Madison Gurkha Update 9

9
Your Security is Our Business
herfst 2010
u p d a t e
www.madison-gurkha.com
DE COLUMN 2
Arjan de Vet
HET NIEUWS 3
Madison Gurkha wint Aanbesteding
Recordbedrag opgehaald bij Alpe d’HuZes
Madison Gurkha nu wel naar Jordanië
Klantendag Madison Gurkha
HET INzicht 4-5
Het fenomeen ‘IPv4-mappedIPv6-adressen’
HET INTERVIEW 6
Jaap van Oss, First Officer
High Tech Crime Europol
DE KLANT 7
Uit de transportsector
DE HACK 8-9
Mensen hacken met behulp van
social engineering
HET VERSLAG 10-11
Eth-0, outdoor hackerconferentie
DE AGENDA 11
HET COLOFON 11
In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende
onderwerpen rondom ICT-beveiliging. Deze keer Arjan de Vet over privacy.
de column
Privacy: uw
verantwoordelijkheid
richting anderen
Op het moment dat ik deze column schrijf lees ik in de media
berichten over bodyscanners op vliegvelden die toch beelden
kunnen opslaan, over Google Streetview auto’s die aangepast
zijn zodat ze niet meer ‘per ongeluk’ WiFi-signalen onderscheppen en vastleggen, Blackberry’s die wel of niet verboden worden omdat veiligheidsdiensten de communicatie niet
kunnen onderscheppen en wildgroei van kentekenregistratiesystemen in Nederland.
De gemene deler bij al deze nieuwsberichten is: privacy.
Voor wat betreft die bodyscanners zal iedereen die enigszins
technisch onderlegd is en snapt hoe die dingen werken daar
niet echt verbaasd over kunnen zijn. Natuurlijk is het technisch
zo dat beelden van de bodyscanner ergens tijdelijk in een
geheugen zitten en is het voor testdoeleinden noodzakelijk
dat die opgeslagen en offline bekeken kunnen worden. Maar
je zou toch denken dat die dingen zo ontworpen zijn dat ze bij
normaal gebruik de voor de afbeelding gebruikte geheugenruimte meteen overschrijven na gebruik. Hoewel, kopieermachines en scanners doen dit normaliter ook niet; een eventuele
harddisk in dat soort apparaten is dus ook erg boeiend.
Interessant met betrekking tot die Google Streetview auto’s is
dat in Duitsland Google huurders en eigenaren van huizen de
mogelijkheid geeft om hun woningen onherkenbaar te maken.
Maar zelfs dat is nog niet voldoende om de ophef in Duitsland,
waar men zich duidelijk meer zorgen maakt over de privacy
dan bijvoorbeeld in Nederland, te verminderen. In Zuid-Korea
is inmiddels een inval bij Google geweest vanwege de illegaal
verzamelde data en ook het College Bescherming Persoonsgegevens (CBP) is met een onderzoek begonnen.
De voorbeelden hierboven geven wel aan dat leveranciers
van dit soort diensten met een grote IT-component (en welke
dienst heeft dat tegenwoordig niet?) ook hun verantwoordelijkheden hebben voor wat betreft de privacy van de gebruikers van die diensten.
Madison Gurkha komt bij haar werkzaamheden natuurlijk
onvermijdelijk in aanraking met privacygevoelige data, want
een goede beveiliging is noodzakelijk om privacy te waarborgen. Maar is het altijd onvermijdelijk? Het is meerdere
keren voorgekomen dat we systemen in de gezondheidszorg
moesten testen waarbij de medische data en bijbehorende
persoonsgegevens aantoonbaar niet geanonimiseerd waren.
Daar maken we bij rapportages (in de managementsamenvatting) uiteraard een opmerking over. Bij dit soort gevoelige data
zou het inrichten van een testsetup met geanonimiseerde
2
Madison Gurkha herfst 2010
data eigenlijk (wettelijk) verplicht moeten zijn, zo dat al niet uit
de huidige wetgeving volgt.
In sommige gevallen hoeven we niet eens een beveiliging
te doorbreken om aan privacygevoelige data te komen. Een
laptop aansluiten op een intern netwerk en alles loggen dat
langskomt levert soms al zeer verrassende resultaten op, zo
is onlangs gebleken. Sommige netwerkswitches blijken zich
soms als netwerkhubs te gedragen waardoor het onderscheppen van (onversleuteld) netwerkverkeer triviaal is geworden.
Mocht u nog twijfelen over de noodzaak van netwerkprotocollen die versleuteling gebruiken op uw interne (switched)
netwerk, dan weet u nu wellicht het antwoord.
Madison Gurkha gaat zoals u mag verwachten uiterst zorgvuldig om met gevoelige data. Versleuteling wordt daar waar
mogelijk gebruikt voor opslag en transport. Als een klant
benodigde data alleen op een onversleutelde USB-stick kan
zetten, wordt de data eerst gekopieerd naar versleutelde
opslag en daarna meteen met speciale tools overschreven.
Verder verwijdert Madison Gurkha data op veilige wijze zodra
deze niet meer nodig is: data die je niet meer hebt kan ook
niet meer gestolen worden of uitlekken.
Maar hoe gaat u om met privacy bij de diensten die u aanbiedt?
Laat u door (een bedrijf als) Madison Gurkha wel testen of
privacygevoelige gegevens bij uw organisatie in veilige handen
zijn? En als u dat doet, kunnen deze testen dan worden uitgevoerd zonder dat daarbij privacygevoelige of niet-geanonimiseerde data gebruikt wordt? Bewaart u data langer dan noodzakelijk is? Heeft u een policy voor de opslag en verwerking van
klantgegevens en zorgt u ervoor dat derden zoals hostingproviders en SAAS-leveranciers zich daar ook aan houden?
Wat vindt u verder in deze Update? Laurens Houben vertelt
(geanonimiseerd) over een geslaagde social engineering
aanval die we onlangs in opdracht uitvoerden. Frans Kollee
vervolgt zijn IPv6-serie in de rubriek ‘Het Inzicht’ met dit keer
een verhaal over IPv6-tunnels en IPv4-mapped-adressen.
Walter Belgers doet verslag van de eth-0 outdoor hackerconferentie en verder uiteraard weer een interview met een
Madison Gurkha-klant, ditmaal uit de transportsector.
Arjan de Vet, Partner, Principal Security Consultant
In “het Nieuws” belichten we iedere Madison Gurkha Update belangrijke recente ontwikkelingen die in het beveiligingsnieuws zijn
verschenen. Ook alle nieuwe ontwikkelingen rondom Madison Gurkha komen in deze rubriek uitgebreid aan bod.
het NIEU W S
Madison Gurkha
wint Europese
Aanbesteding
Belastingdienst
Met trots delen wij u mee dat uit alle inschrijvingen, de
prijs-kwaliteitverhouding van Madison Gurkha geresulteerd heeft in de gunning van de opdracht perceel 3
‘Audits ICT services’ uit de Europese aanbesteding ‘Beveiligingstooling en aanverwante dienstverlening’. Op
maandag, 30 augustus 2010, heeft de Belastingdienst/
Centrum facilitaire dienstverlening met het tekenen van
de contracten de gunning definitief gemaakt.
Recordbedrag opgehaald
bij Alpe d’HuZes
“De Lage Landen & Friends” beklom,
in het kader van de Alpe d’HuZesactie voor het KWF Kankerfonds , de
beroemde Tour de France berg maar
liefst 70 keer, en haalde hiermee een
geweldig bedrag op van 49.497,26
euro.
De fietsactie voor kankerpatiënten
heeft nu al de doelstelling van 10
miljoen bereikt en er is inmiddels een
Madison Gurkha nu wel
naar Jordanië
Zoals u wellicht in onze vorige Update heeft gelezen, is onze jubileumreis naar Jordanië die plaats zou vinden van 15 t/m 19 april niet doorgegaan vanwege het gesloten
luchtruim. Madison Gurkha laat zich niet door één tegenslag uit het veld slaan. Wij
gaan van 28 oktober t/m 1 november a.s. opnieuw een poging wagen om ons 10jarig bestaan te vieren met een onvergetelijke reis.
Wij zullen daarom van 28 oktober t/m 1 november gesloten zijn. Wij zullen u
hierover nader informeren.
Mist u een nieuws item, of heeft u nog ander opvallend of aanvullend security nieuws? Meld het aan ons
nieuw recordbedrag van 10.132.938,26
euro opgehaald! In oktober zal de
2010-editie officieel worden afgesloten
en zal bekend worden gemaakt hoeveel geld in er in totaal bijeengebracht
is voor het goede doel. Tot die tijd kunt
u net als wij uw steentje bijdragen via
www.opgevenisgeenoptie.nl. Het geld
wordt voor 100% gedoneerd aan de
Nederlandse Stichting tegen Kanker:
‘Het Koningin Wilhelmina Fonds’.
Klantendag
Dit jaar viert Madison Gurkha haar 10-jarig
jubileum. Onze kwaliteit, flexibiliteit en
pragmatische aanpak wordt nog altijd zeer
goed gewaardeerd. Graag willen wij onze
klanten bedanken voor de waardering en
het vertrouwen in de afgelopen 10 jaar
tijdens een klanten(mid)dag op 14 oktober
a.s. in het Van Abbemuseum met interessante sprekers, cultuur en een hapje en
drankje. Onze klanten hebben hiervoor
een persoonlijke uitnodiging ontvangen.
Heeft deze uitnodiging u onverhoopt niet
bereikt, maar wilt u graag aanwezig zijn,
neem dan contact met ons op via [email protected].
door een mail te sturen naar: [email protected]. En wie weet staat uw nieuwtje in de volgende
Madison Gurkha update!
Madison Gurkha herfst 2010
3
In de rubriek “Het Inzicht” stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Deze keer geeft Frans Kollée vervolg
op een eerder verschenen artikel in onze nieuwsbrief over IPv6 en bespreekt hij het fenomeen ‘IPv4-mapped-IPv6-adressen’.
het in z icht
IPv6-tunnels en
IPv4-mapped-adressen
Ongewenste functionaliteit die standaard geactiveerd is of gewoon
een handige feature?
IPv6-netwerkstacks
Bij nieuwe installaties van besturingssystemen is IPv6 steeds
vaker geactiveerd. Wat betekent deze standaard, out-of-the-box
functionaliteit voor bijvoorbeeld de toegankelijkheid van de
services die op een systeem actief zijn? In dit artikel bespreken
we het fenomeen ’IPv4-mapped-IPv6-adressen’, maar eerst gaan
we kort in op het gebruik van IPv6-in-IPv4-tunnels die eveneens
out-of-the-box actief kunnen zijn. Hiermee kunnen IPv6-services
worden benaderd, zonder dat er intern een IPv6-infrastructuur
aanwezig is.
myipv6.com/ uit te voeren.
Op deze wijze zou een gebruiker dus in staat kunnen zijn om
lokale beveiligingsmaatregelen ten aanzien van het websurfen, te
omzeilen. Maatregelen om het gebruik hiervan tegen te gaan zijn
bijvoorbeeld het uitschakelen van Teredo op het systeem. Zorg er
dan wel voor dat een gebruiker geen rechten heeft om dit weer te
activeren. Een tweede maatregel is het blokkeren van IPv4-UDPverkeer naar poort 3544 op de corporate firewallsystemen. Dit is namelijk de poort die vooralsnog
door Teredo wordt gebruikt.
Over het algemeen wordt gedacht dat, zolang er maar geen gebruik wordt gemaakt van een interne IPv6-infrastructuur, dit geen
gevolgen heeft voor bijvoorbeeld services die door het systeem
zelf worden aangeboden of services die via IPv6 op het internet
beschikbaar zijn. Niets is minder waar. Er zijn twee standaard features in IPv6 die tot onaangename verrassingen kunnen leiden.
‘IPv4-mapped-IPv6-adressen’
Een tweede feature die standaard geactiveerd wordt en
is beschreven in RFC 3493
(http:www.rfc-editor.
org/rfc/rfc3493.
txt) zijn zogenaamde
IPv4-mapped-adressen. Deze socketuitbreidingen voor
IPv6 zijn standaard
geïmplementeerd
in alle Windows
besturingssystemen
vanaf Vista en ook in
alle gangbare Unixen Linux-besturingssystemen.
IPv6-in-IPv4-tunnels
Voor services die via het internet op basis van IPv6 benaderbaar
zijn, bijvoorbeeld een webserver, zien we in toenemende mate
dat standaard implementaties van bijvoorbeeld Teredo (Windows) of Miredo (Linux en Unix), ervoor zorgen dat deze services
benaderd kunnen worden door systemen die zich niet op een
IPv6-infrastructuur bevinden. Hierbij zijn IPv6-connecties in IPv4pakketten getunneld en worden de services benaderd via een
Teredo-server. Niet alleen de IPv6-webserver wordt op deze wijze
ontsloten, maar mogelijk wordt ook een op IP-filters gebaseerde
screening webproxy omzeild, omdat deze alleen IPv4-regels
bevat.
Of dit het geval is, kan eenvoudig getest worden vanaf bijvoorbeeld een Windows 7 systeem: open de webbrowser en surf naar
http://www.kame.net/.
Indien er geen IPv6-infrastructuur is, zal deze website doorgaans
via het IPv4-protocol worden benaderd en wordt er een Kame
getoond die niet beweegt. Het IP-adres van de webserver is dan
(op het moment van schrijven) 203.178.141.194. Op een systeem
waar Teredo actief is en de IPv6-in-IPv4-tunneling niet geblokkeerd wordt, kan dezelfde website via IPv6 benaderd worden. Dit
kan door in de browser (Internet Explorer) het adres: http://[20
01:2f0:0:8800:206:5bff:fe8d:940]/ op te vragen. Indien de
Teredo-tunnel actief is, wordt er een bewegende Kame getoond.
Een minder “spectaculaire” test is via de website http://test-
4
Madison Gurkha herfst 2010
In sectie 3.7 van RFC 3493
vinden we het volgende:
Applications may use AF_INET6 sockets
to open TCP connections to IPv4 nodes,
or send UDP packets to IPv4 nodes, by
simply encoding the destination’s IPv4
address as an IPv4-mapped IPv6 address, and
De standaard schrijft dus voor dat er te allen tijde IPv6-sockets
worden gebruikt en dat een IPv4-georiënteerde connectie deze
IPv6-sockets mag gebruiken. Het voordeel hierbij is dat er geen
twee, maar één generiek socket hoeft te worden gemaakt. Dit
socket kan dan (transparant voor de gebruiker) voor zowel IPv4als IPv6-connecties worden gebruikt.
het inz icht
In de praktijk betekent dit dat indien er een service luistert op
een bepaalde poort, deze service via IPv4 en IPv6 kan worden
benaderd. Vaak is dit niet bekend waardoor het kan voorkomen
dat er op IPv4 gebaseerde restricties voor het gebruiken van een
service actief zijn, maar vervolgens kunnen worden omzeild door
een connectie via een IPv6(local)-adres.
Het commando netstat toont informatie over IPv4/IPv6
LISTEN-sockets, maar verschillende implementaties geven deze
informatie op een andere wijze weer waardoor niet eenduidig
kan worden vastgesteld welke LISTEN-sockets er daadwerkelijk
gebruikt kunnen worden.
Er zijn socket-opties die dit gebruik van dual-sockets beperken,
maar deze worden in de praktijk niet vaak gebruikt. Dit zou namelijk een inperking van functionaliteit zijn. Zie bijvoorbeeld sectie
5.3 van RFC 3493 voor meer informatie. Het aanzetten van deze
socket-opties verschilt per besturingssysteem.
FreeBSD
De meeste besturingssystemen ondersteunen standaard de
dual-sockets. Het besturingssysteem FreeBSD 8.0 heeft er echter
voor gekozen om hier van af te wijken en standaard de ‘IPv4mapped-IPv6-adressen’ uit te schakelen. In het bestand /
etc/rc.d/network_ipv6 dat tijdens het opstarten
wordt aangeroepen en ervoor zorgt dat IPv6-ondersteuning wordt geactiveerd, zien we onder andere
het volgende:
# Support for IPv4 address tacked
onto an IPv6 address
if checkyesno ipv6_ipv4mapping;
then
echo ‘IPv4 mapped IPv6 address support=YES’
${SYSCTL_W net.inet6.ip6.
v6only=0 >/dev/null
else
De standaardwaarde voor de variabele
ipv6_ipv4mapping is “NO” waardoor de
‘IPv4-mapped-IPv6-address-support’ wordt
uitgeschakeld.
Bij toepassingen die bijvoorbeeld gebaseerd
zijn op Java VM’s, waarbij de IPv4- en IPv6-protocollen actief zijn en netwerkfuncties gebruiken,
is het vaak verplicht om de IPv4- naar IPv6-mapping
aan te zetten. De reden hiervoor is dat
Java(tm) hier functioneel voor
gekozen heeft.
Vrij vertaald vinden we in de Java documentatie het volgende:
“indien IPv6 op het systeem actief is, worden standaard IPv6sockets gebruikt. Hierdoor kunnen er connecties worden gemaakt met zowel IPv6- als IPv4-hosts”. Voorbeelden hiervan zijn
op Java gebaseerde applicaties zoals Burp Suite en Azureus.
Dit is overigens uit te schakelen door bijvoorbeeld de optie
java.net.preferIPv4Stack op “true” te zetten (de standaardwaarde is “false”). Dit betekent dan wel weer dat de onderliggende applicatie niet met IPv6-systemen kan communiceren. Er
zijn weinig op Java gebaseerde applicaties die dit toepassen.
Linux en Windows
Linux en Windows besturingssystemen houden zich aan de
standaard en gebruiken de dual-sockets. De IPv6-sockets worden
dus ook gebruikt voor het maken en accepteren van IPv4verbindingen. Indien een service niet specifiek is ingesteld om
uitsluitend via IPv4 te worden benaderd en/of IPv6-verkeer niet
wordt gefilterd, dan kunnen op deze wijze op IPv4-gebaseerde
filters (blacklisting) worden omzeild.
De dual-sockets functionaliteit is voor Linux systemen uit te
schakelen via /proc/sys/net/ipv6/bindv6only (system
wide). Dit is echter per Linux distributie weer anders. Het commando man 7 ipv6 geeft hier meer informatie over.
Voor het uitschakelen van de dual-sockets functionaliteit onder
Windows, hebben we nog geen mogelijkheden gevonden.
IPv6-Ready?
Al geruime tijd zijn systemen standaard voorzien van actieve
IPv6-netwerkstacks. Met name voor interne netwerken is deze
functionaliteit vaak (nog) niet nodig omdat er simpelweg geen
IPv6-infrastructuur aanwezig is. Gesteld kan worden dat vanuit
beveiligingsoogpunt deze functionaliteit zelfs onwenselijk is
omdat op de interne netwerken vaak geen IPv6-filters aanwezig
zijn en tunnels naar buiten niet altijd geblokkeerd worden, laat
staan gedetecteerd.
We zien een toename van het gebruik van IPv6, mede doordat
leveranciers IPv6-standaard meeleveren. Veel organisaties zien
de noodzaak voor het hebben van een IPv6-infrastructuur echter
niet en besteden hier verder geen aandacht aan. Hierdoor wordt
er geen rekening gehouden met beveiligingsproblemen die hiermee samenhangen terwijl deze er wel degelijk zijn. Investeren in
IPv6-kennis is (hard) nodig om de interne netwerken te kunnen
blijven beveiligen.
Heeft u onderwerpen die u graag een keer terug zou willen zien in deze rubriek?
Laat het dan weten aan onze redactie via: [email protected].
Madison Gurkha herfst 2010
5
Madison Gurkha Update interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld om zijn of haar visie te
delen over dit steeds belangrijker wordende onderwerp. Ditmaal een interview met Jaap van Oss, First Officer High Tech Crime bij Europol.
het interview
Jaap van Oss*
Wie kan Europol inschakelen?
Europol is de Europese politieorganisatie
(www.europol.europa.eu); dat wil zeggen dat
Europol er is voor politieorganisaties in de 27
lidstaten. Het is de primaire taak van Europol
om de politie in de lidstaten te ondersteunen
in hun gevecht tegen de georganiseerde misdaad. Overigens moet je politieorganisaties
niet te strikt nemen: het gaat om alle overheidsorganen met opsporingbevoegdheden,
bijvoorbeeld ook de douane en de Fiod. Als
Europees burger kun je dus niet direct aangifte doen van hacking bij Europol, dat gaat
via de politie in de lidstaat. Mocht er echter
een probleem zijn met een hackersbende die
actief is in Europa, dan kunnen de lidstaten
Europol inschakelen om hierbij te helpen.
Wanneer wordt Europol ingeschakeld?
Europol heeft als taak de bestrijding van serieuze en georganiseerde misdaad in de EU.
Dus als bepaalde criminele groeperingen in
de EU opereren dan zal Europol in samenwerking met de betrokken landen die groeperingen in kaart brengen, waarna de lidstaten
de criminelen kunnen arresteren. Het gaat
om criminele activiteit waar de EU last van
heeft. Dat impliceert al bijna dat er meerdere
landen bij betrokken moeten zijn. Dat kun je
ook zien aan de criminaliteitsterreinen waar
Europol voor gemandateerd is, bijvoorbeeld
drugssmokkel, mensensmokkel of witwassen. Dat is allemaal criminaliteit met veel
internationale aspecten waar vaak een hele
reeks van landen (ook niet-Europese landen)
bij betrokken zijn. Overigens is cybercrime
ook een mandaatgebied van Europol en
zoals we allemaal weten is dat per definitie
internationaal. Je zou zelfs kunnen zeggen
virtueel, wat weer een hele nieuwe dimensie
toevoegt.
Het feit dat de criminaliteit impact op de
EU moet hebben is weliswaar significant;
het zegt echter niet dat de criminaliteit het
stempel “made in EU” moet hebben om
aangepakt te kunnen worden. Het gaat erom
dat er EU-lidstaten bij betrokken zijn en dat
het grensoverschrijdende criminaliteit is.
Dus een hack op een Amerikaanse server
met financiële data vanuit een EU-domein
waarbij vervolgens de gestolen gegevens in
ondermeer EU- landen misbruikt worden, is
een heel geschikte zaak voor Europol.
6
Madison Gurkha herfst 2010
Met wat voor high tech crime houdt Europol zich bezig?
Omdat Europol zich bezig houdt met serieuze
of georganiseerde internationale criminaliteit,
geldt dat natuurlijk ook voor de cybercrimeonderzoeken die ondersteund worden. Het
gaat dus voornamelijk om internetgerelateerde en georganiseerde cybercrime waarbij
het motief geld verdienen is. Daarbij moet je
denken aan malware-aanvallen op e-banking
systemen, geavanceerde phishingaanvallen of hacks van databases met financiële
gegevens.
Eigenlijk gaat het om alle criminele feiten die
beschreven staan in de eerste acht artikelen
van de “Cybercrime Convention” (Raad van
Europa) en dat loopt van hacking tot en met
internetgerelateerde fraude. En als het dan
georganiseerd en grensoverschrijdend is, zal
Europol er vroeg of laat mee te maken krijgen
Wat zijn de belangrijkste trends die Europol ziet in Cybercrime?
Ik denk dat iedereen het er over eens is dat
Cybercrime de kinderschoenen ontgroeid is
en dat het een serieuze vorm van criminaliteit
geworden is. Ook de flair waarmee de hacker
van weleer zijn kunsten tentoonspreidde is
er wel vanaf. Het gaat nu om georganiseerde
criminelen die het om het geld te doen is en
daarbij wordt niets of niemand ontzien.
worden gerichter. Zelfs de nieuwe Zeusvarianten zijn gericht op een specifiek land
of branche, en dan per land zelfs specifiek
gericht op bijvoorbeeld een bepaalde regio,
bedrijf of bank. Tegelijkertijd zijn het zeer
geavanceerde aanvallen en dat is zorgwekkend. Bovendien worden botnets nog steeds
gezien als één van de grote dreigingen op
het internet. Alle anti-virus, firewalls en
securitymaatregelen ten spijt, zijn er dagelijks
honderden verschillende botnets actief en zij
vormen de drijvende kracht achter een geautomatiseerde vorm van criminaliteit. Duidelijk
is dat alles in het werk gesteld moet worden
om de botnets te ontmantelen en daarmee
het instrumentarium van de cybercrimineel
onklaar te maken. Dit kan alleen kan door
nauwe samenwerking van de internetcommunity, industrie en law enforcement. Een
andere ontwikkeling is dat er momenteel een
zichzelf bedruipende ondergrondse digitale
economie is, waar gestolen persoonlijke en
financiële gegevens de illegale digitale handel
is. Deze handel is de drijvende kracht achter
een hele reeks van criminele activiteit, zoals
Phishing, Pharming, malware verspreiden en
het hacken van databases.
Heeft een aanvaller vanuit Zwitserland of
Noorwegen een voordeel, aangezien deze
landen niet binnen de EU vallen?
Je zou verwachten dat aanvallers uit Zwitserland of Noorwegen een voordeel hebben
omdat ze geen lid zijn van de Europese Unie.
Gelukkig heeft Europol samenwerkingsovereenkomsten met een grote groep van nietEU-lidstaten en internationale organisaties
voor strategische en operationele samenwerking. Zwitserland en Noorwegen zijn daar
voorbeelden van.
Durf je zelf nog wel te internet bankieren?
Haha! Zolang bedrijven zoals Madison
Gurkha er voor zorgen dat de banksytemen
en netwerken goed beveiligd zijn, durf ik
het e-bankieren wel aan! Daarnaast zijn de
Nederlandse banken ver gezakt op de prioriteitenlijsten van de cybercriminelen. Maar dat
kan natuurlijk ieder moment veranderen.
* Jaap van Oss is één van de sprekers op onze
klantendag (zie pag.3). Heeft u zich nog niet
Eigenlijk worden cybercriminelen steeds
professioneler. En dat kun je zien aan de
volgende ontwikkelingen: Malware-aanvallen
aangemeld of onverhoopt de uitnodiging niet
ontvangen, meld u dan aan via jubileum@
madison-gurkha.com.
In elke Madison Gurkha Update vragen wij een klant het spreekwoordelijke hemd van het lijf met betrekking tot zijn of haar relatie met IT-beveiliging.
Voor eenieder herkenbare verhalen uit de praktijk, uiteraard zo onherkenbaar mogelijk gebracht. Deze keer het woord aan de heer X van instelling Y.
de klant
gesteld wat er door operatie aan beveiligingsmaatregelen genomen moet worden. Zo
hebben we nu een aantal architecten/ontwerpers in dienst die de nodige securitykennis
(CISSP-ISSAP) bezitten. Diverse zaken die
in de eenheid operaties worden opgemerkt,
worden op beleidsniveau zeker opgepakt,
maar het ontbreekt soms nog aan een
goede vertaalslag terug. Daarom denk ik dat
het belangrijk is om allereerst een duidelijk
raamwerk op te stellen van eisen waaraan
beveiliging dient te voldoen, bijvoorbeeld
door het opstellen van policies. Zo heeft
Madison Gurkha laatst meegewerkt bij het
opzetten van een firewall policy.
In welke branche is uw organisatie actief?
Transport
Wat is uw functie?
Security Officer
Hoeveel mensen houden zich in uw organisatie bezig met informatiebeveiliging?
Aangezien informatiebeveiliging bij onze
ICT-beheerorganisatie sterk verweven is
met onze dagelijkse taken en verantwoordelijkheden, zijn er dus heel veel mensen die
zich (deels) met informatiebeveiliging bezig
houden. We hebben op dit ogenblik binnen
de ICT-beheerorganisatie 2 security officers
die hier dedicated opzitten. Organisatiebreed
gezien zijn er meer security officers en
natuurlijk ook een chief information security
officer (CISO).
Hoe is de informatiebeveiliging opgezet
binnen uw organisatie?
Binnen onze organisatie hebben we een
stuurgroep opgezet die bestaat uit zowel
business- als technische managers. Strategische beslissingen worden door deze
stuurgroep genomen. Op operationeel niveau
worden door onze ICT-beheerorganisatie de
nodige beveiligingsmaatregelen doorgevoerd.
De informatiebeveiliging op tactisch niveau
was echter onderbelicht. Hier wordt de vraag
Wat zijn de belangrijkste kwaliteiten
waarover men moet beschikken om deze
functie met succes te kunnen uitoefenen?
Het is belangrijk dat je als security officer niet
met een politiepet op gaat zitten en zegt wat
wel en niet mag, maar dat je onderbouwt
waarom bepaalde eisen zo gesteld worden.
Het moet voor iedereen inzichtelijk zijn wat
de risico’s zijn, wat er mis zou kunnen gaan
en wat de consequenties zijn. Op die manier
kun je iets losmaken bij de belanghebbenden. In mijn functie moet je bovendien zowel
de belangen van de business als de techniek
in ogenschouw nemen en deze ook kunnen
overbrengen.
Wat vind u de leuke en wat de minder
leuke kanten van uw functie?
Ik vind het leuk te merken dat het tegenwoordig niet meer zo is dat het management
overtuigd moet worden van het nut van
informatiebeveiliging. Inmiddels beseffen
bedrijven dat ICT een echte business enabler
is. Binnen deze organisatie merk ik dat er
nog wel een stukje bewustwording nodig is,
maar dat mensen daar ook voor open staan.
Op het moment dat ik meer uitleg geef, is
men wel vrij snel om. Als ze op dat moment
denken “hier moeten we echt iets mee” is
dat heel prettig om te zien en heb ik mijn
werk goed gedaan.
Waar ik nog wel eens tegenaan loop is dat
de kwaliteit van IT-beveiliging pas te laat in
beeld komt. Projecten hun voornaamste zorg
is functioneel goed werkende producten,
binnen het afgesproken budget, tijdig op te
leveren. Dit vraagt de nodige inspanning. Het
is hier dus zaak er voor te waken dat informatiebeveiliging binnen projecten niet op een
lager plan komt te staan.
In onze organisatie ligt een groot deel van
de focus op veiligheid (safety). Internationale
standaarden worden gebruikt om hier goed
invulling aan te geven. Op het gebied van
informatiebeveiliging (security) wordt de
ISO27000-serie gebruikt en voor procesautomatisering is ISA99 in beeld. We zien het
als een uitdaging om deze verschillende standaarden te integreren binnen een bruikbaar
framework geschreven naar onze organisatie.
Daarnaast zien we, dat met de koppelingen
van meerdere ICT-netwerken, defense-indepth steeds belangrijker wordt. Dus het
meer gelaagd aanbrengen van informatiebeveiliging, denk aan beveiliging van data.
Verder krijgt het vertrouwelijkheidsaspect
binnen informatiebeveiliging veel aandacht.
Toegang tot onze netwerken wordt nu generiek ingericht, zowel technisch als procesmatig. Identity en Access Management helpen
ons hierbij.
Hoe gaat u deze aanpakken en hoe helpt
Madison Gurkha daarbij?
Het is belangrijk om risico’s inzichtelijk te
maken en risicoanalyses op te stellen. Vervolgens dienen er op basis daarvan beveiligingsplannen gemaakt en uitgevoerd te worden.
En in dit laatste zit vaak nog de bottleneck.
Bepaalde maatregelen worden wel opgepakt,
maar het is zaak om te kijken of het werkt; is
het geïmplementeerd en zo ja, werkt het ook
zoals bedoeld? Daarom is het vaak verstandig
de infrastructuur of applicatie door Madison
Gurkha te laten testen.
Vervult u nog nevenfuncties op IT-beveiligingsgebied buiten uw eigen organisatie?
Ik vertegenwoordig mede mijn organisatie bij
overleggen van GOVCERT.NL en NICC. Deze
eerste staat voor het Computer Emergency
Response Team van de Nederlandse overheid. NICC staat voor Nationale Infrastructuur
ter bestrijding van Cybercrime.
Wat zijn uw ervaringen met Madison
Gurkha?
De ervaring met Madison Gurkha is nog redelijk recent en het is goed bevallen. Ik merk
ook dat een prettig persoonlijk contact de
werkrelatie ten goede komt. Naarmate onze
samenwerking vordert, krijgt Madison Gurkha
een beter beeld van onze lopende projecten
en wij krijgen meer inzicht in de kwaliteiten
en mogelijkheden van Madison Gurkha.
Wat zijn in uw organisatie op dit moment
de belangrijkste uitdagingen op het gebied van informatiebeveiliging?
Madison Gurkha herfst 2010
7
In de rubriek “De Hack” belichten we iedere Madison Gurkha Update een opmerkelijke situatie die tijdens een beveiligingsaudit werd aangetroffen. Deze keer vertelt Laurens Houben over social engineering en hoe snel en eenvoudig deze aanvallen uitgevoerd kunnen worden.
de hack
Mensen hacken
door middel van
social engineering
“Social engineering is een heel breed begrip; het is de verzamelnaam voor een methode
die enkel op basis van communicatie tussen aanvaller en slachtoffer, mensen kneedt
en manipuleert zodat ze hun onbedoelde steentje bijdragen in een grotere aanval: het
stelen van waardevolle informatie. Het maakt gebruik van psychologie, identiteitsfraude,
computer- telefoon- en faxtechniek en van de onwetendheid van de slachtoffers. Maar
boven alles maakt social engineering gebruik van de zwakste schakel in de beveiliging:
de menselijke factor.” Madison Gurkha voert geregeld social engineering aanvallen uit in opdracht van klanten.
Deze verlopen in het algemeen succesvol,
wat wil zeggen dat we duidelijke risico’s
weten te traceren die bij een echte aanval
voor aanzienlijke economische schade zouden kunnen zorgen. Tijdens dit soort audits
staan wij regelmatig versteld hoe snel en
eenvoudig we een dergelijke aanval kunnen
opzetten en uitvoeren.
De situatie
De opdracht die we hebben gekregen vanuit
de klant is om een gebruikersnaam en wachtwoord te achterhalen. Allereerst hebben wij
op internet gezocht welke interne telefoonnummers publiekelijk beschikbaar zijn. Deze
bleken eenvoudig te achterhalen met aangepaste Google-zoekstrings. Vervolgens hebben wij via de website van de klant alle PDF
en DOC bestanden gedownload met daarin
zeer veel metadata. Deze data bevat interne
gebruikersnamen, lokale serverpaden en
andere voor een aanvaller nuttige informatie.
Aan de hand van deze data is het mogelijk
te achterhalen hoe de gebruikersnamen zijn
8
Madison Gurkha herfst 2010
opgebouwd. Nu moeten we alleen nog het
wachtwoord zien te achterhalen.
Mag ik je wachtwoord hebben?
In het volgende voorbeeld gaan we in op de
telefonische aanval die we hebben gedaan
om het bijbehorende wachtwoord van de gebruiker te achterhalen. We hebben al gezien
dat deze gebruiker volgens het smoelenboek
met zwangerschapsverlof was, wat alles vergemakkelijkt omdat je hierdoor als aanvaller
langer onopgemerkt kan blijven. Een leuk detail: de aanval duur niet langer dan 4 minuten.
(zie kader op de volgende pagina).
Aanvallen!
Nu we ook het laatste ‘puzzelstukje’ hebben,
is het onder andere mogelijk om met de verkregen gebruikergegevens via een webmail
of een ‘telewerken’-oplossing in te loggen
en vervolgens vertrouwelijke informatie te
stelen. Deze gegevens kunnen vervolgens
ook weer gebruikt worden bij een volgende
aanval.
bron: www.socialengineer.nl
Wat nu?
Het is van belang dat de hele organisatie
bewust is van de eenvoud en de gevaren
van een social engineering aanval. We zien
vaak dat bij algemene security awareness
sessies de gedachte is: “Dat komt bij ons
niet voor!”. Wanneer we echter de, over de
klant, verzamelde gegevens van een social
engineering aanval toevoegen aan de sessie,
wordt deze ineens heel direct en persoonlijk.
Security awareness is geen patch die je kunt
toepassen om het probleem op te lossen
maar een continu proces. “Because There Is
No Patch To Human Stupidity”.
Uiteraard kun je verschillende maatregelen
treffen om de impact van een social engineering aanval te verkleinen. Hieronder hebben we drie belangrijke regels opgesomd.
Uiteraard zijn dit geen gouden regels die altijd
werken; ze zullen je wel in de goede weg
leiden naar beveiligingsbewustzijn. Logisch
nadenken en gezond verstand zijn echter
onmisbaar.
- Zorg ervoor dat bezoekers en vast personeel verschillende badges dragen en deze
de hack
S: Slachtoffer
A: Aanvaller
**Om privacyredenen is de bedrijfsnaam weggelaten en
de naam van het slachtoffer aangepast.**
duidelijk zichtbaar zijn (bezoekers dragen
bijvoorbeeld fluorescerende gele badges);
-Z
org ervoor dat gasten te allen tijde worden
geëscorteerd door het gebouw. Dit betekent onder andere dat de gasten worden
opgehaald en naar buiten worden gebracht
bij bezoeken;
-G
eef nooit je wachtwoord en gebruikersnaam, ook al zegt diegene een beheerder
te zijn;
-V
raag bij twijfel het (vaste) nummer van
de beller om hem/haar op een later tijdstip
terug te kunnen bellen. Verifieer of de naam
(van het bedrijf) klopt bij het nummer.
Ik wil meer weten
Kijk ook eens op:
http://www.social-engineer.org/
http://en.wikipedia.org/wiki/Social_
engineering_%28security%29
http://www.security.nl/artikel/34028/1/
FBI_bezorgd_over_hackerwedstrijd.html
Voor meer informatie kunt u natuurlijk
altijd vrijblijvend contact opnemen met
Madison Gurkha.
<Begin gesprek>
S: Goedemorgen, <bedrijfsnaam>.
A: Goedemorgen, met Laurens van de automatisering. Is
Anita Jans aanwezig?
S: Nee, die is met zwangerschapsverlof.
A: We hebben problemen gehad met één van de bestandservers en willen deze opnieuw opstarten, maar
wij zien dat Anita nog een Word bestand open heeft
staan.
S: Wat vreemd, ze is niet aanwezig.
A: Ze logt in onder gebruikersnaam ``ajans’’?
S: Ja dat klopt.
A: Wellicht is een van jullie onder haar naam ingelogd?
S: Nee
A: Misschien voor het afgelopen weekeinde? Afgelopen
donderdag of vrijdag?
S: Nee zover ik weet niet, maar ik kan wel inloggen onder
haar naam. Kunt u zien welk bestand nog in gebruik is?
A: Nee dat kan ik niet zien helaas, ik zie alleen dat een
Word sessie actief is onder haar gebruikersnaam en
een bestand in gebruik heeft. Ik kan deze afsluiten
zonder dat er gegevensverlies optreed.
S: Ja dat is goed, maar hoe kan dat dan?
A: Wanneer Anita voor het laatst Word heeft afgesloten,
dacht Word dat hij klaar was met het opslaan en heeft
zichzelf afgesloten. De sessie bleef echter actief op de
server, vandaar. Ik probeer hem nu af te sluiten
<toetsenbordgeluiden>
Hebben jullie onlangs last gehad van jullie systemen?
Traag reageren, rare foutmeldingen of iets dergelijks?
S: Nee, niet dat ik weet
A:
<toetsenbordgeluiden>
Het lukt mij even niet, maar u zei dat u kunt inloggen
als Anita?
S: Ja, klopt
A: Kunt u mij het wachtwoord geven? Hier wordt namelijk
om gevraagd
S: Ja natuurlijk, dat is <weggelaten>
A: Is dat met allemaal kleine letters geschreven?
S: ja, klopt
A:
<toetsenbordgeluiden>
Ja, het is gelukt.
S: Weet u nu om welk bestand het gaat?
A: Misschien kan ik het zien. Momentje
<toetsenbordgeluiden>
Nee helaas dit kan ik niet zien.
S: Oké, jammer maar toch bedankt.
A: Geen probleem, alles is weer in orde! Bedankt voor de
moeite.
S: Geen dank, een fijne dag nog
A: Insgelijks
<einde gesprek>
Madison Gurkha herfst 2010
9
In de rubriek “Het Verslag” laten wij u delen in onze ervaringen tijdens conferenties, seminars en trainingen. Deze keer doet Walter Belgers
verslag van zijn bezoek aan eth-0, dat plaatsvond van 10 tot en met 13 augustus in Wieringerwerf.
het
verslag
Als ik om 10 uur ‘s ochtends over het campingterrein loop, zie ik vrijwel niemand en
hoor ik alleen de generator. Bij de douches staat een rij van twee personen, maar er
zijn ook maar twee douches. Aan de andere kant van de dijk, die
langs het terrein loopt, zou ik in het IJsselmeer kunnen baden.
Ik ben op eth-0, een outdoor hackerconferentie.
Elke vier jaar vindt er een hele grote hackerconferentie plaats in Nederland, georganiseerd door de nestors uit de Nederlandse
IT-wereld. De laatste keer was daar veel
nieuw bloed bij, mensen die ook een eigen,
kleinere, versie van een hackerconferentie op
poten hebben gezet: eth-0. Madison Gurkha
is dit maal hoofdsponsor.
Veel (oudere) jongeren hebben de tocht
ondernomen naar Wieringerwerf, om vier
dagen met elkaar te praten over techniek
en internet. Dagelijks zijn er veel lezingen
te volgen vanaf ‘s middags tot in de nacht.
De onderwerpen variëren van hoe je zelf
met elektronica aan de slag kunt tot hoe je
invloed kunt uitoefenen op het overheidsbeleid. Een groepje gaat ondertussen op pad
met GPS-apparatuur om de wegen rondom
het evenement precies in kaart te brengen.
OpenStreetMap heeft inmiddels van heel
veel plaatsen op de wereld beter kaartmateriaal dan TomTom, en dat onder een open
source licentie.
Beetje nerdy
Voor de goede orde: een hacker is geen
crimineel, maar iemand die inventief met
techniek omspringt. Soms een beetje nerdy,
maar altijd vriendelijk. Hier kun je je laptop
gewoon in je tent laten liggen zonder dat
deze gestolen wordt. Het technische aspect
zie je terugkomen in enkele speciale tenten
op het terrein. In de hardwaretent struikel je
over de soldeerbouten en zie je mensen allerlei apparatuur ontleden en onderzoeken. Er
is altijd wel iemand die je kan helpen.
Het FabLab is een oude DAF-truck die is
ingericht als mobiele fabriek. Binnenin staat
onder andere een apparaat dat hout en perspex kan zagen met een laser. Je kunt in de
bus een ontwerp maken en laten uitsnijden.
Ook heeft men de apparatuur om T-shirts te
bedrukken en een 3D-printer. Die laatste kan
driedimensionale voorwerpen printen uit een
plastic draad, door ze laag voor laag op te
bouwen. Deze apparaten zijn tegenwoordig
erg geliefd in de hackerscene.
10
Madison Gurkha herfst 2010
het
de agenda
verslag
De retrotent biedt de mogelijkheid om spelletjes te spelen op ouderwetse spelcomputers. Als laatste is er de hackerspacetent.
Hackerspaces zijn sterk in opkomst. Het zijn
ruimtes waar gelijkgezinden bij elkaar komen
om met techniek te spelen. In Nederland
zijn Den Haag, Utrecht en Arnhem de meest
bekende, maar er zijn er meer zoals de net
opgerichte hackerspace ‘Sk1llz’ in Almere
(gesponsord door Madison Gurkha en dochterbedrijf ITSX). Als je een technisch probleem wilt oplossen of iets wilt bouwen, dan
kun je dat in de hackerspace doen. Anderen
kunnen er dan ook van leren of wellicht jou
iets leren. Hackerspaces hebben, door hun
coöperatieve structuur, de mogelijkheid om
interessante apparatuur (zoals een 3D-printer)
aan te schaffen.
Hackerspacetent
Bovenal is eth-0 een sociaal evenement.
Het is een weerzien van oude bekenden
of een eerste ontmoeting met mensen die
je alleen uit de digitale wereld kent. Bij de
hackerspacetent wordt tot diep in de nacht
gebarbecued. De speciaal gebouwde lounge
met zitzakken, tafeltjes met stopcontacten
en groene aankleding (schoenen mogen niet)
zit vol met mensen. Je hoort er af en toe
verhitte discussies over wereldpolitiek.
In het gebouw waar de lezingen plaatsvinden
is op zolder een heuse radiostudio gebouwd.
Op HAR’2009 was die er ook, toen met FMlicentie, nu wordt alleen een internetstream
aangeboden (het regelen van een FM-licentie
is nogal wat werk). Ik ga eens buurten en
voor ik het weet vul ik een paar uur met mijn
eigen radioshow. Zo gaat dat op zo’n conferentie: je bent geen bezoeker maar medevrijwilliger. Vier dagen lang help je mee en steek
je van anderen die dat ook doen, veel op.
Als u op de hoogte wilt blijven van de laatste ontwikkelingen in de ICT-beveiligingswereld, dan zijn beurzen
en conferenties de ideale gelegenheid om uw kennis te verrijken en om contacten op te doen. Iedere Madison
Gurkha Update presenteren wij u in de agenda een lijst met interessante bijeenkomsten die komende tijd
plaats zullen vinden.
9 en 10 september 2010
SEC-T
http://www.sec-t.org
SEC-T is een jaarlijkse conferentie voor
iedereen die in technische informatiebeveiliging is geïnteresseerd. Het
doelpubliek zijn softwareontwikkelaars,
IT-security professionals en hackers.
SEC-T vindt plaats in het Näringslivets
Hus in Stockholm, Zweden. Een lezing
en workshop lockpicking worden
verzorgd door Walter Belgers van Madison Gurkha. Hij leert je alle nieuwe
ontwikkelingen op het gebied van sloten, zoals bijvoorbeeld folie-impressie.
SEC-T is een non-profit evenement.
24 en 25 september 2010
BruCON
http://2010.brucon.org
BruCON is een jaarlijkse conferentie voor iedereen met interesse in
computerbeveiliging, privacy en IT.
Dit jaar wordt de Belgische securityen hackersconferentie gehouden in
De Surfhouse in Brussel en biedt een
hoge kwaliteit line-up van sprekers,
veiligheidsuitdagingen en interessante
workshops. Een workshop lockpicking
wordt verzorgd door Walter Belgers
van Madison Gurkha. Hij leert je hoe
je een willekeurig hangslot in een
afzienbare tijd kunt openen zonder het
te forceren (of natuurlijk de sleutel te
gebruiken).
27 t/m 29 oktober 2010
Hack.lu
http://2010.hack.lu
Hack.lu is een open conventie/conferentie, waar men kan discussiëren
over computerbeveiliging, privacy,
informatietechnologie en de culturele/
technische gevolgen hiervan op de samenleving. De conferentie vindt plaats
in het Parc Hotel Alvisse in Luxemburg
en heeft als doel om de verschillende
actoren in de computerbeveiligingswereld dichter tot elkaar te brengen.
11 november 2010
NLUUG
http://www.nluug.nl/activiteiten/events/
nj10/index.html
Op 11 november 2010 vindt de najaarsconferentie ‘Security & Privacy ‘ plaats
in De Reehorst in Ede. Naast tutorials,
technische en productgerichte lezingen
en exposities op het gebied van security en privacy, biedt deze conferentie
ruimschoots de gelegenheid om in
contact te komen met medegebruikers,
leveranciers en onderzoekers. Madison
Gurkha participeert op deze najaarsconferentie met een eigen beursstand
en Hans Van de Looy verzorgt een
presentatie over Security Awareness.
3 en 4 november 2010
Infosecurity.nl 2010
http://www.infosecurity.nl/nl-nl/
Bezoeker.aspx
Al een decennium lang biedt Infosecurity.nl ICT-professionals een overzicht
van de nieuwste beveiligingstechnieken, -producten en -diensten. Infosecurity.nl vindt in 2010 plaats op 3 en
4 november in de Jaarbeurs Utrecht.
Infosecurity.nl vindt gelijktijdig plaats
met de vakbeurzen Storage Expo
(dataopslag en - beheer) en het Tooling
Event (IT Beheer).
het colofon
Redactie
Tim Hemel
Laurens Houben
Remco Huisman
Frans Kollée
Maayke van Remmen
Ward Wouts
Vormgeving & productie
Hannie van den Bergh /
Studio-HB
Foto cover
Digidaan
Contactgegevens
Madison Gurkha B.V.
Postbus 2216
5600 CE Eindhoven
Nederland
T +31 40 2377990
F +31 40 2371699
E [email protected]
Bezoekadres
Vestdijk 9
5611 CA Eindhoven
Nederland
Redactie
[email protected]
Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com.
Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.
Madison Gurkha herfst 2010
11
Safe?
Goede IT-beveiliging is niet zo eenvoudig als vaak
wordt beweerd. Bovendien blijkt keer op keer dat
deze beveiliging van strategisch belang is voor
organisaties. Alle IT-beveiligingsrisico's moeten op
een acceptabel niveau worden gebracht en
gehouden. Professionele en gespecialiseerde hulp
is hierbij onmisbaar. Kies voor kwaliteit. Kies voor
de specialisten van Madison Gurkha.
Your Security is Our Business
tel: +31(0)40 237 79 90 - www.madison-gurkha.com - [email protected]