12. Harald Vranken, Security in onderwijs en onderzoek

Security in onderzoek en onderwijs 

TouW-symposium 

24 november 2012 

Harald Vranken 

Met Met dank aan: aan: 

 

Marko van van Eekelen 

 

Arjan Kok Kok 

 

Julien Schmaltz 

 

Freek Verbeek 

 

Jens Haag 

 

Sven Kiljan 

 

Carlos Montes Portela 

 

afstudeerders

Agenda 

• Onderwijs 

– Security en IT 

– Software security 

– CPP IT security engineer 

• Onderzoek 

– afstudeeropdrachten 

– promotie-onderzoeken 

– post-doc onderzoek 

2

Cursus Security en IT 

• Breed overzicht van vakgebied IT security 

– Cryptografie 

– Beveiliging van software 

– Beveiliging van besturingssystemen en databases 

– Beveiliging van computernetwerken 

– Aspecten van beheer en privacy


• Nadruk op beveiliging in technische zin 

– Welke kwetsbaarheden zijn er in computersystemen? 

– Welke aanvallen zijn daardoor mogelijk? 

– Hoe kunnen we deze aanvallen voorkomen? 

– Hoe kunnen we geslaagde aanvallen ontdekken?


Doelen van security 

• Confidentialiteit 

– beschermen van 

vertrouwelijkheid, privacy 

• Integriteit 

– beschermen tegen 

modificeren (aanpassen, verwijderen) 

• Beschikbaarheid 

– beschermen van toegankelijkheid 

Confidentiality 

Availability 

Integrity 

Security


Cryptografie: oudheid (1) 

• 1900 vChr. hiëroglyfen in Egypte 

• 50 vChr. Caesar-cijfer 

– monoalfabetische substitutie 

– Voorbeeld: 

Klare tekst: HOI 

Cijfertekst: KRL 

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 

D E F G H I J K L M N O P Q R S T U V W X Y Z A B C


Cryptografie: oudheid (2) 

• WO II: Enigma 

– polyalfabetische substitutie 

– Voorbeeld: 

Klare tekst: HOI 

Cijfertekst: NXO


Cryptografie: tegenwoordig 

• Gefundeerd op wiskunde 

– AES 

– RSA 

klare tekst 

Dit is 

geheim 

encryptie- 

algoritme E 

encryptiesleutel 

K e 

cijfertekst 

Kbh bq 

azszbg 

decryptie- 

algoritme D 

decryptiesleutel 

K d 

klare tekst 

Dit is 

geheim


Beveiliging van databases 

Voorbeeld: SQL-injectie 

Vranken 

RAbn3%cd 

' OR 1=1 -- 

' OR 1=1 -- 

SELECT Username 

FROM Users 

WHERE (Username = 'Vranken‘) AND 

SELECT Username 

FROM Users 

(Password = 'RAbn3%cd‘) 

WHERE (Username = '' OR 1=1 --') AND 

(Password = '' OR 1=1 --')


Virtueel security lab 

• Zelf aan de slag in een computernetwerk als 

hacker, beveiliger en gebruiker


Virtueel security lab 

• Voorbeeld van opdracht: 

DMZ en firewalls 

firewall firewall 

internet demilitarized 

intranet 

zone


Access control


• Onderwijs 




• Onderzoek 




13

Cursus Software security 

• Software security 

– engineering software so that it continues to function 

correctly under malicious attack 

– understanding software-induced security risks and how 

to manage them 

• Kernprincipe: building security in


• Vulnerabilities 

– Validatie van invoer en uitvoer 

– Buffer overflow 

– Excepties en privileges 

• Ontwikkelen van beveiligde software 

– Risicomanagement en risicoanalyse 

– Statische codeanalyse 

– Security testing 

• Language-based security 

– Safety 

– Language-based access 

control 

– Informatieflowanalyse 

• Ethiek van software security


Oorzaken security-problemen 

• Connectivity, extensibility, complexity 

• 50% implementation-level bugs, 50% design-level flaws 

Number of vulnerabilities 

7,000 

6,000 

5,000 

4,000 

3,000 

2,000 

1,000 

0 

1995 

1996 

1997 

1998 

1999 

2000 

2001 

2002 

2003 

2004 

2005 

2006 

2007 

2008 

2009 

2010 

2011 

2012 

Year


Beste practices


Vulnerabilities 

• Meest voorkomende kwetsbaarheden 

met grote impact 

– SQL injection 

– buffer overflow 

– path manipulation 

– command injection 

– cross-site scripting (XSS) 

– HTTP response splitting 

… 

OWASP TOP 10


Buffer overflow 

• Arrays in C/C++ 

user data 

1 2 3 4 5 6 7 8 X 

char invoer[8] 

system data 

returnadres 

programma 

code


Vulnerabilities in webapplicatie


Cross-site scripting


Cross-site scripting


Statische codeanalyse: Fortify


Statische codeanalyse


Language-based access control 

• Java security 

– Sandbox 

– Code signing 

– Security policies


• Onderwijs 




• Onderzoek 




26

CPP IT Security Engineer 

• Gebaseerd op Security en IT en Software security 

• Talrijke extra’s 

– uitvoerige begeleiding (19 bijeenkomten) 

– extra onderwerpen (aansluitend op actualiteit) 

– practica


• Onderwijs 




• Onderzoek 




28

Onderzoek 

• Afstudeeropdrachten 

– BPM&IT afstudeerders 

• Promotie-onderzoeken 

– gedistribueerd virtueel security lab 

– digitaal betalingsverkeer 

– smart grids 

• Post-doc onderzoek 

29

Afstudeeronderzoek 

Afstudeeropdrachten BPM&IT 

Organisatie en beheer 

– De organisatie van botnetbestrijding in 

Nederland (Timo Schless; 2013) 

– Security-beleid en maatregelen rondom 

BYOD en de invloed op de privacy van 

werknemers (André Schild; 2013) 

– Cyberbeveiliging als bedrijfsproces 

(Gert-Jan Schouten; 2013) 

Social engineering 

– Online hengelen zonder vergunning: 

mogelijkheden, effectiviteit en acceptatie 

van maatregelen tegen phishing in 

financiële sector (Koen Dreijer; sep. 

2012) 

– Beveiliging tegen social engineering bij 

de Limburgse gemeenten (Jack van der 

Goes; dec. 2012) 

Security van cloud computing 

• Beweegredenen van overheidsorganisaties 

voor outsourcing naar cloud computing en 

de effecten op de informatiebeveiliging 

(René van Giersbergen; 2013) 

• Risico’s door de cloud: organisatorische en 

juridische aandachtspunten en 

maatregelen 

(Yvonne van Boxmeer; apr. 2012) 

• Databeveiliging in de cloud: maatregelen 

en aandachtspunten voor IaaS cloud 

computing 

(Jeroen Verhoeven; jun. 2012) 

• Technische impact van hybride cloud 

computing op IAM (Gert Kiewiet; dec. 

2011) 

• Succesfactoren voor implementatie van 

cloud IAM (Tim Piepers; 2013) 

30

Promotieonderzoek 

Gedistribueerd virtueel security lab 

• Jens Haag (buitenpromovendus) 

• Uitbreiden van virtuele security lab (stand-alone) naar 

gedistribueerd virtueel security lab 

student 

virtual internet 

docent student 

31


Architecturen: decentraal/centraal 

VH VH 

UNIX-Socket 

UML-Switch 

VH VH 

GH 

GH UNIX-Socket 

RBE RBE UML-Switch 

32


Toepassing in onderwijs 

• Inzet bij cursussen 

– Welke opdrachten; wat vinden studenten ervan? 

• Automatische feedback/grading 

33


Digitaal betalingsverkeer 

Kennisprogramma Veiligheid Digitaal Betalingsverkeer (KVDB) 

• doel: verbeteren van veiligheid, beveiliging en vertrouwen in 

digitale betalingsverkeer 

• samenwerking tussen banken, justitie en universiteiten 

• interdisciplinair onderzoek op 4 deelgebieden (4 AIO’s) 

– criminologie/politiekunde 

– psychologie 

– informatica 

– rechtswetenschap 

34


Digitaal betalingsverkeer 

• Sven Kiljan (AIO) 

• Technische beveiliging van digitaal betalingsverkeer 

– beveiliging 

– bruikbaarheid van de beveiliging 

• Plan 

– verkenning van gebruikte technische principes 

– analyse of principes voldoende veiligheid bieden 

– ontwerp van veilige(re) oplossingen 

– evaluatie van toekomstige verbeteringen 

35


Smart grids 

• Carlos Montes Portela (buitenpromovendus ) 

• Elektriciteitsvoorziening nu: statisch en voorspelbaar 

– aanbod volgt vraag: van centrales naar verbruikers 

– elektriciteitsnetten ontworpen voor piekbelasting 

• Elektriciteitsvoorziening in toekomst: dynamisch en onvoorspelbaar 

– vraag volgt aanbod: decentrale productie, andere vraag 

– dynamische, duurzame productie (weersafhankelijk) 

36


Smart grid 

• Netwerk met componenten en technologieën die 

– informatie beschikbaar maken over toestand en 

energiestromen in het netwerk 

– energiestromen stuurbaar maken 

• Onderzoek naar ICT-architectuur voor smart grid: 

functionaliteit + privacy + security 

37


Smart grid: privacy en security by design 

38


Smart grid 

• voorbeeld 

39

Post-doc onderzoek 

Formele verificatie 

• Freek Verbeek (post-doc) en Julien Schmaltz (UD) 

• EURO-MILS project (Multiple Independent Level of Security) 

– Europees consortium van 14 partners 

(8 bedrijven, 3 onderzoekinstituten, 3 universiteiten) 

• Online embedded systemen in kritische systemen 

(avionica en automotive) 

– vereist juiste mix van security en safety maatregelen 

– security architectuur gebaseerd op mechanismen voor 

separatie (virtualisatie) en gecontroleerde informatiestromen 

– OU: formele verificatie ten behoeve van security certificering

Afronding 

• Security: spannend, relevant en actueel 

• Meer weten? 

– Volg onderwijs! 

– Security en IT, Software security, CPP IT security engineer 

• Zelf onderzoek doen? 

– Doe een afstudeer- of promotieonderzoek! 

– Master BPM&IT, CS of SE 

41

12. Harald Vranken, Security in onderwijs en onderzoek

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?