update - HET NIEUWS 3 Wachtwoorden e-banking per SMS Google-hack schudt wereld wakker Madison Gurkha

download update - HET NIEUWS 3 Wachtwoorden e-banking per SMS Google-hack schudt wereld wakker Madison Gurkha

of 12

  • date post

    26-Feb-2019
  • Category

    Documents

  • view

    212
  • download

    0

Embed Size (px)

Transcript of update - HET NIEUWS 3 Wachtwoorden e-banking per SMS Google-hack schudt wereld wakker Madison Gurkha

Your Security is Our Business

DE COLUMN 2Hans van de Looy

HET NIEUWS 3Wachtwoorden e-banking per SMS

Google-hack schudt wereld wakker

Madison Gurkha 10-jarig bestaan

Nieuwe collegas gezocht

HET INZICHT 4Cloud Computing

HET EVENT 5Black Hats Sessions part VIII

DE HACK 6-7Webservices vaak onvoldoende beveiligd

HET INTERVIEW 8Arnoud Engelfriet van ICTRecht

DE KLANT 9Uit de transport en logistiek

HET VERSLAG 10-11Industrial Control Systems Cyber

Security Training

DE AGENDA 11

HET COLOFON 11

u p d a t e

7VOORjAAR 2010w w w . m a d i s o n - g u r k h a . c o m

Madison Gurkha voorjaar 20102

In de voorgaande Update hebben we een artikel geplaatst met de pakkende titel IPv6: nieuwe bedreiging? (zie http://www.madison-gurkha.com/press/UPDATE_MG_winter_2009.pdf als u het artikel nog niet gelezen heeft). Niet om de lezers af te schrikken, maar juist om u bewust te maken van deze oude standaard waarvan de invoering nog steeds niet op grote schaal plaatsvindt, maar waarvan de noodzaak tot invoering wel steeds nijpender wordt. Zelfs nu.nl heeft in november 2009 een artikel (http://bit.ly/1HpKWT -- heeft u ook zon hekel aan lange URLs?) opgenomen waarin een aantal interessante opmerkingen wordt geplaatst die eigenlijk toch wel ergens de alarmbellen zouden moeten laten afgaan. Ik citeer hier een aantal losse uitspraken die zijn overgenomen uit een onderzoek van de Europese Commissie en TNO: IPv4 internetadressen zullen in 2011 op zijn, Slechts 17% van de overheidsorganisaties en bedrijven in Europa, het Midden-Oosten en Azi maakt gebruik van IPv6, Een tijdige, wereldwijde overstap op IPv6 is noodzakelijk om de groei en stabiliteit te waarborgen.

Dat zijn stuk voor stuk uitspraken die op zijn minst zouden moeten uitnodigen om stappen te gaan ondernemen om te investeren in IPv6, en toch gebeurt dat minder dan dat wenselijk wordt geacht. De redenen ervoor zijn natuurlijk ook voor de hand liggend. We hebben net een financile crisis achter de rug, en wellicht moet er nog een tweede gedeelte van de W-curve komen, dus we zitten niet te wachten op nieuwe, mogelijk dure, investeringen. We hebben nu toch al toegang tot het interweb, dus wij zullen geen last hebben van het tekort aan beschikbare IPv4 adressen. IPv4 kennen we en die andere adressen zijn veel te moeilijk. Allemaal op zich logische verklaringen, maar van de andere kant zijn het ook stuk voor stuk redenen die worden ingegeven door tunnelvi-sie en oogkleppen.

Dus heb ook ik, ondermeer ingegeven door deze column, wat onderzoek gedaan. Natuurlijk zijn onze scansystemen al voor-zien van IPv6, zodat we onze klanten ook via dat protocol kun-nen bereiken en testen, maar onze eigen webserver is, op het moment van schrijven, nog niet voorzien van een IPv6 adres (dit zou wel eens anders kunnen zijn op het moment dat u dit leest). Dus er zijn al vooruitstrevende ISPs die gewoon IPv6 aanbieden, mocht u hiervan gebruik willen maken. Dus aan

de serverkant zit het vaak wel goed. Daar kunnen we relatief eenvoudig overstappen.

De volgende stap is dan natuurlijk om te zien hoe het met de internetverbinding voor clients is gesteld. Daar zie ik een geheel ander beeld. Een van de bekendste providers XS4ALL geeft aan dat ze haar netwerk in 2002 al geschikt heeft gemaakt voor IPv6, maar dat inbel- en ADSL-diensten allen op IPv4 zijn gebaseerd. IPv6 is daar wel mogelijk, maar alleen via een experimentele tunneldienst. Ook de verschillende kabel-aars en zelfs glasvezelleveranciers bieden alleen IPv4 aan en als je ze vraagt naar het aanbieden van (native) IPv6 kan geen van hen aangeven wanneer dit het geval zal zijn.

Waarom dan nu toch al aandacht besteden aan IPv6? Nie-mand vindt het een aantrekkelijk idee om (te) vroeg met iets nieuws te starten. Maar IPv6 is niet nieuw meer. Het protocol is al in december 1998 gespecificeerd. Op dit moment geen aandacht besteden aan IPv6 kan, zoals het eerder vermelde artikel in de vorige Update al aangaf, betekenen dat er nu al een risico wordt gelopen dat bepaalde systemen onbewust toch al bereikbaar blijken te zijn via dit protocol, met alle gevolgen van dien. En wellicht de belangrijkste reden om nu aandacht te gaan besteden aan IPv6 is dat er nu goed over kan worden nagedacht. Nu kunnen er goed doordachte plan-nen gemaakt worden voor een (geleidelijke) overgang. Een overgang waarbij de regie wordt ingegeven door kennis en opgedane ervaring en niet door tijdsdruk. Of zal uiteindelijk toch blijken dat mensen niets willen leren van het verleden en uiteindelijk toch weer worden opgejaagd door de volgende deadline. Misschien niet in 2011 als het laatste IPv4 adres wordt uitgedeeld (zie http://penrose.uk6x.com/ voor de IPv4 countdown) maar ook niet lang daarna. Waarbij ik nog de kant-tekening wil plaatsen dat de Maja kalender verkeerd genter-preteerd blijkt te zijn, dus zullen we ook na 2012 allemaal nog steeds bezig met het veilig houden van allerlei (gevoelige) gegevens -- of ze nu via IPv4 of IPv6 worden uitgewisseld dat maakt voor ons niets uit. Voor u wel?

hans Van de Looy Partner, Principal Security Consultant

DE COLUMN

ipv6 voor het te laat is...

In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom ICT-beveiliging. Deze keer Hans van de Looy over IPv6.

Madison Gurkha voorjaar 2010 3

HET NIEUWS

In Het Nieuws belichten we iedere Madison Gurkha Update belangrijke recente ontwikkelingen die in het beveiligingsnieuws zijn verschenen. Ook alle nieuwe ontwikkelingen rondom Madison Gurkha komen in deze rubriek uitgebreid aan bod.

Mist u een nieuwsitem, of heeft u nog ander opvallend of aanvullend security nieuws? Meld het aan ons door een mail

te sturen naar: redactie@madison-gurkha.com. Wie weet staat uw nieuwtje in de volgende Madison Gurkha Update!

Madison Gurkha 10-jarig bestaanmadison gurkha is opgericht tijdens de dot.com crisis: de internet zeepbel die leegliep. dit jaar vieren wij ons 10-jarig jubileum tijdens de volgende - nu financile - crisis. madison gurkha wordt hierdoor echter nauwelijks geraakt. onze kwaliteit, flexibiliteit en pragma-tische aanpak wordt nog altijd zeer goed gewaardeerd. madison gurkha blijft zich positief ontwikkelen en beheerst groeien.

om ons 10 jarig bestaan te vieren gaan wij van 15 tot en met 19 april voor een korte trip naar Jordani. op 15, 16 en 19 april zullen wij daarom gesloten zijn. wij zullen u hierover nader informeren.

- hack schudt wereld wakker

ING-klanten hoeven vanaf 15 maart niet meer naar het postkantoor om een nieuw wachtwoord voor internetbankieren aan te vragen. Straks verstuurt ING een sms met de gegevens. Maar hoe veilig is deze methode? Hans van de Looy geeft in een Radio 1 uitzending antwoord op de vraag of het ver-sturen van wachtwoorden per SMS veilig is.

Het volledige interview is te beluisteren op de site van Radio 1: http://www.radio1.nl/contents/12263-versturen-sms-met-ing-wachtwoord-veilig

Wachtwoorden e-banking per SMS

Madison Gurkha is een jonge, groeiende en veelbelovende organisatie op het ge-bied van (technische) IT security. Madison Gurkha levert kwalitatief zeer hoogwaardi-ge diensten aan grotere organisaties zoals landelijke opererende overheidsinstellin-gen, (beursgenoteerde) multi-nationals en financile instellingen.

Kijk voor meer informatie over de verschil-lende vacatures op onze website.

Door onze aanhoudende groei zijn wij dringend op zoek naar:

g Junior Security Consultant (JSC) g Security Consultant (SC) g Senior Security Consultant (SSC)

Kandidaten met aantoonbare security kennis van Microsoft producten en tech-nologien hebben op dit moment onze voorkeur.

Ben jij degene die we zoeken? Stuur dan snel je CV met sollicitatiebrief naar hrm@madison-gurkha.com.

Vacatures

Een golf van bezorgdheid over netwerkbeveiliging trok over de wereld als gevolg van de gedeeltelijk succesvolle aanval op de zwaarbeveiligde systemen van Google. Een team hackers gesteund door de Chinese overheid, wordt daarvoor verantwoordelijk gehouden. Financile instellingen in de Verenigde Staten, produ-centen en dienstverleners onderzoeken nu met experts koortsachtig of hun beveiligingssy-stemen ook zijn gekraakt zonder dat zij zich daarvan bewust waren. [...]

Verder in het artikel in de Automatiserings Gids geeft Hans van de Looy zijn mening over computerinbraak bij bedrijven naar aanleiding van de Google-hack.

Het volledige artikel is te lezen op de site van de Automatisering Gids: http://www.automa-tiseringgids.nl/artikelen/2010/4/google-hack%20schudt%20wereld%20wakker.aspx

In de rubriek Het Inzicht stellen wij meestal bepaalde technische beveiligingsproblemen aan de orde. Deze keer geeft Laurens Houben antwoord op de vraag wat Cloud Computing is, gaat hij in op de gevaren die daarbij optreden.

HET INZICHT

4 Madison Gurkha voorjaar 2010

Heeft u onderwerpen die u graag een keer terug zou

willen zien in deze rubriek? Laat het dan weten aan onze

redactie via: redactie@madison-gurkha.com.

Het is een parallel computersysteem waarbij de software verdeeld is over

meerdere computers op het internet. Cloud computing dient er voor om schaalbare en vaak gevirtualiseerde diensten aan te bieden over het internet. Deze zijn dan beschikbaar via een webbrowser terwijl de software en data op servers van de dienstverlener blijven. Bij Cloud Computing zijn de gebruikers geen eigenaar van de software die ze gebruiken. Ze betalen dus enkel voor de diensten die ze gebruiken in de vorm van prepaid of in abon-nementsvorm. Dit bespaart hoge kosten voor de