het begint allemaal bij gezond verstand
TRANSCRIPT
Information securityHet begint allemaal bij goed gezond verstand
Jan Guldentops ( [email protected] )BA N.V. ( http://www.ba.be )
Wie ben ik?
Jan Guldentops ( 1973)Historian by Education
ICT consultant & researcher by vocation
Security-guy by accident
Sterke focus op : Open Source / Linux ( since 1993 )Open Source fundamentalist na mijn uren
Research ( BA Testlab )
Security
Wie zijn jullie ?
Student, werkmens en / of ondernemer ?
Welk ICT-geloof hang je aan ? Open source-pinguin of demoontje
Blinde volgeling van Redmont
Lid van de Apple sekte
Of homo universalis ?
Zoek je een carriere in ICT security ?
Better Access / BA N.V.
Opgericht in 1996 Oudste Belgische Linux / Open Source bedrijf
Sterke focus op openheid Open Systems
Open standards
Open Source
Verzinnen/ontwerpen, bouwen, beveiligen en beheren ICT, security en netwerkinfrastructuren.
Creativiteit: enorm veel Mac Guyver projects
BA Testlabs
R&D afdeling van BA Veel vergelijkende tests / onderzoekjes die we in de gespecialiseerde pers publiceren
Stagewerking : Elk jaar 5 stagaires die een uitdagend project krijgenOnderzoeks / ontwikkel-ideen praktisch uitwerken
De lat ligt heel hoog
Begeleid door mezelf en n techie
Niks te verliezen
Serieuze referentie voor je CV
For the record:Ik heb mezelf nooit beschouwd als security-expert!
Belgium Online
In 1996 werd de eerste Belgische internet-bank gelanceerd, en ik publiceerde de gigantische security-problemen die in de hele omgeving zitten
Amateurisme browseable cgi-bin-dir
clear-text, downloadable perlscripts
mainframe userid/password rechtstreeks opzetbaar uit deze software
(internal) documentation downloadable
debug logging naar een worldwide browseable directory
...
expertsGebouwd door Netvision ( later Ubizen now Verizon )
In security there is often a big difference between reality and theory, marketing and sales
Wat is security ?
Uitermate simpel : CIA
ConfidentialityIntegrityAvailibility
En dit alles ga je op een structurele manier proberen te garanderen...
VISIEWETTELIJKE VEREISTEN
+INVENTARISBELEIDSAANPASSINGEN
(ACT)RISICO-ANALYSE
BELEIDSPLAN
CONTROLE / AUDIT
(CHECK)PLAN TOT
UITVOERING / BIJSTURING
(PLAN)
EIGENLIJKE
UITVOERING / BIJSTURING
(DO)
Perpetuum Mobile
Welke practische problemen ga je allemaal tegenkomen?
User Authenticatie
We gebruiken nog altijd vooral userid/wachtwoord voor authenticatie ? -- Sterke, tokenbased authenticatie ?
Certificaten ?
Geen centrale user en vooral rollen management ?Meerdere gebruikerssystemen binnen n organisatie
Bad passwords / gebruik
Clear-text van userid / passwords en andere gevoelige informatie
...
Ondanks dat men vaak de dood van e-mail heeft aangekondigd is het nog altijd n van de belangrijkste vormen van communicatie
Maar: Niemand tekent of versleutelt zijn e-mail
We gebruiken nog altijd goeie oude SMTP met al zijn problemen. Typisch voorbeeld is het spamprobleem
Redundantie is vaak een probleem, dns is een probleem...
In feite is het een mirakel dat e-mail gewoon werkt.
Encryptie
We versleutelen nog altijd niet alles Disks
Devices
Communications
En als we het gebruiken dan doen we het nog vaak op een slechte, knudde manier.
Meeste IT-professionals hebben geen enkele awareness van hoe encryptie werkt en hoe het te gebruiken...
Secure communications
Onze software communiceert nog altijd clear-text of met slecht opgezette encryptie. Bv. geen gebruik van third party signed certificaten bij web-applicaties
Vaak triviaal om een man-in-the-middle attact te doen
Wachtwoorden te sniffen
IPv6
1996 zaten we blijkbaar al zonder internet-adressen ( Imminent death of the internet, episode 3097)
Niemand gebruikt ipv6
Security Ipv6 rammelt aan alle kanten
Zelfs sommige electriciteitsnetvoorzieners kiest voor zijn smart metering project ervoor om ipv4 adressen te gebruiken...
Amateurisme
Beveiliging en security zijn vaak nog altijd side-shows
Er wordt nauwelijks ontwikkeld met security in het achterhoofd maar die wordt er later bij opgebouwd.
Zelfs security-bedrijven gaan enorm in de mist : Voorbeeld van Diginotar
Het officiele rapport :
The successful hack implies that the current network setup and / or procedures at DigiNotar are not sufficiently secure to prevent this kind of attack.The most critical servers contain malicious software that can normally be detected by anti-virus software. The separation of critical components was not functioning or was not in place. We have strong indications that the CA-servers, although physically very securely placed in a tempest proof environment, were accessible over the network from the management LAN.The network has been severely breached. All CA servers were members of one Windows domain, which made it possible to access them all using one obtained user/password combination. The password was not very strong and could easily be brute-forced.The software installed on the public web servers was outdated and not patched.No antivirus protection was present on the investigated servers.An intrusion prevention system is operational. It is not clear at the moment why it didnt block some of the outside web server attacks. No secure central network logging is in place.
Good system administration
Integrity checks Hostbased IDS op alle kritische servers
Firewalling op alle kritische servers
Gevorderde procesbeheer bijvoorbeeld Selinux laten aanstaan !
Centraal tamper-proof logging
Deftige password policies of beter sterke authenticatie!
Automated, regelmatige updates security-updates
Minimal software installs
Etc.
Business Continuity
Correcte risk assessment :RTO
RPO
Audits / tests en gezond verstand worden vergeten
Ik kom nog maandelijks gevallen van belangrijk data verlies tegen !
RT @JeremiadLee: Theres an assumption that when you host in the cloud, the datacenter is well above sea level.
Security awareness is heel laag
Operating systems
Zijn nog altijd niet secure
Niet alleen een probleem van het core OS maar ook van de componenten ( java, flash, browsers, etc.)
Hele platforms zijn niet klaar : Bijvoorbeeld Android / Ipad zijn geen echte multiuser omgevingen
Ook de eindgebruikers zijn een probleem
Wat kan jullie helpen ?
Cyber police
In 1996 there hardly existed anything like a computer crime unit or a Digitale recherche
Now there is an infrastructure and professionals for this.
But often money is wasted by politicians Digitale meldpunten
Etc.
Wetgeving
In 1996 was er geen enkele wetgeving om cybercriminele op een niet lachwekkende manier te vervolgen.
Nu is die er wel...
Maar nu is het evenwicht tussen privacy / burgerrechten en de oorlog tegen cybercriminaliteit soms zoek. Vooral als het om auteursrechten gaat
Best practices
We hebben ondertussen een aantal frameworks, richtsnoeren die je helpen bij security.
Bijvoorbeeld : Cobit
ISO/IEC 17799 ( code voor informatiebeveiliging)
Deze kunnen je een heel eind op weg zetten...
M(o)ore
De wet van Moore geldt nog altijd: Exponentiele groei van de beschikbare bandbreedte ook tot bij de eindgebruiker
Exponentiele groei van computing power, storage, memory, etc.
Globalisering
Maakt de job van security-administrator niet altijd makkelijker Encryptie kan makkelijker gekraakt worden
Denial-of-service aanvallen zijn een stuk eenvoudiger geworden
M(o)ore
Moore's law is still working : Exponential growth of the available bandwidth
Computing power
Globalisation
Doesn't make it easier Encryption can be broken more quickly
Denial-of-service attacks get more lethal
Cloud / Cloud washing
Weet er iemand wat cloud echt betekent ?
1.000.000 verschillende definities : Private / public / hybride
SAAS, PAAS, IAAS,
Disruptive technology
Veel marketing blabla en cloud washing
Maar op het vlak van security veranderen de regels niet : CIA
ICT is geen baas meer
IT / Security manager waren altijd no-men
Vroeger waren zij de alfa en omega van wat er gebeurde in bedrijf /organisatie
Bedreigd door : Consumerism
BYOD
Nu moeten ze Yesmen worden...
Mobilisatie
Netwerk perimeter is volledig verdwenen!
Enorme consequenties voor Network
Authentication
Devices
Data Leakage
Business Continuity
...
Cyber criminals hebben zich georganiseerd
1996 waren hackers meestal cyberpunks Beetje in de traditie van wat de anonymous en piratenbeweging nu is.
Nu is het vooral de georganiseerde mafia Scamming
Trade and industrial secrets
Hacking
Blackmail...
Privacy Impact
Dave-project voor FebelfinWillen awareness creeren dat je niet om het even wat op het internet moet posten
http://www.youtube.com/watch?v=F7pYHN9iC9I
4 factors Wat we zelf weggeven via sociale media, blogs, etc.
Wat applicaties van ons weggeven als we ze gebruiken
Open, vaak overheids-data
Wat grote spelers die veel over ons weten hiermee doen...
Vuistregel: Alles wat je op het internet zet is publiek!
Common sense is so rare these days it should be classified as a super power...
Tips en trucks
Er is maar n killer security product en dat is gezond verstand : Wees kritisch
Wees redelijk en praktisch
Zorg dat je ten allen tijd
Gebruik frameworks en standaarden maar gebruikt ze niet als dogma's maar als praktische tools.
Zorg ervoor dat je awareness creert van de eindgebruiker over de ICT-staf tot op het hoogste management niveau.
Als het om cloud gaat, zorg dat je echte en legale garanties hebt.
Meer weten over security ?
Questions ?
Jan [email protected]: JanGuldentops