aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te...

20
I T S X DE COLUMN 2 Hans Van de Looy HET COLOFON 2 HET NIEUWS 3 • Programma vakbeurs Infosecurity.nl • Hands-on Hacking workshop • Wij zijn verhuisd HET INTERVIEW 4 Diepte-interview met Eric Luiijf, Principal Consultant bij TNO, over vitale infrastructuur HET VERSLAG 7 Black Hat Sessions Part XIII: Hoe veilig is (IT in) Nederland? HET INZICHT 10 Mandy van Oosterhout over Social Engineering DE KLANT 12 5 vragen aan bekend schrijver en columnist Arnon Grunberg DE HACK 14 Remco Sprooten over het misleiden c.q. ontduiken van virusdetectie ITSX 18 • Ivan Mercalina over de Baseline voor Informatiebeveiliging Waterschappen • Meer over Privacy, Governance & Risk Management UPDATE 25 Your Security is Our Business AUG 2015

Transcript of aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te...

Page 1: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

i T S X

DE COLUMN 2Hans Van de Looy

HET COLOFON 2

HET NIEUWS 3• Programma vakbeurs Infosecurity.nl• Hands-on Hacking workshop• Wij zijn verhuisd

HET INTErvIEW 4Diepte-interview met Eric Luiijf, Principal Consultant bij TNO, over vitale infrastructuur

HET vErSLag 7Black Hat Sessions Part XIII: Hoe veilig is (IT in) Nederland?

HET INzICHT 10Mandy van Oosterhout over Social Engineering

DE kLaNT 125 vragen aan bekend schrijver en columnist Arnon Grunberg

DE HaCk 14Remco Sprooten over het misleiden c.q. ontduiken van virusdetectie

ITSX 18• Ivan Mercalina over de Baseline voor

Informatiebeveiliging Waterschappen • Meer over Privacy, Governance &

Risk Management

u p d a t e25

Your Security is Our Business

aUg 2015

Page 2: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 20152

Niet direct een tijd om over het managen van je tijd na te denken, meer een tijd voor rust en mogelijk interne en externe reflectie. Maar ik loop vooruit op mijn verhaal. Vandaag werd ik er fijntjes op gewezen dat de deadline voor dit stukje was overschreden. Het werd dus hoog tijd om achter een blanco scherm te gaan zitten en een aantal gedachten in bit-reeksen om te zetten. Wellicht had een online test die ik recentelijk had ingevuld (http://programs.clearerthinking.org/how_rational_are_you_really_take_the_test.html) het toch niet helemaal bij het verkeerde eind. Zo zie je maar: je bent nooit te oud om te leren, en zo kom ik dan alsnog op de reflectie.

Aan het einde van 2000 ben ik samen met Guido van Rooij en Mark Huizer het bedrijf Madison Gurkha gestart. In de afgelopen vijftien jaar zijn we uitgegroeid van een paar nerds die hun kennis en kunde wilden inzetten om ICT-omgevingen veilig te maken en te houden naar een bedrijf van bijna veertig personen die hun passie voor informa-tiebeveiliging inzetten voor onze klanten. Het merendeel van de door ons uitgevoerde werkzaamheden bestaat uit kwetsbaarhedenscans en penetratietesten van veelal webomgevingen en -applicaties. Zo nu en dan wordt er een iets exotischer onderzoek van ons gevraagd en, heel eerlijk gezegd, zijn dit de echt interessante onderzoeken waar onze consultants naar uitkijken.

In een vorige column heb ik het uitgebreid gehad over security by design en het inschakelen van specialisten in een veel vroeger stadium van de ontwikkeling van een ICT-omgeving. Op dit moment kan ik meedelen dat een aantal van onze klanten hier ook werkelijk handen en voeten aan geven. In een aantal gevallen zelfs in een zogenaamde “agile”-omgeving. Ook werken een aantal organisaties nauwer met ons samen zodat ze een betere grip krijgen op de veiligheid van hun ICT-omgeving. Dit zijn natuurlijk aanzienlijk langdurigere projecten dan onze

normale onderzoeken, maar doordat informatiebeveiliging door de gehele organisatie gedragen wordt kan additio-nele dienstverlening ontwikkeld worden die eerder als te risicovol werd gezien.

Uit het bovenstaande mag blijken dat Madison Gurkha continu probeert mee te denken met onze klanten en prospects. In veel gevallen proberen wij nieuwe diensten te ontwikkelen en die aan te bieden aan de markt. Maar vandaag wil ik dit eens omdraaien. Ik wil u, de lezer, onze klant, de vragen stellen: Waar kan Madison Gurkha u mee helpen? Welke dienstverlening heeft uw organisatie de komende jaren nodig? Welke dienstverlening mist u (nog) bij Madison Gurkha? Samen met onze dochterorganisatie ITSX en onze partners, waaronder SIG, willen mijn col-lega’s en ik graag met u in gesprek komen hierover.

Ik wens u veel leesplezier met deze Update en natuurlijk een of meerdere weken om ook wat tijd door te brengen in een wat andere, wellicht minder hectische, omgeving waar u ook kunt reflecteren. En, wie weet spreek ik u dan na de vakantietijd om te horen aan welke beveiligings-dienstverlening uw organisatie behoefte heeft.

Hans Van de LooyPartner, Principal Security Consultant

DE COLUMN

Vakantietijd

In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer laten we Hans Van de Looy aan het woord.

RedactieDaniël DragicevicLaurens HoubenRemco HuismanMatthijs KootMaayke van RemmenWard Wouts

HET COLOFON

Vormgeving & productieHannie van den Bergh / Studio-HB

Foto coverDigidaan

ContactgegevensMadison Gurkha B.V.Postbus 22165600 CE EindhovenNederland

T +31 40 2377990F +31 40 2371699 E [email protected]

[email protected]

BezoekadresVestdijk 595611 CA EindhovenNederland

Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.

Page 3: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 2015 3

HET NIEUWS

In ‘Het Nieuws’ belichten we dit keer ontwikkelingen rondom Madison Gurkha en een aantal interessante bijeenkomsten die de komende tijd zullen plaatsvinden.

Wegens succes herhaaldHands-on Hacking workshop: From XSS to Domain AdminDe workshop die we tijdens de af-gelopen Black Hat Sessions hebben georganiseerd (zie ook Het Verslag in deze Update) is erg populair gebleken en zat binnen een mum van tijd vol. Gezien het grote animo en het beperkte aantal plaatsen, heeft niet iedereen de workshop kunnen volgen. Gelukkig heb-ben we de mogelijkheid gevonden om deze workshop nogmaals te organise-ren. Deze vindt plaats op 8 oktober a.s. in ons nieuwe kantoorpand.

De workshop wordt deze dag tweemaal aangeboden en per workshop is drie uur gereserveerd. De maximale groeps grootte is gereduceerd tot 15 personen (ben er dus snel bij!). Hierdoor is er voldoende ruimte voor discussie en het stellen van vragen. Voor meer informatie over de workshop en inschrijving zie de achterzijde van deze Update. Uiteraard kunnen wij ook een inter-actieve sessie op maat bij u op locatie organiseren. Als u hierin interesse heeft neem dan vrijblijvend contact met ons op via [email protected].

In de vorige Update heeft u kunnen lezen over onze verhuizing naar het nieuwe kantoorpand aan de Vestdijk 59. Inmiddels zijn alle dozen uitgepakt en zijn we helemaal gesetteld in ons nieuwe pand. We zijn erg blij met deze nieuwe, moderne werkomgeving met 700 m2 werkoppervlakte in het centrum van Eindhoven. Uiteraard mag ook in ons nieuwe kantoor de “Zen-ruimte” met flipperkast niet ontbreken.

Wij zijn verhuisd!H

al 2

/ Z

ibb

er

Programma Infosecurity.nlOp woensdag 4 en donderdag 5 november vindt de vakbeurs Infosecurity.nl plaats in de Jaarbeurs Utrecht. Ook dit jaar zijn Madison Gurkha en dochterbedrijf ITSX aanwezig. We ontmoeten u graag op onze stand C136. Daarnaast bent u van harte welkom om onze presentaties bij te wonen. Reserveer alvast de volgende momenten in uw agenda. Meer informatie volgt binnenkort.

• Wo4endo5nov-13.15-13.45uur Casestudy Madison Gurkha binnen het beursthema Cybersecurity

• Wo4endo5nov-11.45-12.15uur Casestudy ITSX binnen het beursthema Privacy, Governance & Risk Management

Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de IT-beveiliging van mobiele applicaties waarbij inzicht wordt gegeven in de OWASP Top 10 Mobile Risks.

• Wo4nov-14.00uur Technische track door Madison Gurkha over mobiele applicaties

Vanaf 1 september a.s. gaat de registratie voor bezoekers open. Toegang tot de beurs is gratis. Als u zich als bezoeker heeft geregistreerd kunt u zich via www.infosecurity.nl registreren voor deze en andere sessies. Let op: het aantal plaatsen is beperkt en een voorregistratie is geen garantie op een zitplaats. Ben er dus op tijd bij.

Graag tot ziens op 4 en 5 november 2015 in de Jaarbeurs Utrecht!

Page 4: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 20154

HET INTErvIEW

Madison Gurkha interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld om zijn of haar visie te delen. Dit keer een diepte-interview met Eric Luiijf, Principal Consultant bij TNO.

In het kielzog van de Black Hat Sessions leggen we ir. Eric Luiijf, Principal Consultant bij TNO Cyber Security & Resilience, enkele dieptevragen voor over vitale infrastructuur.

Les voor de toekomst

Page 5: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 2015 5

HET INTErvIEW

CVEric Luiijf is sinds 1976 werk-zaam bij het TNO, thans als principal consultant. Eric is een vooraanstaand deskundige op het gebied van veiligheid van vitale infrastructuur (en informatie-infrastructuur), en de militaire en civiele aspecten van cyberactivisme, -ter-rorisme en -conflicten. Eric ondersteunt de Nederlandse overheid en private partijen op de gebieden Cyber Operati-ons en Bescherming Vitale (Informatie) Infrastructuren. In 2002/2003 was Eric met zijn projectteam betrokken bij de beleidsvorming rondom de Nederlandse vitale infrastruc-tuur. Sindsdien onderzoekt hij in een reeks Europese projec-ten de bescherming van vitale (informatie)infrastructuren, onder andere tegen domino-uitval (ACIP, IRRIIS, EURAM, EURACOM, DIESIS, RECIPE, CIPRNet, PREDICT, INTACT en SEGRID).

Eric is auteur van vele we-tenschappelijke en populaire artikelen, boekhoofdstukken en rapporten over cyberterroris-me, C(I)IP, SCADA/ICS bevei-liging, information assurance en cyber operations. Hij wordt veelvuldig geïnterviewd door de media. Zie ook zijn publica-ties via sciencedirect.com.

EricLuiijfwaseenvandekeynote-sprekerstijdensdedertiendeeditievanonsjaar-lijksesecuritycongres“BlackHatSessions”dieop18junijl.plaatsvond.HetverslaghiervanvindtueldersindezeUpdate.

Nederland heeft ten behoeve van het in vertrouwelijke context delen van infor-matie sectorale ISACs, zoals voor energie, nucleair, drinkwater, haven en luchthaven. Amerika heeft dat ook, maar daarnaast ook een ‘horizontale’ ICS-ISAC die de ICS-beveiligings(deel)communities samen-brengt. Vindt in Nederland c.q. Europa ook samenwerking of overleg plaats tussen verschillende ICS-beveiligingscom-munities?Tijdens de ontwikkeling van de ISACs onder de nationale infrastructuur tegen cybercrime (NICC) en het latere CPNI.NL heeft, voordat de ISACs organisatorisch onder het Nationaal Cyber Security Centrum zijn komen te vallen, een thematische ISAC voor procescontrolesy-stemen (PCS) bestaan. Gedurende een aantal jaren zijn succesvolle themamiddagen gehou-den over bijvoorbeeld de impact van Stuxnet, hoe om te gaan met legacy, hoe krijg ik het management mee in investeringsbeslis-singen en dergelijke. Verder zijn vanuit deze thematische benadering bewustwordings-boekjes ontwikkeld in zowel het Engels als het Nederlands1 en zijn binnen het process control security roadmap initiatief verschillen-de producten voor de ICS-veiligheid in onze vitale infrastructuren ontwikkeld. Sinds 2008 bestaat binnen Europa de ‘European SCADA and Control Systems Information Exchange’ (EuroSCSIE) waarin Engeland, Zweden, Ne-derland en Zwitserland de drijvende krachten zijn. Verder houdt een thematische werk-groep van het European Reference Network for Critical Infrastructure Protection (ERNCIP) zich bezig met de veiligheid van procescon-trolesystemen en smart grids. Internationaal is er ook nog de ‘Meridian Process Control Security Information Exchange’ (MPCSIE) waar door overheden informatie over dit thema wordt gedeeld.

In de publicatie van jou en Te Paske2 bij de Global Conference on Cyberspace 2015 wordt gesteld dat in Qatar een nationale beveiligingsstandaard van toepassing is, die minimumeisen bevat waaraan ICS-

operators moeten voldoen. Kun je daar iets over zeggen? En: hebben we zoiets ook in Nederland?De wijze en mate waarop een overheid regels stelt aan bijvoorbeeld vitale infra-structuurbeheerders, is sterk afhankelijk van de nationale historie en cultuur. Daarnaast is een EU-land verplicht om een Europese Directive om te zetten in nationale wet- en regelgeving. In Europa en ook daarbuiten zijn er landen waar niets gebeurd als er geen wet is. In andere landen wordt regelgeving of een maatregel van bestuur door een ministerie of toezichthouder gebruikt om het gewenste doel te bereiken. In Nederland wordt vaak het poldermodel gebruikt, waarbij de overheid en politiek na ‘ongelukken’ altijd nog de kaart van wet- en regelgeving kan trekken (‘stick and carrot’). Daarnaast kan een Nederlandse Norm minimumeisen stellen. In Qatar heeft het Ministerie van ICT3 gemeend om zo’n nationale norm te stellen. Duitsland en Frank-rijk proberen via normen de fabrikanten en leveranciers van procescontrolesystemen te dwingen tot het leveren van veiliger produc-ten. Duitsland heeft daarnaast vrij recent cy-bersecurity wetgeving aangenomen waaraan nog aan te wijzen vitale infrastructuurbeheer-ders moeten voldoen. In Nederland hebben we geen nationale procescontrole security standaard. Wel zijn Nederlandse gebruikers en leveranciers van procescontrolesystemen samen actief in de WIB en internationale gremia bij de ontwikkeling van klassen van veiliger en certificeerbare producten voor industriële automatisering. Ook wordt hard getrokken aan de internationale ontwikkeling van een Workforce Development Framework dat moet leiden tot gecertificeerde profes-sionals.

De verdergaande Nederlandse implementatie van de Europese wetgeving tot het verplicht melden van de cybersecurity-incidenten kan gezien worden als een vangnet dat organi-saties dwingt om cybersecurity, zowel in het ICT- als ICS-domein, serieus te nemen. Zoals aangegeven in een paper van Allard Kern-

Page 6: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 20156

HET INTErvIEW

2012. Er bestaat nationaal dus nog een grote ICS-beveiligingsuitdaging.

TNO heeft in december 2014 een inven-tarisatie en verkennende studie gepu-bliceerd in het kader van een Nationale Weerbaarheidsmonitor, dat is gericht op het meten van weerbaarheid. De ‘voorra-den’ waarover wordt gesproken, moeten worden geoperationaliseerd via indicato-ren. Kan daarbij ook worden gedacht aan indicatoren die betrekking hebben op ICS- en/of ICT-beveiliging? Zo ja, kun je daar iets over zeggen?De TNO studie voor het WODC geeft een mogelijke structuur voor de Nationale Weer-baarheidsmonitor aan de hand van kapitalen/voorraden waarvan ‘infrastructureel kapitaal’ er één is. Daaronder vallen voorraden die bijdragen aan de weerbaarheid. Beveiliging kan daar een onderdeel van zijn. De gedachte daarachter is dat de stand van zaken betref-fende weerbaarheidsverhogende capacitei-ten (‘voorraden’) gemeten zouden kunnen worden aan de hand van nader uit te werken indicatoren. Daarin zou wellicht een indicator als ICS- of ICT-beveiliging een rol kunnen spelen, mits die meetbaar te maken is voor ons land. Weerbaarheid is internationaal een ‘hot topic’, maar blijkt nogal lastig te opera-tionaliseren te zijn. Dit is de reden waarom ook de EU een aantal onderzoeksvragen naar resilience in het Horizon 2020 programma opgenomen heeft.

Op welke manier(en) zou je ‘t liefst zien dat bedrijven zoals Madison Gurkha in het algemeen bijdragen aan versterking van ICS-veiligheid in Nederland? (En eventu-eel: hoe vooral niet?)Ik zie vier rollen:Vergroten van de bewustwording van organi-saties, o.a. door het houden van de Black Hat Sessions (BHS) en deze Update. Het helpen van jullie klantenkring om hun ICS veilig te houden, ook voor nieuwe dreigingen, waarbij naast de technische aspecten ook oog is voor de organisatorische aspecten van beveiliging waarvoor in de vaak nog onvolwassen ICS-beveiligingswereld onvoldoende aandacht is. Het bij elkaar brengen en elkaar leren begrij-pen van de ICT- en de ICS-werelden waar op het snijpunt de integrale beveiliging de dupe is als dat niet goed geregeld is. Het leveren van de juiste producten die de beveiliging

kunnen verbeteren, maar dan vanuit het perspectief dat technische beveiliging slechts een beperkte bijdrage levert om het risico in te perken. De menselijke en organisatorische factoren moeten niet vergeten worden.

Tijdens de BHS van 18 juni jl. zinspeelde je op de mogelijkheid dat de volgende grote IT-speler zomaar een fabrikant van TV’s of koelkasten kan zijn die met Internet of Things (IoT) aan de slag gaat. Is het niet hoog tijd voor wettelijke minimum-eisen aan zulke apparaten? Bijvoorbeeld ten aanzien van veilige defaults, veilige updatemechanismen, enz.; of dat de appa-raten bestand moeten zijn tegen bepaalde vormen van hacking en/of bepaald fail-safe gedrag vertonen?Ja. Vergelijkbaar met de EU richtlijn voor elektromagnetische compatibiliteit (EMC) zou in een norm of richtlijn de minimum beveiligingseisen voor de toekomstige IoT-ontwikkelingen op handige wijze (zoveel mo-gelijk ‘technologieonafhankelijk’) vastgelegd kunnen worden. Dit overlapt het werkgebied van de Nederlandse Autoriteit Consument en Markt (ACM) en de NEN. Die zouden een voortrekkersrol kunnen spelen waarbij ook een aantal experts uit het bedrijfsleven, onderzoekswereld en TNO ingeschakeld worden. Het probleem is echter een wereld-marktprobleem, een dergelijk initiatief zou dus al snel door de Europese pendanten van de ACM en NEN omgezet moeten worden in Europese normen en regelgeving. Verder zou net zoals bij een energielabel op de smart koelkast of TV een beveiligings- en privacyla-bel kunnen staan, bijv. een E-label voor TV’s die gesprekken opnemen of het kijkgedrag naar Taiwan sturen.

1 Luiijf, H.A.M., “Process Control Security in het

Informatieknooppunt.

Cybercrime”, NICC, december 2009.

2 Eric Luiijf and Bert Jan te Paske (2015), Cyber Se-

curity of Industrial Control Systems, TNO. www.

tno.nl/ICS-security

3 ICTQatar (2014) National Standards for Security

of Critical. Industrial Automation and Control

Systems. http://www.qcert.org/sites/default/

files/public/documents/national_ics_security_

standard_v.3_-_final.pdf

4 Eric Luiijf and Allard Kernkamp (2015), Sharing

Cyber Security. Information, TNO.

www.tno.nl/infosharing

“ We zijn nu bijna

tien jaar verder,

waarbinnen de

externe dreiging

behoorlijk is

toegenomen”

kamp en mij4 moet daarin de juiste balans gevonden worden om ontwijkend gedrag te vermijden: melden van iedere inbraakpoging of virusdetectie dan wel pas na een heel langdurige analyse melden van de inbreuk. De overheid kan daarbij door het teruggeven van bruikbare informatie om incidenten voor te zijn, het tijdig melden van serieuze inbreu-ken stimuleren.

Wat gaat er, op hoofdlijnen, in Nederland goed qua ICS-veiligheid, en wat niet?In 2006 is door TNO en KEMA een analyse uitgevoerd naar de mogelijke rol of rollen voor de overheid op het gebied van ICS-veiligheid. We zijn nu bijna tien jaar verder, waarbinnen de externe dreiging behoorlijk is toegenomen. Binnen de vitale infrastructuren is de bewustwording groeiende en worden maatregelen genomen, al blijkt dit in de prak-tijk om een veelheid aan redenen2 lastig. Wat er niet goed gaat is wat ik in een eerdere publicatie “onbewust onveilig” noem. De wijze waarop ICS organisaties binnenkomt en onveilig geïnstalleerd wordt zonder dat er aan beveiliging gedacht wordt. Noch de ICT, noch de ICS-afdeling is daarbij betrokken; wel bijvoorbeeld de facilitair manager (gebouwbe-heersing, toegangsbeheer, luchtbehandeling), een medisch specialist (bestraling, scanap-paratuur) of een gemeentelijke verkeers-afdeling. Kijk eens naar de uitkomsten van het SHodan INtelligence Extraction (Shine) project waarbij met Shodan in beeld gebracht is welke ICS in allerlei landen direct aan het internet liggen. Met 29.349 open aan het internet gekoppelde ICS staat Nederland op plaats 17. Waarschijnlijk is het merendeel van die systemen niet goed of zelfs geheel niet beveiligd, denk aan het Veere-incident in

Page 7: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 2015 7

HET vErSLag

Op 18 juni jl. vond de dertiende editie van de Black Hat Sessions plaats. Hierbij een kort verslag door medewerker Matthijs Koot, op basis van enkele van de lezingen die hij heeft bijgewoond.

Verschillende nationale en internationale sprekers gaven tekst en uitleg over onder andere de vitale Nederlandse infrastruc-tuur, DDoS-aanvallen, SCADA-systemen, ERP-systemen en Industrial Control Systems (ICS). De keynotes werden dit jaar verzorgd door Eric Luiijf van TNO en Hans de Vries van het Nationaal Cyber Security Centrum. Naast het uitgebreide

programma met een technische en een management track konden de deelnemers zich bovendien inschrijven voor een interactieve hands-on hacking workshop en tijdens de lunch werd een heuse PGP keysigning party georganiseerd. Vanuit Madison Gurkha mogen we terugkijken op een zeer geslaagde, informatieve dag met volop interactie tussen de

Hoe veilig is (IT in) Nederland?

Deze dertiende editie van de Black Hat Sessions stond in

het teken van het thema “Hoe veilig is (IT in) Nederland?”

Op 18 juni jl. kwamen bijna 400 geïnteresseerden naar

het congrescentrum de Reehorst in Ede om zich te laten

informeren en met vakgenoten van gedachten te wisselen

over de ontwikkelingen op het gebied van digitale veiligheid.

Foto

gra

fie

Pro

ps

Cre

atio

ns

Page 8: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 20158

HET vErSLag

deelnemers en veel positieve reacties. Matthijs Koot, senior security consultant bij Madison Gurkha, heeft de dag als toehoorder bijgewoond en doet hierbij kort inhoudelijk verslag van enkele van de lezingen die hij heeft bijgewoond. Inmid-dels zijn er meerdere publicaties verschenen over deze editie. Deze vindt u op onze website www.madison-gurkha.com onder de rubriek ‘In de pers’.

Keynote Eric Luiijf Eric Luiijf (TNO) deed in zijn openingslezing, met een voor IT-begrippen verre terugblik op de geschiedenis, de toch wat wrange constatering dat good practices die reeds in de 60s/70s ontstonden, anno 2015 nog steeds massaal niet worden opgevolgd --- denk aan gebrekkige invoervalidatie. Hij vroeg het publiek in welk jaar het bericht ‘Chantage om gegevens uit computer’ op de voorpagina van de Telegraaf stond: dat bleek 1977. Luiijf wijdde na een analyse van de situatie vandaag ook uit naar wat we mogelijk kunnen verwachten met opkomst van (wat wordt vermarkt onder het paraplubegrip) Internet of Things. Een belangrijke stap voor verbetering ziet Luiijf in het komen tot een wetenschap van cybersecurity, zoals de Amerikanen (NSA) en Britten (GCHQ) thans nastreven via samenwerking met en tussen universitei-ten --- ten minste de universiteiten die in deze als ‘Center of Excellence’ zijn gekwalificeerd. Vooralsnog, zo wordt duidelijk uit Luiijf’s lezing, blijft te verwachten dat functionaliteit belang-rijker wordt geacht dan veiligheid, laat staan privacy. Zie ook het diepte-interview met Eric Luiijf elders in deze Update.

Teun van Dongen - De rol van IT in terrorisme(bestrijding)Na de eerste keynote volgt de managementlezing van Teun van Dongen (zelfstandig analist en spreker) over de rol van IT en inlichtingen in terrorisme en terrorismebestrijding. Bijvoor-beeld in de vorm van grootschalige gegevensverzamelingen. Van Dongen maakte duidelijk sceptisch te zijn over de neiging

van inlichtingendiensten om steeds meer data te verzamelen (‘we zijn in het Westen een beetje aan het doorschieten’), en meer te zien in analyse op basis van combinatie van bestaande bestanden. Dat standpunt onderbouwde hij onder meer met een analyse van bekende casuïstiek van personen die zijn gepakt na of tijdens het voorbereiden van aanslagen, waarbij veelal bleek dat ze reeds in bestanden voorkwamen. Ook gaf Van Dongen voorbeelden van hoe aanslagen worden verijdeld via totaal andere wegen, zoals een jihadistische cel in Londen die nogal op is gaan vallen door confrontaties met extreem-rechts.

K. Reid Wightman - Vulnerability Inheritance in Dutch ControllersReid Wightman (directeur Digital Bond Labs) gaf na de eerste koffiepauze in een uitpuilende zaal een technische lezing over zijn werkzaamheden op het gebied van reverse engineering van ICS/SCADA-systemen, in het bijzonder de CoDeSys-software die onder meer in Europa wordt gebruikt. Op verschillende momenten in de lezing was er een “dit kan niet wáár zijn”-momentje. Bijvoorbeeld daar waar een combinatie bestond van een ernstige kwetsbaarheid die via een compu-ternetwerk op afstand kan worden uitgebuit en waarvoor een patch ontbreekt c.q. traag en moeizaam beschikbaar komt van een vendor. Wightman’s lezing was een uitstekende opfrisser en heeft zonder twijfel bijgedragen aan het bewustzijn onder de toehoorders.

Samaneh Tajalizadehkhoob - Reputation metrics for TLDs and hosting providersSamaneh Tajalizadehkhoob (promovenda bij TU Delft) lichtte na de lunch in haar managementlezing het lopende weten-schappelijke onderzoek ‘REMEDI3S-TLD’ toe, dat is gericht op het in kaart brengen van (on)veilig gedrag van, bijvoor-beeld, hosting- en DNS-providers binnen een (cc)TLD. Het

Waar anderen genieten van een uitgebreide lunch, gaan de deelnemers aan de PGP keysignig party enthousiast aan de slag met het controleren van de identiteit en PGP-sleutel van andere gebruikers om hun ‘web-of-trust’ verder uit te breiden.

Op verschillende momenten in de lezing was

er een “dit kan niet wáár zijn”-momentje

Page 9: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 2015 9

HET vErSLag

onderzoek komt voort uit een vraagstelling van de Nationale Politie (‘wie zijn de slechtste hostingproviders in onze jurisdic-tie?’) en heeft een focus op de Nederlandse ccTLD (.nl). Eén van de kernproblemen in het onderzoek is het opzetten van betekenisvolle metrieken, en het compenseren voor eventu-ele onzuiverheden daarin. Er wordt onder meer gekeken naar het aantal URLs en het aantal domeinnamen waarop malware actief is of is geweest, en hoe lang. De beschikbaarheid van data voor dit onderzoek is een knelpunt; een constructieve oplossing vraagt medewerking van providers, en dat maakt het des te belangrijker dat providers zich niet onterecht ‘be-schuldigd’ voelen op basis van gebruikte metrieken. Tijdens de lezing werden een aantal voorlopige resultaten getoond en besproken; daarbij is aangegeven dat een aantal van de uitkomsten wordt besproken met de betrokken providers. Het onderzoek wordt uitgevoerd met medewerking van onder meer SIDN.

Dmitry Chastuhin - The Latest Changes to SAP Cybersecurity LandscapeDmitry Chastuchin (ERPScan) ging in zijn managementlezing in op kwetsbaarheden die in de afgelopen jaren zijn gevonden in verschillende SAP-softwareproducten. Daaronder bevonden zich een aantal ernstige kwetsbaarheden, waarbij Chastuhin in enkele gevallen een filmpje liet zien dat demonstreerde hoe de kwetsbaarheid kan worden uitgebuit. Hij gaf aan dat het steeds lastiger is ernstige kwetsbaarheden te vinden in SAP-software; dat is hoopvol. Het blijft van belang dat SAP-software niet alleen veilig is, maar ook veilig wordt gebruikt; immers kwetsbaarheden kunnen worden geïntroduceerd via maatwerkcode. Het blijft dus van belang aandacht te hebben voor de beveiliging van SAP-systemen.

Deze dertiende editie is erg goed ontvangen door de deel-nemers. De drukbezochte technische presentaties en de hands-on hacking workshop “From XSS to Domain Admin” waren volgens velen absolute hoogtepunten. Gezien het grote animo en het beperkte aantal plaatsen verzorgen wij de workshop nogmaals op 8 oktober a.s. Zie het nieuwsitem en de achterzijde van deze Update voor meer informatie over de workshop en inschrijving.

Uiteraard zijn er ook verbeterpunten te noemen. De verdeling van toehoorders over beide zalen heeft hierbij onze aandacht; die was dit jaar aanzienlijk ‘schever’ dan we anticipeerden. Deze en andere feedback die we van bezoekers hebben mogen ontvangen nemen we mee bij het organiseren van de volgende editie van de Black Hat Sessions. Hopelijk bent u er dan ook (weer) bij!

Black Hat Sessions Part XIII is mede mogelijk gemaakt door veel sponsoren en media/kennispartners, waarvoor dank! Computable, Marqit, Fortinet, Hiscox, SIG, SCOS, ITSX, TSTC, Louwers IP|Technology Advocaten, Qi ict, AT Computing, ISOC24, SEEBURGER, NLUUG, Winmag Pro, PviB, Ngi-NGN, ISACA, NOREA, CYCO, Certified Secure, Waterforum en Infosecurity Magazine.

Speciale dank gaat uit naar de sprekers van deze editie: Eric Luiijf (TNO), Hans de Vries (NCSC), Teun van Dongen (zelfstandig auteur en analist), Alex Bik (BIT), Ed de Myttenaere en Paul van der Ploeg (NRG), K. Reid Wightman (Digital Bond Labs), Samaneh Tajalizadehkhoob (TU Delft), Daniël Dragicevic (Madison Gurkha), Dmitry Chastuhin (ERPscan) en Erwin Kooi (Alliander).

IT is uiteraard niet meer weg te denken uit terrorismebestrijding, maar hoe belangrijk is het nu echt in vergelijking met meer traditionele opsporings- en inlichtingenmetho-den? Tijdens zijn managementlezing zet Teun van Dongen het publiek aan tot een kritische reflectie over de manier waarop we in Nederland met nationale veiligheid en terroris-mebestrijding omgaan.

Op www.blackhatsessions.com vindt u de aftermovie en een fotoselectie voor een sfeerimpressie van de dag. Ook kunt u hier terecht voor de video-opnames en handouts van alle lezingen.

Page 10: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 201510

HET INzICHT

Dit keer geeft Mandy van Oosterhout, security consultant bij Madison Gurkha, inzicht in social engineering en hoe het wordt toegepast in de informatiebeveiliging.

Bij hacking of cybercrime wordt vaak direct gedacht aan uitbuiting van technische kwets-baarheden. Technisch goed beveiligd zijn is echter slechts het begin van de bescherming van uw data. De mens is zonder twijfel de zwakste schakel in informatiebeveiliging en precies de reden waarom aanvallers zich richten op het beïnvloeden (en vervolgens uitbuiten) van menselijk gedrag.

We beschrijven de term social engineering algemeen (maar allesomvattend) als: “acties die een persoon beïnvloeden om handelingen te verrichten die, al dan niet, in diens eigen belang zijn”.

Toen het nog niet gebruikelijk was dat iedereen thuis een computer had, laat staan een verbinding met het internet, werd social engineering ook al toegepast. Niet zozeer via e-mail of het internet zoals we dat nu zien. Maar onder andere in de vorm van ketting-brieven of piramidespellen. Deze manipula-tietechnieken worden nog steeds gebruikt, maar worden nu toegepast op het internet. Voorbeelden hiervan komen later aan bod. In de wereld van informatiebeveiliging zien we vandaag de dag aanvallen waarin de social engineer de identiteit van een persoon gebruikt en inspeelt op karaktereigenschap-pen van de mens om gevoelige informatie in handen te krijgen via het internet, per te-lefoon of in persoon. Er zijn een groot aantal veelvoorkomende scenario’s waarmee een social engineer kan werken.

Social engineering wordt niet alleen in de informatiebeveiliging, maar ook in het dagelijks leven toegepast. Waarschijnlijk zelfs in uw eigen omgeving: denk aan de overtuigingskracht van een autoverkoper

of aan de manier waarop kinderen hun zin proberen krijgen. Dit artikel is gericht op hoe social engineering toegepast wordt in de informatiebeveiliging.

AanvalstechniekenPhishingviae-mailDe meest bekende vorm van social engi-neering is phishing. Onlangs heb ik een phishing-onderzoek uitgevoerd waarbij ik me voordeed als een fotografe. Met dat scenario heb ik de medewerkers van een organisatie een phishing e-mail gestuurd met de boodschap dat ze de laatste foto’s van het personeelsfeest nog niet hebben gezien. Via de link in de e-mail komen ze uit op de web-site van de fotografe waar de medewerkers een inlogformulier zien wat precies lijkt op het inlogformulier van die organisatie. Op de phishing-webserver zag ik de bedrijfsinlogge-gevens binnen komen. Deze gegevens gaven me toegang tot e-mail, intranet en Citrix werkstations van de target-organisatie.

Phishing e-mails kunnen ook bijlagen met kwaadaardige code bevatten. Deze code zorgt ervoor dat bij het openen van de link of bijlage een verbinding wordt opgezet met de computer van de aanvaller. Wat opvalt is dat phishing e-mails steeds moeilijker te onderscheiden zijn van echte e-mails. Phishingaanvallen worden geloofwaardiger door een betere opmaak en de afname van spellings- en grammaticafouten.

tip Kijk of een e-mail veel spellings- of grammaticafou-tenbevat. Klik niet

zomaar op een link zonder eerst te contro-leren waar je naartoe gestuurd wordt. Dit laatste is te controleren door de muis-aanwijzer op de link te plaatsen. In de linkeronderkant van het scherm verschijnt de URL. Vertrouwt u een e-mail of een bijlage niet? Meld dit dan bij het meldpunt in uw organisatie.

PhishingviadetelefoonAls mens helpen we graag anderen, zeker als ze hulp nodig hebben of we ze een dienst kunnen bewijzen: dat geeft ons een goed gevoel. Ik heb eens een telefonische phishing-aanval uitgevoerd waarvoor ik eerst op LinkedIn informatie heb verzameld over medewerkers bij de organisatie. Ik heb wat namen en telefoonnummers verzameld en daarmee de organisatie gebeld op het algemene telefoonnummer. De receptioniste schakelde me door met de medewerkster die ik had getarget. Ik deed me voor als Cindy van de helpdesk en ik had haar hulp nodig. Ik moest een server herstarten maar dat lukte niet omdat ze nog wat onopgeslagen werk open had staan. Om er voor te zorgen dat haar werk niet verloren ging had ik haar ge-bruikersnaam nodig zodat ik de service voor haar kon afsluiten. De medewerkster had haast en gaf me de gebruikersnaam die ze gebruikt voor toegang tot haar computer en e-mail. Met deze informatie belde ik de echte helpdesk van de organisatie op waarbij ik me voordeed als de medewerkster. Ik was mijn wachtwoord vergeten en vroeg de helpdesk dit te wijzigen naar een tijdelijk wachtwoord. De helpdesk vroeg naar mijn gebruikers-naam en wijzigde het wachtwoord naar het standaardwachtwoord van deze organisatie. Daarmee had ik toegang tot haar webmail en andere externe diensten van de organisatie.

In dit artikel legt Mandy van Oosterhout uit wat social engineering is, hoe cybercriminelen

dit gebruiken en laat ze aan de hand van aansprekende voorbeelden zien hoe Madison

Gurkha deze kwetsbaarheden in opdracht van de klant onderzoekt en wat de gevolgen

kunnen zijn van een social engineering-aanval. Als laatste krijgt u tips mee hoe u veel

voorkomende scenario’s zelf kunt herkennen en voorkomen.

Social Engineering

Page 11: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 2015 11

HET INzICHT

tip Voordat je vertrouwelijke informatie via de telefoon

deelt is het verstandig je gesprekspartner te verifiëren

door de persoon - indien mogelijk - terug te bellen op het bij jou bekende telefoon-nummer. Denk twee keer na voordat u informatie toevertrouwt aan een vreem-de, ook als die vreemde een overtuigend verhaal heeft.

FysiekHet gebouw en de directe omgeving van een organisatie zijn een bron van informatie voor de social engineer. Voor een organisatie heb ik eens een fysieke social engineering-aanval uitgevoerd waarbij ik eenvoudig het toegangssysteem kon omzeilen door achter medewerkers aan te lopen. Dit wordt ook wel tailgating genoemd. Eenmaal door de beveiligde deur zien mede-werkers je als een vertrouwd persoon. Ik had toegang tot onafgesloten werkstations wan-neer ik me voordeed als een medewerker van de IT-afdeling. Maar ik had ook toegang tot openstaande archieven, documenten op bu-reaus, wachtwoorden op een post-it aan het beeldscherm, afvalbakken, et cetera. Tijdens deze opdracht kon ik ook zelf mijn laptop aan-sluiten op het interne netwerk van de klant en ongestoord het netwerk bekijken en zoeken naar kwetsbaarheden. De medewerkers van de organisatie spraken mij niet aan op mijn aanwezigheid. Mocht dat wel gebeuren dan heb ik een goed verhaal achter de hand wat er in de meeste gevallen voor zorgt dat ik gewoon door kan gaan met de aanval.

Het volgende voorbeeld laat zien dat het fysieke voorkomen van de aanvaller bepa-lend kan zijn voor het succes van de social engineering-aanval. Het doel is om toegang op afstand te krijgen tot het werkstation en het netwerk van een organisatie. Een netjes geklede vrouw loopt naar de receptie van het kantoorgebouw met een (door haar) met kof-fie doordrenkt rapport in haar handen. Ze heeft een afspraak met het hoger ma-nagement en heeft nu een nieuwe kopie van het rapport nodig. De receptionist gebruikt de USB-drive met het virus in diens werkstation dat vervolgens verbinding maakt met de computer van de aanvaller. Het voorkomen, de lichaamstaal en verbale vaardigheden van de vrouw hebben ervoor gezorgd dat de receptionist een uitzondering heeft gemaakt die grote gevolgen kan hebben.

Een datacenter is een afgesloten ruimte waartoe alleen onder bepaalde voorwaarden toegang wordt geboden. Dit is een obstakel tenzij een social engineer erin slaagt met zelfvertrouwen zich voor te doen als een persoon die daar hoort te zijn. Een veelge-bruikt scenario is dan ook die als technisch monteur. Met een uitspraak bij de receptie als: “Ik heb vernomen dat de lift de laatste tijd een vreemd geluidje maakt?” en een clipboard in de hand is het geen probleem om het gebouw binnen te komen. Met de deur naar het datacenter op het oog, komt de social engineer met zelfvertrouwen binnen door simpelweg te wachten tot iemand de deur voor hem uit beleefdheid openhoudt.

tip Zorg dat bezoekers niet

onbegeleid door het ge-bouw kunnen bewegen. Verleen geen toegang aan personen die geen afspraak of contactper-soon hebben. Voorkom

dat een aanvaller infor-matie kan stelen uit hard-

ware- of papierafval met een datavernie-tigingsbeleid dat streng nageleefd wordt. Leg tevens een clean desk-beleid vast om

te voorkomen dat informatie rondslingert en stel de regel dat onbekende hardware niet gebruikt mag worden op bedrijfshard-ware. Kies bij twijfel voor zekerheid.

Social engineering door de security consultantAanvallers zullen niet twijfelen om normen en waarden aan de kant te zetten wanneer ze er zelf voordeel uit kunnen halen. Bij een social engineering-onderzoek wordt een scenario vooraf afgestemd met de opdrachtgever waarbij een goede balans wordt gezocht tussen (verwachte) effectiviteit van de test en de belangen van de personen die het ‘doelwit’ zijn in de test.

Al deze scenario’s kosten voorbereiding en zullen niet altijd effectief zijn; het zijn slechts voorbeelden. Hoe kunt u toetsen of uw orga-nisatie weerbaar is tegen social engineering-aanvallen? Madison Gurkha kan voor u op maat gemaakte social engineering-onderzoe-ken uitvoeren waarbij we een realistische social engineering-aanval nabootsen. We bereiden de mogelijke aanvallen zorgvuldig voor waarbij we de scenario’s uitgebreid met u bespreken alvorens ze uit te voeren. We analyseren de resultaten en stellen hier een rapport over op.

Onderschat de gevolgen en de impact van een social engineering-aanval niet. Wees u ervan bewust wat dit voor de vertrouwelijke gegevens binnen uw organisatie kan bete-kenen. Laat het bewustzijnsniveau op het gebied van IT-beveiliging van uw organisatie onderzoeken en train uw organisatie door middel van bijvoorbeeld een periodieke security awareness training om social engi-neering te herkennen en te voorkomen door adequaat op te treden.

De mens is

zonder twijfel de

zwakste schakel in

informatiebeveiliging

Denk twee keer na

voordat u informatie

toevertrouwt aan een

vreemde

Page 12: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

12 Madison Gurkha augustus 201512

DE kLaNT

Dit keer een inspirerend gesprek met bekend schrijver en columnist Arnon Grunberg over verschillende aspecten van informatiebeveiliging en aangrenzende gebieden.

Zou je jezelf willen introduceren voor onze lezers?Ik ben Arnon Grunberg, in 1994 debuteerde ik met mijn roman Blauwe maandagen. Sinds die tijd heb ik circa twintig boeken geschreven, waaronder een dozijn romans.

Verder ben ik columnist, schrijf onder andere een dagelijkse co-lumn voor de Volkskrant en doe van tijd tot tijd tot journalistieke projecten, zo ben ik onder ander een paar keer in Irak en Afghani-stan geweest, maar ook op Guantánamo Bay en heb ik in Beieren ‘undercover’ als kamerjongen gewerkt in een hotel. Om maar een greep te doen uit mijn projecten.In het kader van mijn novelle Het bestand ben ik een jaar of twee geleden begonnen met onderzoek naar cyber en alles wat daarbij hoort. Omdat ik het gevoel had dat ik nog niet klaar was met dit onderwerp – wanneer ben je ooit klaar met een onderwerp? – ben ik doorgegaan met het onderzoek ten behoeve van een artikel voor NRC Handelsblad.

Wat is de top-drie van interessante openbaringen die je tijdens je interviews bent tegengekomen?Ik heb niet de illusie dat ik op openbaringen ben gestuit die kenners niet zouden weten. Maar als ik een top-drie

zou moeten maken, en ik kan niet alles verklappen wat ik in mijn artikel ga schrijven dat nog niet gepubliceerd is, dan valt mij op dat er radicaal tegenstrijdige geluiden te horen zijn. Sommigen zeggen dat het helemaal misgaat, op het gebied van privacy en op het gebied van kwetsbaarheden ten overstaan van zogenaamd vijandelijke organisaties, en dat het slechts een kwestie van tijd is voor het misgaat. Anderen verklaren dat het apocalyptische denken historisch gezien vrijwel altijd ongelijk heeft gekregen. Beide kampen hebben redelijk tot goede argumenten voor zover

5vragen aan ...... Arnon Grunberg, schrijver en columnist

ik kan overzien.Verder geloof ik niet dat de gemiddelde burger beseft hoeveel informatie je volstrekt legaal van het internet kan plukken en dat je die informatie alleen maar hoeft te combineren om vrij gedetailleerde informatie over burger X of burger Y te krijgen. Het versleutelen van data zou op middellange termijn een oplos-sing kunnen zijn, maar zoals we weten doen de meeste burgers dat niet en we weten dat je ook maar één keer een foutje hoeft te maken en de versleuteling is niets meer waard. We brengen ons leven dus door, uitzonderingen daargelaten, in relatieve open-baarheid. Dat we ons daarvan niet bewust zijn komt omdat we de gluurders niet zien.Het derde wordt mooi samengevat door een man die internet-beveiliging bij een grote bank doet: mensen beseffen niet dat ze niet langer producten kopen, maar zelf het product zijn. [noot van de redactie: een vaak geciteerde bron van dit citaat is http://www.metafilter.com/95152/Userdriven-discontent#3256046].Wij zijn dragers van informatie en die informatie kan waardevol zijn. Het ideaal is dat de mens doel is, maar het lijkt erop dat we een stukje de andere kant op zijn gegleden: we zijn meer en meer middel geworden.

1

2“De nachtmerrie is

niet: geen privacy.

De nachtmerrie is:

ongezien blijven”

Zoals u van ons gewend bent laten we in de Madison Gurkha Update ook altijd

een relatie aan het woord over zaken die te maken hebben met IT-beveiliging in de

meest brede zin van het woord. Dat zijn meestal personen die werkzaam zijn in het

vakgebied. Tijdens de Black Hat Sessions waar we schrijver en columnist Arnon

Grunberg als bezoeker mochten verwelkomen, kwamen we op het idee dat een

(relatieve) buitenstaander wel eens een verfrissende kijk zou kunnen hebben.

Page 13: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

13Madison Gurkha augustus 2015

DE kLaNTDE kLaNT

Welke (ethische) risico’s zie jij bij het klakkeloos delen van persoonlijke informatie op sociale media?Die zijn hierboven al enigszins geschetst. Men vergeet nog altijd hoe makkelijk reputatieschade kan ontstaan en

men lijkt ook niet te beseffen dat sociale media niet zo besloten zijn als een huiskamer of de toog van een kroeg. Maar, en dat heb ik ook als eens in de VPRO Gids geschreven: mensen vinden het minder erg om hun privacy op te geven én gezien te worden dan om niet gezien te worden en privacy te hebben. De nachtmerrie is niet: geen privacy. De nachtmerrie is: ongezien blijven.Het privacy-debat, voor zover het nog een debat is, gaat uit van de foute aanname dat iedereen op privacy zit te wachten. Dat valt wel mee. Vrees ik.

Bestaat privacy nog wel in onze huidige samenleving of is de geest uit de fles en krijgen we die er nooit meer in terug?

Meer dan twee jaar geleden zei Rop Gonggrijp al: ‘Als je echt privacy wil, laat je telefoon thuis en ga wandelen in het Amster-damse Bos.’ Dat is ook zo. Aan de andere kant, de stelling dat de overheid die niet weet waarnaar zij zoekt moeite heeft iets te vinden, is ook waar. We moeten van big data ook weer geen almachtmachines maken. Als je kijkt naar de advertenties die Google op je afstuurt, dan zie je dat het systeem toch nog wel erg ruw en ongenuanceerd werkt. Informatie verzamelen is een ding, informatie verwerken is iets heel anders. Ik denk juist omdat er zoveel unknown unknowns zijn om met Rumsfeld te spreken, niet alleen voor de leek maar zelfs voor de expert is mijn indruk, genereert cyberparanoia. Voor wie daarvoor gevoelig is. Zaak is om niet naïef te zijn maar ook om niet te vervallen in ziekelijke achtervolgingswaan. Ongemerkt een revolutie plannen is erg moeilijk, maar wie geen vijand van de staat is en bewust omgaat met sociale media e.d. kan rekenen op enige privacy. De duivel zit in die paar woorden ‘vijand van de staat’, want wie bepaalt wie de vijand van de staat is?

Wat zijn jouw denkbeelden over de nieuwe (Europese) wetgeving op het gebied van (het melden van) datalek-ken en gegevens-/privacybescherming?

Volgens vrijwel alle experts die ik heb gesproken loopt de wet-geving achter de feiten aan en is die wetgeving op zijn best al verouderd als die geïmplementeerd wordt. Bovendien weet ik dat wetgeving geen problemen oplost, hooguit verplaatst.

3

4

5© Boekface

Een debat over privacy zou moeten beginnen met de vraag wat privacy eigenlijk is. Wat zijn geheimen, wat mogen bedrijven van hun klanten weten, mogen ze die informatie doorverkopen, mag je zelf zeggen, in het kader van de vrije markt, mijn informatie is te koop?Nu lijkt het erop dat als we over privacy spreken iedereen het over iets anders heeft, een beetje zoals met liefde.

Page 14: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

14 Madison Gurkha augustus 2015

DE HaCk

Dit keer in rubriek De Hack vertelt security consultant Remco Sprooten uitgebreid over het misleiden c.q. ontduiken van virusdetectie.

Anti-virus is eenvoudig te omzeilen

Page 15: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 2015 15

DE HaCk

Het doel van anti-virussoftware is het beschermen van com-puters en hun gebruikers tegen virussen en andere soorten malware. Het is alom bekend dat, in beginsel, elke computer voorzien moet zijn van een anti-virus oplossing. Natuurlijk zijn er meerdere manieren om een computer virusvrij te houden (geen internet, geen usb-sticks, volledig isoleren, etc). De anti-virussoftware is echter de meeste gebruikte oplossing. In de wereld van de penetratietester komt het regelmatig voor dat systemen aangevallen moeten worden waarop anti-virus aanwezig is. Welke middelen en technieken zijn er beschik-baar om hier langs te komen?

Hoe werkt anti-virussoftware?Er zijn grofweg twee technieken te onderscheiden die ge-bruikt worden door anti-virusoplossingen voor de detectie van kwaadaardige programma’s: 1. Statische analyse.2. Analyse op basis van gedrag, die op verschillende manier

kan worden geïmplementeerd.

Statische analyseStatische analyse (of signature analysis) is gebaseerd op het gebruik van blacklists. Dat wil zeggen dat er een lijst is van bekende kwaadaardige software. Wanneer er nieuwe kwaadaardige software wordt ontdekt, maken analisten hier een definitie (of handtekening) voor. Deze definitie kan wor-den gebaseerd op bepaalde gegevens of data in het betref-fende stuk malware. Het is ook mogelijk dat de definitie niet bepaald wordt op basis van de inhoud van een kwaadaardig bestand maar op basis van patronen die vaak voorkomen in malware. We spreken dan van analyse op basis van heuris-tiek. Wanneer er data naar de harde schijf wordt geschreven (bijvoorbeeld bij het opslaan van een download of bijlage) dan wordt deze, door de anti-virusoplossing, vergeleken met de database van virusdefinities.

Makers van anti-virus oplossingen onderhouden databases van dit soort virusdefinities. Deze definities komen in de vorm van periodieke updates terecht bij de gebruiker. Dit is de een-voudigste manier om virussen te herkennen, en een manier die weinig foutgevoelig is.

Om statische analyse te kunnen omzeilen is het nodig om steeds nieuwe code te gebruiken of juist kleine stukken uit de code aan te passen zodat de signature niet meer overeen-komt. Hier wordt het direct duidelijk wat de kracht is van een polymorfisch virus. Deze virussen veranderen hun eigen code (vaak door het gebruik van encryptie) automatisch waardoor het onmogelijk is om één definitie vast te stellen dat alle versies van het virus kan herkennen.

Analyse op basis van gedragIn dit geval zal de anti-virus oplossing code controleren op ge-dragingen waarvan bekend is dat deze vaak gebruikt worden door malware. De regels waarop detectie plaatsvindt, zijn niet publiek beschreven. Deze analyse kan plaatsvinden wanneer een programma wordt uitgevoerd (runtime analysis) of zonder dat de gebruiker dit door heeft in een virtuele omgeving (sandbox analysis). Het belangrijkste voordeel van analyse op

Anti-virus is eenvoudig te omzeilen

In dit artikel worden een aantal

technieken uiteengezet die anti-

virussoftwaremakers gebruiken om

malafide software te detecteren en

technieken die door aanvallers gebruikt

worden om detectie te voorkomen.

Page 16: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 201516

DE HaCk

basis van gedrag is dat het kan worden gebruikt om nieuwe vormen van malware te detecteren die nog niet voorkomen in de signature database.

Het grootse nadeel van deze vorm van analyse is het risico op zogenaamde fout-positieven. Je weet tenslotte niets anders over het programma of bestand dan de (combinatie van) gedragingen die het schadelijk doen lijken.

Laten we dat verduidelijken aan de hand van een voorbeeld. Veel malware zal na een infectie van het systeem andere bestanden down-loaden. Ditzelfde gedag wordt ook vertoond door een browser. Na de installatie van bijvoorbeeld Firefox of Chrome zal deze primair andere bestanden (web pagina’s, plaatsjes en andere bestanden) downloa-den. Wanneer een kwaadaardig programma zich dus kan voordoen alsof het een browser is, zal deze niet gedetecteerd worden. An-dersom, wanneer een anti-virusoplossing niet accuraat genoeg is kan het zijn dat een legitieme browser wordt aangezien voor een virus.

Een fout-positief kan vergaande gevolgen hebben. Een paar voorbeelden:• In april 2010 detecteerde McAfee VirusScan het bestand svchost.

exe, in een bestand van Windows, als een virus op systemen draaiend op Windows XP met Service Pack 3. Dit had tot gevolg dat de computer moest herstarten en geen netwerktoegang meer had.

• In december 2010 zorgde een update van AVG anti-virus ervoor dat 64 bit Windows 7 systemen niet meer konden opstarten.

• In oktober 2011 verwijderde Microsoft Security Essentials (MSE) de browser van Google, Chrome.

• In september 2012 verwijderde Sophos anti-virus verschillende be-langrijke systeemonderdelen, waaronder haar eigen programma.

• In februari 2015 zorgde Norton anti-virus ervoor dat Internet Explo-rer niet meer bruikbaar was op verschillende systemen.

• En meest recent: in mei 2015 beschouwde Avast de browsers Chrome en Firefox alsook Microsoft Office als malware.

Een fout-positief van de anti-virus kan dus grote gevolgen met zich mee brengen. Er zal dus vaak gekozen worden om technieken te gebruiken die zo min mogelijk fout-positieven opleveren.

De makkelijkste manier om heuristische analyse te omzeilen is om er-voor te zorgen dat alle kwaadaardige code is verborgen. Code encryp-tie is de meest gebruikte methode hiervoor. Als vóór de ontcijfering van de malware geen functies worden aangeroepen die als gevaarlijk worden gezien, zal de malware niet worden gedetecteerd.

CombinatieTegenwoordig zullen de meeste anti-virus producten een dynamische aanpak prefereren waarbij meerder detectietechnieken worden ge-combineerd. Wanneer een uitvoerbaar bestand wordt gedetecteerd, wordt deze – voor een korte tijd – uitgevoerd in een virtuele (sandbox) omgeving. Door dit te combineren met statische en heuristische analyse kan ook malware die gebruik maakt van encryptie om zichzelf te verbergen, opgespoord worden.

Deze vorm van detectie hoeft niet altijd plaats te vinden op de computer van de gebruiker. Wanneer een bestand (of stuk code)

initieel wordt aangemerkt als verdacht, kan deze worden opgestuurd naar een anti-virus maker waar vervolgens een uitgebreidere analyse plaatsvindt. Een voorbeeld hiervan is het Kaspersky Security Network (KSN). Het KSN maakt het mogelijk om analyse centraal in de cloud (om even een buzz-woord te gebruiken) te regelen, maar ook om snel van al zijn gebruikers informatie te verzamelen over wereldwijde infecties. De meeste anti-virus producenten beschikken inmiddels over vergelijkbare oplossingen.

Dynamische analyse heeft een aantal beperkingen, waarvan de drie belangrijkste, dat wil zeggen degene die we kunnen uitbuiten, de volgende zijn:• Scans moeten initieel heel snel gebeuren. De eindgebruiker mag

(of wil) niet merken dat een programma eerst in een virtuele om-geving wordt opgestart.

• De virtuele omgeving is “niet echt”. Dat wil zeggen dat bepalende onderdelen (bestanden/mappen/processen) niet nagebootst kun-nen worden.

• Er zijn trucs om vast te stellen of een programma wordt uitge-voerd op een normale computer of in een virtuele omgeving.

We leggen in de rest van dit artikel, aan de hand van praktische voor-beelden, uit hoe we deze beperkingen kunnen uitbuiten.

AV-evasion: enkele simpele techniekenNu we weten hoe anti-virus producten detectie uitvoeren is de vol-gende vraag hoe we als aanvaller detectie kunnen voorkomen.

We bespreken een aantal technieken. In de onderstaande voorbeel-den zijn ook stukjes code opgenomen. Deze code is op zichzelf niet voldoende om een virusscanner te omzeilen maar zijn toegevoegd ter illustratie.

Voorbeeld 1: Gebruik 200 Megabyte aan geheugenEerder gaven we aan dat de eindgebruiker niks mag merken van de anti-virus scans. Daarom zijn anti-virus producten gelimiteerd op de hoeveelheid code (en geheugen) die ze kunnen analyseren voordat de gebruiker een vertraging merkt. Zodoende is het mogelijk om detectie te kunnen voorkomen.

In dit eerste voorbeeld maken we een programma dat eerst 200 Me-gabyte aan geheugen vraagt aan het systeem. Dit wordt vervolgens gevuld met waardes die niks betekenen en weer leeggemaakt.

Het nadeel van deze methode is dat het opeens gebruik maken van zoveel geheugen relatief makkelijk te detecteren valt.

We maken gebruik van Virustotal.com. Hier kan een bestand gescand worden door tientallen verschillende virusscanners. Tijdens het

Page 17: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 2015 1717

DE HaCk

schijven van dit artikel werd dit voorbeeld herkend door 1 van de 57 virusscanners.(https://www.virustotal.com/en/file/21a10310e70790bf25379d7b0d7db35cdbfda6237da8010

a01075fe559879406/analysis/1431090915/ )

Voorbeeld 2: Voer twee miljard acties uitVergelijkbaar met het vorige voorbeeld kunnen we ook ervoor zorgen dat de malware eerst erg lang bezig is met het uitvoeren van normale programmacode. De anti-virussoftware zal in de virtuele omgeving alleen maar niet-schadelijke acties kunnen uitvoeren.

In dit voorbeeld voeren we twee miljard keer een zogenaamde XOR-operatie uit. Welke operatie we uitvoeren maakt in wezen niet uit. Waar het hier om gaat is dat de processor gedurende meerdere seconden wordt beziggehouden.

Uit experimenten blijkt dat tien seconden vaak al genoeg kan zijn om ervoor te zorgen dat de anti-virus niet verder kijkt naar het verloop van het programma. Dit voorbeeld werd op Virustotal.com nog her-kend door 2 van de 57 virusscanners. Echter werden ze slechts als “verdacht” aangemerkt. In de praktijk zien we dat het uitvoeren van het bestand niet zal worden tegengehouden. We zouden tenslotte te maken kunnen hebben een fout-positief.

Wanneer we hebben we het aantal “nutteloze” acties (de XOR of zelfs steeds opnieuw 1 plus 1) verhogen naar 10 miljard bereikten we detectieratio van 0 van de 57.

(https://www.virustotal.com/en/file/117e852f6ed043a1cdc483d4a8fdf030209815f22b9495ff9

19600a44035d33a/analysis/1432648610/)

Voorbeeld 3: Naam van het procesWanneer het programma door de anti-virussoftware wordt opgestart in een virtuele omgeving is dit vaak merkbaar aan een aantal verschil-lende zaken. Deze maken het mogelijk om te detecteren of het pro-gramma op een echte computer draait of in een virtuele omgeving.

Een eenvoudig voorbeeld is dat wanneer een programma wordt uit-gevoerd door een normale gebruiker, het programma altijd informatie ontvangt van de gebruiker. Of de gebruiker zich er nu wel of niet van bewust is: het eerste deel van die informatie is altijd de eigen bestandsnaam. In een virtuele omgeving (althans die van de anti-virusoplossing) wordt het programma nooit echt opgestart en is deze informatie ook niet aanwezig.

In de bovenstaande code controleren we eerst of het eerste argu-ment, ofwel de naam van het programma, gelijk is aan “isDitDeOr-gineleNaam.exe”. Als dit niet het geval is wordt de malware niet ontsleuteld en uitgevoerd. Op Virtustotal.com werd dit voorbeeld door 0 van de 57 scanners opgemerkt.

(https://www.virustotal.com/en/file/ed950a165c08f09301c975872d370b12d068fc7492a-

76454b81e545bd967d602/analysis/1431089828/)

Complexere methodenNaast de beschreven voorbeelden zijn er nog tal van manieren om anti-virus oplossingen te omzeilen. Bijvoorbeeld:• Laat de malware een niet-bestaande webpagina opvragen. De vir-

tuele omgeving van een anti-virus oplossing zal altijd een fictieve pagina weergeven. Ziet de code dus een pagina terug komen dan stopt de code met uitvoeren.

• Anti-virus software zal in zijn virtuele omgeving zogenaamde “Sleep” commando’s overslaan om te zorgen dat er zo min mogelijk vertraging ontstaat. In je code kan je controleren of na bij-voorbeeld een “Sleep” van 10 seconden er ook echt 10 seconden voorbij zijn.

• Door gebruik te maken van “code-injectie” kan programma A zijn code toevoegen aan programma B en vervolgens uitvoeren. Aangezien programma A al gestart is zal de anti-virus software deze niet zonder meer in de gaten blijven houden. Als aanvaller kan je dus kwaadaardige code injecteren in een bestaand en valide proces.

De bovenstaande lijst is zeker niet compleet maar schetst hopelijk een beeld van de mogelijkheden die je als aanvaller hebt.

ConclusieMet dit schrijven hebben we een blik geworpen op het misleiden c.q. ontduiken van virusdetectie. Sommige van de beschreven methoden werken momenteel nog bij veruit de meeste anti-virussoftware, maar professionele malware past ook andere methoden toe. Het is een kat-en-muisspel waarbij de muis vooralsnog in het voordeel is.

Page 18: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 201518

ITSX

BIWA: De nieuwe

beveiligings-standaard voor waterschappen

“Ik kan nog niet helemaal overzien wat de impact zal zijn, maar laten we gewoon

beginnen” sprak de manager. De Baseline voor Informatiebeveiliging Waterschappen

(BIWA) is de nieuwe informatiebeveiligingsstandaard voor waterschappen. Dit roept veel

vragen op. Hoever zijn we al? Waar te beginnen? Hoe krijgen ik mijn mensen mee?

Dit keer in de ITSX-rubriek vertelt Ivan Mercalina, senior IT security consultant bij ITSX, over de Baseline voor Informatiebeveiliging Waterschappen (BIWA).

De waterschappen Aa en Maas, De Dommel en Brabantse Delta huurden een expert van ITSX in om de implementatie te begeleiden. In dit artikel vertelt Ivan Mercalina van ITSX, vanuit zijn toegewezen rol als Chief Infor-mation Security Officer (CISO) bij de drie waterschappen, hoe dit in zijn werk is gegaan en wat de resultaten tot nu toe zijn.

Strategisch kaderDe Nederlandse waterschappen zijn reeds honderden jaren expert in het beheersen van risico’s en calamiteiten als het op water aan-komt. De steeds grotere afhankelijkheid van informatiesystemen en informatiestromen brengt extra risico’s met zich mee. Betrouw-bare, beschikbare en correcte informatie is nu eenmaal cruciaal voor de primaire processen en bedrijfsvoering van alle waterschappen. De scope van de BIWA omvat de bedrijfs-functies, ondersteunende middelen en infor-matie van het waterschap in de meest brede zin van het woord. De BIWA is van toepas-sing op alle ruimten van een waterschaps-

huis en aanverwante gebouwen. Alsmede op apparatuur die door waterschapsambtenaren gebruikt worden bij de uitoefening van hun taak op diverse locaties. De Baseline heeft betrekking op alle informa-tie die verwerkt wordt. Ook als informatie-systemen niet fysiek binnen het waterschap draaien of taken zijn uitbesteed aan derden is deze Baseline van toepassing.

Kwartier makenIn 2014 heeft Ivan Mercalina meegewerkt aan de uitvoer van een GAP-analyse bij verschillende waterschappen. Daarbij zijn beveiligingsrisico’s in kaart gebracht en ‘quick wins’ gedefinieerd. In april jl. is Ivan gestart als Chief Information Security Officer (CISO) bij de waterschappen Aa en Maas, De Dom-mel en Brabantse Delta. Het doel is drieledig:1. Opzetten van een beveiligingsstructuur

binnen de organisatie. 2. Begeleiden van de BIWA-implementatie.3. Verhogen van de beveiligingsbewustwor-

ding onder de medewerkers.

Opzetten van een beveiligingsstructuurAls eerste wordt er een CISO aangesteld. De CISO rapporteert aan de directie. Hij bevor-dert en adviseert gevraagd en ongevraagd over de beveiliging van het waterschap, verzorgt rapportages over de status, contro-leert of met betrekking tot de beveiliging van het waterschap de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de informatie-beveiliging van het waterschap.

Activiteiten voor informatiebeveiliging beho-ren te worden gecoördineerd door vertegen-woordigers uit verschillende delen van de organisatie met relevante rollen en functies. Deze vertegenwoordigers worden Operatio-nal Security Officers (OSO’s) genoemd en vallen onder de CISO. De OSO’s voeren de classificatie uit van data binnen hun afdeling. In samenwerking met de CISO voeren de OSO’s risicoanalyses uit op de data en de processen. Indien het risico hoger uitvalt dan

Page 19: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Madison Gurkha augustus 2015 19

de risk appetite van de waterschap, wordt er een verbeterprogramma gestart. Bij het opzetten van een verbeterprogramma wordt rekening gehouden met de borging van de oplossing. De verbeterprogramma’s worden begeleid door de CISO.

Begeleiden van de BIWA-implementatieDe BIWA-implementatie wordt niet gezien als een project met begin en einde, maar als een continu proces. Voor een correcte imple-mentatie worden onder meer de volgende processen ingeregeld:• Identificatie en classificatie van alle aanwe-

zige data.• Risicoanalyse voor het identificeren en

beheren van risico’s.• Verbeterprogramma’s voor het verkleinen

van te grote risico’s.• P&C-cyclus met jaarlijkse evaluatie.

Het is de rol van de CISO om deze processen in te richten volgens erkende standaarden. De OSO’s hebben een training gekregen in de omgang met deze processen en kun-nen de uitvoer van de verbeterprogramma’s eventueel delegeren naar anderen. De eerste verbeterprogramma’s op basis van de geïden-tificeerde ‘quick wins’ zijn reeds gestart.

Verhogen van de beveiligingsbewust-wording onder de medewerkersVerantwoord en bewust gedrag van mensen

is cruciaal voor een goede informatiebevei-liging. Het is de bedoeling dat alle werk-nemers, ingehuurd personeel en externe gebruikers zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprake-lijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te ondersteunen en het risico van een menselijke fout te ver-minderen. Om dit te bewerkstelligen wordt een maatwerk bewustwordingscampagne opgezet.

De drie waterschappen zijn in korte tijd al ver gekomen. Dit komt vooral door hun pragmati-sche inslag, zoals het citaat van de manager aan het begin van dit stuk al aangeeft. De beveiligingsstructuur staat en het beveili-gingsbeleid is bijna overal door de directie ge-accepteerd. De meeste OSO’s hebben al een training gehad en zijn nu zelf in staat om hun data te classificeren, risico’s te onderkennen en verbeterprogramma’s te starten. Hiermee zijn belangrijke stappen gezet naar het verder optimaliseren van de primaire activiteiten van de waterschappen waarmee de kwaliteit van dienstverlening kan worden geborgd.

i T S X

ITSX

Verantwoord en bewust

gedrag van mensen is

cruciaal voor een goede

informatiebeveiliging

Meer over Privacy, Governance & Risk Management tijdens Infosecurity.nl

Zoals u eerder heeft kunnen lezen in deze Update zijn ITSX en Madison Gurkha aanwezig als exposant tijdens de vakbeurs Infosecurity.nl op 4 en 5 novem-ber a.s. in de Jaarbeurs Utrecht. ITSX zal op beide beursdagen van 11.45 uur tot 12.15 uur een casestudy verzorgen binnen het beursthema Privacy, Governance & Risk Management. Hierbij zullen we ingaan op risi-coanalyses en hoe deze, samen met dataclassificatie, hun plaats hebben in de BIR, BIWA, BIG, NEN7510 en ISO27001. De wet op de meldplicht datalekken zal hierbij als voorbeeld case wor-den gehanteerd, om zo duidelijk te maken welke verplichtingen en risico’s deze nieuwe wet met zich meebrengt. Het belooft een interessante sessie te worden waarvoor wij u graag uitnodigen.

Vanaf 1 september a.s. kunt u zich registreren voor gratis toe-gang tot de beurs en de verschil-lende casestudies. Graag tot ziens!

Page 20: aUg 2015 update - Secura Risk Management Madison Gurkha is gevraagd een technische track te verzorgen tijdens het onafhankelijk seminarprogramma. Deze presentatie zal gaan over de

Hands-on Hacking From XSS to Domain AdminWat als een hacker ‘Domain Admin’-rechten krijgt op het interne domein van uw

organisatie? Kruip in de huid van een (ethical) hacker en ga zelf aan de slag om te zien

hoe een geavanceerde aanval uitgevoerd kan worden.

LocatieKantoor Madison GurkhaVestdijk 59 te Eindhoven

datum8 oktober 2015

tijdstipDe workshop wordt op deze dag tweemaal aangeboden. U kunt kiezen voor de ochtend-sessie van 09.00 - 12.00 uur of voor de middagsessie van 13.00 - 16.00 uur.

deeLnametariefInschrijven kan door gebruik te maken van het online schrijfformulier op onze website. U kunt ook een mail sturen met daarin uw gegevens naar [email protected].* De kosten voor deelname bedragen € 100,- incl. documentatie en catering.

* Geef a.u.b. aan of u voorkeur heeft voor de ochtend- of middagsessie.

WAT BIEDT DEZE WORKSHOP U?De security consultants van Madison Gurkha beschikken over veel kennis en ervaring op het gebied van technische IT-beveiliging. Deze kennis delen we graag met u. Dit doen we onder andere door het verzorgen van hands-on hacking workshops waarbij u zelf aan de slag gaat. U leert op een interactieve en leuke manier:• Het gevaar van kwetsbaarheden beter in te schatten.• Wat de risico’s zijn, zodat u zich beter hiertegen kunt wapenen.• Hoe u zelf een aanval kunt uitvoeren en daarmee inziet hoe snel en relatief eenvoudig een

hacker misbruik kan maken van kwetsbaarheden.

PROGRAMMATijdens de workshop “From XSS to Domain Admin” leggen we uit hoe een XSS-kwetsbaarheid gebruikt kan worden om domain admin-rechten te krijgen. Onder begeleiding van ervaren security consultants leert u hands-on welke stappen er nodig zijn om deze aanval zelf uit te voeren en u krijgt daarbij handige tips en trucs.

Om deel te nemen aan de workshop is het handig, maar niet noodzakelijk, enige kennis te hebben van de meest voorkomende IT-beveiligingsrisico’s waaronder Cross Site Scripting (XSS). U heeft geen diepgaande IT-beveiligingskennis nodig. Na inschrijving ontvangt u de nodige instructies per mail om succesvol deel te kunnen nemen aan de workshop.

Omdat er ruimte is voor maximaal 15 deelnemers per workshop, raden wij u aan er snel bij te zijn. Inschrijving vindt plaats op volgorde van aanmelding waarbij geldt vol=vol. Op www.madison-gurkha.com vindt u de link naar het online inschrijfformulier.

Your Security is Our Business

ORGANISATIE

HANDS-ON HACKING WORKSHOP

AANTAL PLAATSEN IS BEPERKT!