DE COLUMN 2Walter Belgers

HET NIEUWS 3• Black Hat Sessions 2013• Madison Gurkha sponsort OHM 2013• Cyber paintballduel

HET INZICHT 4“Cyber is bullshit?” door Matthijs Koot

HET INTERVIEW 6Diepte-interview met Kolonel ir. J.M. (Hans) Folmer MSS, commandant Taskforce Cyber bij de Defensiestaf

DE HACK 9Ralph Moonen van ITSX over de SNMP hack

DE AGENDA 10

HET COLOFON 10

u p d a t e17jANUARI 2013

Your Security is Our Business

Madison Gurkha wenst u een succesvol, gezond en veilig 2013!

Madison Gurkha januari 20132

Ik geloof niet dat daarin de oorzaak ligt. We worden niet slechter, maar we hebben steeds meer te beveiligen. De te beveiligen systemen worden ook steeds belangrijker. Veel systemen bevatten tegenwoordig identiteitsgegevens, creditcard-gegevens, medische gegevens, en zo verder. Dan kan de veiligheid niet meer gewaarborgd worden door alleen maar een geautomatiseerde scan uit te voeren, zeker als je bedenkt wat voor gevolgen het lekken van deze gegevens heeft. Datalekkage kun je niet zomaar terugdraaien.

Een aanvaller die gegevens wil stelen en zich niet druk maakt over de instantie waar ze van komen, heeft het tegenwoordig makkelijk. In plaats van zich te concentreren op een bepaald doel en dan een lek te vinden, kan hij zich concentreren op een lek, om daar vervolgens zoveel mogelijk doelen bij te zoeken. Dankzij websites als Shodan, die het hele internet in kaart brengen, kan eenvoudig gezocht worden op sites die bepaalde (kwetsbare) versies van software draaien.

De hoeveelheid verschillende leveranciers van hard- en soft-ware neemt af (niet alleen in de procesbesturing). Een aanval op een bepaald stuk software heeft daardoor ernstigere con-sequenties: er zijn gewoonweg meer doelwitten. Die afhan-kelijkheid van slechts een paar leveranciers zie je op heel het internet. Van alle webservers op het internet gebruikt meer dan 65% software van Apache. Nu heb ik niets tegen Apache, maar als een aanvaller een beveiligingslek vindt in Apache dat uit te buiten is, dan zijn de gevolgen heel erg groot. En wat te denken van smartphones? Daar zijn er honderden miljoenen(!) van verkocht, voornamelijk in de smaken iOS en Android. Een lek hierin zal dan ook verstrekkende gevolgen hebben. Zeker nu steeds meer bedrijven het toestaan dat medewerkers diezelfde mobiele telefoons gebruiken om met bedrijfsinfor-matie te werken.

In ‘De Hack’ leest u hoe een aanvaller eenvoudig slachtoffers kan zoeken bij een bepaald lek. Het gaat hierbij eigenlijk niet om een echt lek, maar om een niet-aangepaste standaard instelling van software waarmee een computer op afstand be-heerd kan worden. Als de standaardinstellingen niet gewijzigd worden, kan een aanvaller zo’n computer dus ook beheren, via het internet. En als het dan gaat om de routers en fire-walls waarmee bedrijven zijn gekoppeld aan internet, dan zult u beseffen dat zo’n missie hele nare gevolgen kan hebben. Wij hebben natuurlijk de betrokkenen waar mogelijk geïnfor-meerd, zodat de lekken gedicht konden worden. Het ging hier overigens om een risico dat al tientallen jaren bekend is.Steeds meer mensen gaan juist op zoek naar nieuwe lek-ken in software en schrijven dan een programma om daar

misbruik van te kunnen maken, een zogenaamde ‘zero-day’ (programma voor een lek dat pas 0 dagen bekend is, ofwel, nieuw is). Zo’n ‘zero-day’ levert geld op in het criminele circuit. Als bouwer van ‘zero-days’, kun je tegenwoordig ook bij het leger terecht, omdat offensieve capaciteiten worden opgebouwd op dat vlak. Meer over deze materie leest u in het diepte-interview met ‘Cyberkolonel’ Hans Folmer, com-mandant Taskforce Cyber bij de Defensiestaf.

Overigens wordt vaak over ‘cyberwarfare’ gesproken, maar volgens mij is en blijft oorlog iets dat je fysiek uitvoert. Cyberaanvallen kunnen daarnaast hun nut bewijzen, maar het is erg lastig om ‘cyberwapens’ voorafgaand aan een incident te bouwen: als het lek dat je cyberwapen misbruikt bekend raakt, kan het worden opgelost en is je cyberwapen nut-teloos. Zie ook in deze Update het kritische artikel “Cyber is Bullshit?” door Matthijs Koot in de rubriek ‘Het Inzicht’.Als overheid kun je echter ook eenvoudig aanvallen via ‘Third Party Sites’ uitvoeren. Uit onderzoek van Madison Gurkha blijkt dat 64% van de websites in de 9 belangrijkste sectoren van ons land inhoud tonen van sites van derden, zoals Google Analytics en Facebook. Door bij een van deze bedrijven in te breken, wordt het mogelijk om op grote schaal eindgebruikers te volgen in al hun doen en laten, en om ze aan te vallen.Kortom: door de niet te stoppen globalisering en de (bijna) monocultuur in software en dienstverleners, zullen beveili-gingsproblemen er niet minder op worden. U kunt wel de gevolgen van een incident sterk reduceren, door minder informatie op te slaan en uw infrastructuur zoveel mogelijk in eigen hand te houden. Ik wens u veel inspirerende inzichten toe bij het lezen van deze Update.

Walter BelgersPartner, Principal Security Consultant

de column

Beveiligingsincidenten komen de laatste tijd steeds

vaker in het nieuws. Worden we steeds slechter in het

beveiligen? Worden de aanvallers steeds slimmer?

In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer Walter Belgers over de toename van beveiligingsincidenten.

Madison Gurkha januari 2013 3

HET NIEUWS

In ‘Het Nieuws’ belichten we nieuwe ontwikkelingen in de IT-beveiligingswereld en rondom Madison Gurkha.

Observe. Hack. Make.Eens in de vier jaar vindt er in Nederland een grote hackerconferentie plaats en dit jaar is het weer zover. Dan staat Observe. Hack. Make. (OHM2013) gepland en wor-den weer duizenden mensen verwacht met interesse in hacking, techniek, het knutse-len aan hardware en andere onderwerpen.

Het evenement zal op 31 juli beginnen en op 4 augustus eindigen, met als locatie Geestmerambacht. Het Noord-Hollandse recreatiegebied in de buurt van Heerhugo-waard, Alkmaar en Langedijk. Madison Gurkha is net als tijdens de vorige editie in 2009 trotse sponsor van dit evene-ment.

Voor meer informatie zie https://ohm2013.org/site/

Op 14 mei a.s. gaat al weer de 11e editie van de inmiddels befaamde Black Hat Sessions van MadisonGurkha van start. Het thema dit jaar is: Cyber...Security. Het woord ‘cyber’ kent nogal wat achtervoegsels, waarmee zaken uit het echte leven te verplaatsen zijn naar de digitalewereld. Denk bijvoorbeeld aan cyber-pesten, cybersex, cyberpunk en meer on-topic voor de Black Hat Sessions vooral ook aan cyberwarfare, cyberter-rorisme en cybercrime.

Het programma is nog onder voorbe-houd, maar ook dit jaar hebben we weer bijzondere sprekers die zeer goed aansluiten bij het thema Cyber...Security:

• ‘Cyberkolonel’ Hans Folmer Hans Folmer, Taskforce Cyber binnen Ministerie van Defensie

• Gerben klein Baltink, Nationaal Coördinator Terrorisme bestrijding (NCTV)

• Wim Verloop, Digital Investigation

• Eileen Monsma, Politie - Team High Tech Crime

• Rickey Gevers, veroordeeld hacker en nu werkzaam bij Digital Investigation

• Alex de Joode, Leaseweb

Achterop deze Update vind u een leaflet voor meer informatie over het interessante sprekersprogramma.

De bijeenkomst wordt georganiseerd voor beheerders van systemen, netwerken en applicaties, security officers, interne auditors, het manage-ment en andere geïnteresseerden in IT-beveiliging en in het bijzonder in digitale veiligheid.

Op dit moment zijn we druk bezig met de samenstelling van het programma en bijbehorende tijdslots. Houd de website www.blackhatsessions.com in de gaten voor actuele informatie. Hier vindt u ook een inschrijfformulier om u aan te melden voor dit unieke evenement.

Black Hat Sessions Part XI Cyber…Security

Nederlandse hackers, beveiligingsexperts, cyberpolitie

en anonymousleden gaan elkaar in real life beschieten.

De kemphanen willen elkaar treffen op een paintball-

shoot-out in mei 2013.

http://webwereld.nl/nieuws/112730/hackers-en-cyberpolitie-treffen-elkaar-in-paintballduel.html

Hackers en cyberpolitie treffen elkaar in paintballduel

Madison Gurkha januari 20134

In de rubriek ‘Het Inzicht’ stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Deze keer geeft Matthijs Koot meer inzicht in het begrip cyber security oftewel digitale veiligheid.

HET INZICHT

De kraan van werkelijke veiligheidsinbreuken staat

intussen gewoon open. Moonlight Maze, Stakkato,

Titan Rain, Stormworm, GhostNet, Byzantine

Hades, Operation Aurora, Stuxnet, Flame, de

kwestie-DigiNotar en meer recent Dorifel, Citadel

en TurkTrust en nog steeds verschijnende datalek-

ken tonen aan dat IT kwetsbaar is. Elke informaticus

wist dat ook al zonder die incidenten. Dat we geen

zilveren kogel hoeven te verwachten, werd in 1987

al duidelijk met het bewijs dat de Amerikaanse com-

puterwetenschapper Fred Cohen leverde voor de

stelling dat er geen algoritme bestaat dat perfect in

staat is alle computervirussen te detecteren. Bij het

op sabotage gerichte Stuxnet kan betrokkenheid

van statelijke actoren in redelijkheid niet worden

ontkend. Ook bij het op spionage gerichte GhostNet

zijn er voldoende aanwijzingen om de claim van

betrokkenheid van een overheid staande te houden.

NuanceringWaarom dan ‘cyber(war)’ associëren met “bull-

shit”? Ten eerste, het valt moeilijk te ontkennen dat

‘cyber’ een modewoord is geworden. Voor Clark

zit de ergernis voor een deel in dat wat nu ‘cyber’

wordt genoemd, in militaire context al jaren bekend

staat als ‘Computer Network Operations’ (CNO). Ik

vermoed dat de frustratie van Clark wordt gedeeld

door Moyer, en, wat dat betreft, door Nederlandse

verbindelaren. Ook stelt Clark dat ‘cyber’ nogal een

“trigger” is geworden om subsidie te werven. Het

begrip ‘cyber’ krijgt voor het grote publiek via de

media betekenis met werkelijke incidenten1 maar,

zoals die dingen gaan, ook met speculatie en fic-

tieve scenario’s - vooral als gevolg van tekortschie-

tende openbare informatie. Daarin schuilt risico dat

belastinggeld wordt uitgegeven aan onzinprojecten.

Blunden heeft natuurlijk een punt wanneer hij wijst

op overdrijving en alarmisme. In voornoemd artikel,

uit 2010, refereert hij aan een CEO die in een digita-

le doemsvoorspelling de vergelijking aandurfde met

Pearl Harbor2. Ter opfrissing: bij die aanval vielen

2400 doden en 1200 gewonden. Blunden verwijst

in zijn kritiek naar het ‘propagandamodel’ dat Noam

Chomsky en Edward Herman twee decennia terug

beschreven inzake manipulatie van de massamedia

door (de Amerikaanse) overheid en bedrijfsleven.

In oktober jl. werd de vergelijking met Pearl Harbor

Tijdens Black Hat USA 2012 stelde (track)gastheer

Shawn Moyer aan het begin van de dag voor dat

het publiek bij het horen van het woord ‘cyber’

zou roepen: “bullshit!”. De dag erna hintte Robert

Clark, een bekende jurist bij het Amerikaanse

Ministerie van Defensie, erop dat ook hij fronst bij dat

woord. Marcus Ranum, een andere bekende beveiligingsexpert, betoogt sinds

ten minste 2008: “cyberwar is bullshit”. En Bill Blunden waarschuwde eerder al

dat ‘cyberwar’ een hyperbool is om media te manipuleren.

“ Cyber is bullshit?”

Madison Gurkha januari 2013 5

HET INZICHT

1 Blogreeks: Paul Sparrows, bijv. 2012 Cyber Attacks Timeline Master Index: http://hackmageddon.com/2012-cyber-attacks-timeline-master-index/, Webwereld i.s.m. Brenno de Winter, Lektober: iedere dag een privacylek op Webwereld (2011) http://webwereld.nl/nieuws/108052/lektober--iedere-dag-een-privacylek-op-webwereld.html, HoneyMap: http://map.honeycloud.net/

2 Artikel: Bill Blunden, Manufactured Consent and Cyber-war (2010): http://www.cio.wisc.edu/MCaC.pdf

3 Rijksbegroting 2012 - Cyber: http://www.rijksbegroting.nl/2013/voorbereiding/begroting,kst173868_16.html

4 Minnesota State University, IT 450 - InfoWar - Sche-dule for Fall 2012: http://mavdisk.mnsu.edu/veltsc/iSYS450%20Topic%20Schedule.htm

5 Artikel: Han Bouwmeester, Hans Folmer en Paul Ducheine; p.19 in Cyber warfare - Critical Perspectives (Ducheine, Osinga, Soeters; eds.)

opnieuw gemaakt door de Amerikaanse Minister

van Defensie, toen hij sprak van ‘cyber-Pearl Har-

bor’. Aftredend Congreslid Norm Dicks sprak zelfs

van een “cyber 9/11”. Het blijft gissen waar (en of)

feiten kunnen worden gevonden die zulke vergelij-

kingen rechtvaardigen. Blunden’s waakzaamheid op

een ‘cyber-industrieel complex’ is dus terecht.

Nederlandse ontwikkelingenEn dan de Nederlandse ontwikkelingen. In decem-

ber 2011 heeft de Adviesraad Internationale Vraag-

stukken (AIV) het adviesrapport Digitale oorlogvoe-

ring gepubliceerd, waarin vragen worden behandeld

over ‘cyber’ binnen de context van internationaal

recht en militaire operaties. Mede op basis van dat

rapport heeft het Ministerie van Defensie de Defen-

sie Cyber Strategie ontwikkeld, die in juni 2012 is

gepresenteerd.

De strategie heeft zes speerpunten:

1. de totstandkoming van een integrale aanpak;

2. de versterking van de digitale weerbaarheid van

Defensie (defensief);

3. de ontwikkeling van het militaire vermogen om

cyber operations uit te voeren (offensief);

4. de versterking van de inlichtingenpositie in het

digitale domein (inlichtingen);

5. de versterking van de kennispositie en het

innovatieve vermogen van Defensie in het digi-

tale domein, met inbegrip van de werving en het

behoud van gekwalificeerd personeel (adaptief

en innovatief);

6. de intensivering van de samenwerking in natio-

naal en internationaal verband (samenwerking).

Kolonel Hans Folmer geeft binnen Defensie leiding

aan de Task Force Cyber waaronder alle activi-

teiten worden gecoördineerd. Eind 2013 zal

een Defensie Cyber Expertise Centrum

worden opgericht voor kennisop-

bouw en -deling; dit centrum zal

nauw gaan samenwerken met

het NCSC. En eind 2014

zal een Defensie Cyber

Commando worden

opgericht dat moet

kunnen “verdedigen,

vertragen, manoeu-

vreren en aanval-

len”. De begroting van 2013 laat een oplopende

investering zien: van 8 miljoen in 2013 naar 23

miljoen in 20163. Daarmee is Nederland voortvarend

bezig. Internationaal worden we serieus genomen;

zo is het AIV-rapport studiemateriaal geworden

bij de Minnesota State University4 (en dan niet als

voorbeeld van hoe het niet moet).

Wat betreft “cyber is bullshit” zijn we in Neder-

land denk ik nuchter en reëel bezig, wellicht meer

dan andere landen. In het lezenswaardige boek

Cyber warfare - Critical Perspectives (de NL ARMS

2012 publicatie) staat een artikel van LKol. Han

Bouwmeester (NATO), Kol. Hans Folmer (reeds

genoemd) en Kol. Paul Ducheine5 (NLDA) waarin

we lezen:

“Whether based on solid facts or an acute mani-

festation perhaps of the risk-society we live in, by

developing policies and capabilities, [NATO member

states that adopted the 2010 Strategic Concept]

are not mere responders to the cyber environment,

but are active agents that co-create the very reality

they actually fear. By introducing cyber security

and using terms like cyber threats, cyber attacks

and cyber warfare, the cyber environment has thus

been heavily militarised.”

Ook elders in dat boek, dat onder hoofdredactie van

Kol. Paul Ducheine staat, is kritische reflectie op

‘cyber’ te vinden. Vooral in het laatste hoofdstuk,

waar Sean Lawson overdrijvingen als “cyber-Pearl

Harbor” en “digital 9/11” grondig onderuit haalt

en pleit voor evidence-based policy op gebied van

cyberveiligheid.

Tot slotWaar geld en macht huizen is gezond

wantrouwen geboden. Vragen stellen is

een deugd, en duidelijk is dat ook de Ne-

derlandse overheid en het Nederlandse

bedrijfsleven in het streven naar

digitale veiligheid (on)voorziene

bijvangsten kunnen doen.

Daarbij kan worden gedacht

aan toename van identifica-

tie en aan verrijking en her-

gebruik van profielen over

ons. Het is dus zaak dat

kamerleden zich laten informeren en dat zij goed

geïnformeerde kritische vragen stellen bij voorge-

stelde wetgeving inzake internet, privacy en digitale

veiligheid. Overigens is er ook positieve bijvangst

te verwachten: de maatschappij als geheel zal baat

hebben bij verminderde kwetsbaarheid als gevolg

van alle inspanningen. Voor ons beveiligingsexperts

geldt dat wij ons beste beentje moeten voorzetten

voor zowel veiligheid als privacy. “Cyber is bull-

shit”? Nee. Wel is waakzaamheid, kalmte en ratio

geboden. Hoe kan bijvoorbeeld zonder bekentenis

met voldoende zekerheid kan worden bepaald wie

achter een cyberaanval zit alvorens met militaire

middelen wordt gereageerd? Ik heb geen idee. Ik

hoop dat besluitvormers zich niet laten (mis)leiden

door media en publieke opinie, en dat Westerse

inlichtingendiensten niet te misleiden zijn en elkaar

niet misleiden.

Meer leesvoer over digitale oorlogvoering is te vin-

den op mijn blog: http://blog.cyberwar.nl/2012/02/

selected-readings-in-cyberwar.html.

Madison Gurkha januari 20136

HET INTERVIEW

Welke bedreigingen ziet u voor Nederland?Digitale spionage is de grootste dreiging. Daarnaast zullen diverse actoren mogelijk invloed proberen uit te oefenen op de digitale omgeving van de Nederlandse staat, maar die dreiging is minder groot.

Er lijkt soms een misverstand over de taken van Defensie op het gebied van cyber, in de zin dat jullie niet de ‘firewall van Nederland’ zijn.We zijn inderdaad niet de firewall van Neder-land. Het Ministerie van Defensie heeft geen directe taak als het gaat om het veilig houden van de digitale grenzen van Nederland. De-fensie heeft drie hoofdtaken: ten eerste het beveiligen van het Nederlandse grondgebied en dat van bondgenoten, ten tweede het bijdragen aan de internationale rechtsorde, en ten derde het ondersteunen van civiele autoriteiten in geval van crisis of incidenten. Bij cyber als beïnvloeding van andermans digitale omgeving moet je je eerst afvragen: welke actoren zijn er, waar komt de aanval vandaan? En: wat is het doel van die aanval, de intentie van de aanvaller? Zolang de in-tentie niet is om de Nederlandse staat aan te vallen en schade toe te brengen vergelijkbaar aan de schade die toegebracht wordt bij een kinetische aanval, dan heeft Defensie geen directe taak.

Maar er is natuurlijk wel een grijs gebied. Stel dat kritieke infrastructuur van Neder-land digitaal wordt aangevallen, of een grote multinational die een belangrijke taak vervult voor Nederland.Wij opereren altijd alleen maar met een mandaat van de regering en de bijbehorende ‘rules of engagement’ waarin omschreven staat wat je in welke omstandigheden mag doen. Als in Nederland een kritieke infrastruc-tuur of een groot bedrijf wordt aangevallen dan zal altijd eerst duidelijk moeten worden gemaakt waar de dreiging vandaan komt. Zolang dat niet duidelijk is, is dat bedrijf zelf, of de eigenaar van de kritieke infrastructuur, verantwoordelijk voor z’n eigen bescher-ming. Anderzijds hebben we het NCSC, dat kijkt naar wat de bedreigingen zijn die er in algemeenheid op Nederland afkomen en die ook vanuit het Ministerie van Veiligheid en Justitie met partijen samen kan vaststellen hoe de beveiliging verbeterd kan worden. En als het dan helemáál fout gaat dan is er nog de ICT Response Board, een uit private en publieke partijen samengestelde groep, die kan ondersteunen.

Laatst was het nationale olie- en gasbe-drijf van Saudi Arabië, Aramco, slachtoffer van een serieuze cyberaanval. Dat heeft een behoorlijke impact, zoiets.Ja, dat heeft een behoorlijke impact. Stel

Madison Gurkha interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld. Deze keer een interview met kolonel ir. J.M. (Hans) Folmer, die binnen het Ministerie van Defensie leiding geeft aan de Taskforce Cyber.

CV Sinds zijn benoeming tot officier in

1986 heeft hij zowel operationele als technische functies in binnen-

en buitenland vervuld. Hij was hoofd van het EU operatiecentrum en heeft hij een Nederlands-Duits

Verbindingsbataljon gecomman-deerd. Ook was hij senior project-manager bij de Directie Materieel

en hoofd logistiek bij 1 Divisie.

2013Commandant Taskforce Cyber bij

het Ministerie van Defensie

2010US Army War College (Master in

Strategic Studies)

1995Technische Universiteit Delft

(Electrotechniek)

1986Benoeming tot officier

De komende jaren versterkt het Ministerie van Defensie haar digitale weerbaarheid en ontwikkelt zij het militaire vermogen om cyberoperaties uit te voeren. De Defensie Cyber Strategie geeft daaraan richting, samenhang en focus. Kolonel Hans Folmer is commandant van de Taskforce Cyber en belast met de aanvoering van het cyberprogramma binnen de krijgsmacht.

Madison Gurkha januari 2013 77

HET INTERVIEW

dat dat in Nederland gebeurt. Dan moeten we bekijken, en daarvoor hebben we onze inlichtingendiensten, waar de dreiging van-daan komt. Bij cyber wordt wel eens gezegd dat attributie heel erg lastig is, maar onze inlichtingendiensten gebruiken natuurlijk niet alleen cyber als informatiebron; er zijn ook andere bronnen die kunnen aangeven of die aanval vanuit een bepaalde bron komt. Op basis daarvan zal de regering moeten beslis-sen wat er gebeurt, wie wat moet doen. Als de regering vindt dat een bepaalde cyberaan-val een ‘act of war’ is, en een mandaat geeft aan Defensie om daartegen op te treden, dan komen wij pas in beeld.

Dat zou dan ook wellicht kunnen beteke-nen dat dat zowel op het gebied van cyber een tegenaanval zou kunnen betekenen, maar ook fysiek.Ja, de Adviesraad Internationale Vraagstuk-ken heeft daarover een advies gegeven. In dat advies staat dit inderdaad, op die manier. Daar staat ook aangegeven dat een der-gelijke aanval, tegenaanval, moet voldoen aan bepaalde eisen, maar ook dat die fysiek zou kunnen zijn. We moeten ons nog wel realiseren dat de regering dat advies wel on-dersteunt en richting kamer heeft gestuurd, maar dat de Tweede Kamer er nog steeds geen debat over heeft gevoerd.

Waar staat de Taskforce Cyber op dit mo-ment? En waar moet u de komende jaren naar toe?De aandacht ligt op dit moment bij het defensieve en het inlichtingenvermogen. We zijn bezig met het verstevigen van onze defensieve capaciteit, de DefCERT capaciteit, en we zijn bezig met het versterken en ver-groten van onze inlichtingencapaciteit. Daar ligt deze jaren de nadruk op. En tegelijkertijd zijn we bezig met het voorbereiden van de operationele capaciteit. Dat wil zeggen: het nadenken over een doctrine. Wat betekent ‘cyber’ nou in zo’n militaire operatie, bij inzet? Stel, je hebt zo’n operatie in Uruzgan zoals we die hebben gehad; wat doen je dan met cybercapaciteit, zowel defensief, inlichtingen en offensief? Uiteindelijk moeten we in 2014, 2015 een offensieve capaciteit neerzetten. Dat zal onderdeel uitmaken van het Defen-sie Cyber Commando, dat tegen die tijd opgericht moet worden. Voor die tijd hebben we al een Defensie Cyber Expertise Centrum, dat eind 2013 moet staan, waarin we kennis verzamelen, borgen en uitdragen.

Hoe breng je die kennis binnen eenheden?Daar zijn twee aspecten aan. Ten eerste, vroeger had je de uitspraak ‘every soldier is a spokesperson’. Iedere soldaat is tegenwoor-dig een informatiebron: iedere soldaat twittert of zit op Facebook en vertelt waar hij mee

bezig is. Cyber awareness is essentieel, We moeten iedere soldaat bewust maken van de gevaren en uitdagingen die het digitale do-mein biedt, zowel in zijn dagelijks leven als in zijn militaire leven. Cyber moet deel uitmaken van alle opleidingen, trainingen en oefenin-gen. En aan de andere kant moeten we ons bewust zijn van de capaciteiten van poten-tiele tegenstanders op gebied van cyber, dus zullen we cyber in het operationele plan-ningsproces mee moeten nemen, als aspect waarop uiteindelijk een commandant een be-slissing moet nemen. Een commandant zal in de toekomst, eigenlijk nu al, moeten weten hoe afhankelijk de tegenstander is van het digitale domein, wat zijn kwetsbaarheden zijn en wat zijn capaciteiten zijn. En van zichzelf moet hij dat ook weten. Op basis daarvan kan hij beslissingen nemen, en zeggen of hij cyber als instrument inzet of niet. Dat moeten we natuurlijk ook in opleidingen gaan brengen; we moeten dus commandanten gaan opleiden. Maar we moeten comman-danten ook voorzien van adviseurs, mannen die zowel kennis hebben van de operatie als kennis hebben van wat je met cyber kunt. Dat zijn niet de hackers, dat zijn gewoon de mensen die weten wat er mogelijk is.

Hoe gaat u al uw taken realiseren? Gaat u dat allemaal binnen Defensie organiseren? Of ziet u daar ook samenwerkingsvormen

Madison Gurkha januari 20138

voor buiten Defensie? U heeft een flinke kar te trekken de komende jaren.Er liggen een hoop opdrachten, maar voor het grootste gedeelte worden die binnen Defensie gerealiseerd. Natuurlijk niet zonder samenwerking. Wij werken samen met de verschillende partners bij MinVenJ, dus: het NCSC waar ik ook een liaison heb, de politie – KLPD met name –, maar ook met het projectteam Aanpak Cybercrime, MinEZ en MinEL&I over het gezamenlijk neerzetten van opdrachten voor research. We werken in dat kader weer samen met universiteiten, waarbij we vanuit de overheid ook kijken naar wat de universiteiten doen op dit gebied, wat ze onderzoeken, welke richting ze op gaan, en of wij daar voordeel mee kunnen hebben, of dat we misschien wel opdrachten hebben. We werken in internationaal verband samen met EU en NATO, en bilateraal met een aan-tal landen. We zijn allemaal aan het kruipen; je moet elkaar helpen opstaan en dan kun je daarna gaan lopen en rennen.

Hoe doet Nederland het eigenlijk in verge-lijking met andere NATO-landen?We zijn het tweede land dat een Defense Cyber Strategie heeft gepubliceerd; we zijn een van de weinige landen die aangeven welke kant we opgaan. Je hebt een aantal voorlopers: Amerika, het Verenigd Koninkrijk, je hebt een klein aantal volgers, daar hoort Nederland ook bij, samen met Noorwegen, Duitsland, en je hebt een groot aantal die nog niet zover zijn. We doen het zeker niet slecht.

Ziet u in de samenwerking ook nog een rol voor private organisaties?Ik had het expres niet genoemd want ik denk: ‘komt die vraag nog’, haha. Ja, ik denk zeker dat er noodzaak is voor PPS. We zitten allemaal in hetzelfde schuitje en hebben te maken met dezelfde dreigingen, dus je moet daar ook samen naar kijken. Daarom doen wij ook mee in het NCSC, waar die PPS gestalte moet krijgen, maar ik denk ook dat samen-werking tussen Defensie en private partners mogelijk moet zijn. Dan moet je naast de vertrouwde klant-leverancier verhouding ook denken aan meer strategische samenwer-king waarbij je nadenkt over uitwisseling van personeel, het detacheren van personeel bij elkaar. En aan cyberreservisten, het inzetten van mensen die in het bedrijfsleven werken en tijdelijk ingezet kunnen worden bij Defen-sie. Je moet gezamenlijk nadenken over ‘wat gebeurt er in de toekomst’, waar moeten we naartoe, waar moeten we aan werken; dus meer in de beleidsrichting. In die vormen kun je ook strategisch met elkaar samenwerken.

Even naar de offensieve taken die er wel-licht ooit aan zitten te komen. Hoe ziet u de risico’s daarvan?De risico’s zijn natuurlijk legio. Als je een cyberwapen inzet, ben je het kwijt. Sterker nog, het kan opgevangen worden en tegen je worden gebruikt. Je weet nooit of de kwets-baarheid waar je gebruik van maakt nog bij je tegenstander bestaat op het moment dat je het wapen inzet. Daar zul je iets op moeten vinden. Je zult altijd onbedoelde neven-

schade moeten proberen te voorkomen; het wapen moet heel precies alleen maar werken in een bepaalde omgeving en zich versprei-den binnen een bepaalde omgeving. Kortom, er zijn nog een hoop uitdagingen voordat je een echt geschikt cyberwapen hebt. Een cy-berwapen is een virus, een worm, een trojan of iets anders dat je inzet en loslaat, en dat zichzelf verder verspreidt. Dat is iets anders dan dat je ergens gaat inbreken waarbij je live contact hebt met een digitale omgeving, een netwerk van iemand, en je probeert daar binnen zijn informatiesysteem te komen. Eigenlijk zijn het meer dilemma’s dan risico’s: het zijn dingen die je moet oplossen voordat je het kunt inzetten. Daar zal nog heel veel ontwikkelingswerk aan vooraf gaan voordat we dat op een goede manier hebben.”

Hoe kijkt u op de kritiek dat het maken van cyberwapens onze eigen veiligheid schaadt, aangezien zo’n wapen ken-nis vereist over kwetsbaarheden die je omwille van inzetbaarheid van het wapen geheim moet houden?Er heeft laatst een stukje op security.nl gestaan over hoe ik daarover denk: het is een dilemma en we zijn er nog niet uit. Het is een feit, als jij een kwetsbaarheid in handen hebt die ook een kwetsbaarheid oplevert voor je eigen software of de digitale systemen in je eigen land, dan heb je een dilemma. En dan zal je van geval tot geval moeten bekijken wat je daarmee doet. Dat is écht een uitda-ging. Maar, uiteindelijk, prioriteit is verdedi-gen, is beschermen. Dus misschien is het niet eens zo’n ontzettend groot dilemma.

Hoe blikt u terug op de Defensie Innovatie Competitie, dit jaar met het thema ‘CY-BER Operations 2.0’? Heeft de competitie het gewenste effect gehad?De competitie heeft als doel om het Neder-landse MKB een kans te geven om een inno-verend product aan te bieden aan Defensie. We hebben een hele rij met innoverende producten voorbij zien komen die interes-sant zijn voor Defensie. Uiteindelijk heeft BusinessForensics gewonnen, daar gaan we mee aan de slag. Maar er zaten bij de andere finalisten ook nog een aantal goede ideeën waar mogelijk ook nog wel toekomst in zit. Dus ik denk dat het absoluut z’n doel heeft bereikt.

Heeft u nog antwoorden op vragen die we niet hebben gesteld?Nee. Wel wil ik opmerken dat ik blij ben dat jullie duidelijk onderscheid maken tussen de rol van Defensie en de rol van MinVenJ. Dat is goed.

“ We moeten ons realiseren dat de

digitale omgeving deel van ons

leven is geworden, en dat alles

wat in de reële wereld gebeurt,

ook gebeurt in de virtuele wereld”

het interview

Madison Gurkha januari 20139

Dit keer in de rubriek ‘De Hack’ vertelt Ralph Moonen van dochterbedrijf ITSX over het SNMP-lek. Het onderzoek heeft nogal wat stof doen opwaaien en is door verschillende media opgepakt.

DE HACK

worden uitgeschakeld of overgenomen, kan dit leiden tot significante schade, zowel voor de individuele organisatie als wellicht ook de Nederlandse maatschappij.

Het uitlezen van de Management Information Base (MIB) van deze apparatuur voorziet een aanvaller van waardevolle informatie en is daarmee in sommige gevallen al ernstig genoeg. Sommige systemen geven bijvoor-beeld een overzicht van alle ontbrekende ‘patches’. Met deze informatie kan een nog beter gerichte aanval worden opgezet. Daar-naast kan toegang tot deze componenten worden misbruikt voor complexere aanvallen zoals het afluisteren van netwerkverkeer of Man-in-the-Middle aanvallen.

Het verkrijgen van ongeautoriseerde toegang tot SNMP (via het internet) vormt hiermee een reële bedreiging voor bedrijven en orga-nisaties in Nederland en wij achten bewust-

Onze resultaten laten zien dat in Nederland enkele tienduizenden apparaten op afstand uit te lezen zijn met SNMP. Het gaat daarbij om een zeer grote verscheidenheid aan appa-raten, veelal kleine consumentenapparatuur van particulieren zoals ADSL modems en WiFi routers. Maar tussen de resultatenbevinden zich ook een aanzienlijk aantal grote Nederlandse bedrijven, internetprovi-ders en overheidsgerelateerde organisaties. In het scenario waarin deze componenten door een kwaadaardige aanvaller op afstand

SNMP-lek enkele tienduizenden apparaten op afstand uit te lezen met SNMP

In juli en augustus 2012 hebben ITSX

en Madison Gurkha een onderzoek

uitgevoerd naar de beveiliging

van publiek benaderbare internet

infrastructuurcomponenten in Nederland.

Denk bijvoorbeeld aan routers en

modems die de toegang tot het internet

mogelijk maken. Dit onderzoek heeft

zich toegespitst op het gebruik van het,

Simple Network Management Protocol

(SNMP). Dit protocol wordt gebruikt om

via het netwerk systemen te bewaken

en te configureren en kent bijzondere

beveiligingsconsequenties.

Ons onderzoek toont aan dat de risico’s

onvoldoende aandacht krijgen van

fabrikanten, service providers en beheerders

foto

Wie

tse

Bijl

sma

10Madison Gurkha januari 2013

DE HACK AGENDA

RedactieDaniël DragicevicLaurens HoubenRemco HuismanFrans KolléeMaayke van RemmenWard WoutsMatthijs Koot

HET COLOFON

Vormgeving & productieHannie van den Bergh / Studio-HB

Foto coverDigidaan

ContactgegevensMadison Gurkha B.V.Postbus 22165600 CE EindhovenNederland

T +31 40 2377990F +31 40 2371699 E info@madison-gurkha.com

Redactieredactie@madison-gurkha.com

BezoekadresVestdijk 95611 CA EindhovenNederland

Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.

14 mei 2013Black Hat Sessions XIDe Reehorst Ede, Nederlandhttp://www.blackhatsessions.com/Deze elfde editie van de Black Hat Sessions wordt georganiseerd door Madison Gurkha en staat in het teken van cyber security en alles wat daar-mee te maken heeft zoals cybercrime, cyberterrorisme, cyberwarfare. Meer over de Black Hat Sessions XI leest u in deze Update. Houd bovendien de website www.blackhatsessions.com in de gaten voor actuele informatie. Hier kunt zich ook inschrijven voor dit unieke evenement.

23 – 25 april 2013Overheid & ICT Jaarbeurs Utrechthttp://www.overheid-en-ict.nl/Overheid & ICT is hét platform voor ICT-toepassingen en –diensten voor de overheid.

31 juli 2013 t/m 4 augustus 2013Observe. Hack. Make. (OHM 2013)Geestmerambacht, Noord HollandOHM2013 is een internationale confe-rentie met als onderwerp technologie en beveiliging in een bijzondere vorm. Madison Gurkha is sponsor van deze zevende editie in een reeks van legen-darische hackerbijeenkomsten.

Als u op de hoogte wilt blijven van de laatste ontwikkelingen in de IT-beveiligingswereld dan zijn beurzen en conferenties de ideale gelegenheid om uw kennis te verrijken en om contacten op te doen. In de Madison Gurkha Update presenteren wij een lijst met interessante bijeenkomsten die de komende tijd zullen plaatsvinden.

wording hierover noodzakelijk, in combinatie met het nemen van de juiste maatregelen om problemen te voorkomen. Ons onder-zoek toont daarmee aan dat ondanks dat de problemen met SNMP al meer dan twintig jaar bekend zijn, kennelijk de risico’s die ermee gepaard gaan onvoldoende aandacht krijgen van fabrikanten, service providers en beheerders.

Vaak zijn door gezaghebbende instanties en onderzoekers uitspraken gedaan over de kwetsbaarheid van de internet infrastruc-tuur in Nederland. Allen hebben daarbij gewaarschuwd voor grote zwakheden en de mogelijkheden voor aanvallers om schade aan te richten, of in te breken in systemen en netwerken. Enkele recente tot de verbeel-ding sprekende voorbeelden en incidenten (bijvoorbeeld DigiNotar, Lektober, en het Dorifel/Citadel virus) hebben tot onderzoek geleid, maar dit is vrijwel altijd achteraf geweest, en de onderzoeken geven geen beeld van de staat van onze infrastructuur op dit moment.

Wij hebben onze onderzoeksresultaten van de SNMP-hack gepubliceerd op 1 novem-ber 2012 op de vakbeurs Infosecurity. Op diezelfde dag verscheen een interview met onderzoeker Ralph Moonen van ITSX in de Volkskrant. Tevens heeft het Nationaal Cyber Security Center (NCSC) een factsheet over SNMP gepubliceerd.

Voor alle artikelen die naar aanleiding van de SNMP hack in de media zijn verschenen en het volledige onderzoek inclusief scenario’s verwijzen wij graag naar de website http://www.madison-gurkha.com waar ook het paper kan worden gedownload.

Met ons onderzoek naar de beveiliging van SNMP in Nederland willen wij onze bijdrage leveren aan verdere bewustwor-ding omtrent beveiliging in het algemeen en willen wij meer duidelijkheid geven over de specifieke beveiliging van mogelijk kritieke componenten in de Nederlandse infrastructuur.

Naast de aanbevelingen van het NCSC raden wij bedrijven ook aan de volgende maatrege-len te overwegen: • Schakel SNMP uit indien dit niet wordt

gebruikt.• Maak gebruik van SNMPv3 met authentica-

tie en encryptie.• Wijzig standaardinstellingen zoals commu-

nity-strings ed.• Scherm de componenten af van directe

toegang vanaf het internet met behulp van een router of firewall.

• Filter SNMP-verzoeken in firewalls (wijzigen van de netwerkconfiguratie).

• Wijzig de community-string van de appara-tuur. Indien de aanvaller de community-string waarde niet kent, kan de MIB niet worden uitgelezen. In veel gevallen kan de community-string worden gewijzigd.

Met ons onderzoek

willen wij meer

duidelijkheid geven

over de specifieke

beveiliging van mogelijk

kritieke componenten

in de Nederlandse

infrastructuur

GEORGANISEERD DOOR MADISON GURKHA

Dit jaar organiseert Madison Gurkha alweer de 11e editie van de inmiddels befaamde Black Hat Sessions. Het thema dit jaar is: Cyber…Security. Het woord ‘cyber’ kent nogal wat achtervoegsels, waarmee zaken uit het echte leven te verplaatsen zijn naar de digi-tale wereld. Denk bijvoorbeeld aan cyberpesten, cybersex, cyber-punk en meer on-topic voor de Black Hat Sessions vooral ook aan cyberwarfare, cyberterrorisme en cybercrime.

Met trots presenteert Madison Gurkha voor de Black Hat Sessions XI prominente spre-kers die zeer goed aansluiten bij het thema Cyber…Security*:

Cyberwarfare ‘Cyberkolonel’ Hans Folmer, Commandant Taskfoce Cyber van Defen-sie zal ingaan op de cyberuitdagingen waarvoor defensie zich gesteld ziet. Wat zijn de cybertaken van defensie? Is Defensie de nationale fire-wall? Hoe zien de defensieve taken eruit en hoe de offensieve? Voor welke morele dilemma’s komen we te staan en hoe gaan we die over-winnen?

Cyberterrorisme Gerben Klein Baltink is vanuit de Nationaal Coördinator Terrorisme be-strijding (NCTV) secretaris van de Nationale Security Raad. De nationale Security Raad voorziet de Nederlands overheid gevraagd en ongevraagd van advies over relevante ontwikkelingen op het gebied van digitale vei-ligheid.

“Cyberterrorisme, ach dat loopt toch zo’n vaart niet...” Wie denkt dat nou niet? Wim Verloop van Digital Investigation zal iedereen hardhandig uit die zoete droom verlossen. Wim heeft een forensisch onderzoek geleid naar een cyberterroristische aanslag waarmee een hele grote organisatie maandenlang is stilgelegd.

Cybercrime Misdaad heeft tegenwoordig bijna altijd een digitale component of speelt zich zelfs volledig af in het digitale domein. Binnen de politie houdt het Team High Tech Crime zich bezig met het bestrijden van de meer ge-avanceerde vormen van cybercrime. Eileen Monsma zit als strategisch adviseur dicht op het vuur van de opsporing én de cruciale samenwer-king met publieke en private partijen.

Vanuit een geheel ander perspectief zal Rickey Gevers (Digital Inves-tigation) ingaan op het fenomeen cybercrime. Het hacken van allerlei computers op Universiteiten was een leuk tijdverdrijf, totdat Rickey in 2008 werd opgepakt voor een hack bij een Amerikaanse Universiteit in Michigan en uiteindelijk in 2011 werd veroordeeld.

Alex de Joode, security officer bij Leaseweb, heeft vooral last van cy-bercrime. Bij een dergelijke misdaad moeten immers computer worden gebruikt en waar vindt je die? Juist, bij een grote provider als Leaseweb.

Your Security is Our Business

DATUM14 mei 2012

LOCATIEDe Reehorst in Ede

TIJD09.30 tot 17.00 uur

INFORMATIE EN REGISTRATIEwww.blackhatsessions.com

BESTEMD VOOR UDe bijeenkomst wordt georgani-seerd voor beheerders van syste-men, netwerken en applicaties, security officers, interne auditors, het management en andere geïnteresseerden.

cyber.. . SECURITY

Black Hat Sessions XI

14 mei 2013 | De Reehorst in Ede

* Het programma is onder voorbehoud. Voor actuele informatie verwijzen wij u graag naar de website http://www.blackhatsessions.com/.

flyer BHS02.indd 1 09-01-13 16:21