt om eenvoudig op te zetten en op een desktop te gebruiken. Dit merk je ook, zo is aantal commando s dat je kan doorgeven via ssh is niet zo heel uitgebreid. Hetzelfde met de opties dat je kan opgeven op de web applicatie. Het is niet zo performant. Alles voelt slomer aan dan dat het zou moeten aangezien VirtualBox niet gemaakt is om vanop afstand te besturen. Voor elke OS moeten er guest additions geïnstalleerd worden. Dit is niet voor elke OS even simpel. Als we dit niet deden hadden we problemen met het capturen van onze muis waardoor we 2 mousepointers hadden. Het volgende dat ik ging testen was Xen. Xen werkt op en totaal andere manier. Bij VirtualBox draaien we VirtualBox op een host OS en draaien hier boven op dan nog eens een guest OS (de virtuele machine). Bij Xen gebruikt men de Xen hypervisor, Domain 0 en domain U. De Hypervisor is een abstracte laag dat op de hardware ligt. Deze staat in voor het verdelen van cpu-tijd, geheugenverbruik, van de virtuele machines dat er op draaien. Domain U is een OS dat instaat voor het configureren en communiceren met de Hypervisor laag en de andere virtuele machines. Domain U guests zijn dan de virtuele machines waar we dan mee werken uiteindelijk. http://www-archive.xenproject.org/files/marketing/howdoesxenwork.pdf Dit leek een veel betere oplossing dan VitualBox. Ik was begonnen met de installatie van dit systeem maar ben er nooit aan toe gekomen dit af te werken. Openstack Arvid was ook op het idee gekomen om OpenStack te gebruiken in het labo. OpenStack maakt het mogelijk om eenvoudig een privé en public cloud aan te maken. Het is Open Source software met bijdrages door verschillende grote bedrijven, waaronder IBM zelf. Dit zouden we dan kunnen gebruiken om cloud based virtuele machines te kunnen draaien en dergelijke. Dit zag er zeer interessant uit en heb er spijt van dat ik dit niet meer heb kunnen opvolgen. 13 P a g e

Educatie Onze stage ging niet puur over het inleven als IBM medewerker. Er werd direct duidelijk gemaakt dat het de bedoeling was veel van de stage bij te leren en nieuwe dingen te proberen. Learn to hack Van Thomas hebben we een lijst met verschillende sites gekregen waarop we onze security skills konden testen. Dit om meer te weten te komen wat de technieken zijn dat hackers gebruiken en hoe we deze kunnen tegenhouden. De eerste site dat we geprobeerd hebben is try2hack.nl, deze 12 challenges hebben helemaal kunnen oplossen zonder ergens af te kijken op het internet. Het zelfde voor de volgende site, hackthissite.org. Hier staan veel meer challenges op, verdeeld in verschillende categorieën zoals realistic missions, application missions, Irc missions,... Hier hebben we de alle 11 basic missions van gedaan, 6 realistic missions, 4 javascript missions en 3 Extbasic missions. OWASP Tomas heeft er ons ook aan doen denken dat er op 6 juni een conference plaatsvond in Leuven van OWASP(The Open Web Application Security Project). Zij zijn een non-profit organisatie dat gaan voor het verbeteren van de security op een softwarematig level. Dit is perfect voor onze security skills wat bij te benen en hebben ons dan nog snel de dag zelf ingeschreven. Dit ging door aan de KULeuven in het Computer Science departement in Heverlee rond 17:00. Na we dit aan Arvid meegedeeld hadden heeft hij zich ook direct ingeschreven en zijn we samen gaan kijken. 14 P a g e

Wat heb ik bijgeleerd/slotwoord Ik kan zeker en vast zeggen dat dit een leerrijke stage was. Op het eerste vlak heeft het mij al klaargestoomd om in het werkleven te stappen. Ik heb geleerd zelfstandig, op tijd op het werk te raken. Hoe ik met mijn superieuren moet communiceren en hoe dit dit eigenlijk ook gewoon mensen zijn als ik. Op vlak van security heb ik ook enorm veel bijgeleerd. Ik heb alle signatures die alerts genereerden bestudeerd en heb zo wat nieuwe technieken geleerd, hoe hackers hun aanvallen proberen te verbergen om zo de IDS en en IPS en te ontwijken. En vooral hoe belangrijk het is voor grote bedrijven hier zich tegen te beschermen. Vooral de hacking challenges hebben mij hier bij geholpen. Soms ben je dan lang aan iets bezig maar als je doorzet komt je er meestal wel. Ik heb ook gemerkt dat het antwoord meestal iets simpel en logisch is en je niet altijd te ver moet gaan zoeken. Ik heb geleerd hoe ik moet communiceren met de klant, schriftelijk en mondeling. Een klant is een IT persoon net zoals ons en kan meer of minder weten dan jou op bepaalde vlakken. Ik heb geleerd correlaties te leggen en iets dieper uit te zoeken. Niet alles is wat het lijkt. Durf hulp vragen aan je collega s als je iets niet weet. Ze zullen je altijd zeker en vast helpen, als je zelf ook wat moeite doet om het te begrijpen. Tips naar de opleiding toe Ik heb genoten van deze opleiding informatica en zou er met plezier nog een jaartje bij doen. Niet alle vakken waren super interessant maar vond dat ik 90% van de tijd wel iets nuttig bijleerde. Een paar opmerking dat ik heb zijn de volgende: De examenregeling komt steeds enorm laat. Terwijl andere scholen al in hun blokperiode zitten hebben wij soms maar een tijdelijke examenregeling dat nog aangepast kan worden. Soms krijgen we de klaslokalen maar een paar dagen op voorhand mee. Ik vond raar dat we het vak Communicatie 3 tijdens de stageperiode kregen. In principe hadden we hier wel tijd voor in het weekend en dergelijke maar toch voelde het raar om huiswerk te hebben terwijl je je juist in het werkleven hebt ingeleefd. Sommige examens zijn overbodig of (nog) niet goed opgesteld. Bij Capita Selecta zou het bijvoorbeeld al voldoende moeten zijn om aanwezig te zijn. Het concept van het vak is fantastisch en zou in mijn ogen zelf in meer als 1 semester moeten plaats vinden. Maar ik zie niet in waarom het belangrijk zou zijn op een examen om te weten dat de VRT en de RTBF van elkaar gescheiden zijn door een witte lijn. 15 P a g e

Dankwoord Tot slot wil ik graag iedereen bedanken die deze stage en zelf deze schoolperiode mogelijk gemaakt hebben. Ik heb mij geamuseerd maar heb vooral zeer veel bijgeleerd. De stage had nooit mogelijk geweest op de manier dat hij nu verlopen is zonder de KHL en IBM in het algemeen. Daarbij wil ik zeker mijn stagebegeleider, Griet Barrezeele, mijn stagementor en tevens manager van onze dienst bij IBM, Gunter Luyten bedanken. Ook Paul Deckers voor het in orde brengen van de stagepapieren en de hulp bij het zoeken van. Zeker en vast ook een bedankje naar mijn collega s op de stage die mij alles geleerd hebben om mijn stage succesvol te volbrengen. Voor mijn 3 jaren dat ik doorbracht heb op campus G&T aan de KHLeuven, zou ik graag alle leerkrachten bedanken en ook al mijn klasgenoten die mij geholpen en gesteund hebben in het volbrengen van mijn studies. 16 P a g e

Bijlages Bijlage 1: Commando symlinks find /media/lassie\!/original/ -name "MAP DAT WE EXCLUDEN" -prune -o -type f - name "*.avi" -print cut -c25- while read x; do ln -s /home/username/downloads/rick_astley_-_never_gonna_give_you_up.mp4 "$x"; done Bijlage 2: Voorbeeld geëscaleerde alert. We have detected a 'Kerberos_ASN1_Overflow' event coming from 0.0.0.0(internal), targeting host 0.0.0.0(internal). This signature checks for malformed ASN.1 encodings in Kerberos requests and responses that can cause an overflow condition in platforms using Microsoft's ASN.1 parsing library in MIT Kerberos, and in other systems. ---------------------------------------------------------------------------------------------------------- Analyzed raw event data, did a signature check, checked for previous escalations regarding this event type, read special instructions. ---------------------------------------------------------------------------------------------------------- Please verify if this is authorized traffic. Also, make sure you have the latest patch installed on the destination host(0.0.0.0). This exploit was fixed in 2003, for more information about the vulnerability please refer to the link below: http://technet.microsoft.com/en-us/security/bulletin/ms04-007 Bijlage 3: Installatiescript headless Virtualbox op CentOs 1. #!/bin/bash 2. sudo yum -y update 3. useradd reguser 4. echo "setenforce 0 5. # This file controls the state of SELinux on the system. 6. # SELINUX= can take one of these three values: 7. # enforcing - SELinux security policy is enforced. 8. # permissive - SELinux prints warnings instead of enforcing. 17 P a g e

9. # disabled - No SELinux policy is loaded. 10. SELINUX=disabled 11. # SELINUXTYPE= can take one of these two values: 12. # targeted - Targeted processes are protected, 13. # mls - Multi Level Security protection. 14. SELINUXTYPE=targeted 15. " > /etc/selinux/config 16. service iptables save 17. service iptables stop 18. chkconfig iptables off 19. service ip6tables save 20. service ip6tables stop 21. chkconfig ip6tables off 22. yum -y install httpd php php-soap 23. service httpd start 24. chkconfig httpd on 25. yum -y groupinstall "Development Tools" 26. wget -O /etc/yum.repos.d/virtualbox.repo http://download.virtualbox.org/virtualbox/rpm/rhel/virtualbox.repo 27. yum -y install VirtualBox-4.2 28. usermod -G vboxusers reguser 29. wget `wget -q -O - http://phpvirtualbox.googlecode.com/files/latest.txt` 30. unzip phpvirtualbox-*.zip 31. cp -r phpvirtualbox-*/* /var/www/html/ 32. cp /var/www/html/config.php-example /var/www/html/config.php 33. echo "VBOXWEB_USER='reguser'" > /etc/default/virtualbox 34. service vboxweb-service start 35. chkconfig vboxweb-service on 36. mkdir /vbusbfs 37. echo "none /vbusbfs usbfs rw,devgid=$(awk -F : '/vboxusers/ {print $3}' /etc/group),devmode=664 0 0" >> /etc/fstab 38. mount -a 39. VBOXLATEST=`wget -q -O - http://download.virtualbox.org/virtualbox/latest.txt` && wgethttp://download.virtualb ox.org/virtualbox/$vboxlatest/oracle_vm_virtualbox_extension_pack-$vboxlatest.vboxextpack&& VBoxManage extpack install Oracle_VM_VirtualBox_Extension_Pack- $VBOXLATEST.vbox-extpack 40. wget http://db.tt/8jmdjicr 41. tar xvzf vmsctrl.tar.gz -C /etc/init.d/ 42. chkconfig --add vmsctrl 43. wget http://db.tt/7gncymtu 44. chmod +x VBoxCompileInstall 45../VBoxCompileInstall 46. reboot 18 P a g e

Bronnen http://www-935.ibm.com/services/us/en/it-services/managed-security-services.html http://www-05.ibm.com/fr/events/ibm_iss_study_tour/prez/mss_soc_may_2009.pdf https://www.youtube.com/watch?v=l5ecluemhss&hd=1 http://www-archive.xenproject.org/files/marketing/howdoesxenwork.pdf http://wiki.prgmr.com/mediawiki/index.php/chapter_1:_xen:_a_high-level_overview https://www.hackthissite.org/user/view/u4ea/ https://www.owasp.org/index.php/eutour2013 19 P a g e