Madison Gurkha Update 21

Your Security is Our Business
21
mei 2014
u p d a t e
DE COLUMN 2
HET NIEUWS
3
HET INTERVIEW
4
DE KLANT
7
DE HACK
8
Walter Belgers
• Migratie van IPv4 naar IPv6
• NLUUG voorjaarsconferentie
• Voor de tweede keer is opgeven geen
optie voor Remco Huisman
Interview met Marietje Schaake,
Europarlementariër voor D66
8 vragen aan Lennaert van der Hoeven,
partner bij Bridgevest
Aanvallen met een Advanced Persistent
Threat door Daniël Dragicˇ evic´
HET EVENT
10
HET INZICHT EXTRA
12
ITSX
14
HET INZICHT
16
Black Hat Sessions Part XII:
Inlichtingendiensten, Spionage en Privacy Remco Huisman over Red Teaming
• Marcus Bakker over de Heartbleed bug
• Verslag van het Founders Kite Club event
door Ralph Moonen
Matthijs Koot over de vervagende grens
tussen inlichtingen en opsporing
agenda19
HET COLOFON
i
T
S
X
19
Nog een paar weken en dan gaat
de Black Hat Sessions Part XII van
start! Zie pagina 10 voor het spannende
programma en de relatiekortingscode
In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende
onderwerpen rondom IT-beveiliging. Deze keer Walter Belgers over het post-Snowden tijdperk.
de column
Snowden
Heb ik uw aandacht, of bent u al een beetje Snowdenmoe? Het feit dat er op grote schaal gespioneerd wordt,
houdt de gemoederen nog steeds bezig. Het is ook een
enge gedachte dat als je allerlei hardware en software
in huis haalt, je eigenlijk niet meer goed kunt zien of die
wel te vertrouwen is. De NSA onderschepte bijvoorbeeld
routers die per post verstuurd werden en bouwde er een
achterdeurtje in.
Wie had dat verwacht? Eigenlijk iedereen die er eens goed
voor gaat zitten en nadenkt over waar de zwakke plekken
zitten. Die kunnen zitten in de corporate webserver, in
die vriendelijke receptioniste die gasten ontvangt, in de
medewerker die op een link in een mailtje klikt, of in de
routers die in het buitenland worden besteld en per post
worden afgeleverd.
Beveiliging is zo sterk als de zwakste schakel en eigenlijk
zou je dus holistisch naar de beveiliging van je kroonjuwelen moeten kijken. (Weet u trouwens wel wat uw
kroonjuwelen zijn, en waar die zich in uw netwerk bevinden? Maar dat is iets voor een andere column.) Veel van
onze klanten hebben ook een holistische blik: we bekijken
voor ze hoe het met de beveiliging van bepaalde websites
is gesteld, of we via het WiFi-netwerk toegang kunnen
krijgen of via ‘social engineering’ – het aanvallen van de
mens in plaats van de machine – en we kijken wat we zoal
aantreffen als we eenmaal op hun interne netwerk zitten.
Dat gebeurt vaak als losse opdrachten, waarbij je uiteindelijk een goed totaalbeeld krijgt. Een aanvaller gaat echter
anders te werk: als die ziet dat er bijvoorbeeld op de
website weinig is te halen, zal hij zijn zinnen snel op iets
anders zetten, zoals bijvoorbeeld een social engineering
aanval. Zo’n soort aanpak levert Madison Gurkha ook,
onder de naam Red Teaming. Hoewel het een modewoord
is, is de aanpak een prima manier om snel zicht te krijgen
op de belangrijkste zwakheden in de beveiliging. Het blijft
echter zaak om alle systemen te blijven controleren op
beveiliging. Meer over de Red Teaming dienst leest u
verderop in deze Update.
Het nieuws dat er op grote schaal informatie wordt
verzameld en geanalyseerd, houdt de gemoederen zoals
gezegd veel bezig. Er is een grote asymmetrie: overheden hebben de beschikking over veel gegevens van haar
onderdanen, maar andersom is dat niet het geval. Als
je zuinig bent op je eigen gegevens, krijg je het steeds
moeilijker. Kunnen we nog leven zonder GSM, zonder
OV-chipkaart, zonder auto met kentekenplaten, zonder betaalpasjes en zonder plekken te bezoeken waar camera’s
2
Madison Gurkha mei 2014
met gezichtsherkenning hangen, zonder Facebook? Dat
is vrijwel onmogelijk geworden en dat heeft vergaande
gevolgen voor onze privacy. Als je weet dat je in de gaten
wordt gehouden, heeft dat invloed op je gedrag. Dus zelfs
als de gegevens niet worden bekeken, heeft het verzamelen ervan al invloed op onze manier van leven en denken.
We vinden dit onderwerp, dat wil zeggen spionage, de
rol van inlichtingendiensten en de gevolgen voor onze
privacy, zodanig belangrijk dat we er dit jaar ons jaarlijks
congres, de Black Hat Sessions, aan wijden. Het is alweer
de twaalfde editie die we organiseren en we hebben
weer een mooie lijst aan sprekers weten te strikken. Ook
hierover leest u meer verderop in deze Update.
Nieuw is, dat we u tijdens de Black Hat Sessions de
gelegenheid geven om zelf een geavanceerde aanval uit te
voeren, zoals een inlichtingendienst dat zou kunnen doen.
Medewerkers van Madison Gurkha zullen de deelnemers
begeleiden in het programmeren van een ‘Teensy’, een
USB-apparaat dat zich kan voordoen als een toetsenbord en geheel autonoom, door toetsaanslagen naar de
computer door te sturen, een aanval uit kan voeren. Na
het volgen van de workshop heeft u dus een cyberwapen
in handen zoals een cybercrimineel of inlichtingendienst
zou kunnen maken. Wellicht vraagt u zich na afloop af wat
het verspreiden van zo’n apparaatje binnen uw organisatie
voor gevolgen zou hebben. Dat is ook precies wat we
willen propageren. Het is zoiets als wanneer u de voordeur
achter u in het slot gooit zonder een sleutel op zak te
hebben. U gaat dan als inbreker naar uw eigen huis kijken.
Het blijkt dan vaak redelijk eenvoudig om ‘in te breken’,
waarna natuurlijk onmiddellijk maatregelen worden genomen om de beveiligingsproblemen op te lossen. Als u met
eenzelfde kritische blik kijkt naar uw eigen IT-landschap,
vindt u wellicht al veel zaken waar eenvoudig (beveiligings)
winst is te halen. Ik wens u daarbij veel wijsheid toe!
Walter Belgers
Partner, Principal Security Consultant
In ‘Het Nieuws’ belichten we nieuwe ontwikkelingen in de IT-beveiligingswereld en rondom Madison Gurkha.
het NIEU W S
De wereld van open systemen en open standaarden
is heftig in beweging. De
IPv4
> IPv6
markt zoekt naar verbeteringen op het gebied van
opschaalbaarheid, virtualisatie en veiligheid. De
De migratie van IPv4 naar IPv6 zet gestaag door, en momenteel wordt
al 3% van de bezoeken aan Google-diensten via IPv6 gedaan. Vanuit
een beveiligingsperspectief is het uiteraard belangrijk dat IPv6 ook op
een goede manier is ingericht. Om dit effectief te kunnen testen hebben Madison Gurkha, Fox-IT, ITsec, Pine Digital Security en Riscure
in samenwerking met TNO gezamenlijk een IPv6-beveiligingstestplan
opgesteld. Ook het Ministerie van Economische Zaken heeft het
onderzoeksproject gesteund door middel van een subsidie. Lees het
volledige rapport op onze website.
NLUUG-voorjaarsconferen-
Tijdens de Black Hat Sessions op 17 juni a.s. verzorgt Sander Degen,
security consultant bij TNO ICT, een technische presentatie waarbij hij
op basis van het IPv6-beveiligingstestplan uitlegt wat er fout kan gaan
met IPv6, hoe dit misbruikt kan worden, maar uiteraard ook hoe de
problemen op te lossen zijn. Lees snel verder voor het volledige Black
Hat Sessions programma en de speciale kortingscode op pagina 10-11
van deze Update.
plaats op 15 mei a.s. in het
tie 2014 duikt dan ook in
onderwerpen als security
en configuration management. De conferentie vindt
Postillion hotel in Bunnik.
Bent u erbij? Wij ontmoeten
u graag op onze stand.
Voor de
tweede keer
is opgeven
geen optie
Geld inzamelen voor het KWF is onverminderd nodig.
Ook dit jaar zet Remco Huisman, partner van Madison Gurkha, zich sportief in voor dit goede doel! Op
5 juni doet hij voor de tweede keer mee met de Alpe
d’HuZes. Samen met “Team Boezem” gaat hij de
uitdaging aan om zoveel mogelijk geld in te zamelen
voor KWF kankerbestrijding. Die naam roept wellicht
bij sommigen wat vragen op. “De naam Team Boezem is afkomstig van de naam van de vriendengroep
uit mijn studietijd. Wij noemen elkaar nog steeds “De
Boezem”, naar het studentenhuis in De Boezemstraat
in Rotterdam-Crooswijk, waar het allemaal ooit begonnen is...”. Wil je Remco en het goede doel steunen?
Je kunt een vaste donatie doen, of een toezegging
per beklimming (reken op 6 keer). Elke donatie groot
of klein is zeer welkom! Doneren kan via: http://deelnemers.opgevenisgeenoptie.nl/acties/remcohuisman/
remco-huisman.
Madison Gurkha mei 2014
3
Deze keer een diepte-interview met Marietje Schaake, Europarlementariër voor D66,
in de ‘Alliance of Liberals and Democrats for Europe’ (ALDE).
het interview
“Terwijl
technologie
zich razendsnel
ontwikkelt,
blijven wet- en
regelgeving
achter”
Om relevant, slim beleid te maken, moeten politici meer weten over
technologie en mensen die zich met technologie bezig houden zouden
er goed aan doen te weten hoe wetten en regels hen raken. “Het
verbinden van politieke kringen en technologie-experts is een van mijn
doelen”, aldus Europarlementariër Marietje Schaake.
4
Madison Gurkha mei 2014
het interview
Wassenaar
Mede dankzij uw campagne “Stop Digitale Wapenhandel” staat “intrusion software” sinds december jl. op de
Wassenaar-lijst van export-controlled dual-use goederen.
Hierdoor kan intrusion software die niet vrij verkrijgbaar
is, niet meer vrij worden verhandeld naar, zeg, autoritaire
regimes. Was dit op voorhand een gewonnen race of is
er tegenstand geweest?
Bepaalde technologieën en systemen worden over de
hele wereld gebruikt om mensenrechten te schenden en
mensen te onderdrukken, maar zijn ook een bedreiging
voor onze eigen digitale infrastructuur. De maatregelen
om de export van dit soort technologie te controleren
waren zeker niet op voorhand een gelopen race; dat
is nog steeds niet zo. Na allerlei voorstellen en meer
bewustwording van de gevaren van het huidige vacuüm
in regelgeving, is er in de context van het Wassenaar
Arrangement een eerste stap gezet om de lijsten die
bijvoorbeeld worden gebruikt bij wapenembargo’s uit te
breiden met technologieën met een indringende impact.
De Lidstaten en de Europese Commissie hebben zeer
traag gehandeld, ook als reactie op eerdere voorstellen
van het Europees Parlement om de Europese exportcontrole op technologie effectiever te maken. Hopelijk zijn
ze daar nu wel toe bereid in de aankomende herziening
van de exportcontrolewetgeving.
U heeft opgemerkt dat het plaatsen van intrusion software op de Wassenaar-lijst een “eerste stap” is, maar
dat het taalgebruik nog niet voldoende precies is, ruimte
laat voor interpretatie1. Kunt u dit toelichten?
Onder veel technologie-experts leeft nog een trauma
van de ‘cryptowars’. We moeten natuurlijk altijd zorgen
dat we precies de juiste technologie en software controleren, en geen onbedoelde negatieve gevolgen veroorzaken voor de markt of voor ethische hackers. Door
te werken met licenties voor economische transacties
ontstaat meer transparantie, en kan per geval worden
beoordeeld of een deal (export) wel of niet kan plaatsvinden. Als liberaal vind ik dat we geen regels moeten
creëren waar ze niet nodig zijn, zeker niet als het gaat
om internet en technologie. Toch is de status quo niet
houdbaar. De Europese Unie verliest aan geloofwaardigheid wanneer we aan de ene kant oproepen om digitale
vrijheid, vrije meningsuiting, en toegang tot informatie
in een land te respecteren, maar de regering in kwestie
weet dat het technologie uit Europa gebruikt om haar
bevolking te onderdrukken. Daarnaast moeten we het
strategisch belang niet onderschatten, wil je landen die
op vijandige voet staan zonder enige controle, technologie leveren die tegen Europese bedrijven, overheden, journalisten of burgers kunnen worden ingezet.
Sommige technologiebedrijven gedragen zich als de
wapenhandelaars van het internettijdperk. Er is nog een
heleboel te doen voordat we van slimme, passende
wetgeving kunnen spreken.
Madison Gurkha mei 2014
5
Wat is de volgende stap, en hoe komen we daar?
De eerstvolgende stap is om de herziening van
de Wassenaar-lijst naar het Europees niveau te
brengen. Ook wordt een update van de dual-use
regelgeving op Europees niveau verwacht. Tegelijkertijd moeten we aan het werk om de definities
helder te krijgen en om te zorgen dat de wetgeving
als geheel effectiever werkt, bijvoorbeeld door
de fragmentatie van de controle aan te pakken.
Momenteel worden afspraken over export op
Europees niveau gemaakt, maar is de uitvoering en
controle in handen van lidstaten. Daardoor kunnen
verschillen ontstaan, en dat is niet goed voor een
gelijk speelveld en concurrentie in de Europese
interne markt. Bedrijven hebben behoefte aan duidelijkheid. De Europese Commissie komt binnenkort met een voorstel. Ik zal daar zeer kritisch naar
kijken en vanuit het Parlement blijven werken om
het exportcontrolebeleid als geheel meer coherent
en vooral relevant te maken.
Post-Snowden internet
Marietje Schaake
(@MarietjeSchaake) is Europarlementariër voor D66, in
de ‘Alliance of Liberals and
Democrats for Europe’ (ALDE).
Marietje is lid van de parlementaire commissie voor Buitenlandse Zaken, waar zij zich richt
op het EU nabuurschapsbeleid,
met een focus op Turkije en
Iran, en mensenrechten, in
het bijzonder de vrijheid van
meningsuiting en digitale- en
media vrijheid. In de commissie voor Cultuur en Onderwijs
werkt Marietje aan de Europese
Digitale Agenda en de rol van
cultuur en nieuwe media in de
externe relaties van de EU. In
de commissie voor Internationale Handel ligt de nadruk
in haar werk op diensten en
technologie, intellectueel eigen-
In januari is aangekondigd dat een commissie
onder voorzitterschap van de Zweedse minister van
BuZa twee jaar lang onderzoek gaat doen naar de
toekomst van het post-Snowden internet. U bent
één van de 25 panelleden die het onderzoek uitvoeren. Wat is het doel van dit onderzoek, en wat zijn
uw verwachtingen?
Het doel van deze Commissie is om voorstellen te
doen over de toekomst van internet governance.
De NSA-schandalen hebben het thema zichtbaarder
gemaakt, maar ook daarvoor werden vragen over
het bestuur van het internet steeds urgenter. Er
is bijvoorbeeld behoefte aan een nieuwe invulling
van het multi-stakeholder model, waarbij niet alleen
regeringen, maar ook bedrijven en maatschappelijke organisaties een rol spelen. Daartegenover
staan staten die juist zelf meer grip op internet willen afdwingen. Voor mij staat het behoud van een
vrij en open internet en de rechten van gebruikers
voorop. Ik hoop dat we een concretere invulling
kunnen geven aan hoe we transparantie, efficiëntie
en verantwoording binnen het multi-stakeholder
model kunnen vergroten. Ook is het essentieel dat
argumenten van nationale veiligheid niet misbruikt
worden om vrijheid en fundamentele rechten in te
perken.
domsrecht, de vrije doorstroom
van informatie, de trans-Atlantische handelsrelaties en de
relatie tussen handel en het EU
buitenland beleid.
1. http://www.marietjeschaake.
eu/2013/12/first-steps-towardscurbing-digital-arms-exportswelcome/
2. http://blog.cyberwar.nl/2014/03/
dutch-enkele-gedachten-bijongerichte.html
6
Madison Gurkha mei 2014
In het panel zitten ook zwaargewichten die bovengemiddeld gecharmeerd zijn van surveillance,
bijvoorbeeld het voormalige GCHQ-hoofd Sir David
Omand, en de voormalige minister van Homeland
Security en co-auteur van de Patriot Act Michael
Chertoff. Is de andere stem, zoals die van u, binnen
dat panel luid genoeg? Zal er eerlijk en kritisch
worden gekeken naar het ‘waarom’ van massasurveillance?
Juist in zo een gezelschap is een tegengeluid essentieel. Ik denk dat het belangrijk is om ook met
mensen waarmee ik het niet bij voorbaat eens ben,
in gesprek te gaan. Bovendien zal de commissie
worden ondersteund door een brede consultatie
in het maatschappelijk veld en de private sector.
Op die manier kunnen we een brede discussie
aangaan met verschillende groepen mensen over
het belang van digitale vrijheden, mijn primaire
aandachtspunt in deze discussie. Overigens moet
de eerste bijeenkomst van de Commissie nog
plaats vinden. Ik hoop daar antwoorden te krijgen
op de vele vragen die ik heb over het gezelschap
en de agenda.
Europa en Nederland
In Nederland is een debat gaande over vernieuwing
van de Wet op de inlichtingen- en veiligheidsdiensten uit 2002 (Wiv2002). Eén van de voorstellen is
de diensten de bevoegdheid te geven tot ongerichte interceptie van kabelgebonden communicatie2. Het Europees Parlement heeft in maart
een tekst aangenomen waarin de Nederlandse
regering wordt aangedrongen om “af te zien van
een zodanige uitbreiding van de bevoegdheden
van de inlichtingendiensten dat een ongerichte en
grootschalige surveillance van kabelgebonden communicatie van onschuldige burgers mogelijk zou
worden”. Waarom moet Nederland afzien van deze
uitbreiding? Is het niet mogelijk dat er overtuigende
argumenten zijn vóór uitbreiding?
De basis voor elke bevoegdheid van elke inlichtingendienst moet zijn dat die slechts wordt gebruikt
onder rechterlijke toetsing en met democratisch
toezicht. We zien nu dat bestaande bevoegdheden, zoals satellietinterceptie nog niet voldoende
gecontroleerd worden. Het is belangrijk dat we dat
eerst goed regelen, voordat we beginnen aan het
uitrollen van nieuwe bevoegdheden. Bovendien zijn
er vragen te stellen bij de noodzaak om zo breed
en ongebonden op de kabel communicatie van burgers te surveilleren. Bij elke maatregel moeten we
ons afvragen of we de open samenleving die we
willen beschermen daadwerkelijk verstevigen, of
dat we bezig zijn haar kernwaarden van binnenuit
uit te hollen onder het mom van nationale veiligheid
en anti-terrorisme.
Het Nederlandse parlement is traditioneel weinig
geïnteresseerd in inlichtingen- en veiligheidsdiensten. In Europa lijkt er meer te gebeuren: de LIBEcommissie. Hoe krijgen we dit onderwerp op de
agenda van de Nederlandse politiek?
Ten eerste is dit niet een typisch Nederlands
verschijnsel, in de meeste Europese lidstaten is de
interesse hierin niet erg groot. Alleen in Duitsland
wordt nu een parlementaire enquête gestart.
D66 wil dat dat ook in Nederland gebeurt, maar
daar was niet genoeg steun voor in de Tweede
Kamer. Toch zien we dat Europese burgers wel
degelijk maatregelen nemen, door bijvoorbeeld
over te stappen op niet-Amerikaanse clouds of
andere diensten. Amerikaanse bedrijven die zijn
geïmpliceerd in de NSA-schandalen nemen dit heel
serieus. Hier ligt misschien ook een rol voor het
Europese bedrijfsleven om dit punt hoger op de
politieke agenda te krijgen.
Tijdens de Black Hat Sessions Part XII op 17 juni
a.s. in Ede zal Marietje Schaake een keynote
lezing geven. Meer informatie over het congres
vindt u elders in deze Update.
In elke Madison Gurkha Update laten wij een klant aan het woord.
Dit keer een openhartig gesprek met Lennaert van der Hoeven van Bridgevest.
de klant
8 vragen aan ...
... Lennaert van der Hoeven, één van de vier partners
van Bridgevest.
1
Wat doet Bridgevest?
Bridgevest is een bureau dat zich richt op online communicatie
voor de financiële sector bestaande uit o.a. pensioenfondsen, verzekeraars, investment managers en retail banken. De
dienstverlening van Bridgevest is gebouwd op drie pijlers; 1
pensioencommunicatie, 2 software & solutions en 3 financial
marketing. Hierbinnen bieden wij het complete pakket: van
strategie tot development en creatie.
5
B-Lab is de development kweekvijver van Bridgevest. Kun je
daar wat meer over vertellen?
B-Lab is ontstaan als een label binnen Bridgevest, dat onze
developers koppelt aan interaction designers en creatieven.
Gezamenlijk vormen zij het hart van het projectteam wanneer
het aankomt op software & solutions projecten. Daarnaast
wordt het B-Lab ook vaak ingezet voor projecten in de andere
twee pijlers. Dit kan gaan om serious gaming projecten, maar
ook om zaken als online deelnemerportalen voor de pensioensector.
6
2
3
Hoe is de informatiebeveiliging opgezet binnen de organisatie?
In een organisatie als de onze is de tijd die je hebt voor de opzet van een informatiebeveiligingsbeleid altijd krap, de actuele
projecten voor klanten krijgen immers snel voorrang. Toch
beseffen wij ons als Bridgevest dat we op dit gebied grondig
te werk moeten gaan. Steeds meer van onze klanten krijgen
namelijk te maken met strengere eisen op het gebied van informatiebeveiliging en dit heeft gevolgen voor de gehele keten
van een dergelijke organisatie. Tijdens ons wekelijkse partneroverleg is dit onderwerp dan ook een vast agendapunt.
4
Bridgevest biedt haar klanten toegang tot diverse applicaties
via een SaaS-oplossing. Welke maatregelen worden genomen
om de IT-beveiligingsrisico’s onder controle te houden?
Binnen onze SaaS-applicatie genaamd OnTrack gaan deelnemers van pensioenfondsen aan de slag met hun pensioensituatie. Hiervoor maken we gebruik van data die wij van de
pensioenuitvoerder ontvangen en van data die door de deelnemer zelf worden opgevoerd. De opslag en de toegankelijkheid
van deze gegevens hebben dan ook onze constante aandacht.
We besteden veel aandacht aan versleuteling van data, het
voldoen aan eisen qua certificering van datacenters, maar ook
stellen we behoorlijke eisen aan het informeren en ‘informed
consent’ van de deelnemer zelf. De persoon moet goed weten
of hij gegevens wil bewaren en zo ja, welke.
Welke support biedt Bridgevest aan haar klanten met betrekking tot de IT-beveiliging van haar producten?
Naast onze SaaS-oplossing OnTrack bieden wij onze klanten
maatwerkoplossingen, waarbij volledig tegemoet gekomen
wordt aan de wensen van onze klanten en de eisen die aan
hen gesteld worden door hun security officers en ons B-Lab
team. In dergelijke trajecten zal er altijd in samenspraak met de
klant een risico-analyse plaatsvinden en zorgen wij voor een
geschikte oplossing.
Wat zijn de belangrijkste uitdagingen op het gebied van informatiebeveiliging?
De kaders die ons gesteld worden, zijn mede afhankelijk van
de toezichthouders van onze klanten. Een van de meest actuele
voorbeelden hiervan zijn de DigiD-audits. Onze klanten die als
inlogmechanisme gebruikmaken van DigiD, moeten elk jaar
een rapportage aan Logius opleveren. Uitdaging voor onze
klanten en in bepaalde mate ook voor ons zijn vooral de procedurele zaken binnen informatiebeveiliging. De technische zijde
is geen probleem, maar vanwege de korte doorlooptijd van
de projecten die wij opleveren is het belangrijk oog te houden
voor de procedurele kant.
7
Hoe ondersteunt Madison Gurkha en ITSX daarbij?
Uiteraard houden wij ons zeer goed op de hoogte van de eisen
die aan onze klanten gesteld worden op het gebied van informatiebeveiliging. Daarnaast zijn we sinds 2013 in contact met
Madison Gurkha en ITSX om niet alleen de periodieke technische en procedurele onderzoeken uit te voeren, maar tevens
vooruit te kijken naar eventuele risico’s en eisen die op ons af
kunnen komen. Om die reden organiseren wij nu al workshops
in samenwerking met Madison Gurkha en ITSX. En wij zouden
Bridgevest niet zijn wanneer we ook onze klanten hiervan mee
laten profiteren in speciale workshops gericht op hun sector.
8
Wat zijn uw ervaringen met Madison Gurkha en ITSX
Tot op heden zijn onze ervaringen zeer goed. Buiten de uiteraard zeer professionele aanpak van beide partijen, is ook
de onderlinge afstemming en communicatie zeer prettig en
vriendelijk. Tevens merken wij dat onze klanten en prospects bij
het horen van de naam Madison Gurkha onder de indruk zijn.
En dat is voor een online bureau als Bridgevest natuurlijk nooit
weg…
Madison Gurkha mei 2014
7
Elders in deze Update leest u wat Red Teaming inhoudt en welke factoren een rol spelen bij het succesvol uitvoeren ervan.
In deze rubriek laat Daniël Dragicˇevic´ zien hoe een dergelijke aanval is uitgevoerd.
de hack
Aanvallen met
een Advanced
Persistent Threat
Bij een Red Teaming opdracht
die Madison Gurkha onlangs
heeft uitgevoerd zijn
verschillende hacking en
social engineering technieken
toegepast om zo onopvallend
mogelijk tot een succesvolle
aanval te komen. Het doel
van deze aanval was het
binnendringen van en
langdurige toegang behouden
tot het interne netwerk van
een grote multinational.
Ik geef u hierbij graag een
uniek kijkje in onze keuken.
Uiteraard hebben we - omwille
van geheimhouding - de
uitgevoerde aanval in een
fictieve setting geplaatst.
8
Madison Gurkha mei 2014
Scenario
Het fictieve bedrijf ‘MG-Retail’ is een internationale retailer en handelt in kantoorartikelen.
Zij hebben ons de opdracht gegeven om te
onderzoeken of we langdurig toegang tot het
interne netwerk kunnen krijgen en het daarop
aanwezig SAP-systeem.
Voorbereiding
We starten ons onderzoek met het zoeken
in open bronnen (OSINT). Onderzoek in
open bronnen als Google, LinkedIn, Facebook, Twitter, de bedrijfswebsite en andere
branchewebsites leert ons dat MG-Retail een
groot bedrijf is en dat een aantal medewerkers van de afdeling inkoop enige tijd geleden
een beurs over maatschappelijk verantwoord
inkopen heeft bezocht. We besluiten om de
medewerkers een bedankje te sturen voor
het bezoeken van de beurs.
Toegang verkrijgen
We gebruiken voor de aanval een ‘Teensy’.
Dit is een stukje hardware dat kan worden
geprogrammeerd als USB-toetsenbord, muis,
en/of USB-opslagmedium. We zoeken op
internet naar een USB-gadget waarin we een
Teensy kunnen plaatsen. We gebruiken voor
deze aanval een USB-muis. We laten de chip
zich voordoen als USB-toetsenbord zodat
deze onze voorgeprogrammeerde toetsaanslagen naar de PC stuurt. In dit scenario
programmeren we de Teensy zodanig dat
wanneer deze wordt aangesloten, er een
URL geopend wordt waarop onze exploitcode wordt aangeboden. De URL is per muis
anders, zodat we weten welke muis exact is
gebruikt door welke gebruiker. De exploit-
de hack
code zal ons toegang geven tot het systeem
van het slachtoffer. De uitdaging is om de
Teensy in de USB-muis te bouwen zonder de
functies van de muis aan te tasten. Hiervoor
maken we gebruik van een kleine USB-hub.
Door de hub tussen de muis en de Teensy
te plaatsen, kunnen beide apparaten worden
gebruikt.
Exploitcode
Om onze aanval zo onopvallend mogelijk te
laten plaatsvinden, zullen we ervoor moeten
zorgen dat de exploitcode die we aanbieden
niet door een virusscanner wordt opgemerkt.
Om dit te bewerkstelligen passen we enkele
publiek bekende Java exploits aan. Het
aanpassen van deze exploits bestaat vooral
uit het weghalen van overbodige code. Naast
het aanpassen van de exploitcode, passen
we ook de metasploit-payload aan die ervoor
zorgt dat het geïnfecteerde systeem een
verbinding opzet naar onze server. We testen
de aangepaste exploit- en payloadcode tegen
lokale installaties van een aantal verschillende
antivirusproducten. Zodra blijkt dat onze code
op de testsystemen niet door virusscanners
gedetecteerd wordt en probleemloos wordt
uitgevoerd, kunnen we verdergaan met het
uitvoeren van de aanval.
Nadat we onze initiële toegang hebben verkregen, zorgen we ervoor dat we langdurige
toegang tot de omgeving behouden. Om dit
mogelijk te maken schrijven we een script
dat ervoor zorgt dat onze payloadcode, waarmee een verbinding naar onze server wordt
gemaakt, wordt uitgevoerd. Dit script wordt
opgeslagen in het profiel van de gebruiker en
zal worden gestart zodra de gebruiker inlogt
op zijn of haar systeem.
De aanval
Nu de afzonderlijke onderdelen zijn gemaakt
en getest, kunnen we een aantal pakketjes
samenstellen met daarin een geprepareerde
muis en een begeleidende brief waarin we
de medewerker bedanken voor zijn/haar
bezoek aan de beurs. Deze pakketjes sturen
we op naar de medewerkers die als doelwit
zijn aangemerkt.
Enkele dagen later zien we de eerste
verbindingen op onze server binnenkomen.
We hebben op dit moment toegang tot het
interne netwerk van het ‘MG-Retail’. De
vraag is nu, hebben we langdurige toegang
tot dit netwerk en zijn we gedetecteerd door
de klant? We maken een verbinding naar het
geïnfecteerde systeem en controleren of
ons ‘persistence’-script in het profiel van de
gebruiker is opgeslagen. Dit blijkt het geval te
zijn. Ook controleren we de logging van het
systeem en de beveiligingssoftware om te
achterhalen of onze aanval is gedetecteerd.
We zien dat onze aanval onopgemerkt is
gebleven.
Op zoek naar de kroonjuwelen
Nu we toegang hebben tot één van de
systemen in het interne netwerk, kunnen we
het interne netwerk in kaart gaan brengen.
We starten met het afluisteren van het
netwerkverkeer. Hieruit blijkt dat het netwerk
uit meerdere segmenten bestaat. Door het
uitvoeren van specifieke DNS-verzoeken en
specifieke (onopvallende) poortscans, brengen we het netwerk in kaart en concluderen
we dat een groot deel van de infrastructuur
bestaat uit gevirtualiseerde serversystemen.
Ook zien we dat de ESX-servers, waarop de
virtuele machines draaien, een kwetsbaarheid bevat. Door het uitbuiten van deze
kwetsbare ESX-server, krijgen we toegang
tot alle gevirtualiseerde systemen. Hieronder bevinden zich onder andere de Active
Directory-servers waarop alle gebruikersaccounts (inclusief wachtwoordhashes) staan
opgeslagen. Door de virtuele harde schijf
te kopiëren en de gebruikersdatabase te
exporteren, kunnen we ons voordoen als een
willekeurige gebruiker in de organisatie. Dit
geeft ons de mogelijkheid om ongemerkt op
zoek te gaan naar financiële, concurrentiegevoelige en andere interessante informatie in
het netwerk en de SAP-systemen.
Dit scenario laat zien hoe één handeling
van een eindgebruiker, het aansluiten van
een relatiegeschenk, kan leiden tot een
grootschalige hack op een organisatie en
het lekken van grote hoeveelheden gevoelige informatie, zonder dat iemand iets in
de gaten heeft.
1. https://www.pjrc.com/teensy/
Madison Gurkha mei 2014
9
Dit jaar organiseert Madison Gurkha alweer de twaalfde editie van de inmiddels befaamde Black Hat Sessions.
het event
17 juni 2014 | De Reehorst in Ede | Black Hat Sessions XII
Inlichtingendiensten,
Spionage en Privacy
Achter deze begrippen gaat een complexe wereld schuil. In een gevarieerd
dagprogramma zal op een aantal deelonderwerpen zowel verbreding als verdieping
worden gezocht, waaronder de technische aanpak van de detectie van aanvallen,
socio-technologische analyse van aanvalspaden, beweegredenen achter Chinese
spionage en het spanningsveld tussen overheid en individu op het gebied van
versleuteling en aftapbaarheid in het post-Snowden internet.
In één dag wordt u door inspirerende sprekers bijgepraat over
deze actuele thema’s en het is natuurlijk ook een uitgelezen
kans om met anderen van gedachten te wisselen over al deze
onderwerpen. Dit jaar hebben wij in het programma voldoende ruimte vrijgemaakt voor parallelle tracks zodat u ongeacht
uw technische achtergrond een interessant programma kunt
volgen. Een aantal lezingen en demonstraties zijn diep-technisch, terwijl andere juist interessant zijn voor leidinggevenden en/of beslissingsnemers. Zie ook het volledige programmaoverzicht hiernaast.
Keynotes
We hebben D66-Europarlementariër Marietje Schaake (zie
ook het uitgebreide interview elders in deze Update) en de
nieuwe directeur Cyber Security, Wilma van Dijk, van de Nationaal Coördinator Terrorismebestrijding en Veiligheid bereid
gevonden om tijdens de Black Hat Sessions Part XII een
keynote lezing te verzorgen. Beide prominenten zijn vanuit
hun positie nauw betrokken bij de thema’s en zij zullen u een
interessante kijk bieden op de materie.
Meld u aan als relatie van Madison Gurkha
Wij hopen dat u deze dag samen met ons wilt doorbrengen in
De Reehorst in Ede. Uiteraard geldt voor relaties van Madison
Gurkha een relatiekorting. Geef bij uw aanmelding via het
inschrijfformulier de code BHS14-MG op en de 10% korting
wordt direct verrekend. Wij vinden het leuk als u samen
met uw collega’s deelneemt aan de Black Hat Sessions. U
kunt dan gebruik maken van de extra geldende groepskorting van 10% bij 5 tot 10 deelnemers. Meldt u meer dan 10
deelnemers tegelijkertijd aan, dan profiteert u van 15% extra
groepskorting. Groepsaanmeldingen kunt u per e-mail aan
[email protected] versturen.
Zorg dat u erbij bent en meld u snel aan. Vul de code BHS14-MG in bij uw online
inschrijving en de 10% relatiekorting wordt direct verrekend!
Meer informatie over het congres en het inschrijfformulier vindt u op
www.blackhatsessions.com.
10
Madison Gurkha mei 2014
het event
NT
T
PROGRAMMA
Keynote
Marietje Schaake
Marietje Schaake is Europarlementariër voor D66, in
de ‘Alliance of Liberals and Democrats for Europe’
(ALDE). Marietje is onder andere lid van de parlementaire commissie voor Buitenlandse Zaken, waar
zij zich richt op het EU-nabuurschapsbeleid, met een
focus op Turkije en Iran, en mensenrechten, in het
bijzonder de vrijheid van meningsuiting en digitaleen mediavrijheid.
Keynote
Wilma van Dijk
Wilma van Dijk wordt met ingang van 1 juni 2014
benoemd tot directeur Cyber Security bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid
(NCTV). Binnen deze directie vallen de gecoördineerde beleidsinitiatieven op het gebied van cyber
security en de activiteiten van het Nationaal Cyber
Security Centrum (NCSC).
TREsPASS: een navigatiesysteem voor cyber attacks
NT
Wolter Pieters
Wolter is wetenschappelijk coördinator van het Europese project TREsPASS aan de Universiteit Twente, en
universitair docent op het gebied van cyber risk aan de
TU Delft. Hij studeerde in Twente informatica en filosofie van de techniek, en promoveerde bij Prof. Bart
Jacobs in Nijmegen op de risico’s van stemcomputers
en stemmen via Internet.
The new cyberweapons (presentatie in ENG)
T
Sandro Etalle
Sandro Etalle is CEO of SecurityMatters, full professor
and the head of the security group at the TU Eindhoven,
and full professor at the University of Twente. His interests include intrusion detection, security of industrial
control systems, trust management, access control and
policy compliance.
e volgende crypto-oorlog - hoe geheime diensten onze veiligheid
D
ondermijnen
NT
Ot van Daalen
Ot van Daalen is oprichter van advocatenkantoor Digital Defence dat zich specialiseert in security, privacy
en surveillance. Daarnaast is hij onderzoeker bij het
Instituut voor Informatierecht van de Universiteit van
Amsterdam. In 2009 heeft hij digitale burgerrechtenbeweging Bits of Freedom heropgericht.
niet-technisch
technisch
IRMA: Attribute-based Credentials (ABC) in de praktijk
T
Wouter Lueks
Wouter Lueks is promovendus aan de Radboud Universiteit Nijmegen en lid van het PI.lab. Onder leiding
van dr. Jaap-Henk Hoepman en prof. Bart Jacobs doet
hij onderzoek naar privacy enhancing technologies.
Voorafgaand aan zijn promotieonderzoek studeerde hij
wiskunde en informatica aan de Rijksuniversiteit Groningen.
Maar ik heb toch niets te verbergen?
NT
Arthur Donkers
Arthur Donkers is directeur en principal security consultant bij ITSX, dochterbedrijf van Madison Gurkha
dat zich richt op de ‘zachte’ kant van informatiebeveiliging. Arthur is een all round specialist die zowel op
technisch, als procesmatig en organisatorisch vlak alle
aspecten van informatiebeveiliging beheerst.
IPv6: de nieuwe aanvalsvector voor inlichtingendiensten en
cybercriminelen?
T
Sander Degen
Sander is sinds 2001 werkzaam bij TNO op het gebied
van informatiebeveiliging. Hij probeert organisaties
weerbaar(der) te maken tegen IT-gerelateerde dreigingen, gericht op onder andere techniek, processen,
beleid en beveiligingsbewustzijn. Eén van zijn persoonlijke interesses is de ontwikkeling van ‘vrijheid’ op het
internet.
China en cyberveiligheid NT
Frans-Paul van der Putten
Frans-Paul van der Putten is senior onderzoeker bij het
Nederlands Instituut voor Internationale Betrekkingen
Clingendael. Hij houdt zich bezig met diverse veiligheidsthema’s, met name in relatie tot de opkomst van
China als grote mogendheid, en de gevolgen daarvan
voor internationale verhoudingen en voor de internationale positie van Nederland en Europa.
Spies and secure boot (presentatie in NL)
T
Job de Haas
At Riscure, Job is the senior specialist on charge of
security testing of embedded devices for high-security
environments. He has experience evaluating the security of a wide range of embedded platforms, such
as IPTV decoders, satellite receivers, mobile phones,
smart meters and a variety of modems.
De workshop “Hacken met Teensy” die tijdens de Black Hat Sessions wordt georganiseerd zit helaas vol. Wilt u de workshop op
een ander moment volgen? Klik dan bij uw aanmelding op “Selecteer” in het inschrijfformulier, dan houden wij u op de hoogte.
sponsor s
ke nn i s pa rtner s
Platform voor
IT-professionals
Madison Gurkha mei 2014
11
In deze extra rubriek vertelt Remco Huisman, commercieel directeur bij Madison Gurkha, graag meer over het nut en de mogelijkheden
van Red Teaming.
H E T IN Z IC H T E XT RA
ed eaming ::
is uw organisatie
bestand tegen
gerichte aanvallen?
Criminelen, industriële spionnen of buitenlandse mogendheden hebben doorgaans
een heel specifiek doel dat ze langs de digitale weg willen bereiken. Ze houden zich
niet aan een vast testplan en een vastgelegde scope. Ze kondigen hun acties ook
niet van tevoren aan.
In het rapport “Internet Security Threat Report 2014”1 dat in april is
verschenen, maakt Symantec melding van een stijging van 91% van
de zogenaamde ‘spear phishing’ campagnes in 2013, naar 779 in totaal. Spear phishing attacks zijn gerichte digitale aanvallen die worden
uitgevoerd door bijvoorbeeld inlichtingendiensten van buitenlandse
mogendheden, criminele organisaties of concurrenten op zoek naar
voor hen interessante informatie. De inschatting van Symantec dat er
een kans is van circa 30% dat bedrijven het slachtoffer worden van
een dergelijke aanval, spreekt nog meer tot verbeelding.
Deze kansen zijn dusdanig groot dat elke organisatie zich zorgen zou
moeten maken over deze aanvallen en zich er beter tegen zou
moeten beschermen. Maar hoe doe je dat? Veel organisaties waar
Madison Gurkha zaken mee doet zijn serieus bezig met informatiebeveiliging en laten daarom ook regelmatig beveiligingstesten uitvoeren
op IT-infrastructuren en applicaties. Deze onderzoeken gaan meestal
uit van een bepaalde scope. Het gaat bijvoorbeeld om een onderzoek
van een website, een kwetsbaarhedenscan vanaf het internet, een
penetratietest vanaf het interne netwerk, een social-engineeringaanval of een test van het WiFi- netwerk. Het zijn stuk voor stuk nuttige onderzoeken om IT-beveiligingsrisico’s in kaart te brengen, maar
kennen toch beperkingen.
Red Teaming volgt feitelijk een zelfde werkwijze als criminelen dat
doen en geeft daarmee een beeld van de hele IT-beveiligingsketen.
Red Teaming is een techniek waarmee je ‘problemen’ bekijkt vanuit
een tegengesteld gezichtspunt. Dat gezichtspunt kan een aanvaller
12
Madison Gurkha mei 2014
zijn, een tegenstander of bijvoorbeeld een concurrent. Het hangt er
maar vanaf op welk ‘probleem’ of ‘situatie’ je Red Teaming toepast.
Vanuit een militair oogpunt onderzoekt leger A bijvoorbeeld hoe leger
B zou kunnen reageren op de aanval die leger A wellicht van plan is.
Een onderneming kan met behulp van Red Teaming onderzoeken hoe
concurrentie zal reageren op de introductie van een nieuw product of
dienst. Een bewakingsbedrijf kan via Red Teaming zwakheden zoeken
in de manier waarop ze haar geldtransporten heeft georganiseerd.
In het geval van Red Teaming op het gebied van informatiebeveiliging verplaatst Madison Gurkha zich in de gedachtenwereld van een
of meer tegenstanders van een organisatie en bedenkt manieren
om met behulp van hacking en social-engineering-technieken deze
doelen te bereiken.
Een Red Teaming onderzoek geeft u een integraal beeld van de mate
van bescherming van datgene dat van kritiek belang is voor een
organisatie. Daaruit zijn zeer waardevolle lessen te trekken. Lees
ook het artikel in de rubriek ‘De Hack’ elders in deze Update waarin
we u vertellen hoe een specifieke aanval tijdens een Red Teaming
onderzoek in zijn werk gaat.
Voor een succesvolle uitvoering van een Red Teaming onderzoek zijn
onder andere de volgende aspecten van belang.
1. h
ttp://www.symantec.com/content/en/us/enterprise/other_resources/bistr_main_report_v19_21291018.en-us.pdf
HET INZICHT EX T RA
4
Do
Weet wie je tegenstander is/tegenstanders zijn
Verschillende tegenstanders zullen waarschijnlijk verschillende
manieren gebruiken om een bepaald doel te bereiken. Soms zullen die doelen hetzelfde zijn en soms ook heel verschillend. Een
actiegroep zal het gemunt hebben op het - op wat voor manier dan
ook - ontregelen van de organisatie en het creëren van publiciteit,
terwijl de industriële spion op zoek is naar een specifieke blauwdruk (en toekomstige plannen).
4
4
Weet wat de kroonjuwelen zijn
Wat zijn nu precies de kroonjuwelen van de organisatie waar tegenstanders het op voorzien hebben? Is het één kroonjuweel of zijn
het er meer? Gaat het om intellectueel eigendom, de klanten/patiëntendatabase, toegang tot SCADA/EMS-systemen, de webshop?
Kies één tegenstander en één kroonjuweel voor een Red
Teaming opdracht
Om binnen een bepaald budget en bepaalde tijd een goede Red
Teaming opdracht uit te voeren is een zekere focus onontbeerlijk.
Soms is het mogelijk om met een onderzoek meerdere kroonjuwelen te bemachtigen, maar het verdient aanbeveling om één
bepaald doel te kiezen en de aanval daarop tot in de puntjes uit te
werken en uit te voeren.
4
4
Zorg voor draagvlak binnen het hoger management
Omdat een Red Team zich richt op de kroonjuwelen van een
organisatie, er aan een onderzoek altijd risico’s kleven en een groot
deel van de organisatie te maken kan krijgen met de aanval, is
draagvlak binnen het hoger management / directie een een must.
Het is verstandig om verder zo min mogelijk mensen in te lichten.
Leer van de uitkomsten en doe er wat mee
Dat klinkt triviaal, maar er zijn uit Red Teaming opdrachten doorgaans meerdere lessen te trekken, op meer dan één niveau binnen
een organisatie en zowel op menselijk, organisatorisch als technologisch vlak. Processen en procedures verdienen aandacht, het bewustzijn van (bepaalde) medewerkers, detectiemethoden voor bepaalde aanvallen en specifieke bescherming van de kroonjuwelen.
Een Red Teaming opdracht biedt vaak ook een prima gelegenheid
om de zogenaamde ‘Forensic Readiness’ te testen: Wat is er van
de aanval in logs van systemen terug te vinden? Zijn er wel logs en
hoe betrouwbaar zijn die? Is er een incident response plan? Als de
resultaten van een Red Teaming opdracht zijn gepresenteerd en
gerapporteerd, dan zit het werk van het Red Team erop, maar dan
begint het werk van de organisatie pas! Dat is over het algemeen
veel meer werk dan het Red Teaming onderzoek.
8
Don't
Je kunt jezelf niet Red Teamen
Zoals je jezelf niet onafhankelijk kunt testen, kun je
jezelf ook zeker niet Red Teamen. Voor een goed
Red Teaming onderzoek is een onafhankelijke
frisse blik nodig van een team dat is geoefend in
het denken buiten de kaders en beschikt over de
juiste hacking en social engineering technieken.
Een intern Red Team kan verder als nadeel hebben
dat er zelfcensuur kan worden toegepast: “Zal ik
deze vervelende uitkomst wel brengen, of kan ik
het maar beter wat verzachten”.
8
Pay peanuts, get monkeys
Zorg voor voldoende budget en dus tijd. Dat hoeft
niet zoveel budget/tijd te zijn als industriële spionnen of buitenlandse mogendheden ter beschikking hebben, maar wel voldoende om een echt
realistische aanval door professionals met ervaring
op te zetten.
8
Stel zo min mogelijk beperkende voorwaarden
aan het onderzoek
Je tegenstanders houden zich ook niet aan
bepaalde voorwaarden, dus geef het Red Team
zoveel mogelijk vrijheid. Madison Gurkha legt
zichzelf overigens wel een aantal beperkingen op.
Zo treden wij niet binnen in de persoonlijke levenssfeer van iemand, door bijvoorbeeld een privé-PC
of emailaccount van een medewerker te hacken.
Uiteraard zullen wij ook geen chantage toepassen
of geweld plegen en blijven wij binnen de kaders
van de Nederlandse wetgeving. Wel zullen wij
gebruik maken van de vrijheid die ons op basis van
een vrijwaring wordt geboden.
Door bovenstaande aspecten in ogenschouw te nemen, wordt
de kans op een succesvol Red Teaming onderzoek verhoogd.
Deze lijst is overigens zeker niet uitputtend.
Madison Gurkha mei 2014
13
In de ITSX-rubriek vertelt Marcus Bakker, IT security consultant bij ITSX, dit keer over de Heartbleed bug en
doet directeur Ralph Moonen verslag van het Founders Kite Club event.
ITSX
De Heartbleed bug
Afgelopen 7 april werd de Heartbleed bug publiekelijk bekend. Heartbleed is een zeer
ernstige zwakheid in OpenSSL die het mogelijk maakt om vertrouwelijke informatie van
een server of client uit te lezen. SSL is een protocol dat wij allen dagelijks gebruiken voor
het veilig versturen van informatie. Voor gebruikers is het vaak zichtbaar als het bekende
slotje in de browser.
Ontwikkelaars van softwareproducten
maken vaak gebruik van OpenSSL voor het
implementeren van het SSL-protocol in hun
producten. Aan het gebruik van OpenSSL
zijn geen kosten verbonden en het wordt
dan ook in veel software gebruikt. Een grote
meerderheid (naar schatting 60%) van de
webservers op het Internet maakt gebruik
van OpenSSL. Andere voorbeelden van
software die gebruik maakt van OpenSSL
zijn de VPN oplossing OpenVPN, het Android
besturingssysteem en de veel gebruikte mail
server Sendmail. Software van bijvoorbeeld
Microsoft maakt geen gebruik van OpenSSL
en is dan ook niet kwetsbaar voor Heartbleed.
Het is noodzakelijk
de huidige SSLcertificaten te laten
intrekken en nieuwe
certificaten aan te
vragen
14
Madison Gurkha mei 2014
Heartbleed is geen fout in het SSL-protocol,
maar in de implementatie van de ‘heartbeat’
functionaliteit. De bug is te vinden in versie
1.0.1 en hoger van OpenSSL, een versie die
reeds twee jaar beschikbaar is. Er wordt aangenomen dat de hacker community gedurende deze twee jaar geen weet had van deze
bug, tot de bekendmaking hiervan op 7 april.
Onbevestigde berichten uit de wereld van de
inlichtingendiensten melden echter dat onder
andere de Amerikaanse NSA hier al lang van
wist, en het lek ook al lang gebruikte.
Heartbleed stelt een kwaadwillende in staat
het geheugen (maximaal 64 KiloByte) uit
te lezen. Een simpele en leuke uitleg van
Heartbleed is beschreven in de volgende
XKCD strip: www.xkcd.com/1354/. De bug
is zo gemakkelijk te misbruiken, dat reeds na
enkele minuten na bekendwording kwaadwillenden massaal systemen op het internet
gingen aanvallen.
Kwaadaardige server
Naast servers zijn ook clients kwetsbaar.
Een kwaadaardige server kan ‘heartbeats’
naar clients versturen om blokken geheugen
van clientsoftware (zoals bijvoorbeeld een
browser of filesharing programma) uit te
lezen. Hierbij wordt dezelfde kwetsbaarheid
misbruikt. Dit wordt ook wel een ‘reverse
Heartbleed’ genoemd.
De uitgelezen informatie kan allerlei vertrouwelijke gegevens bevatten. Denk hierbij aan
gebruikersnamen, wachtwoorden, e-mails en
zelfs de privésleutel van een SSL-certificaat
kan hierin voorkomen. Wachtwoorden kunnen hierdoor bekend raken, en aanvallers
kunnen HTTPS-verkeer ontsleutelen of een
servercertificaat vervalsen.
Kwetsbare versies vinden
Ons advies is dan ook direct uit te zoeken
welke servers kwetsbaar zijn (omdat ze
OpenSSL v1.0.1 of hoger gebruiken) en
deze te voorzien van de nodige beveiligingsupdates. Denk hierbij dus niet alleen aan
webservers, maar ook aan mailservers die
met SSL zijn beveiligd, Secure File Transfer servers en appliances. Het zal voor de
meeste organisaties een grote uitdaging zijn
om alle kwetsbare versies van OpenSSL te
vinden, en soms is het niet eenvoudig om
deze te updaten.
Maar naast het updaten van de software
speelt natuurlijk ook het feit dat SSL-sleutels
van kwetsbare servers kunnen zijn gecompromitteerd. Als de privésleutels niet zijn
opgeslagen in een Hardware Security Module
(HSM) - een HSM beveiligt de sleutels zo-
IT SX
Founders Kite Club event
Netwerken op het strand
danig dat deze niet door Heartbleed kunnen
worden getroffen - is het noodzakelijk de
huidige SSL-certificaten te laten intrekken
en nieuwe certificaten aan te vragen. Bij de
meeste certificaatautoriteiten (CA’s) worden
hiervoor geen kosten in rekening gebracht.
Let daarbij op dat een nieuw sleutelpaar
(publieke- en privésleutel) dient te worden
gegenereerd.
Lekken van informatie
Daarnaast is het van belang om een inschatting te maken welke vertrouwelijke informatie, tussen de bekendmaking van Heartbleed
en het uitvoeren van de beveiligingsupdates,
heeft kunnen uitlekken. Kunnen er bijvoorbeeld wachtwoorden en gebruikersnamen
zijn uitgelekt? Adviseer dan alle gebruikers
zelf de wachtwoorden te laten wijzigen. Is
er een hoog risico bij het uitlekken van deze
wachtwoorden, dan kunnen extra maatregelen worden genomen, zoals het preventief
wijzigen van alle wachtwoorden zonder tussenkomst van de gebruiker.
De FoundersKiteClub (zie ook: founderskiteclub.com) is een club van kitesurfende ondernemers, variërend van
oprichters van investeringsfondsen tot
kleinere ondernemers zoals ikzelf. Een
aantal weken geleden reisde ik af naar
Tarifa in Spanje om deel te nemen aan
het FKC business networking event.
Want wat op de golfbaan kan, moet
natuurlijk ook op het strand, in de
wind en de golven kunnen!
Op het event waren naast de organisatie en een aantal professionele kitesurfers, ongeveer veertig ondernemers
aanwezig. Veel van hen zijn actief in
de tech-, internet- en mediasector.
Onder andere de oprichters van BWIN
en Xing.com waren van de partij.
Naast de clinics en shows door de
pro-kiters waaronder wereldkampioen
Ruben Lenten en de Engelse kampioen
Lewis Crathern, waren er ook voldoende gelegenheden en activiteiten
gepland om te kunnen netwerken en
je bedrijf te presenteren. Tijdens een
van de deze activiteiten heb ik een
demonstratie van WiFi en mobiele
beveiliging gegeven die erg goed werd
ontvangen. Er zaten diverse bedrijven
aan tafel die mobiele apps ontwikkelen dus dat sloot erg goed aan.
Met een hoop kite-skills, interessante
contacten en een nieuwe klantrelatie
rijker, kijk ik terug op een zeer nuttig
’zakenuitje’ dat voor herhaling vatbaar
is!
Ralph Moonen, directeur ITSX
Op het event
waren naast de
organisatie en een
aantal professionele
kitesurfers, ongeveer
veertig ondernemers
aanwezig.
Kortom, veel organisaties zullen voorlopig
nog handen vol werk hebben aan de nasleep
van deze pijnlijke kwetsbaarheid. Het is te
verwachten dat kwetsbare servers en applicaties nog jarenlang zullen bestaan omdat
veel organisaties niet zijn voorbereid op
dergelijke problemen. Welke certificaten worden waar gebruikt? Welke versies van welke
software zijn op welke server geïnstalleerd?
Zelfs in organisaties met een hoog volwassenheidsniveau zijn deze vragen vaak niet
eenvoudig te beantwoorden.
Er waren ook
voldoende
gelegenheden
en activiteiten
gepland om te
kunnen netwerken en je bedrijf
te presenteren.
i
T
S
X
Madison Gurkha mei 2014
15
In de rubriek “Het Inzicht” stellen wij bepaalde (technische) beveiligingsproblemen aan de orde.
Deze keer geeft Matthijs Koot meer inzicht in de wet op de inlichtingen- en veiligheidsdiensten.
het Inzicht
De verva
inlichti
De Wet op de inlichtingen- en
veiligheidsdiensten van 2002
(Wiv2002) regelt de bijzondere
bevoegdheden van de AIVD en
MIVD. Huidige bevoegdheden zijn
onder meer het binnendringen
in geautomatiseerd werk
(‘hacken’), gerichte interceptie
(‘aftappen’) en ongerichte
interceptie (‘sleepnettaps’).
Die laatste bevoegdheid is
alleen toegestaan op draadloze
communicatie: in praktijk gaat het
daarbij om satellietcommunicatie,
geïntercepteerd in Burum, en
hoogfrequent (militair) radioverkeer,
geïntercepteerd in Eibergen.
16
Madison Gurkha mei 2014
De Commissie van Toezicht betreffende
de Inlichtingen- en Veiligheidsdiensten
(CTIVD) houdt ex post toezicht op de
rechtmatigheid van de inzet van deze
bevoegdheden. Alleen indien een inzet
zowel noodzakelijk, proportioneel als subsidiair is, kwalificeert de CTIVD de inzet
als “rechtmatig”. Is de inzet noodzakelijk
in een democratische samenleving? Staat
de inbreuk die wordt gemaakt op grondrechten
(privacy) in verhouding tot het belang
van de verwachte opbrengst? Is er een
lichter middel waarmee hetzelfde doel had
kunnen worden bereikt? Deze afwegingen worden, als het goed is, natuurlijk
al gemaakt door de AIVD en de MIVD
voorafgaand aan de inzet, en verwoord in
het verzoek dat ze aan hun Minister sturen
voor toestemming om de bevoegdheid uit
te oefenen.
In december 2013 citeerde Nu.nl scheidend CTIVD-voorzitter Bert van Delden:
“De toezichthouder deed de afgelopen
tijd onderzoek naar de activiteiten van
de Nederlandse diensten. ‘NSA-achtige
praktijken’ kwam Van Delden daarbij niet
tegen. (...) De werkwijze van de Amerikanen is volgens hem niet vergelijkbaar met
die van de Nederlanders. Dat verschil is
niet alleen een kwestie van cultuur, maar
komt volgens hem ook door het ‘bijna
onbeperkte budget’ van de Amerikaanse
afluisterdienst NSA.”
het Inzicht
gende grens tussen
ngen en opsporing
Budgetgrootte
Geen ‘NSA-achtige praktijken’ door de
Nederlandse diensten, dus? Hierover
het volgende. Ten eerste is de notie van
‘budgetgrootte’ relatief. Gegevensverwerking wordt steeds goedkoper, en dus kun
je met gelijkblijvend budget steeds meer
doen. Het plaatje hieronder uit het AIVDjaarverslag over 2012 geeft de ontwikkeling van het budget weer: van 50 miljoen
euro in 2000 tot 200 miljoen euro in 2012;
en thans wat gecorrigeerd door bezuinigingen (als die gehandhaafd blijven).
ontwikkeling van de taken en het budget van de AIVD sinds 2000
250
Hack Diginotar
200
Taakstellingen Rutte I en II
ICT-intensiveringen
Basisvoorziening informatiebeveiliging Rijk (NBV)
150
Aanslagen Londen
Versterking informatiepositie AIVD
(pijler V - Balkenende IV)
Aanslag Van Gogh,
Aanslagen Madrid
Aanslag Fortuyn
100
Bestrijding radicalisering en terrorisme
Aanslagen VS
Bestuurlijke evaluatie AIVD (commissie-Havermans)
Stelsel bewaken en beveiligen (commissie-Van den Haak)
50
Wiv 2002: BVD wordt AIVD en overheveling
buitenlandtaak en NBV-taken van BZ naar AIVD
0
00
20
01
20
02
20
03
20
04
20
05
20
06
20
07
20
08
20
09
20
10
20
11
20
12
20
13
20
14
20
15
20
16
20
17
20
18
20
Van Delden werd in hetzelfde artikel nogmaals geciteerd: “Je moet niet bezuinigingen op onze veiligheidsdiensten, maar je
moet ze ook geen honderden miljoenen
geven, want dan gaan ze zulke dingen
doen”, waarschuwt de vertrekkende
CTIVD-voorzitter. Budgetgrootte als bepalende factor voor de interne cultuur, dus.
| |
Ten tweede is het begrip ‘NSA-achtige
praktijken’ natuurlijk vaag. De AIVD zal
behoeften en ambities hebben die vergelijkbaar zijn met die van de NSA: al was het
maar om quid pro quo te kunnen blijven
spelen met buitenlandse diensten. Zo blijkt
uit het boek The Snowden Files nogmaals
dat GCHQ zich zorgen maakt over de eigen
informatiepositie uit angst voor verlies
van het Britse lidmaatschap van de Five
Eyes community: de besloten kring waarin
Australië, Canada, Nieuw Zeeland, de
VS en het VK uitgebreid toegang hebben
tot elkaars informatie. Ze blijven daarom
zoeken naar verbetering en uitbreiding van
methoden voor digitale spionage onder
programma’s als Mastering The Internet en
Global Telecoms Exploitation. Zoals Constant Hijzen opmerkt over wat via Snowden is onthuld: “Dit is geen schandaal,
maar een praktijk die het gevolg is van de
recente technologisering en groei van het
inlichtingen- en veiligheidsapparaat.”
Ongerichte Interceptie
Bekend is dat GCHQ de AIVD in 2008 adviseerde over de juridische aspecten van
bulkinterceptie: “The Dutch have some
legislative issues that they need to work
through before their legal environment
would allow them to operate in the way
that GCHQ does. We are providing legal
advice on how we have tackled some of
these issues to Dutch lawyers.”
Uit deze woorden blijkt strikt genomen
niet dat de AIVD zou willen werken “in the
way that GCHQ does”. Dat blijkt echter wel
uit ARGO II, de supercomputer waarover
de MIVD+AIVD nu beschikken voor de
verwerking van grote hoeveelheden data,
naar verluidt geleverd door het Israëlische NICE Systems. Ook wordt in recente
jaarverslagen van de AIVD (2010, 2011,
2012) meer gesproken over “grootschalige
data-analyse”. Ook heeft de cie-Dessens,
die vorig jaar de Wiv2002 heeft geëvalueerd, aanbevolen om de bevoegdheid tot
ongerichte interceptie uit te breiden tot
kabelnetwerken. De cie adviseert dat telecomaanbieders en internetknooppunten
(AMS-IX?) op last van de minister verplicht
moeten kunnen worden de diensten toegang te verlenen tot hun netwerken.
De vraag die zich dan opdringt: wat weten
we over de rechtmatigheid van de inzet in
het afgelopen decennium van de huidige
bevoegdheid tot ongerichte interceptie?
Het antwoord is zorgwekkend: vanaf de
nulmeting van de CTIVD in 2008 (rapport
19) heeft de CTIVD zich onthouden van
een rechtmatigheidsoordeel, omdat zowel
de AIVD als de MIVD de inzet van die
bevoegdheid niet of nauwelijks motiveren.
Dit overigens in tegenstelling tot de inzet
van gerichte interceptie: vanaf de nulmeting in 2008 blijkt elk jaar dat de AIVD bij
de inzet van die bevoegdheid (vrijwel)
altijd “zorgvuldig” en “doordacht” te werk
gaat.
Madison Gurkha mei 2014
17
het Inzicht
Nietszeggende opmerkingen
Al vijf jaar (!) slagen de diensten er niet
in de motivering voor ongerichte interceptie op orde te krijgen. In reactie op
(onder meer) Kamervragen komt onze
regering vooralsnog niet verder dan de
nietszeggende opmerking “zijn en worden
maatregelen getroffen” (Plasterk, 16 dec
2013). Veronderstellend dat de diensten
te goeder trouw handelen, dringt zich zo
langzamerhand de vraag op of het misschien eenvoudigweg niet mogelijk is om
de manier waarop deze bevoegdheid tot
nu toe is ingezet overtuigend te motiveren
op een manier waaruit overtuigend blijkt
dat de inzet past binnen een democratie,
en niet in strijd is met, zeg, het EVRM. Hier
is parlementaire waakzaamheid geboden!
In het OPTIC NERVE programma heeft
GCHQ in zes maanden tijd webcambeelden verzameld van wereldwijd 1.8 miljoen
gebruikers van Yahoo webcam chat zonder dat die gebruikers ergens van werden
verdacht. GCHQ wil er nieuwe targets mee
Het gebruik van generieke identiteiten als
sleepnet zal in elk geval één van de onderdelen
van de nieuwe Wiv zijn die op gespannen voet
staat met democratische beginselen
18
Madison Gurkha mei 2014
ontdekken, en experimenteren met gezichtsherkenning om bestaande targets te
vinden in de gegevensstromen. Gaan de
Nederlandse diensten ook dit soort dingen
doen? Is dat noodzakelijk? Is het proportioneel? Is er een minder inbreukmakend
alternatief om het (overigens van GCHQ
niet bekende) doel te bereiken?
Gebrek aan informatie
Het ontbreekt aan informatie waarmee
de buitenstaander dat kan bepalen. Dat
bemoeilijkt een eerlijk debat --- de andere
kant van het verhaal, die van de diensten,
mist. Het ontbreken van informatie houdt
dystopische straw-man-argumenten
overeind: redeneringen van het type “ik
wil niet in een wereld leven waarin X”,
waarbij X gewoon simpelweg niet aan de
orde is, maar dat niet kenbaar is voor wie
het argument maakt. Het zou goed kunnen
zijn dat ongerichte kabelgebonden interceptie “onder de streep” volstrekt redelijk
en wenselijk is, gegeven de taakstellingen
van de diensten en de actuele situatie
in de wereld: dat uitbreiding van die
bevoegdheid aantoonbaar bijdraagt aan
de veiligheid van onze strijdkrachten in het
buitenland, aan het voorkomen van terroristische aanslagen in het binnenland, en
nimmer wordt gebruikt op een manier die
in strijd is met democratische beginselen.
Van de MIVD is echter bekend dat ze “generieke identiteiten” gebruikte om binnen
ongericht geïntercepteerde niet-kabelgebonden data nieuwe targets te ontdekken:
het verslag
Ag enda
In de Madison Gurkha Update presenteren wij een
lijst met interessante bijeenkomsten die de komende
tijd zullen plaatsvinden.
15 mei 2014
NLUUG Voorjaarsconferentie
een praktijk die de CTIVD niet rechtmatig
achtte, en vervolgens de facto adviseerde
te legaliseren. [De exacte bewoording van
de CTIVD luidde (.pdf): “De Commissie
geeft in overweging te bezien of het, met
inachtneming van de privacybescherming,
noodzakelijk is dat aan de MIVD (en de
AIVD) ruimere bevoegdheden worden
toegekend die beter aansluiten op deze
(gewenste) praktijk”).] Hoe sterk is onze
democratie op dat punt? Het gebruik van
generieke identiteiten als sleepnet zal in
elk geval één van de onderdelen van de
nieuwe Wiv zijn die op gespannen voet
staat met democratische beginselen. Het
hangt natuurlijk allemaal samen met wat
de samenleving van de diensten verwacht:
zie ook de betogen van Constant Hijzen
(@ConstantHijzen) in Buitenhof en allerlei
andere media.
Targets en non-targets
Voor het gericht monitoren van jihadistische fora hebben onze diensten geen
bevoegdheid tot ongerichte interceptie
nodig, daartoe volstaat de hackbevoegdheid (Artikel 24 WIV2002) in combinatie
met andere bestaande bevoegdheden.
Misschien zou de hackbevoegdheid een
nieuw juridisch jasje kunnen krijgen dat
beter rekening houdt met de aard van
systemen en infrastructuur die zowel door
(enkele) targets als (heel veel) non-targets
wordt gebruik. En waarin nader wordt geregeld wat onze diensten mogen doen met
gehackte systemen. Of de diensten Com-
puter Network Exploitation (CNE) mogen
bedrijven in de vorm van het achterlaten
van malware op computernetwerken, zoals de NSA al op > 50.000 netwerken heeft
gedaan en zoals bij Belgacom is aangetroffen. Of de diensten ongerichte Man-in-theMiddle-aanvallen mogen uitvoeren.
Iets dat juridisch mag (c.q. juridisch kan
worden rechtgepraat met taalspelletjes)
is niet automatisch moreel goed. De AIVD
moet vooral onderscheid maken tussen
targets en non-targets, ook al in de fase
van verzameling: het principe van discriminatie in de Just Intelligence Principles
van Ross Bellaby. Ook professor Bart
Jacobs, lid van de Cyber Security Raad,
roept daartoe op in zijn essay “Gerichtheid
moet in het DNA van inlichtingendiensten
zitten” (maart 2014). Hoe zit het, in het
licht van de opkomst van intelligencegestuurd politiewerk, eigenlijk met de
vervagende grens tussen inlichtingen en
opsporing, de scheiding die bewust na
WOII is ingevoerd en in Wiv2002 is vastgelegd (Art. 9)? Welke juridisch nét toegestane gegevensverzamelingen, -koppelingen
en -verrijkingen liggen in het verschiet,
indachtig het (destijds weliswaar ingetrokken) post-Madrid wetsvoorstel om de
diensten gegevens te kunnen laten vorderen bij private partijen? Vragen genoeg.
Postillion hotel, Bunnik
www.nluug.nl
De activiteiten van de NLUUG richten zich
op uitwisseling van informatie, het behartigen van belangen en ondersteuning
met betrekking tot open systemen, open
standaarden, netwerken en gebruikersinterfaces. Naast tutorials, technische en
productgerichte lezingen en exposities
bieden deze conferenties ruimschoots
de gelegenheid om in contact te komen
met medegebruikers, leveranciers en
onderzoekers.
17 mei 2014
Privacy Café
TkkrLab, Performance Factory
http://privacy-enschede.nl
Bij het Privacy Café leer je je persoonlijke
gegevens te beveiligen: email versleutelen
(PGP/GNUPG), anoniem browsen (TOR)
en chatten (OTR). Het Privacy Café is
onderdeel van het Privacy Event Enschede
waarmee organisator Dave Borghuis wil
laten zien welke bedreigingen er nu zijn
voor je eigen privacy maar ook wat je kunt
doen om deze toch te behouden.
3 en 4 juni 2014
‘International NCSC One
Conference’
World Forum, Den Haag
https://www.ncsc.nl/conference
In plenaire en parallelle tracks, zullen
vooraanstaande deskundigen en inspirerende sprekers een verscheidenheid aan
onderwerpen presenteren zoals malware
en monitoring maar ook minder technische
vakken, zoals organisatorische aspecten
van veiligheid en privacy, aspecten over
rechtshandhaving, de strategie en het beleid, en de publiek-private partnerschappen.
het colofon
Redactie
Daniël Dragicˇevic´
Laurens Houben
Remco Huisman
Matthijs Koot
Maayke van Remmen
Ward Wouts
Vormgeving & productie
Hannie van den Bergh /
Studio-HB
Foto cover
Digidaan
Contactgegevens
Madison Gurkha B.V.
Postbus 2216
5600 CE Eindhoven
Nederland
T +31 40 2377990
F +31 40 2371699
E [email protected]
Bezoekadres
Vestdijk 9
5611 CA Eindhoven
Nederland
Redactie
[email protected]
Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com.
Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.
Madison Gurkha mei 2014
19
Safe?
Goede IT-beveiliging is niet zo eenvoudig als vaak
wordt beweerd. Bovendien blijkt keer op keer dat
deze beveiliging van strategisch belang is voor
organisaties. Alle IT-beveiligingsrisico's moeten op
een acceptabel niveau worden gebracht en
gehouden. Professionele en gespecialiseerde hulp
is hierbij onmisbaar. Kies voor kwaliteit. Kies voor
de specialisten van Madison Gurkha.
Your Security is Our Business
tel: +31(0)40 237 79 90 - www.madison-gurkha.com - [email protected]