Post on 08-Jul-2015
1
Digitale beveiliging
Erik Poll
Digital Security groep
Radboud Universiteit Nijmegen
2
Overzicht
• Over ons
• Een paar onderwerpen uit ons onderzoek
• Practicum
3
Onze onderzoeksthema's
• digitale beveiliging
• intelligente systemen– kunnen computers ook intelligente taken?
• model-gestuurd systeemontwerp– beschrijven en analyseren van systemen,
om gewenste systeen
zonder fouten op te leveren
4
Digital Security groep
• Grootste onderzoeksgroep op gebied van computer security in Nederland
• We verzorgen een Master-specialisatie Computer Security
5
Digitale samenleving
• Steeds meer informatie en diensten digitaal en on-line– bijv. muziek, videos, email, sms, msn, internetbankieren,
electronische patientendossiers,....
• Dit heeft voordelen, maar heeft ook mogelijke nadelen...
6
Digitale beveiliging
• Hoe beveiligen we de toegang tot al deze digitale
gegevens en diensten?
– foutloos werken van software systemen sowieso al een
probleem, laat staan als hackers het proberen te verzieken...
– denk aan bestaande beveiligingsproblemen zoals
• spam, virussen, de noodzaak voor een maandelijkse
Windows update met een security patch, ...
– De enige manier om te kijken of beveiliging goed is:
probeer de beveiliging te breken...
7
Digitale beveiliging
• technische aspecten
– hoe maak je een goed beveiligd computersysteem?
• organisatorische & menselijke aspecten
– hoe gebruik je zo'n systeem op een veilige manier in bedrijf,
overheid, of als gebruiker thuis?
Grensvlak tussen deze twee is vaak de bron van veel
problemen!
8
Digitale beveiliging
• maatschappelijke aspecten– welke gegevens willen we voor wie beschikbaar hebben,
en op welke manier beschermen?– privacy
• wettelijke aspecten– wetgeving op gebied van computercriminaliteit– vervolging ervan computercriminalitiet
• digital forensics
We werken samen met rechtenfaculteit Tilburg ,TNO, en SIDN in het Privacy & Identity Lab
9
Wat voorbeelden van (gebrek aan)
digitale beveiliging
10
Computervirussen
11
Computervirussen
12
Stuxnet virus op nucleair systeem
13
Digitale muziek en video
• Hoe werkt kopieerbeveiliging?– oftewel Digital Right Management (DRM)
• voor muziek, video, maar ook voor ringtones– kranten zijn nu gratis, muziek is (bijna) gratis,
video straks ook??
14
Electronisch betalen
geldautomaten,
pinnen,
internetbankieren,
chipknip, ...
15
Klonen (skimmen) van magneetstrip-kaarten
16
Klonen (skimmen) van magneetstrip-kaarten
17
Mobiele telefoons
• Hoe weet de telefooncentrale dat jij belt?
– hoe werkt zo'n SIM kaart?
• Hoe voorkomen we computervirussen op je mobiele telefoon, die bijvoorbeeld SMS spam kunnen sturen?
• Binnenkort ook: betalen met
je mobieltje
18
ov chipkaart
• Hoe werkt dit?• Is dit veilig?
niet voor alleen voor de NS– geen gratis reizen
maar ook voor de gebruiker– mn privacy: weet de NS precies waar ik geweest bent?
19
De menselijke factor: bijv. phishing
To: [verwijderd]
From: Postbank <service@postbank.nl>
Subject: Belangrijke Postbank rekening informatie.
Beste Postbank Klant!
Als deel van onze vergaande verplichting om uw account te
beschermen en om fraude op onze website te verminderen,
ondernemen wij een kort onderzoek. U wordt gevraagd om
onze site te bezoeken door op onderstaande link te klikken. Na
verificatie wordt u naar de Postbank home pagina gestuurd.
Dank u.
https://www.p3.postbank.nl/sesam/SesamLoginServlet
20
Digitale paspoort
• Nieuwe paspoort bevat een chip met zgn. biometrische gegevens– nu enkel foto, in toekomst ook vingerafdruk
• is dit wel veilig ?• wat betekent "veilig" hier?
– paspoort niet te vervalsen– paspoort niet te klonen
maar ook
– gevoelige informatie niet
zomaar uit te lezen
21
Electronisch patiënten dossier
• electronisch patiënten dossier wordt nu ingevoerd • hoe controleren we toegang tot medische gegevens?• medisch personeel een pasje geven is
maar een klein deel vd oplossing!
22
Privacy
23
Privacy
• Bijvoorbeeld: – het gebruik van foto's en video's op internet, bijv op
youtube– de gegevens die allemaal van je bijhoudt– opslag van gegevens door je Internet Service Provider– ...
• Welke regels willen we hiervoor?• Hoe kunnen we dit soort regels garanderen of
afdwingen?
2424
Veel bedrijven houden
met opzet veel data bij...
25
Oeps
Sommige telco’s
gaven ‘per ongeluk ‘
lange tijd ook de
inhoud van alle
SMS berichten
door aan de AIVD…
25
26
Stemcomputers
• Hoe weten we zeker dat een stemcomputer eerlijk is?– is de software openbaar?
• Willen we wel stemmen met stemcomputers?– zoja, hoe?
27
Digitale beveiliging
Techniek altijd maar een deel van de oplossing!
• de menselijke factor
– social engineering: beveiliging breken door de zwakste schakel, de
menselijke gebruiker, te misleiden
• organisatorische factoren
– hoe is dit allemaal te regelen binnen een organisatie (bedrijf,
overheid) of bij de gebruiker thuis?
• recht: wetgeving op gebied van digitale criminaliteit
– snelgroeiende tak van misdaad: identiteitsdiefstal
• rechtsvervolging, incl. forensische mogelijkheden
• de maatschappelijke factor: welke informatie willen we
beschikbaar, al dan niet beveiligd?
28
Onderzoek naar digitale beveiliging
• bedenken van oplossingen, en proberen te breken
ervan!– hoe weten we zeker dat software op je bankpas foutloos is?
• je wilt geen virus op je bankpas!
– niet alleen oplossing op bankpas, maar ook: hoe gebruik je een
bankpas als onderdeel van een groter systeem?
• wat moet er eigenlijk beveiligd worden, en tegen wie?– bijv. kopieerbeveiliging dvd's vs vertrouwelijkheid medische
dossiers
• wat zijn de beperkingen en gevolgen van oplossingen,
bijv. voor privacy en anonimiteit?
29
Conclusie
• Met steeds meer informatie en diensten digitaal en on-line, wordt digitale beveiliging een steeds groter probleem
• Wat voor beveiling hebben we nodig?• Hoe realiseren we die beveiliging?• Is de beveiliging die we gebruiken betrouwbaar?