1

Digitale beveiliging

Erik Poll

Digital Security groep

Radboud Universiteit Nijmegen

2

Overzicht

• Over ons

• Een paar onderwerpen uit ons onderzoek

• Practicum

3

Onze onderzoeksthema's

• digitale beveiliging

• intelligente systemen– kunnen computers ook intelligente taken?

• model-gestuurd systeemontwerp– beschrijven en analyseren van systemen,

om gewenste systeen

zonder fouten op te leveren

4

Digital Security groep

• Grootste onderzoeksgroep op gebied van computer security in Nederland

• We verzorgen een Master-specialisatie Computer Security

5

Digitale samenleving

• Steeds meer informatie en diensten digitaal en on-line– bijv. muziek, videos, email, sms, msn, internetbankieren,

electronische patientendossiers,....

• Dit heeft voordelen, maar heeft ook mogelijke nadelen...

6

Digitale beveiliging

• Hoe beveiligen we de toegang tot al deze digitale

gegevens en diensten?

– foutloos werken van software systemen sowieso al een

probleem, laat staan als hackers het proberen te verzieken...

– denk aan bestaande beveiligingsproblemen zoals

• spam, virussen, de noodzaak voor een maandelijkse

Windows update met een security patch, ...

– De enige manier om te kijken of beveiliging goed is:

probeer de beveiliging te breken...

7

Digitale beveiliging

• technische aspecten

– hoe maak je een goed beveiligd computersysteem?

• organisatorische & menselijke aspecten

– hoe gebruik je zo'n systeem op een veilige manier in bedrijf,

overheid, of als gebruiker thuis?

Grensvlak tussen deze twee is vaak de bron van veel

problemen!

8

Digitale beveiliging

• maatschappelijke aspecten– welke gegevens willen we voor wie beschikbaar hebben,

en op welke manier beschermen?– privacy

• wettelijke aspecten– wetgeving op gebied van computercriminaliteit– vervolging ervan computercriminalitiet

• digital forensics

We werken samen met rechtenfaculteit Tilburg ,TNO, en SIDN in het Privacy & Identity Lab

9

Wat voorbeelden van (gebrek aan)

digitale beveiliging

10

Computervirussen

11

Computervirussen

12

Stuxnet virus op nucleair systeem

13

Digitale muziek en video

• Hoe werkt kopieerbeveiliging?– oftewel Digital Right Management (DRM)

• voor muziek, video, maar ook voor ringtones– kranten zijn nu gratis, muziek is (bijna) gratis,

video straks ook??

14

Electronisch betalen

geldautomaten,

pinnen,

internetbankieren,

chipknip, ...

15

Klonen (skimmen) van magneetstrip-kaarten

16

Klonen (skimmen) van magneetstrip-kaarten

17

Mobiele telefoons

• Hoe weet de telefooncentrale dat jij belt?

– hoe werkt zo'n SIM kaart?

• Hoe voorkomen we computervirussen op je mobiele telefoon, die bijvoorbeeld SMS spam kunnen sturen?

• Binnenkort ook: betalen met

je mobieltje

18

ov chipkaart

• Hoe werkt dit?• Is dit veilig?

niet voor alleen voor de NS– geen gratis reizen

maar ook voor de gebruiker– mn privacy: weet de NS precies waar ik geweest bent?

19

De menselijke factor: bijv. phishing

To: [verwijderd]

From: Postbank <service@postbank.nl>

Subject: Belangrijke Postbank rekening informatie.

Beste Postbank Klant!

Als deel van onze vergaande verplichting om uw account te

beschermen en om fraude op onze website te verminderen,

ondernemen wij een kort onderzoek. U wordt gevraagd om

onze site te bezoeken door op onderstaande link te klikken. Na

verificatie wordt u naar de Postbank home pagina gestuurd.

Dank u.

https://www.p3.postbank.nl/sesam/SesamLoginServlet

20

Digitale paspoort

• Nieuwe paspoort bevat een chip met zgn. biometrische gegevens– nu enkel foto, in toekomst ook vingerafdruk

• is dit wel veilig ?• wat betekent "veilig" hier?

– paspoort niet te vervalsen– paspoort niet te klonen

maar ook

– gevoelige informatie niet

zomaar uit te lezen

21

Electronisch patiënten dossier

• electronisch patiënten dossier wordt nu ingevoerd • hoe controleren we toegang tot medische gegevens?• medisch personeel een pasje geven is

maar een klein deel vd oplossing!

22

Privacy

23

Privacy

• Bijvoorbeeld: – het gebruik van foto's en video's op internet, bijv op

youtube– de gegevens die allemaal van je bijhoudt– opslag van gegevens door je Internet Service Provider– ...

• Welke regels willen we hiervoor?• Hoe kunnen we dit soort regels garanderen of

afdwingen?

2424

Veel bedrijven houden

met opzet veel data bij...

25

Oeps

Sommige telco’s

gaven ‘per ongeluk ‘

lange tijd ook de

inhoud van alle

SMS berichten

door aan de AIVD…

25

26

Stemcomputers

• Hoe weten we zeker dat een stemcomputer eerlijk is?– is de software openbaar?

• Willen we wel stemmen met stemcomputers?– zoja, hoe?

27

Digitale beveiliging

Techniek altijd maar een deel van de oplossing!

• de menselijke factor

– social engineering: beveiliging breken door de zwakste schakel, de

menselijke gebruiker, te misleiden

• organisatorische factoren

– hoe is dit allemaal te regelen binnen een organisatie (bedrijf,

overheid) of bij de gebruiker thuis?

• recht: wetgeving op gebied van digitale criminaliteit

– snelgroeiende tak van misdaad: identiteitsdiefstal

• rechtsvervolging, incl. forensische mogelijkheden

• de maatschappelijke factor: welke informatie willen we

beschikbaar, al dan niet beveiligd?

28

Onderzoek naar digitale beveiliging

• bedenken van oplossingen, en proberen te breken

ervan!– hoe weten we zeker dat software op je bankpas foutloos is?

• je wilt geen virus op je bankpas!

– niet alleen oplossing op bankpas, maar ook: hoe gebruik je een

bankpas als onderdeel van een groter systeem?

• wat moet er eigenlijk beveiligd worden, en tegen wie?– bijv. kopieerbeveiliging dvd's vs vertrouwelijkheid medische

dossiers

• wat zijn de beperkingen en gevolgen van oplossingen,

bijv. voor privacy en anonimiteit?

29

Conclusie

• Met steeds meer informatie en diensten digitaal en on-line, wordt digitale beveiliging een steeds groter probleem

• Wat voor beveiling hebben we nodig?• Hoe realiseren we die beveiliging?• Is de beveiliging die we gebruiken betrouwbaar?