update - secura.com het nieuws 3 wachtwoorden e-banking per sms google-hack schudt wereld wakker...

Your Security is Our Business

DE COLUMN 2Hans van de Looy

HET NIEUWS 3Wachtwoorden e-banking per SMS

Google-hack schudt wereld wakker

Madison Gurkha 10-jarig bestaan

Nieuwe collega’s gezocht

HET INZICHT 4Cloud Computing

HET EVENT 5Black Hats Sessions part VIII

DE HACK 6-7Webservices vaak onvoldoende beveiligd

HET INTERVIEW 8Arnoud Engelfriet van ICTRecht

DE KLANT 9Uit de transport en logistiek

HET VERSLAG 10-11Industrial Control Systems Cyber

Security Training

DE AGENDA 11

HET COLOFON 11

u p d a t e

7VOORjAAR 2010

w w w . m a d i s o n - g u r k h a . c o m

Madison Gurkha voorjaar 20102

In de voorgaande Update hebben we een artikel geplaatst met de pakkende titel “IPv6: nieuwe bedreiging?” (zie http://www.madison-gurkha.com/press/UPDATE_MG_winter_2009.pdf als u het artikel nog niet gelezen heeft). Niet om de lezers af te schrikken, maar juist om u bewust te maken van deze oude standaard waarvan de invoering nog steeds niet op grote schaal plaatsvindt, maar waarvan de noodzaak tot invoering wel steeds nijpender wordt. Zelfs nu.nl heeft in november 2009 een artikel (http://bit.ly/1HpKWT -- heeft u ook zo’n hekel aan lange URL’s?) opgenomen waarin een aantal interessante opmerkingen wordt geplaatst die eigenlijk toch wel ergens de alarmbellen zouden moeten laten afgaan. Ik citeer hier een aantal losse uitspraken die zijn overgenomen uit een onderzoek van de Europese Commissie en TNO: “IPv4 internetadressen zullen in 2011 op zijn”, “Slechts 17% van de overheidsorganisaties en bedrijven in Europa, het Midden-Oosten en Azië maakt gebruik van IPv6”, “Een tijdige, wereldwijde overstap op IPv6 is noodzakelijk om de groei en stabiliteit te waarborgen”.

Dat zijn stuk voor stuk uitspraken die op zijn minst zouden moeten uitnodigen om stappen te gaan ondernemen om te investeren in IPv6, en toch gebeurt dat minder dan dat wenselijk wordt geacht. De redenen ervoor zijn natuurlijk ook voor de hand liggend. We hebben net een financiële crisis achter de rug, en wellicht moet er nog een tweede gedeelte van de “W-curve” komen, dus we zitten niet te wachten op nieuwe, mogelijk dure, investeringen. We hebben nu toch al toegang tot het interweb, dus wij zullen geen last hebben van het tekort aan beschikbare IPv4 adressen. IPv4 kennen we en die andere adressen zijn veel te moeilijk. Allemaal op zich logische verklaringen, maar van de andere kant zijn het ook stuk voor stuk redenen die worden ingegeven door tunnelvi-sie en oogkleppen.

Dus heb ook ik, ondermeer ingegeven door deze column, wat onderzoek gedaan. Natuurlijk zijn onze scansystemen al voor-zien van IPv6, zodat we onze klanten ook via dat protocol kun-nen bereiken en testen, maar onze eigen webserver is, op het moment van schrijven, nog niet voorzien van een IPv6 adres (dit zou wel eens anders kunnen zijn op het moment dat u dit leest). Dus er zijn al vooruitstrevende ISP’s die gewoon IPv6 aanbieden, mocht u hiervan gebruik willen maken. Dus aan

de serverkant zit het vaak wel goed. Daar kunnen we relatief eenvoudig overstappen.

De volgende stap is dan natuurlijk om te zien hoe het met de internetverbinding voor clients is gesteld. Daar zie ik een geheel ander beeld. Een van de bekendste providers XS4ALL geeft aan dat ze haar netwerk in 2002 al geschikt heeft gemaakt voor IPv6, maar dat inbel- en ADSL-diensten allen op IPv4 zijn gebaseerd. IPv6 is daar wel mogelijk, maar alleen via een experimentele tunneldienst. Ook de verschillende kabel-aars en zelfs glasvezelleveranciers bieden alleen IPv4 aan en als je ze vraagt naar het aanbieden van (native) IPv6 kan geen van hen aangeven wanneer dit het geval zal zijn.

Waarom dan nu toch al aandacht besteden aan IPv6? Nie-mand vindt het een aantrekkelijk idee om (te) vroeg met iets nieuws te starten. Maar IPv6 is niet nieuw meer. Het protocol is al in december 1998 gespecificeerd. Op dit moment geen aandacht besteden aan IPv6 kan, zoals het eerder vermelde artikel in de vorige Update al aangaf, betekenen dat er nu al een risico wordt gelopen dat bepaalde systemen onbewust toch al bereikbaar blijken te zijn via dit protocol, met alle gevolgen van dien. En wellicht de belangrijkste reden om nu aandacht te gaan besteden aan IPv6 is dat er nu goed over kan worden nagedacht. Nu kunnen er goed doordachte plan-nen gemaakt worden voor een (geleidelijke) overgang. Een overgang waarbij de regie wordt ingegeven door kennis en opgedane ervaring en niet door tijdsdruk. Of zal uiteindelijk toch blijken dat mensen niets willen leren van het verleden en uiteindelijk toch weer worden opgejaagd door de volgende deadline. Misschien niet in 2011 als het laatste IPv4 adres wordt uitgedeeld (zie http://penrose.uk6x.com/ voor de IPv4 countdown) maar ook niet lang daarna. Waarbij ik nog de kant-tekening wil plaatsen dat de Maja kalender verkeerd geïnter-preteerd blijkt te zijn, dus zullen we ook na 2012 allemaal nog steeds bezig met het veilig houden van allerlei (gevoelige) gegevens -- of ze nu via IPv4 of IPv6 worden uitgewisseld dat maakt voor ons niets uit. Voor u wel?

hans Van de Looy Partner, Principal Security Consultant

DE COLUMN

ipv6 voor het te laat is...

In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom ICT-beveiliging. Deze keer Hans van de Looy over IPv6.

Madison Gurkha voorjaar 2010 3

HET NIEUWS

In “Het Nieuws” belichten we iedere Madison Gurkha Update belangrijke recente ontwikkelingen die in het beveiligingsnieuws zijn verschenen. Ook alle nieuwe ontwikkelingen rondom Madison Gurkha komen in deze rubriek uitgebreid aan bod.

Mist u een nieuwsitem, of heeft u nog ander opvallend of aanvullend security nieuws? Meld het aan ons door een mail

te sturen naar: [email protected]. Wie weet staat uw nieuwtje in de volgende Madison Gurkha Update!

Madison Gurkha 10-jarig bestaanmadison gurkha is opgericht tijdens de dot.com crisis: de internet zeepbel die leegliep. dit jaar vieren wij ons 10-jarig jubileum tijdens de volgende - nu financiële - crisis. madison gurkha wordt hierdoor echter nauwelijks geraakt. onze kwaliteit, flexibiliteit en pragma-tische aanpak wordt nog altijd zeer goed gewaardeerd. madison gurkha blijft zich positief ontwikkelen en beheerst groeien.

om ons 10 jarig bestaan te vieren gaan wij van 15 tot en met 19 april voor een korte trip naar Jordanië. op 15, 16 en 19 april zullen wij daarom gesloten zijn. wij zullen u hierover nader informeren.

- hack schudt wereld wakker

ING-klanten hoeven vanaf 15 maart niet meer naar het postkantoor om een nieuw wachtwoord voor internetbankieren aan te vragen. Straks verstuurt ING een sms met de gegevens. Maar hoe veilig is deze methode? Hans van de Looy geeft in een Radio 1 uitzending antwoord op de vraag of het ver-sturen van wachtwoorden per SMS veilig is.

Het volledige interview is te beluisteren op de site van Radio 1: http://www.radio1.nl/contents/12263-versturen-sms-met-ing-wachtwoord-veilig

Wachtwoorden e-banking per SMS

Madison Gurkha is een jonge, groeiende en veelbelovende organisatie op het ge-bied van (technische) IT security. Madison Gurkha levert kwalitatief zeer hoogwaardi-ge diensten aan grotere organisaties zoals landelijke opererende overheidsinstellin-gen, (beursgenoteerde) multi-nationals en financiële instellingen.

Kijk voor meer informatie over de verschil-lende vacatures op onze website.

Door onze aanhoudende groei zijn wij dringend op zoek naar:

g Junior Security Consultant (JSC)

g Security Consultant (SC)

g Senior Security Consultant (SSC)

Kandidaten met aantoonbare security kennis van Microsoft producten en tech-nologieën hebben op dit moment onze voorkeur.

Ben jij degene die we zoeken? Stuur dan snel je CV met sollicitatiebrief naar [email protected].

Vacatures

Een golf van bezorgdheid over netwerkbeveiliging trok over de wereld als gevolg van de gedeeltelijk succesvolle aanval op de zwaarbeveiligde systemen van Google. Een team hackers gesteund door de Chinese overheid, wordt daarvoor verantwoordelijk gehouden. Financiële instellingen in de Verenigde Staten, produ-centen en dienstverleners onderzoeken nu met experts koortsachtig of hun beveiligingssy-stemen ook zijn gekraakt zonder dat zij zich daarvan bewust waren. [...]

Verder in het artikel in de Automatiserings Gids geeft Hans van de Looy zijn mening over computerinbraak bij bedrijven naar aanleiding van de Google-hack.

Het volledige artikel is te lezen op de site van de Automatisering Gids: http://www.automa-tiseringgids.nl/artikelen/2010/4/google-hack%20schudt%20wereld%20wakker.aspx

In de rubriek “Het Inzicht” stellen wij meestal bepaalde technische beveiligingsproblemen aan de orde. Deze keer geeft Laurens Houben antwoord op de vraag wat Cloud Computing is, gaat hij in op de gevaren die daarbij optreden.

HET INZICHT

4 Madison Gurkha voorjaar 2010

Heeft u onderwerpen die u graag een keer terug zou

willen zien in deze rubriek? Laat het dan weten aan onze

redactie via: [email protected].

Het is een parallel computersysteem waarbij de software verdeeld is over

meerdere computers op het internet. Cloud computing dient er voor om schaalbare en vaak gevirtualiseerde diensten aan te bieden over het internet. Deze zijn dan beschikbaar via een webbrowser terwijl de software en data op servers van de dienstverlener blijven. Bij Cloud Computing zijn de gebruikers geen eigenaar van de software die ze gebruiken. Ze betalen dus enkel voor de diensten die ze gebruiken in de vorm van prepaid of in abon-nementsvorm. Dit bespaart hoge kosten voor de aanschaf van soft- en hardware.

Cloud Computing wordt in 3 categorieën verdeeld:• Cloud ApplicatiesBij Software as a Service (SaaS) staat de applicatie volledig onder controle van de dienstverlener. De gebruiker kan er gebruik van maken maar kan er niets aan veranderen. voorbeelden zijn: Webmail, Google Apps, Twitter, Facebook en salesforce.com.• Cloud PlatformsBij Platform as a Service (PaaS) wordt de ge-bruiker veel meer toegestaan. Er wordt hier vaak gewerkt met een ontwikkelingstaal of framework zoals Phyton, .NET of Java waarin de gebruiker zelf kan werken. In dit systeem wordt het framework en de infrastructuur beheerd door de dienstverlener en kan de gebruiker verder instaan voor de applicaties. voorbeelden zijn: PayPal, Google App Engine, Amazon S3 en Rackspace Cloud Sites.• Cloud Infrastructure:Bij Infrastructure as a Service (IaaS) wordt de infrastructuur aangeboden via een virtua-lisatie of hardware-integratie. In deze laag vinden we de servers, netwerken en andere hardwaretoepassingen. Dit laat de gebruiker volledige vrijheid toe over de hardware.voorbeelden zijn: Amazon CloudWatch, Go-Grid en Amazon VPC.

Al deze haast onbeperkte rekenkracht en mogelijkheden bieden nieuwe scenario’s voor veel bedrijven en individuen. Wat dacht u van wachtwoorden hacken door middel van Cloud Computing? De mensen achter http://www.wpacracker.com/ hebben handig gebruik gemaakt van de mogelijkheden die de cloud biedt. Ze maken gebruik van een cluster van 400 virtuele computers om WPA-codes te vergelijken tegen een database met 284 miljoen mogelijke wachtwoorden. Dit alles kunnen ze in slechts 20 minuten waar deze actie op een normale duo-core computer ongeveer 5 dagen zou duren. Het ontcijferen van een wachtwoord kost 17 dol-lar en wordt per e-mail toegestuurd wanneer deze wordt gevonden.

BotnetsCybercriminelen hebben al jaren hun eigen clouds. Deze worden botnets genoemd en zijn zeer groot, krachtig en multifunctioneel. Ze worden gebruikt voor het versturen van spam, het stelen van financiële informatie, het aanbieden van malware of het versturen van enorme hoeveelheden data waardoor websites onbereikbaar kunnen worden. Deze functionaliteiten zijn net als bij Cloud Computing te koop en te huur in webshops voor botnets.

Botnets vinden ook hun weg naar de cloud. Een nieuwe variant van de Zeus bot gebruikt de cloud van Amazon om geïnfecteerde com-puters aan te sturen. De malware verspreidt zich via email en verwijst gebruikers naar een website waar een bestand ter download wordt aangeboden. Wanneer dit bestand wordt uitgevoerd door de gebruiker zal er contact worden gelegd met de “command and control” server die zich in de Amazon EC2 cloud bevindt en instructies geeft aan de Zeus bot. De Zeus bot injecteert zichzelf in het systeem van de gebruiker en wacht

totdat er een bankrekening wordt ingevoerd. Cybercriminelen maken ook gebruik van RDS Managed Database Hosting van Amazon als een backup van hun data in het geval ze toegang verliezen tot het originele domain van waar de “command and control” server zich bevindt. Zo zijn ze er van verzekerd dat ze alle verzamelde financiële informatie niet verliezen.

speeltuinIs de cloud wel veilig? Indien een cloud provider zijn netwerk niet monitort kan een cybercrimineel de service misbruiken voor de eerder genoemde scenario’s. Amazon’s EC2 cloud is al een speeltuin geworden voor security onderzoekers. Door misbruik van het inschrijfsysteem is het voor hen mogelijk om het “20 computers per gebruiker limiet” te omzeilen. Ook hebben onderzoekers virtuele computer templates kunnen creëren die rootkits en malware bevatten. Wanneer een Amazon-klant dit template gebruikt is deze kwetsbaar voor aanvallen. De cloud biedt cybercriminelen een grote voorraad reken-kracht, ruimte en mogelijkheden. Indien dit niet goed wordt gemonitort door de aanbie-ders zal in de toekomst een hoop veranderen op securitygebied.

Een aantal interessante websites die verder ingaan op de gevaren van de cloud zijn:http://www.enisa.europa.eu/act/rm/files/de-liverables/cloud-computing-risk-assessment/at_download/fullReporthttp://www.security.nl/artikel/31783 http://www.readwriteweb.com/archives/the_cloud_isnt_safe_or_did_blackhat_just_scare_us.php

Cloud Computinghet fenomeen cloud computing bestaat

al enige tijd. maar wat is het nu precies?

5Madison Gurkha voorjaar 2010

Al aan het eind van de vorige eeuw bezigde Sun Microsystems de slogan: “The network is the computer.” Dat was toen nog niet echt praktisch toepasbaar en tamelijk visionair. Nu, anno 2009/2010, lijkt het realiteit te zijn geworden. Na Application Service Providing (ASP) en SAAS (Software as a Service), hebben we het nu over “The Cloud”. Via de cloud kun je processorcapaciteit krijgen, extern geheugen en software huren, zelfs voor de desktop. Dit maakt IT erg flexibel, maar is het ook veilig?

Bestemd voor uDe bijeenkomst wordt georganiseerd voor beheerders van systemen, netwerken en applicaties, security officers, interne auditors, het management en andere geïn-teresseerden. Na dit seminar kunt u de kansen die Cloud Computing biedt beter afwegen tegen de risico’s.

het programmaHet programma start om 9.30 uur en duurt tot 16.40 uur. Aansluitend wordt nog een borrel georganiseerd. Registratie is moge-lijk vanaf 8.30 uur.

kostenDe kosten voor deelname aan het seminar bedragen € 295,-- (excl. BTW) per per-soon. Documentatie, broodjes en koffie zijn inbegrepen. Speciaal voor alle relaties van Madison Gurkha geldt op dit bedrag een korting van € 35,--. Zo betaalt u dus maar € 260,-- (excl. BTW) per persoon. Geef bij uw online-inschrijving aan dat u een relatie bent van Madison Gurkha en de korting wordt verrekend.

Als u zich uiterlijk vijf weken voor het evenement registreert, ontvangt u hierop ook nog eens 10% vroegboekkorting. Bij gelijktijdige aanmelding van 4 personen of meer geldt een verlaagd tarief. Het inschrijfformulier kunt u vinden via onze website: www.madison-gurkha.com (klik op de Black Hat banner).

HET EVENT

Deze achtste editie van de Black Hat Sessions wordt georganiseerd door Array Seminars en Madison Gurkha en staat in het teken van “Hacking the Cloud” Hierbij een overzicht van het programma.

08.30 u ontvangst en registratie09.30 u opening door de dagvoorzitter Walter Belgers, Madison Gurkha09.40 u crime from the cloud

Ralph Moonen CISSP, Directeur IT Security eXperts Cloud Computing heeft de toekomst. Althans, als we de ICT- en businessanalisten

mogen geloven. Maar Cloud Computing brengt ook risico’s met zich mee; immers, data bevindt zich niet meer onder controle van de gebruiker, maar in de cloud. En ook kunnen cybercriminelen de cloud gebruiken voor eigen kwaadaardige doeleinden. Over dit laatste is nog weinig bekend of geschreven maar toch zijn de eerste botnets in de cloud al aangetroffen. De cloud heeft grote voordelen voor cybercriminelen waaronder het vermogen zich snel en naadloos te kunnen verplaatsen, en het spoor-loos kunnen verdwijnen. Ralph Moonen zal in deze presentatie een beeld schetsen van de mogelijkheden die de cloud biedt aan cybercriminelen, en de problemen waar dit ons voor stelt, zoals de mogelijkheden en onmogelijkheden van forensics in de cloud en of en hoe een aanval vanuit de cloud kan worden tegengegaan.

10.40 u pauze / informatiemarkt11.10 u the law of the cloud

mr. ir. Arnoud Engelfriet, Partner bij juridisch adviesbureau ICTRecht EULAs zijn niet rechtsgeldig. In Europa geldt de DMCA niet dus je mag kopieerbevei-

ligingen omzeilen. Feitelijke informatie mag onbeperkt worden gekopieerd en herge-bruikt. Het citaatrecht op afbeeldingen geldt alleen als je plaatje maximaal 194x155 pixels groot is. Als je server in Thailand staat, val je niet onder Nederlands recht. De GPL is een licentie, geen overeenkomst.

Wie denkt dat dit allemaal correct is, of geen idee heeft waar dit over gaat, is van harte uitgenodigd bij deze lezing van ICT-jurist Arnoud Engelfriet. Internetrecht is een complex onderwerp waar veel misverstanden en mythes over bestaan, en Arnoud gaat proberen deze weg te nemen - of in ieder geval zijn mening daarover te geven.

12.10 u Vendorsessie12.40 u Lunch / informatiemarkt13.40 u owasp: cloud security

Ferdinand Vroom (Security Officer) en Martin Knobloch (Software Architect en Secu-rity Consultant), OWASP Dutch Chapter

Deze lezing bestaat uit twee delen: Welke risico’s loopt u als u uw data toevertrouwt aan de “cloud”? Deze presentatie

geeft een overzicht van de huidige stand van beveiliging in de cloud en maakt een vergelijking tussen privacy in de cloud en in de traditionele it modellen. Praktisch in de vorm van tips hoe u uw virtuele infrastructuur en webapplicaties veilig kunt hou-den. Secure Software Development met OWASP. Deze presentatie geeft een overzicht van OWASP tooling en documentatie projecten. Wat zijn SAMM, ASVS, OWASP Live CD...? Wanneer en hoe gebruik je welke tooling en wat vind je in welke documentatie. Tijdens deze presentatie wordt verteld hoe OWASP jou kan helpen veiliger software applicaties te ontwikkelen.

14.40 u Vendorsessie15.10 u pauze / informatiemarkt15.30 u clobbering the cloud

Ian de Villiers, Security Analyst, SensePost Information Security Cloud Computing dominates the headlines these days but like most paradigm chan-

ges this introduces new risks and new opportunities for us to consider. Some deep technical research has gone into the underlying technologies (like Virtualization) but to some extent this serves only to muddy the waters when considering the overall threat landscape. During this talk, SensePost will attempt to separate fact from fiction while walking through several real-world attacks on “the cloud”.

Originally presented in the US, this talk will focus both on attacks against the cloud and on using these platforms as attack tools for general Internet mayhem. For pur-poses of demonstration we will focus most of our demos and attacks against the big players, and highlight recent developments.

16.30 u afsluiting door de dagvoorzitter Walter Belgers, Madison Gurkha16.40 u Borreluur / informatiemarkt

Black hat sessions Viii, 27 april 2010, de reehorst ede

Arnoud Engelfriet

Deze achtste editie van de Black Hat Sessions staat in het teken van “Hacking the Cloud” en wordt georganiseerd door Array Seminars en Madison Gurkha.

Al aan het eind van de vorige eeuw bezigde Sun Microsystems de slogan: “The network is the computer.” Dat was toen nog niet echt praktisch toepasbaar en tamelijk visionair. Nu, anno 2010, lijkt het realiteit te zijn geworden. Na Application Service Providing (ASP) en SAAS (Software as a Service), hebben we het nu over “The Cloud”. Via de cloud kun je processorcapaciteit krijgen, extern geheugen en software huren, zelfs voor de desktop. Dit maakt IT erg �exibel, maar is het ook veilig? De sprekers van deze editie van de Black Hat Sessions gaan in op de risico’s van Cloud Computing, vandaar “Hacking the Cloud”.Ook dit jaar hebben we weer een aantal bijzondere sprekers weten aan te trekken. Arnoud Engelfriet van ICTRecht zal wederom op onnavolgbare wijze zijn ideeën met ons delen over de juridische aspecten van Cloud Computing. Naast juridische voetangels en klem-men zijn er de technische risico’s. En wie zijn wat applicaties betreft beter op de hoogte dan de mensen van OWASP? Ralph Moonen van ITSX bekijkt de cloud vanuit een ander perspectief, namelijk hoe kunnen cybercriminelen de cloud inzetten voor hun duistere praktijken? Last but not least spreekt Ian de Villiers van het Zuid-Afrikaanse SensePost Research Labs over “Clobbering the Cloud”. Wat zijn de problemen met Cloud Computing als we het hebben over zaken als privacy en beveiliging?

Ralph Moonen Ferdinand Vroom Martin Knobloch Ian de Villiers Walter Belgers

Deze Black Hat Sessions wordt georganiseerd door:

De bijeenkomst wordt georganiseerd voor beheerders van systemen, net-werken en applicaties, security o�cers, interne auditors, het management en andere geïnteresseerden. Na dit seminar kunt u de kansen die Cloud Computing biedt beter afwegen tegen de risico’s.

Arnoud Engelfriet






Arnoud Engelfriet






Arnoud Engelfriet






Arnoud Engelfriet






Arnoud Engelfriet






Hacking the Cloud

6 Madison Gurkha voorjaar 2010

In de rubriek “De Hack” belichten we iedere Madison Gurkha Update een opmerkelijke situatie die tijdens een beveiligingsaudit werd aangetroffen. Deze keer gaat Frans Kollée van Madison Gurkha in op de ontbrekende beveiliging bij het ontsluiten van webservices.

We constateren dat webservices steeds vaker worden ingezet om functionaliteit te bieden naast het gebruik van de reguliere webapplicaties. De aangeboden functionaliteit is over het algemeen overlappend met als doel om informatie tussen systemen uit te wisselen zonder dat daarvoor een webbrowser voor nodig is. Hoewel de functionaliteit vaak overlappend is, kan dit niet worden gezegd met betrekking tot de beveiliging. Tijdens onze beveiligingsonderzoeken zien we vaak dat er ruimschoots aandacht is besteed aan de beveiliging van de webapplicatie, maar dat de webservices onvoldoende en soms helemaal niet zijn beveiligd. Het lijkt erop alsof de fouten die vroeger gemaakt werden bij het ontwikkelen en aanbieden van webapplicaties, nu opnieuw worden gemaakt bij webservices.Bij de ontwikkeling en implementatie van webapplicaties zien we dat er steeds meer aandacht is voor beveiligingsaspecten zoals versleutelde communicatie, authenticatie, autorisatie, invoervalidatie en het afschermen van administratieve inter-faces. Overbodige informatie zoals stacktraces en debug-informatie wordt steeds vaker afgeschermd zodat ook hier geen informatie uitlekt. Bij de ontwikkeling van webservices is het ineens anders en zien we regelmatig dat authenticatie niet of nauwelijks is geïmplementeerd, autorisatiecontrole onvoldoende is en dat er geen invoervalidatie plaatsvindt. De stacktraces en debug-informatie geven in veel gevallen onnodig veel informatie weg.Webservices kunnen op verschillende manieren worden aangeboden. We gaan in dit artikel uit van het aanbieden van webservices via de SOAP/XML interface. Het creëren van

op SOAP/XML gebaseerde webservices is met de huidige frameworks een stuk eenvoudiger geworden. Allerlei on-dersteunende processen en informatie worden automatisch gegenereerd zodat een webservice al snel in gebruik kan worden genomen. In de navolgende paragrafen geven we een overzicht van zaken die we regelmatig tegen komen. Hieruit blijkt dat, juist doordat de frameworks veel zaken au-tomatisch regelen en dus de time-to-market een stuk korter is geworden, de aandacht voor beveiliging is afgenomen.

informatie over webservicesIn de meeste gevallen krijgen we van klanten de informatie dat er een of meerdere webservices actief zijn. Vaak vinden we deze informatie ook terug in de publieke zoekmachines of zijn er aanwijzingen op de website van de klant zelf over de aanwezigheid hiervan. De URL voor de service ziet er dan bijvoorbeeld zo uit: http://services.customer.com/info/personal.asmx. Indien we deze opvragen, zien we in veel ge-vallen een overzicht van de aangeboden webservices. Deze informatie is niet afgeschermd. Dit overzicht geeft op zich al veel informatie onnodig weg. Ook de WSDL-informatie is dan vaak beschikbaar. Hiertoe breiden we de URL uit met: http://services.customer.com/info/personal.asmx?WSDLAlle informatie voor het maken van een SOAP-request is hierdoor beschikbaar.

invoervalidatieMet de verkregen informatie gaan we vervolgens zelf berichten maken. Hierbij testen we bijvoorbeeld wat er

dit keer geen diepgaand voorbeeld van een specifieke hack, maar inzage in de ontbrekende beveiliging bij het ontsluiten van webservices, gebaseerd op diverse praktijkervaringen.

DE HACK

webservices vaak onvoldoende of niet beveiligd


gebeurt indien er ongeldige berichten worden verstuurd. In veel gevallen levert dat uitgebreide debug-informatie op die we later weer kunnen gebruiken. De inzet van geautomati-seerde fuzzing technieken is vaak niet eens nodig.Ook het meesturen van een zogenaamd SOAP-attachment, levert vaak ongewild veel informatie op. Dit komt omdat de ontvangende webservice helemaal geen attachment verwacht en er geen additionele beveiligingsmaatregelen zijn genomen.

autorisatieIndien we geldige berichten opsturen, waarbij we bijvoorbeeld identificatiegegevens aanpassen, blijkt vaak dat er gegevens kunnen worden opgevraagd die niet voor ons bestemd zijn. Ter illustratie het volgende voorbeeld.Stel dat er een webservice wordt aangeboden aan klanten. Iedere klant krijgt een inlogcode en in het bericht wordt het klantnummer opgenomen. Voor het gebruik van de webser-vice wordt om een geldige inlogcode op basis van HTTPS-au-thenticatie gevraagd. Nadat er succesvol is geauthentificeerd, wordt de gevraagde informatie geleverd. Hierbij wordt er volledig vertrouwd op de eerdere authenticatie. Zodra we au-thenticeren als klant A, en in het bericht het klantnummer van klant B opnemen, zien we de informatie van klant B. Hierbij is er dus duidelijk sprake van het ontbreken van autorisatiecon-trole. Deze controle is er overigens meestal wel als dezelfde functionaliteit via de webapplicatie wordt aangeboden.Een andere kwetsbaarheid in bovenstaand voorbeeld is het ontbreken van integriteitcontroles. Manipulaties van het XML-

bericht worden niet gedetecteerd. Met name in een SOA georiënteerde omgeving is het belangrijk dat integriteitcontro-les en end-to-end versleuteling zijn geïmplementeerd.

XmL validatieDe inhoud van het XML-bericht wordt vaak onvoldoende gevalideerd. Dit opent mogelijkheden voor aanvallen zoals XML-Entity-Expansion en XPATH-injection. Behalve Denial of Service aanvallen, kan er op deze wijze informatie uit de data-base worden gehaald. Een Denial of Service aanval voeren we in de praktijk niet uit, maar we tonen wel aan de mogelijkheid aanwezig is. Het rechtstreeks opvragen van allerlei informatie uit de achterliggende database is ons meerdere malen gelukt.

history repeatingBij het ontsluiten van webapplicaties wordt er bij de ontwik-keling steeds meer aandacht besteed aan de risico’s en bevei-ligingseisen. Over het algemeen wordt niet alleen vertrouwd op de applicatie zelf, maar zijn er additionele beveiligingsmaat-regelen genomen op de webserver zelf en wordt er gebruik gemaakt van applicatiefirewalls. Bij het ontsluiten van de webservices zien we vaak dat er op applicatieniveau minder beveiligingsmaatregelen zijn genomen. Additionele beveili-gingsmaatregelen op de webserver ontbreken vaak in zijn geheel, evenals de bescherming door een applicatiefirewall. Dit komt overeen met de in het verleden gemaakte fouten die we zagen bij webapplicaties die via het internet werden aangeboden.

DE HACK


Waarom heb je je als jurist gespecialiseerd in ICT?Tijdens mijn studie informatica (1993-1999) raakte ik geïnteresseerd in de relatie tussen internet en recht. Ik beheerde o.a. een FAQ over PGP, encryptiesoftware waar allerlei juridische problemen aan kleefden. De computerstudentenvereniging waar ik toen voorzitter van was, kreeg eerst te maken met auteursrechten en Scientology en daarna met aanbieden van het Anarchist Cookbook. Ik ben daar toen met twee medestudenten dieper ingedoken want we wilden uitzoeken hoe dat juridisch zat. In december 2001 be-gon ik de site Iusmentis.com. met uitleg over intellectueel eigendom. Van de oorspronke-lijke twaalf artikelen is de site ondertussen gegroeid naar meer dan 350 in het Neder-lands en Engels. Het begon als hobby, mijn opgedane kennis over het onderwerp delen. Ik vind dat kennis over IT en recht breed beschikbaar moet zijn, en via deze site kan ik dat uiten. In 2008 maakte ik van deze hobby mijn werk door partner te worden bij juridisch adviesbureau ICTRecht.nl.

Wat is de gemiddelde kennis van juristen over IT?IT is echt een specialisme, net zoals huur-recht, arbeidsrecht of faillissementsrecht. Het is dus niet gek dat niet iedere jurist daar verstand van heeft. Jammer vind ik wel dat veel advocaten claimen het te kunnen maar in de praktijk maar bar weinig verstand van zaken hebben. Dat is onnodig werk voor iedereen en een hoop verspild geld.

en van rechters?Veel mensen geven af op rechters die “niets van IT” weten. Ik vind dat onzin. Rechters zijn er om recht te spreken, niet om te weten hoe ze zerodayexploits in Acrobat kunnen ontdekken. Het is de taak van de partijen die voor de rechter staan om uit te leggen hoe het technisch zit, en op basis daarvan besluit de rechter wat rechtens is. Verder moet je niet vergeten dat rechters altijd met een con-creet geval zitten waar NU een knoop moet worden doorgehakt. Er is niet altijd tijd voor een elegante oplossing die voor de lange termijn werkt. In IT termen is de rechter de bugfixer die NU een systeem weer aan de gang moet krijgen, en niet de architect die versie 3.0 geheel van de grond af opnieuw gaat ontwerpen.

Welke juridische ICT problemen kom je het meest tegen?Ik krijg veel vragen over auteursrechten. Mensen weten niet wat er wel en niet mag van die wet, en ze staan elke keer versteld als ik aangeef wat er allemaal niet mag. Nee, je mag geen logo’s of foto’s op je Hyve plak-ken, software van internet plukken of teksten hergebruiken - tenzij je toestemming hebt. En als je de auteur niet kunt vinden, dan heb je pech. Bijzonder frustrerend. In de ‘harde’ IT gaat het vaak om downtime en storingen in software. Dat kan soms tot miljoenen euro’s schade lijden, en dat moet natuurlijk verhaald worden. Over smaad op forums en blogs krijg ik ook veel vragen. Daar is alleen heel weinig aan te doen, zulke scheldpartijen en geruzie zijn lastig te ontwarren en juridisch zijn het nauwelijks zinvolle zaken.

ICTRecht hanteert een keurmerk voor websites. Kun je daar wat meer over vertellen?Er is veel weten regelgeving voor bedrij-ven die elektronisch zakendoen. Zo moet je allerlei informatie over jezelf op je site zetten, bijvoorbeeld je KVK- en BTW-nummer *wacht tot lezer heeft vastgesteld of zijn bedrijf dat doet*. Ook moeten je alge-mene voorwaarden op een bepaalde manier worden aangeboden om rechtsgeldig van kracht te zijn als je klant iets koopt of een dienst afneemt. Webwinkels zijn verder nog gebonden aan wetgeving uit het consumen-tenrecht, zoals de Wet Koop op Afstand en de Wet Oneerlijke Handelspraktijken. Zo moet een webwinkel een uitprobeerrecht van zeven werkdagen geven, en mag een spelletjessite niet kinderen aanzetten om bij hun ouders te gaan zeuren om iets te kopen. Voor ons keurmerk controleren we sites in diverse branches op deze informatieplichten en andere relevante wetgeving. Als men voldoet, dan mag men ons logo voeren.

De komende Black Hat Sessions hebben als Thema Hacking the Cloud. Jij spreekt ook tijdens dit evenement. Kun je alvast een tipje van de sluier oplichten van de juridische voetangels en klemmen in “the Cloud” ?Ik noemde net al storingen en downtime, dat is natuurlijk bij de cloud een probleem net zoals bij ‘gewone’ websites. Maar ook heel belangrijk gaat faillissement worden: wat gebeurt er als je cloudapplicatieaanbieder failliet gaat en zijn hostingrekening niet meer betaalt? Daar sta je dan met je login voor documentbeheer, agenda of boekhoudpro-gramma dat ineens offline is.

Welke ontwikkelingen zie je op het gebied van IT en recht de komende jaren?Rond auteursrechten hebben we een paar stevige noten te kraken. Wat gaan we doen met de verspreiding van muziek, films en dergelijke via internet? Hoe gaan we dat legaliseren, en hoe leggen we dat de recht-hebbenden uit? Ook privacy moet zichzelf uitvinden. Het idee van volledige controle over je eigen informatie (zoals de privacywet nu nastreeft) werkt niet en kan niet meer werken. Daar moet een nieuwe aanpak voor komen, maar dat is wel een heel fundamen-teel probleem.

Arnoud EngelfrietHET INTERVIEW

Madison Gurkha Update interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld om zijn of haar visie te delen over dit steeds belangrijker wordende onderwerp. Ditmaal een interview met mr. ir. Arnoud Engelfriet, partner bij juridisch adviesbureau ICTRecht.


DE KLANT

In elke Madison Gurkha Update vragen wij een klant het spreekwoordelijke hemd van het lijf met betrekking tot zijn of haar relatie met ICT-beveiliging. Voor eenieder herkenbare verhalen uit de praktijk, uiteraard zo onherkenbaar mogelijk gebracht. Deze keer het woord aan de heer X van instelling Y.

In welke branche is uw organisatie actief?Logistiek en Transport.

Wat is uw functie?Information Security Officer.

Hoeveel mensen houden zich in uw orga-nisatie bezig met informatiebeveiliging?Er is geen specifieke security-organisatie. Per unit is er een aanspreekpunt die zich vaak in deeltijd hiermee bezighoudt. Bij elkaar opgeteld gaat het in totaal om ongeveer 7-8 personen, maar in feite hebben alle lijnmana-gers security als taak binnen hun functie.

Wat zijn de drie belangrijkste kwaliteiten waarover men moet beschikken om deze functie met succes te kunnen uitoefenen?Gevoel en inzicht in de business hebben.Redelijk inzicht in techniek en hype van reali-teit kunnen scheiden.Goed met mensen om kunnen gaan. Het is meer dan alleen het strak handhaven van beleid, je moet snappen wanneer je moet afwijken van het bestaande beleid omdat het in het belang van de business is. Information Security is er om de business te enablen en niet om de business tegen te gaan. Of zoals een Canadese professor het eens zei: “waarom zitten er remmen op een auto? Dat is niet om te stoppen, maar om harder te kunnen rijden.” Zo is het ook met Information

Security. Dat heb je niet om het bedrijf stil te zetten, maar om bepaalde risico’s die groot zijn te kunnen managen en op die manier meer mogelijkheden te hebben.

Wat vind u de leuke en wat de minder leuke kanten van uw functie?Leuke kanten: leuke dynamiek.Minder leuke kanten: dat je na een aantal jaren bij wisseling van het management hetzelfde verhaal steeds weer opnieuw moet vertellen. Hoewel je wel heel duidelijke voor-uitgang binnen het bedrijf merkt. Mensen worden zich meer bewust van informatie-beveiliging. Een aantal jaren geleden waren het virussen, hackers en whizzkids die een beetje speelden, maar inmiddels is het een ander spel geworden. Het is een serieuze misdaad geworden die ook om een serieuze aanpak vraagt.

Wat zijn in uw organisatie op dit moment de belangrijkste uitdagingen op het ge-bied van informatiebeveiliging?Een van de uitdagingen voor elk bedrijf is het omgaan met lekke software. Leveranciers van software maken hun software achteraf pas veiliger, door fouten achteraf te herstel-len en (d.m.v. het uitbrengen van updates en patches). Naarmate je eigen IT-omgeving ingewikkelder wordt, wordt ook de samen-hang tussen al die elementen groter en wordt het lastiger om bijvoorbeeld updates door te voeren. Je wordt afhankelijker van verschillende partijen die elk in een ander tempo ontwikkelen.

Welke maatregelen worden genomen om deze lekke software tegen te gaan?Alle trucs die we hebben (protocolfiltering etc.) worden daar waar nodig toegepast, waardoor een omgeving wordt gecreëerd waar een virus of worm niet dieper in de organisatie kan doordringen dan de plek waar het op dat moment zit. Ik zie het als een uitdaging om de organisatie dusdanig in te richten dat je eventuele problemen kunt inkapselen en daarmee beperken tot een bepaalde omgeving. Dit is lastig omdat omgevingen steeds complexer worden en de afhankelijkheid van softwareleveranciers en de onderlinge afhankelijkheid van hun software groter wordt.

Vervult u nog nevenfuncties op IT-beveili-gingsgebied buiten uw organisatie?Ik heb genoeg interessante nevenfuncties, onder andere de participatie in een aantal overleggen met andere grote bedrijven, over-

heids- en universitaire instellingen.

Welke ontwikkelingen vind je het meest bedreigend?Het meest bedreigende is vaak ook de groot-ste kans. Als het meest bedreigende zie ik het feit dat de muren van bedrijfsnetwerken gaan vallen. Dit heeft twee effecten: ener-zijds dat de bedrijfsnetwerken open worden en dat er allerlei apparaten binnenkomen die je niet meer onder controle hebt. Aan de an-dere kant heeft dat het effect dat allerlei data in SAAS-achtige toepassingen op het internet terecht komen bij partijen die soms niet eens onder dezelfde wetgeving vallen als wij en daardoor compleet buiten je invloedssfeer komen. Het is een uitdaging om als bedrijf over voldoende middelen en methoden te beschikken om controle te houden over al die situaties.

Hoe helpt MG het onder controle houden van deze risico’s?Door het regelmatig op vakkundige wijze testen van de systemen om te kijken of die nog steeds veilig zijn. En dat kunnen dan sy-stemen binnen onze invloedssfeer zijn, maar – met toestemming van de eigenaars – ook systemen buiten onze invloedssfeer.

madison gurkha voert per jaar

tientallen ict-beveiligingsaudits uit

voor uiteenlopende organisaties: van

verzekeraars tot banken, van pensi-

oenfondsen tot de overheid en van

technologiebedrijven tot internet-

winkels. al onze klanten hebben één

ding gemeen: ze nemen ict-beveili-

ging uitermate serieus. Zij weten als

geen ander hoe belangrijk het is om

zorgvuldig met kostbare en vertrou-

welijke gegevens om te gaan. Zij

laten hun technische ict-beveiligings-

risico’s daarom dus ook structureel

onderzoeken door madison gurkha.


In de rubriek “Het Verslag” laten wij u delen in onze ervaringen tijdens conferenties, seminars en trainingen. Deze keer doet Pieter de Boer verslag van zijn deelname aan de training Industrial Control Systems Cyber Security voor gevorderden in Idaho.

HET VERSLAG

testen te risicovolMadison Gurkha heeft klanten in allerlei sectoren, waaronder de industrie en nutsbe-drijven. Deze klanten hebben vaak naast het gebruikelijke kantoornetwerk een produc-tienetwerk waar kritieke pro-cesaansturing op plaatsvindt. Denk hierbij aan zaken als het besturen van waterpompen voor drinkwatervoorziening, het openen van kranen om chemi-caliën samen te laten komen, of het opschalen van stroomle-verantie door energiecentrales. Veelal kunnen slechts zeer beperkt beveiligingsonder-zoeken worden uitgevoerd op de procesnetwerken. Mocht er iets misgaan, dan kan dat immers verstrekkende gevolgen hebben. Het testen zelf is zo risicovol dat het in een aantal gevallen op de koop toegenomen wordt dat onbekende lekken blijven bestaan omdat ze niet getest kunnen worden. Het leek ons goed meer te leren over de specifieke bedrei-gingen voor procesnetwerken en mogelijk-heden om beveiliging hiervan te verbeteren. De training door INL bood deze mogelijkheid.

De groep van ongeveer dertig personen bestond uit security consultants zoals ik, werknemers van industriële- en nutsbedrijven en werknemers van bedrijven die industriële apparatuur maken. Het was een zeer gemengde club, waardoor er veel kennis en ervaring gedeeld kon worden.

red/Blue team exerciseDe training zelf duurde vijf dagen en bestond uit drie dagen instructie, het uitvoeren van een zogenaamde ‘red team/blue team exercise’ en een evaluatie daar-

van. De eerste drie dagen waren gevuld met uitleg over hoe procesnetwerken gebouwd worden, uit welke componenten ze bestaan en welke beveiligingsrisico’s specifiek gelden voor deze netwerken. Ook werd aandacht

besteed aan technieken en tools die aanval-lers en testers tot hun beschikking hebben om procesnetwerken aan te vallen.

De gehele donderdag stond in het teken van een `exercise’. De groep was eerder in de week opgesplitst in een blauw (verdedigend) team en een rood (aanvallend) team. Het blauwe team kreeg de verantwoordelijkheid om een simulatie van een bedrijfsnetwerk met daarin een chemische installatie in stand te houden en ervoor te zorgen dat de productie van een geheim chemisch product doorgang vond. Het rode team was zoge-naamd aangenomen door een concurrent van het bedrijf om enerzijds het recept van het product te achterhalen en anderzijds de productie te verstoren. Ik was ingedeeld in het rode team.

met adrenaline gevulde dagHet was een met adrenaline gevulde dag. Al snel had het rode team lekken gevonden in systemen van het blauwe team en probeerden we toegang te krijgen tot het netwerk. Doordat het blauwe team erg snel patches uitrolde en handmatig lekken dichtte, bleek het niet eenvoudig verder te komen. Uiteindelijk werd gedurende de dag op meerdere manieren toch

toegang verkregen en kon zelfs, (helaas) laat in de middag, het productieproces verstoord worden. Dit lukte doordat het systeem waar de aansturing van het chemische proces op plaatsvond overgenomen kon worden. Voor elke gelukte aanval kreeg het rode team punten; voor elke afgeslagen aanval of het dichten van lekken kreeg het blauwe team punten. Aan het eind van de dag had het rode team net wat minder punten dan het blauwe, waardoor het blauwe team officieel als winnaar uit de bus kwam.

Vrijdag volgde de evaluatie van de vorige dag. Het moment om lessen te leren voor

Industrial Control Systems Security Training

nog voordat de barre winter nederland binnentrok, mocht ik vorig jaar november op uitnodiging van het nicc (zie update 6) naar het koude idaho Falls afreizen. daar werd namelijk een training gegeven met de naam `industrial control systems cyber security advanced training’. deze training werd verzorgd door mensen van het idaho national Laboratory (inL), een overheidsinstelling waar veel onderzoek plaatsvindt, met name op nucleair gebied.


HET VERSLAG

redactieWalter BelgersTim HemelLaurens HoubenRemco HuismanFrans KolléeWard Wouts

HET COLOFON

Vormgeving & productieHannie van den Bergh / Studio-HB

Foto coverDigidaan

contactgegevensMadison Gurkha B.V.Postbus 22165600 CE EindhovenNederland

t +31 40 2377990F +31 40 2371699 e [email protected]

[email protected]

BezoekadresVestdijk 95611 CA EindhovenNederland

Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.

Als u op de hoogte wilt blijven van de laatste ontwikkelingen in de ICT-beveiligingswereld dan zijn beurzen en conferen-ties de ideale gelegenheid om uw kennis te verrijken en om contacten op te doen. Iedere Madison Gurkha Update presenteren wij in de agenda een lijst met interessante bijeenkomsten die de komende tijd zullen plaatsvinden.

DE AGENDA

27 april 2010 Black hat sessions Viiiede, nederlandhttp://madison-gurkha.comDeze achtste editie van de Black Hat Ses-sions wordt georganiseerd door Array Seminars en Madison Gurkha en staat in het teken van “Hacking the Cloud” De bijeenkomst wordt georganiseerd voor beheerders van systemen, netwerken en applicaties, security officers, interne auditors, het management en andere ge-interesseerden. Na dit seminar kunt u de kansen die Cloud Computing biedt beter afwegen tegen de risico’s. Het program-ma start om 9.30 uur en duurt tot 16.40 uur. Aansluitend wordt nog een borrel georganiseerd. Registratie is mogelijk vanaf 8.30 uur. Zie voor het uitgebreide programma het artikel Het Event elders in deze Update.

1 en 2 juli 2010hack in the Boxamsterdam, nederlandhttp://conference.hackinthebox.org/hitb-secconf2010ams/De grootste beveiligingsconferentie van Azië, Hack in the Box (HitB), komt volgend jaar voor het eerst naar Amsterdam. Hack in the Box begon in 2003 in Maleisië en vindt sinds 2007 ook elk jaar in Dubai plaats. Daarbij richt het zich voornamelijk op security professionals die technisch goed onderlegd zijn. De conferentie begint met een training van twee dagen, gevolgd door twee dagen met lezingen.

het dagelijkse leven en deze hopelijk later in de praktijk te brengen. Het gesimuleerde netwerk kende allerlei beveiligingsproblemen en manieren waarop aanvallers toegang konden krijgen tot het procesnetwerk. Helaas is dat de dagelijkse praktijk. Via problemen in websites of door het laten bezoeken van gevaarlijke PDF-bestanden we-ten aanvallers toegang te krijgen tot bedrijfsnetwerken. Door het ontbreken van patches kan vervolgens verder ingebroken worden op systemen. Wan-neer productienetwerken gekoppeld zijn aan kantoornetwerken, hetgeen steeds meer voorkomt, kunnen aanvallers daarna overgaan tot het aanvallen van het procesnetwerk. Het blauwe team merkte dat het niet eenvoudig is om een groot netwerk te overzien en duidelijk te krijgen welke beveiligingsproblemen op welke wijze opgelost kunnen worden. In de simulatie was, heel realistisch, ervoor gezorgd dat documentatie van het te beheren netwerk niet geheel overeen kwam met de werkelijkheid. Ook was er een managementteam aanwezig dat niet zonder goede reden toestemming gaf om systemen af te sluiten, patches uit te voeren of netwerkpoorten te sluiten. Al met al kwamen allerlei facet-ten van de dagelijkse praktijk terug in de simulatie.

Belangrijkste lessenVoor mij was de belangrijkste les dat procesnetwerken vaak erg statisch van karakter zijn. Ze zijn veelal jaren geleden gebouwd en worden daarna niet meer aangepast. Systemen die het proces aansturen zijn tegenwoordig vaak gebaseerd op Windows, waar door de jaren heen honderden beveiligingslek-ken in gevonden zijn, waarvan een groot

aantal ook via het netwerk te misbruiken zijn. Patches kunnen vaak niet uitgerold worden, al was het alleen maar omdat softwareleveranciers dan geen garantie meer kunnen of willen geven op de correcte werking van de systemen. Verder wordt er veel gebruik gemaakt van netwerkprotocollen die slechts zeer beperkt of helemaal geen beveiligings-mogelijkheden kennen. Een aanvaller die eenmaal toegang heeft gekregen tot het procesnetwerk kan door eenvoudigweg de juiste pakketten te sturen het proces ernstig (of juist subtiel) verstoren. Het gebruik van dit soort protocollen is logisch gezien de leeftijd ervan. De wereld is veranderd en de dreigingen ook, maar de techniek loopt vaak achter. In kantoornetwerken worden systemen om de paar jaar vervangen of opnieuw ingericht, waardoor veiligere systemen eenvoudig intrede kunnen doen. In procesnetwerken kan dit al gauw vijf tot tien keer zo lang duren.

Als ik iets van het geleerde aan u zou door moeten geven, dan is het wel het belang van goede isolatie tussen syste-men en netwerken. Het beste is geen enkele communicatie tussen procesnet-werk en andere netwerken. Indien het dan toch echt nodig is, zorg ervoor dat een zo nauw mogelijk communicatieka-naal wordt gemaakt. Zelfs een uitgaande databaseverbinding vanuit het proce-snetwerk kan een aanvaller al de moge-lijkheid geven vanuit het kantoornetwerk het procesnetwerk op te komen. Het is dus zaak om de kanalen die er zijn goed te monitoren en de gebruikte software up-to-date te houden. Wees gerust creatief in uw oplossingen, en probeer er voor te zorgen dat uw leveranciers security net zo serieus nemen als uzelf.

Arnoud Engelfriet






update - secura.com het nieuws 3 wachtwoorden e-banking per sms google-hack schudt wereld wakker...

Documents