19.09.2013 Views

Madison Gurkha Update 18

Madison Gurkha Update 18

Madison Gurkha Update 18

SHOW MORE
SHOW LESS

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

Your Security is Our Business<br />

<strong>18</strong> ApRIL 2013<br />

update<br />

DE COLUMN 2<br />

Hans Van de Looy<br />

HET NIEUWS 3<br />

• Overheid & ICT vakbeurs<br />

• Forensische expertise<br />

• Vacatures<br />

• Agenda<br />

HET EvENT 4<br />

Black Hat Sessions Part XI:<br />

Cyber…Security – 14 mei 2013<br />

HET INzICHT 6<br />

Het curieuze geval “42.0.20.80”<br />

door Matthijs Koot<br />

HET INTERvIEW 8<br />

Wim Verloop, Digital Investigation B.V.<br />

DE HACK 10<br />

Johan van Selst over de actuele<br />

ontwikkelingen rondom SSL<br />

DE KLANT 11<br />

Michael Wijnakker en Gerrit Berkouwer<br />

van het ministerie van Algemene Zaken<br />

Nog een paar weken en dan<br />

gaat de Black Hat Sessions<br />

Part XI: Cyber..Security van start.<br />

Meld u snel aan met de<br />

relatiekortingscode op pagina 4


2<br />

DE COLUMN<br />

“Medium ciphersuites” voor het beschermen<br />

van financiële of medische informatie?<br />

Geen goed idee<br />

<strong>Madison</strong> <strong>Gurkha</strong> april 2013<br />

Een van de belangrijkste problemen waar we toch alweer<br />

een tijdje mee worstelen zijn de zwakheden die zijn vastgesteld<br />

in TLSv1.0. Dit cryptografische protocol dat ondermeer<br />

gebruikt wordt voor de beveiliging van webverkeer<br />

heeft de afgelopen jaren al verschillende scheuren opgelopen.<br />

Ik denk daarbij aan aanvallen als BEAST, CRIME,<br />

Lucky 13 en onveilige ‘renegotiation’. Voor al deze aanvallen<br />

zijn weliswaar mitigerende maatregelen beschikbaar,<br />

maar geen daarvan zijn werkelijke oplossingen: het blijven<br />

lapmiddelen. Om een aanval als BEAST tegen te gaan<br />

moeten we zelfs een redelijk bejaarde ‘stream cipher’<br />

accepteren (RC4), en juist bij dit ‘cipher’ is in maart een<br />

zodanige zwakheid blootgelegd dat het nu tijd wordt om<br />

de problemen werkelijk op te lossen.<br />

En er zijn oplossingen beschikbaar: één daarvan is<br />

TLSv1.2. In augustus 2008 is dit protocol vastgelegd in<br />

RFC 5246. In maart 2011 is het verder gespecificeerd in<br />

RFC 6176.<br />

Helaas wordt het overgrote merendeel van het huidige<br />

webverkeer beschermd door SSLv3 of TLSv1.0. TLSv1.2<br />

wordt slechts door ongeveer 12% van alle websites ondersteund.<br />

Het is nog erger als we kijken naar de bekende<br />

browsers. Hoewel alle recente browsers TLSv1.0 ondersteunen,<br />

worden TLSv1.1 en 1.2 standaard uitsluitend<br />

door Safari 5 op iOS ondersteund. Chrome ondersteunt<br />

TLSv1.1 vanaf versie 22 en IE 8-10 (op Windows 7 of<br />

Windows 8) en Opera 10-12 (Linux, Mac OSX, Windows)<br />

ondersteunen TLSv1.1 als 1.2 wel, maar standaard staat<br />

deze ondersteuning uitgeschakeld. Firefox en Safari op<br />

Mac OSX ondersteunen alleen TLSv1.0.<br />

HET COLOfON<br />

Redactie<br />

Daniël Dragičević<br />

Laurens Houben<br />

Remco Huisman<br />

Frans Kollée<br />

Matthijs Koot<br />

Maayke van Remmen<br />

Ward Wouts<br />

In iedere <strong>Madison</strong> <strong>Gurkha</strong> <strong>Update</strong> vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende<br />

onderwerpen rondom IT-beveiliging. Deze keer een technische column door Hans Van de Looy.<br />

Vormgeving & productie<br />

Hannie van den Bergh /<br />

Studio-HB<br />

Foto cover<br />

Digidaan<br />

Contactgegevens<br />

<strong>Madison</strong> <strong>Gurkha</strong> B.V.<br />

Postbus 2216<br />

5600 CE Eindhoven<br />

Nederland<br />

Het wordt dus tijd dat we webservers inrichten waarbij<br />

gebruik gemaakt wordt van TLSv1.2 en dat leveranciers<br />

van webbrowsers de ondersteuning van TLSv1.1 en 1.2<br />

standaard gaan ondersteunen, want hoewel RC4 nog<br />

niet volledig gebroken is zijn de aangetoonde scheuren<br />

zodanig dat we echt af moeten van het ondersteunen<br />

van ‘medium cipher suites’ voor het beschermen van<br />

medische, financiële en andere vertrouwelijke persoonlijke<br />

gegevens. Voor meer informatie over deze materie<br />

verwijs ik u graag naar de rubriek ‘De Hack’ elders in deze<br />

<strong>Update</strong>.<br />

Natuurlijk hoop ik u allen te ontmoeten tijdens de Black<br />

Hat Sessions in Ede op 14 mei aanstaande of tijdens<br />

OHM 2013 deze zomer in de buurt van Geesterambacht<br />

om eens verder te filosoferen over deze en andere vraagstukken.<br />

Rest me u veel plezier te wensen bij het lezen van deze<br />

<strong>Update</strong>.<br />

Hans Van de Looy<br />

Partner, Principal Security Consultant<br />

T +31 40 2377990<br />

F +31 40 2371699<br />

E info@madison-gurkha.com<br />

Redactie<br />

redactie@madison-gurkha.com<br />

Bezoekadres<br />

Vestdijk 9<br />

5611 CA Eindhoven<br />

Nederland<br />

Voor een digitale versie van de <strong>Madison</strong> <strong>Gurkha</strong> <strong>Update</strong> kunt u terecht op www.madison-gurkha.com.<br />

Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.


In ‘Het Nieuws’ belichten we nieuwe ontwikkelingen in de<br />

IT-beveiligingswereld en rondom <strong>Madison</strong> <strong>Gurkha</strong>.<br />

VAKBEURS<br />

OVERHEID & ICT 2013<br />

<strong>Madison</strong> <strong>Gurkha</strong> en ITSX zijn dit jaar aanwezig met een beursstand<br />

op Overheid & ICT, het platform voor ICT-toepassingen en -diensten<br />

voor de overheid. U bent van harte welkom op onze stand B095.<br />

Wij zullen u op een interactieve manier kennis laten maken met<br />

onze zeer complexe en snel veranderende vakgebied. Wij hebben<br />

de volgende presentaties / demo voor u in petto:<br />

t t t<br />

DigiD Audit Procedureel<br />

Code voor informatiebeveiliging: ISO 27000 / 27001<br />

Live Hacking Demo<br />

Op onze website vindt u meer informatie over het beursprogramma<br />

en de bijbehorende tijdslots. Hier kunt u zich ook meteen registreren<br />

voor uw gratis toegangsbewijs.<br />

VACATURES<br />

Graag tot ziens op 23/24/25 april 2013<br />

in de Jaarbeurs Utrecht<br />

<strong>Madison</strong> <strong>Gurkha</strong> is een van de meest toonaangevende<br />

en gespecialiseerde IT-beveiligingsbedrijven in<br />

Nederland. Het is de ervaring, kennis en kunde van<br />

onze consultants die bepalend is voor kwaliteit en<br />

onontbeerlijk is in ons vakgebied. Waar tools stoppen<br />

gaan wij verder!<br />

Door onze aanhoudende groei zijn wij opzoek naar:<br />

Security Consultants (SC)<br />

Senior Security Consultants (SSC)<br />

Junior Security Consultants (JSC)<br />

Kijk voor meer informatie over de verschillende<br />

vacatures op onze website.<br />

t t t<br />

HET NIEUWS AgENDA<br />

©VNU Exhibitions Europe, Vakbeurs overheid & ICT 2012<br />

In de <strong>Madison</strong> <strong>Gurkha</strong> <strong>Update</strong> presenteren wij<br />

een lijst met interessante bijeenkomsten die de<br />

komende tijd zullen plaatsvinden.<br />

23 – 25 april 2013<br />

Overheid & ICT<br />

Jaarbeurs Utrecht<br />

http://www.overheid-en-ict.nl/<br />

Overheid & ICT is hét platform voor<br />

ICT-toepassingen en –diensten voor<br />

de overheid. U bent van harte welkom<br />

op onze stand B095. Wij zullen u op<br />

een interactieve manier kennis laten<br />

maken met onze zeer complexe en<br />

snel veranderende vakgebied. Meer<br />

over onze deelname aan de Overheid<br />

& ICT vakbeurs leest u hiernaast.<br />

14 mei 2013<br />

Black Hat Sessions XI<br />

De Reehorst Ede, Nederland<br />

http://www.blackhatsessions.com/<br />

Deze elfde editie van de Black Hat<br />

Sessions wordt georganiseerd door<br />

<strong>Madison</strong> <strong>Gurkha</strong> en staat in het teken<br />

van Cyber Security en alles wat<br />

daarmee te maken heeft zoals Cyber-<br />

Crime, CyberTerrorisme, CyberWarfare.<br />

Meer over de Black Hat Sessions<br />

Part XI leest u in deze <strong>Update</strong>.<br />

31 juli 2013 t/m 4 augustus 2013<br />

Observe. Hack. Make.<br />

Geestmerambacht, Noord Holland<br />

OHM2013 is een internationale conferentie<br />

met als onderwerp technologie<br />

en beveiliging in een bijzondere vorm.<br />

<strong>Madison</strong> <strong>Gurkha</strong> is sponsor van deze<br />

zevende editie in een reeks van legendarische<br />

hackerbijeenkomsten.<br />

Forensische expertise<br />

Ondanks alle inspanningen om IT-beveiligingsrisico’s te identificeren,<br />

verminderen en voorkomen, is het nooit helemaal uit te sluiten<br />

dat er toch een (poging tot) digitale inbraak of vandalisme plaats<br />

vindt. Maar wie is een betrouwbare partner bij een dergelijke crisissituatie?<br />

Om u een compleet dienstenpakket aan te bieden werkt <strong>Madison</strong><br />

<strong>Gurkha</strong> samen met met digitaal forensisch onderzoeksbureau<br />

Digital Investigation B.V.<br />

Elders in deze update leest u een uitgebreid interview met Wim<br />

Verloop, directeur van Digital Investigation B.V.<br />

<strong>Madison</strong> <strong>Gurkha</strong> april 2013 3


4<br />

Dit jaar organiseert <strong>Madison</strong> <strong>Gurkha</strong> alweer de 11e editie van de inmiddels befaamde Black Hat Sessions.<br />

HET EvENT<br />

14 mei 2013, De Reehorst Ede<br />

Black Hat Sessions Part XI<br />

Cyber…Security<br />

Het woord ‘cyber’ kent nogal wat achtervoegsels, waarmee zaken<br />

uit het echte leven te verplaatsen zijn naar de digitale wereld.<br />

Denk bijvoorbeeld aan cyberpesten, cybersex, cyberpunk en meer<br />

on-topic voor de Black Hat Sessions vooral ook aan cyberwarfare,<br />

cyberterrorisme en cybercrime.<br />

Wat als een aanvaller via het internet sluizen<br />

kan bedienen en gebieden onder water kan<br />

zetten? Wat als iemand onze drinkwatervoorziening<br />

kan manipuleren? Of onze gas- en<br />

elektriciteitstoevoer weet te saboteren?<br />

We denken er liever niet aan, en voor velen<br />

klinkt het nog theoretisch. Maar uit bekende<br />

incidenten, onder andere in het Midden-<br />

Oosten, en uit voortschrijdende technieken<br />

en methoden voor cyberaanvallen wordt<br />

duidelijk dat veilig gebruik van IT een belangrijke<br />

voorwaarde is voor maatschappelijke<br />

veiligheid.<br />

Om u meer kennis te geven over het onderwerp<br />

dat de gemoederen erg bezig houdt,<br />

heeft <strong>Madison</strong> <strong>Gurkha</strong> voor de Black Hat Sessions<br />

Part XI: Cyber…Security een interessant<br />

programma opgesteld met inspirerende<br />

sprekers. Of zij nu concreet betrokken zijn<br />

bij cybercrimebestrijding dan wel bij het<br />

verkrijgen van inzicht over de werkwijze van<br />

cybercriminelen: het sprekersprogramma is<br />

samengesteld uit prominenten die op een of<br />

andere manier betrokken zijn bij cybercrime –<br />

of bij cyberwarfare.<br />

Meld u aan als relatie van<br />

<strong>Madison</strong> <strong>Gurkha</strong><br />

De kosten voor deelname bedragen 265 euro<br />

excl. BTW per persoon. Documentatie en<br />

een uitgebreide lunch inbegrepen. Uiteraard<br />

geldt ook dit jaar voor alle relaties van<br />

<strong>Madison</strong> <strong>Gurkha</strong> een korting van 35 euro.<br />

Zo betaalt u dus maar 230 euro excl. BTW<br />

<strong>Madison</strong> <strong>Gurkha</strong> april 2013<br />

per persoon. Via het inschrijfformulier op de<br />

website www.blackhatsessions.com kunt u<br />

zich aanmelden als Deelnemer en hier de kortingscode<br />

BHSMG-14m opgeven. De korting<br />

wordt tijdens het afrekenproces automatisch<br />

verwerkt. Voor studenten hebben wij een<br />

speciaal tarief van 55 euro mogelijk weten te<br />

maken.<br />

Meld u aan als relatie van <strong>Madison</strong> <strong>Gurkha</strong> en ont-<br />

vang 35 euro korting op de reguliere deelnemersprijs.<br />

Vul de kortingscode BHSMG-14m in bij uw online-<br />

inschrijving en de korting wordt direct verrekend!


PROGRAMMA<br />

ONDERwERP<br />

GEwIJZIGD<br />

08:30 uur Ontvangst en registratie<br />

09:25 uur Opening door de dagvoorzitter<br />

09:30 uur Keynote: All you wanted to know about the<br />

Pobelka Botnet but were afraid to ask<br />

Wim Verloop, Managing Partner & Senior<br />

Forensic Analist, Digital Investigation B.V.<br />

Het Pobelka botnet verzamelde gedurende geheel<br />

2012 gegevens van zoveel mogelijk organisaties<br />

en Nederlanders. Dit resulteerde in een<br />

database van 750GB met gevoelige informatie<br />

over organisaties en individuen. Het botnet is<br />

wel opgeruimd, maar wat kunnen kwaadwillenden<br />

met de reeds verzamelde informatie? Digital<br />

Investigation is nauw betrokken geweest bij de<br />

opsporing en ontmanteling van dit botnet. Tijdens<br />

deze keynote geeft Wim Verloop een uitgebreide<br />

beschrijving van deze aanval op de Nederlandse<br />

samenleving. Er is al aardig wat bekend<br />

over deze aanval, maar heel veel ook nog niet.<br />

10:20 uur Onderweg naar een open, veilige en betrouwbare<br />

digitale samenleving<br />

Gerben Klein Baltink, Secretaris Cyber<br />

Security Raad<br />

De Cyber Security Raad voorziet de Nederlandse<br />

overheid gevraagd en ongevraagd van advies<br />

over relevante ontwikkelingen op het gebied van<br />

digitale veiligheid. Gerben Klein Baltink zal in zijn<br />

presentatie ingaan op het (economisch) belang<br />

van een goed functionerende digitale omgeving,<br />

de dreigingen die we ondervinden en de noodzaak<br />

om een balans te vinden tussen openheid<br />

en veiligheid.<br />

11:15 uur Koffiepauze / Informatiemarkt<br />

11:45 uur Cyber operations, will it change future warfare?<br />

Hans Folmer, Commandant Taskforce Cyber<br />

van Defensie<br />

De komende jaren versterkt het Ministerie van<br />

Defensie haar digitale weerbaarheid en ontwikkelt<br />

zij het militaire vermogen om cyberoperaties<br />

uit te voeren. De Defensie Cyber Strategie geeft<br />

daaraan richting, samenhang en focus. ‘Cyberkolonel’<br />

Hans Folmer, Commandant Taskforce<br />

Cyber bij de Defensiestaf, zal ingaan op de cyberuitdagingen<br />

waarvoor Defensie zich gesteld<br />

ziet. Wat zijn de cybertaken van Defensie? Is<br />

Defensie de nationale firewall? Hoe zien de defensieve<br />

taken eruit en hoe de offensieve? Voor<br />

welke morele dilemma’s komen we te staan en<br />

hoe gaan we die overwinnen? Op deze en andere<br />

vragen zal Hans Folmer een antwoord geven<br />

tijdens zijn presentatie.<br />

SPONSORS & MEDIA PARTNERS<br />

12:30 uur Lunch / informatiemarkt<br />

13:30 uur If you generate 3-4% of all global traffic, how<br />

do you handle abuse?<br />

Alex de Joode, Senior Regulatory Counsel<br />

and Liaison Officer, LeaseWeb<br />

What do you need to become a good netizen?<br />

How do you ensure abuse is handled in a timely<br />

fashion and what programmes has LeaseWeb<br />

developt to fight cybercrime? This presentation<br />

will give you an insight on how one of the largest<br />

self-managed dedicated hosting companies on a<br />

daily basis fights cybercrime in all it’s facets.<br />

14:20 uur The black with blue and gold hat session<br />

Eileen Monsma, Advisor, Poltie - Team High<br />

Tech Crime<br />

Gedurende deze presentatie wordt het publiek<br />

meegenomen in de wereld van het Team High<br />

Tech Crime van de politie. Gewapend met hoogwaardige<br />

expertise zet het team zich in voor de<br />

bestrijding van de meest ondermijnende in innovatieve<br />

vormen van cybercrime. Er wordt fors<br />

uitgebreid, maar uit zichtbare dreigingen blijkt<br />

dat black hats nog minder om capaciteit verlegen<br />

zitten en doelwitten voor het uitkiezen hebben.<br />

Welke ontwikkelingen zien we in de cyber<br />

underground? Welk recherchewerk gaat schuil<br />

achter grote incidenten? En hoe kunnen we onze<br />

krachten nog beter bundelen om Nederland onaantrekkelijk<br />

te maken voor cybercriminelen?<br />

15:15 uur Koffiepauze / Informatiemarkt<br />

15:45 uur Gebruik de (criminele) hacker. Zij bepalen<br />

jouw toekomst<br />

Rickey Gevers<br />

Het hacken van allerlei computers op Universiteiten<br />

was een leuk tijdverdrijf, totdat Rickey in<br />

2008 werd opgepakt voor een hack bij een Amerikaanse<br />

Universiteit in Michigan en uiteindelijk<br />

in 2011 werd veroordeeld. Rickey zal in zijn presentatie<br />

uitgebreid ingaan op wat hij heeft meegemaakt,<br />

hoe hij aankijkt tegen de Nederlandse<br />

hackerwereld en hoe we met veroordeelde hackers<br />

om zouden moeten gaan.<br />

16:35 uur Afsluiting door de dagvoorzitter<br />

16:40 uur Borreluur / Informatiemarkt<br />

HET EvENT<br />

<strong>Madison</strong> <strong>Gurkha</strong> april 2013 5


6<br />

In de rubriek “Het Inzicht” stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Deze keer geeft Matthijs Koot meer<br />

inzicht in het curieuze geval “42.0.20.80”.<br />

HET INzICHT<br />

Deze keer een Inzicht op het snijvlak van technologie en, vooruit,<br />

internationale betrekkingen. Een vriend vertelde me vorig jaar dat zijn<br />

computer, een MacBook, al langere tijd af en toe niet leek te kunnen<br />

verbinden met Google. In december was ik bij hem op bezoek, en<br />

deed het probleem zich opnieuw voor. Ik kroop achter zijn systeem,<br />

startte tcpdump en probeerde www.google.com te openen in Firefox.<br />

In het opgevangen netwerkverkeer zag ik SYN-pakketten naar TCPpoort<br />

80 en TCP-poort 443 op het IP-adres 42.0.20.80. Die pakketten<br />

werden beantwoord met RST-pakketten: geen gehoor, dus. Een<br />

WHOIS-query geeft de volgende informatie bij 42.0.20.80:<br />

inetum 42.0.16.0 – 42.0.23.255<br />

netname CHINANET-GD<br />

descr CHINANET Guangdong province network<br />

descr Data Communication Division<br />

descr China Telecom<br />

country CN<br />

admin-c CH93-AP<br />

tech-c IC83-AP<br />

status ALLOCATED PORTABLE<br />

remarks service provider<br />

mnt-by APNIC-HM<br />

mnt-lower MAINT-CHINANET-GD<br />

mnt-irt IRT-CHINANET-CN<br />

source APNIC<br />

<strong>Madison</strong> <strong>Gurkha</strong> april 2013<br />

Het curieuze geval<br />

“42.0.20.80”<br />

Een Google-domein dat naar een Chinees IP-adres<br />

wordt vertaald? Google zal beslist geen IP-adresruimte<br />

gebruiken die zij niet zelf onder beheer heeft; zelfs niet<br />

voor www.google.cn, laat staan www.google.com.<br />

Drogdenken<br />

Mijn brein associeert “Guangdong” met digitale<br />

shennanigans, en “China Telecom” met de<br />

claim in het Mandiant APT1-rapport dat China<br />

Telecom “provided special fiber optic communications<br />

infrastructure for [Unit 61398] in<br />

the name of national defense.” (“Unit 61398”<br />

wordt aangewezen als vermoedelijke bron van een<br />

lange reeks serieuze spionageactiviteiten.) Maar goed, dat<br />

is drogdenken (affirmation of the consequence), en ik moet me<br />

bij de feiten houden.<br />

Om uit te sluiten dat het probleem alleen in de computer van mijn<br />

vriend zat verbond ik mijn eigen laptop met zijn netwerk en draaide<br />

“host –t www.google.com”. Opnieuw luidde het antwoord<br />

“www.google.com has address 42.0.20.80”.<br />

Vervolgens zocht ik via een zoekmachine naar “42.0.20.80”. Uit de<br />

zoekresultaten blijkt dat dat IP-adres sinds ten minste 2009 wordt<br />

geassocieerd met verbindingsproblemen bij meerdere Google-domeinen,<br />

waaronder www.google.com, talk.google.com, dl-ssl.google.<br />

com, v8.lscache4.c.youtube.com en www.picasaweb.google.com.<br />

Hoewel ik eigenlijk eerst nog andere tests moest uitvoeren, besloot ik<br />

op Twitter te vragen:<br />

What’s up with @Google domains incidentally resolving to<br />

42.0.20.80, owned by China Telecom (Guangdong)? Is that bonafide?<br />

Daarop antwoordde @Yafsec (Edwin van Andel) het volgende:<br />

@mrkoot If the resolver uses gethostbyname, it expects ipv4.<br />

When on ipv6 it apparently uses the first 4 bytes of the ipv6 address<br />

as ipv4.<br />

Uit “host -t aaaa www.google.com” wordt duidelijk dat er een IPv6<br />

adres aan dat domein is gekoppeld: “www.google.com has IPv6<br />

address 2a00:1450:4013:c00::63”. En zie daar: de eerste vier bytes<br />

“2a00:1450” zijn de hexadecimale notatie van 42.0.20.80. Eureka!


Bij verder testen merkte ik dat op zowel mijn eigen systeem als het<br />

systeem van mijn vriend, het domein www.google.com soms werd<br />

vertaald naar 42.0.20.80, en soms naar een correct IPv4-adres van<br />

Google. Deze wispelturigheid bleek echter te omzeilen door niet www.<br />

google.com te gebruiken, maar ipv6.l.google.com, een domein waaraan<br />

geen IPv4-adres is gekoppeld, maar uitsluitend een IPv6-adres.<br />

Probleem ligt bij Conceptronic -router<br />

Het probleem kon als volgt worden gereproduceerd vanaf elke<br />

computer die via die router met internet werd verbonden. Eerst<br />

moet een IPv4-lookup worden uitgevoerd op dat domein: “host -t<br />

a ipv6.l.google.com”. Dat resulteert in de melding “ipv6.I.google.<br />

com has no A record”. Daarna moet een IPv6-lookup worden gedaan:<br />

“host -t aaaa ipv6.l.google.com”. Dat resulteert in de melding<br />

“ipv6.l.google.com has IPv6 address 2a00:1450:400c:c05::68”.<br />

Tenslotte moet de IPv4-lookup opnieuw worden uitgevoerd. Dat resulteert<br />

nu in de melding “ipv6.l.google.com has address 42.0.20.80”.<br />

Duidelijk was dat de fout waarschijnlijk ligt in de router van mijn<br />

vriend: een Conceptronic C54APRB2+ met firmware uit 2008 (er is<br />

geen update beschikbaar).<br />

Dit verhaal heb ik eerder op mijn persoonlijke blog gepubliceerd 1 . In<br />

een reactie werd gesuggereerd dat het probleem zou kunnen liggen<br />

in dproxy-ngen, dat volgens de indiener van de reactie vaak wordt gebruikt<br />

in oude DSL modems. Die software blijkt inderdaad te draaien<br />

op de Conceptronic-router: de ‘root cause’ lijkt gevonden.<br />

Vragen stellen<br />

Maar nu is de vraag: hoeveel (thuis)routers vertonen dit gedrag<br />

momenteel, wereldwijd? Is het aantrekkelijk voor “de Chinezen” om<br />

dit gedrag te misbruiken, bijvoorbeeld door op 42.0.20.80, indien een<br />

inkomende verbinding afkomstig is vanaf “interessante” Westerse<br />

IP-adresruimte, nepversies van diverse Google-websites aan te<br />

bieden om daarmee credentials te onderscheppen en/of computers<br />

te besmetten met malware? En: naar welk IPv4-adres vertalen de<br />

eerste 4 bytes van IPv6-adresruimte van andere domeinen dan die<br />

van Google?<br />

HET INzICHT<br />

Om die laatste vraag te beantwoorden heb ik gekeken naar de top<br />

1000 meestbezochte websites volgens Google’s “doubleclick adplanner”<br />

2 en naar de lijst van 2000 Nederlandse websites die ik in oktober<br />

2012 heb gebruikt bij een onderzoekje naar third-party content op Nederlandse<br />

websites 3 . Dat levert leuke feitjes op: zie de tabel hieronder<br />

voor een selectie daarvan.<br />

De resultaten laten zien dat het fenomeen verschillende kanten op<br />

werkt: gebruikers van Google kunnen uitkomen op een Chinees<br />

IP-adres, maar omgekeerd kunnen bezoekers van de website van<br />

Huawei, de Chinese telecomfabrikant die door Amerikanen wel eens<br />

is beschuldigd van spionage, terechtkomen op een Amerikaans IPadres.<br />

De tabel laat zo diverse internationale dwarsverbanden zien.<br />

Brakke router<br />

Ik acht het zeer onwaarschijnlijk dat landen werkelijk misbruik maken<br />

van deze situatie om elkaar te besmetten: het is een eigenaardig<br />

fenomeen dat aan het verdwijnen is omdat oude routers worden<br />

vervangen door nieuwe die de bug niet bevatten. Mocht u zich toch<br />

zorgen maken, doorloop de controlestappen:<br />

1. host -t a ipv6.l.google.com<br />

2. host -t aaaa ipv6.l.google.com<br />

3. host -t a ipv6.l.google.com<br />

Als bij stap 3 “42.0.20.80” in de uitkomst staat, heeft u een brakke<br />

router. En dan is hier een workaround: stel op uw computer een<br />

externe DNS-server in, bijvoorbeeld die van uw ISP. De bug treedt<br />

alleen op wanneer uw router zélf als DNS-server staat ingesteld (de<br />

standaardinstelling).<br />

Werkelijk, het internet is nog net zo’n avontuur als ik me herinner van<br />

mijn tienerjaren.<br />

1 http://blog.cyberwar.nl/2012/12/the-curious-case-of-4202080.html<br />

2 http://www.google.com/adplanner/static/top1000/<br />

3 http://www.nu.nl/internet/2947863/overheidssites-sturen-gegevens-derden.html<br />

Domeinnaam Toelichting IPv6-adres IPv4-misinterpretatie IPv4-geolocatie<br />

www.huawei.com Chinese telecomfabrikant 2001:450:2002:384::40d6:ce0a 32.1.69.2 VS<br />

www.facebook.com Facebook 2a03:2880:10:1f02:face:b00c::8 42.3.40.128 Hongkong<br />

www.yahoo.com Yahoo 2a00:1288:f006:1fe::3000 42.0.<strong>18</strong>.136 China<br />

www.bt.com British Telecom 2a00:2381:ffff::1 42.0.35.129 China<br />

www.europa.eu Officiële website van EU 2a01:e0b:1:143:62eb:69ff:fe8f:16e6 42.1.224.177 China<br />

www.att.com Amerikaanse telco 2a02:26f0:32:2:9800::90e 42.2.38.240 Hongkong<br />

www.yandex.ru Russische zoekmachine 2a02:6b8::3 42.2.107.131 Hongkong<br />

www.netflix.com VS, video-on-demand 2a01:578:3::b022:b932 42.1.87.131 Vietnam<br />

www.ocn.ne.jp Japanse ISP 2001:380:516:4900::1:1 32.1.56.5 VS<br />

www.uol.com.br Braziliaanse ISP 2804:49c:319:430::100 40.4.73.195 VS<br />

www.free.fr Franse ISP 2a01:e0c:1:1599::1 42.1.224.193 China<br />

www.t-online.de Duitse ISP 2003:2:4:164:217:6:164:162 32.3.36.22 VS<br />

www.usps.com Amerikaanse postdienst 2a02:26f0:32:2:8d00::1387 42.2.38.240 Hongkong<br />

www.elmundo.es Spaanse krant 2001:67c:2294:1000::f199 32.1.103.194 VS<br />

www.drugs.com Amerikaanse medische encyclopedie 2a02:26f0:32:2:9800::19b8 42.2.38.240 Hongkong<br />

www.seznam.cz Tsjechische zoekmachine 2a02:598:1::3 42.2.89.129 Hongkong<br />

www.sapo.pt Portugese ISP en zoekmachine 2001:8a0:2104:ff:213:13:146:140 32.1.138.2 VS<br />

<strong>Madison</strong> <strong>Gurkha</strong> april 2013 7


8<br />

HET INTERvIEW<br />

Wanneer is Digital Investigation opgericht<br />

en hoe heeft het bedrijf zich tot op heden<br />

ontwikkeld?<br />

Digital Investigation is in 2006 ontstaan en<br />

heeft zich in de eerste jaren voornamelijk op<br />

de internationale markt gericht. Dit als een<br />

direct gevolg van de samenwerking met Jess<br />

Garcia die is ontstaan tijdens bijeenkomsten<br />

en trainingen van het SANS Institute waar ik<br />

in 2006 twee forensische opleidingen heb<br />

gevolgd. Ik ben met Jess de halve wereld<br />

over geweest en heb daardoor veel praktijkervaring<br />

kunnen opdoen in grote forensische<br />

onderzoeken, e-discovery projecten en<br />

incident response activiteiten. We werkten<br />

in die tijd voor een aantal grote Amerikaanse<br />

advocatenkantoren, voor banken, verzekeringsmaatschappijen<br />

en multinationals. De<br />

werkwijze van Jess ligt op heel hoog niveau,<br />

het was in het begin dan ook echt aanpoten<br />

om alles precies te laten lopen zoals Jess<br />

eiste. Het is een geweldige, intensieve en<br />

leerzame ervaring geweest waarbij ook<br />

vreselijk gelachen is. Vanaf 2008 ben ik me<br />

gaan richten op de Nederlandse markt en<br />

kreeg daar eigenlijk vrij makkelijk toegang<br />

toe. In 2009 heb ik de stap gewaagd om<br />

mensen in dienst te gaan nemen, resulterend<br />

in een club van 10 man op het moment van<br />

schrijven. Het is hard gegaan!<br />

<strong>Madison</strong> <strong>Gurkha</strong> april 2013<br />

<strong>Madison</strong> <strong>Gurkha</strong> interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld. Deze keer een<br />

interview met Wim Verloop, directeur van Digital Investigation B.V.<br />

Ondanks alle inspanningen om<br />

IT-beveiligingsrisico’s te identificeren,<br />

verminderen en voorkomen, is het nooit<br />

helemaal uit te sluiten, dat er toch een<br />

(poging tot) digitale inbraak of vandalisme<br />

plaats vindt. Om u een compleet<br />

dienstenpakket aan te bieden werkt <strong>Madison</strong><br />

<strong>Gurkha</strong> samen met Digital Investigation B.V.<br />

Het forensisch ICT onderzoek wordt verricht<br />

door een team bestaande uit 10 gedreven<br />

en gecertificeerde forensische professionals,<br />

met Wim Verloop aan het roer.<br />

Wat zijn de belangrijkste diensten die<br />

Digital Investigation levert en aan wat soort<br />

klanten?<br />

Wij leveren voornamelijk digitaal forensisch<br />

onderzoek en incident response aan eigenlijk<br />

allerlei soorten bedrijven en instellingen. Als<br />

ik naar ons klantenbestand kijk zie ik daarin<br />

niet direct een zwaartepunt in een bepaalde<br />

sector en is dus eigenlijk heel breed wat<br />

dat betreft. Daarnaast ben ik sinds 2008<br />

Gerechtelijk Deskundige en word in die<br />

hoedanigheid ook regelmatig betrokken bij<br />

strafzaken via Rechtbanken en Gerechtshoven<br />

waarbij digitale gegevens een cruciale rol<br />

spelen. Dit zijn eigenlijk altijd wel bijzondere<br />

zaken die de nodige technische uitdagingen<br />

vormen maar geweldig zijn om te doen. We<br />

geven ook steeds vaker trainingen omdat het<br />

onderwerp Cybercrime op dit moment de<br />

gemoederen erg bezig houdt en men blijkbaar<br />

behoefte heeft aan kennis. De laatste<br />

ontwikkelingen is dat wij ook Legal Services<br />

aanbieden op het gebied van civielrechtelijke<br />

zaken. Dit betreft vooral het doen van vorderingen<br />

op personen of organisaties voor en<br />

namens klanten.<br />

Hoe vullen de diensten van Digital Investigation<br />

en <strong>Madison</strong> <strong>Gurkha</strong> elkaar aan?<br />

Digital Investigation biedt hoofdzakelijk<br />

reactieve dienstverlening, daarbij rijst vaak de<br />

CV<br />

2007-heden<br />

Senior Forensic Analyst Digital<br />

Investigation en One eSecurity<br />

2008<br />

Gerechtelijk Deskundige<br />

2006<br />

Certificering als GIAC Certified<br />

Forensic Analist via het SANS<br />

Instituut<br />

1994 – 2007<br />

Manager Information Systems<br />

Nederlandse Omroep Stichting<br />

1985 – 1993<br />

Studie Informatica aan de Vrije<br />

Universiteit Amsterdam


vraag: hoe had dit incident nou voorkomen<br />

kunnen worden? Het beantwoorden van die<br />

vraag in een bredere context dan het incident<br />

of het onderzoek is vaak erg belangrijk voor<br />

de klant. Daarin is <strong>Madison</strong> <strong>Gurkha</strong> de perfecte<br />

aanvulling op het dienstenpakket van<br />

Digital Investigation. Andersom werkt het<br />

overigens ook: als klanten een incident hebben<br />

en <strong>Madison</strong> <strong>Gurkha</strong> wordt benaderd voor<br />

ondersteuning, kunnen wij in actie komen.<br />

24x7 in heel Europa en daarbuiten.<br />

Rickey Gevers, die veroordeeld is geweest<br />

voor het hacken van een Amerikaanse<br />

Universiteit, is bij Digital Investigation in<br />

dienst getreden. Hoe zijn de reacties daarop<br />

geweest van klanten?<br />

Juist partijen die van oorsprong dicht tegen<br />

de politiewereld aan zitten reageerden<br />

heel positief, dat is anders dan ik het had<br />

ingeschat. Eigenlijk hebben we alleen maar<br />

positieve reacties gekregen en nog geen vragen<br />

gehad als “is die gast wel te vertrouwen<br />

eigenlijk?”. Het heeft alles te maken met de<br />

verbluffende expertise van Rickey op zijn vakgebied<br />

Cybercrime. Het gaat niet alleen om<br />

de technische kennis, het is het hebben van<br />

brede én diepgaande kennis van dat wereldje<br />

dat hacken heet. Hoe ze (samen)werken,<br />

hoe ze denken, wie je moet kennen etc. En<br />

bovendien is hij internationaal gezien niet de<br />

enige veroordeelde hacker die inmiddels een<br />

baan krijgt. Dus kortom voor Digital Investigation<br />

een geweldige aanwinst.<br />

Welke ontwikkelingen zie je op het gebied<br />

van Cybercrime en forensische dienstverlening?<br />

Mijn verwachting is dat op het gebied van<br />

Cybercrime de dienstverlening meer gaat opschuiven<br />

naar het preventieve. Dat heeft naar<br />

mijn idee twee richtingen. Enerzijds wil men<br />

meer actieve participatie van partijen zoals wij<br />

in het bewaken van netwerken, monitoring<br />

en dergelijke. Anderzijds denk ik dat het verkrijgen<br />

van goede inlichtingen over regionale<br />

of bredere (op handen zijnde) aanvallen veel<br />

aandacht gaat krijgen op relatief korte termijn.<br />

Voor wat betreft het forensische gebied kijk ik<br />

daar op vergelijkbare manier tegenaan.<br />

Je spreekt ook op de Black Hat Sessions op<br />

14 mei a.s. Kun je al een tipje van de sluier<br />

oplichten?<br />

Zoals wellicht bekend, ging mijn oorspronkelijke<br />

lezing over een cyber terroristische aanslag<br />

in het Midden-Oosten, maar daar mag ik<br />

helaas bij nader inzien toch niets over vertellen.<br />

Ik heb samen met mijn collega Rickey<br />

Gevers nagedacht over een onderwerp dat<br />

minstens net zo interessant en belangrijk is<br />

voor het publiek. Ik zal het gaan hebben over<br />

HET INTERvIEW<br />

het Pobelka botnet waarbij Digital Investigation<br />

zeer nauw betrokken is geweest. Uit het<br />

onderzoek dat door Digital Investigation is<br />

verricht, is gebleken dat ten minste 264.339<br />

systemen zijn besmet door het Pobelka<br />

botnet. Vele duizenden (grote) bedrijven,<br />

maar ook particulieren zijn door dit botnet<br />

besmet, waardoor zeer gevoelige informatie<br />

in handen van cybercriminelen is gekomen.<br />

Er is al aardig wat bekend over deze aanval,<br />

maar heel veel ook nog niet...<br />

Digital Investigation B.V.<br />

Sumatralaan 45<br />

Media Park, Media Gateway B<br />

1217 GP Hilversum<br />

E info@digital-investigation.eu<br />

T 035 - 677 44 11<br />

w www.digital-investigation.eu<br />

<strong>Madison</strong> <strong>Gurkha</strong> april 2013 9


10<br />

DE HACK<br />

RC4<br />

RC4 is een populair versleutelingsalgoritme<br />

dat al een tijdje meegaat: het is in 1987<br />

ontwikkeld door de bekende cryptograaf Ron<br />

Rivest (de ‘R’ in RSA). Het is het standaardalgoritme<br />

in veel communicatieprotocollen,<br />

zoals remote desktop (RDP), bittorrent en de<br />

wireless-protocollen WEP en WPA-TKIP. In<br />

SSL/TLS kan er gekozen worden uit verschillende<br />

algoritmes: naast RC4 wordt daar ook<br />

vaak AES gebruikt.<br />

RC4 is een ‘stream cipher’, wat wil zeggen<br />

dat waardes uit de invoer een-voor-een worden<br />

versleuteld. Dit in tegenstelling tot ‘block<br />

ciphers’, waarbij data in blokken tegelijkertijd<br />

versleuteld wordt. Bij een ‘stream cipher’<br />

wordt een relatief kleine sleutel (zeg 40 of<br />

128 bits) gebruikt om een lange rij willekeurige<br />

waardes te genereren, de sleutelstroom<br />

(of ‘one-time pad’). Bij versleuteling worden<br />

invoerwaardes via een XOR-operatie gecombineerd<br />

met waardes uit de sleutelstroom.<br />

Echt willekeurig<br />

Van RC4 was al bekend dat de sleutelstroom<br />

niet volledig willekeurige waardes bevatte<br />

bij gerelateerde sleutels, zoals bij WEP<br />

gebruikelijk was. Eerder onderzoek heeft<br />

bovendien aangetoond dat zelfs bij totaal<br />

ongerelateerde sleutelwaardes bepaalde<br />

waardes bovengemiddeld vaak voorkomen<br />

op enkele vaste posities in de uitvoerstroom.<br />

Hierdoor werd RC4 al een tijdje als minder<br />

veilig beschouwd.<br />

<strong>Madison</strong> <strong>Gurkha</strong> april 2013<br />

Dit keer in de rubriek ‘De Hack’ vertelt Johan van Selst, security consultant bij <strong>Madison</strong> <strong>Gurkha</strong>, meer over de actuele<br />

ontwikkelingen rondom SSL.<br />

Op 12 maart dit jaar heeft professor Dan Bernstein van de TU Eindhoven een<br />

presentatie gegeven waarin hij kwetsbaarheden in het RC4-versleutelingsalgoritme<br />

bekend maakte. Twee weken later publiceerde het Nationaal Cyber Security<br />

Centrum (NCSC) een beveiligingsadvies getiteld “Gebruik RC4 in TLS ontraden”.<br />

RC4 was op dat moment wereldwijd het meest gebruikte versleutelingsalgoritme<br />

voor de beveiliging van websites (via TLS).<br />

Bernstein en onderzoekers van de Royal Holloway<br />

University stellen dat het probleem veel<br />

groter is. Zij hebben aangetoond dat het RC4algoritme<br />

vaste voorkeurwaardes oplevert<br />

voor elke positie in het begin van de sleutelstroom,<br />

ongeacht de gebruikte sleutel.<br />

Om deze lichte voorkeur te kunnen meten in<br />

versleutelde communicatie, dient heel vaak<br />

hetzelfde bericht opnieuw versleuteld te<br />

worden. Het onderzoek heeft aangetoond dat<br />

wanneer een bericht zo’n vier miljard(!) keer<br />

versleuteld wordt met willekeurige RC4-sleutels,<br />

dat dan betrouwbaar de eerste 256 bytes<br />

van de uitvoer allemaal te achterhalen zijn.<br />

Praktisch toepasbaar<br />

Met HTTPS kan men data herhaaldelijk laten<br />

versleutelen, door telkens dezelfde webpagina<br />

te laden. De eerste 256 bytes bevatten<br />

vaak de sessiecookies waarmee een<br />

aanvaller een online account over zou kunnen<br />

nemen. Maar een aanval (met kwaadaardige<br />

JavaScript-code) duurt wel lang. Voor het<br />

onderzoek is software geschreven waarmee<br />

het 32 uur duurde om voldoende data te<br />

verzamelen.<br />

De onderzoekers hebben hun software niet<br />

gepubliceerd. Momenteel zijn dergelijke<br />

aanvallen alleen weggelegd voor organisaties<br />

die zelf nog wat onderzoek kunnen doen<br />

en voldoende rekenkracht hebben. Wel is<br />

duidelijk dat aanvallen op RC4 in de toekomst<br />

nog beter zullen worden. De genoemde getallen<br />

gaan uit van een naïeve aanval, waarbij<br />

geen kennis over de inhoud gebruikt wordt.<br />

Sessiecookies bevatten echter geen willekeurige<br />

binaire waardes, maar bijvoorbeeld<br />

Base64-tekens, wat het aantal mogelijkheden<br />

flink beperkt. Bovendien zijn de statistische<br />

afwijkingen aanzienlijk groter bij de eerste<br />

bytes in de uitvoer. Ten slotte kan vervolgonderzoek<br />

mogelijk gerelateerde zwakheden<br />

blootleggen.<br />

Alternatieven<br />

Er is geen oplossing voorhanden die compatibel<br />

is met het huidige protocol. Er zijn wel<br />

andere creatieve mogelijkheden. Sinds 2006<br />

wordt in het SSH-protocol RC4 gebruikt waarbij<br />

eerste 1536 bytes uit de sleutelstroom<br />

overgeslagen worden (RFC4345).<br />

Binnen het bestaande TLS-protocol zijn meerdere<br />

versleutelingsalgoritmes beschikbaar.<br />

Het NCSC adviseert daarom RC4 direct uit te<br />

schakelen, waardoor automatisch een ander<br />

algoritme gebruikt wordt.<br />

Recent zijn er ook kwetsbaarheden gepubliceerd<br />

voor de ‘block cipher’-algoritmes die in<br />

TSLv1.0 (en SSLv3) gebruikt worden. Beter<br />

kiest men voor de nieuwste protocolversie,<br />

TSLv1.2, waarin ‘block ciphers’ veiliger gebruikt<br />

worden (geen BEAST-kwetsbaarheid).<br />

Ook biedt deze versie meer keuze in hoogwaardige<br />

algoritmes. De TSLv1.2-standaard<br />

stamt uit 2008 (RFC5246), maar wordt nog<br />

weinig gebruikt door moderne webbrowsers<br />

en -servers.<br />

Momenteel is RC4 het enige ‘stream cipher’<br />

in de TLS-protocollen. Binnenkort wordt<br />

waarschijnlijk een modern hoogwaardig<br />

‘stream cipher’, Salsa20, toegevoegd aan<br />

de TLS-protocolstandaard. Dit algoritme is in<br />

2004 ontwikkeld door Dan Bernstein. Hopelijk<br />

wordt dit ook snel overgenomen door de<br />

softwareontwikkelaars, zodat gebruikers binnenkort<br />

weer veilig surfen via een protocol<br />

zonder bekende kwetsbaarheden.


In elke <strong>Madison</strong> <strong>Gurkha</strong> <strong>Update</strong> vragen wij een klant het spreekwoordelijke hemd van het lijf met betrekking tot zijn of haar relatie met<br />

IT-beveiliging.<br />

1In welke branche is uw organisatie<br />

actief?<br />

Onze organisatie is actief binnen<br />

de Rijksoverheid. De Dienst<br />

Publiek en Communicatie (DPC)<br />

ondersteunt de Rijksoverheid bij<br />

het gezamenlijk verbeteren van<br />

de communicatie met publiek en<br />

professionals door het bieden van<br />

shared servicediensten. Het Platform<br />

Rijksoverheid Online, met<br />

ondermeer www.rijksoverheid.nl<br />

is één van die shared services.<br />

2<br />

6<br />

7<br />

3Wat zijn de belangrijkste kwaliteiten waarover men moet beschikken<br />

om deze functies met succes uit te kunnen voeren?<br />

Beveiligingsbewustzijn is een belangrijke voorwaarde. Je moet<br />

bij alles wat je doet bijna automatisch afvragen of er nog beveiligingsaspecten<br />

bij horen. Beveiliging moet niet iets zijn wat je<br />

erbij doet; het moet een prominente plek in het proces innemen.<br />

Invloed in de organisatie is daarbij erg belangrijk. Je moet een<br />

functie hebben die in de organisatie wordt erkend als belangrijk.<br />

Bovendien is het van belang om genoeg invloed op prioritering<br />

te hebben om beveiliging goed uit te kunnen voeren.<br />

4 8<br />

5<br />

DEKLANT<br />

8vragen aan ...<br />

... Michael Wijnakker, Architect Online Media en Gerrit Berkouwer, senior Adviseur Kwaliteit en Innovatie bij<br />

de Dienst Publiek en Communicatie (DPC), ministerie van Algemene Zaken.<br />

Wat is uw functie?<br />

Michael Wijnakker: Ik ben werkzaam als Architect Online Media<br />

bij het team Architectuur. Daar ben ik met een aantal collega’s<br />

verantwoordelijk voor de software-architectuur, infrastructuur<br />

en beveiliging van het gehele Platform Rijksoverheid Online.<br />

Gerrit Berkouwer: De rijksoverheid wil steeds beter en efficiënter<br />

gaan werken. Daarbij hoort ook innovatie. Net als bij andere<br />

sectoren geldt ook hier: stilstaan is achteruitgaan. Kwaliteit van<br />

onze producten en processen zijn leidend bij wat we doen. Met<br />

het leveren van een structureel hoge kwaliteit helpen wij de 11<br />

departementen, onze opdrachtgevers, bij het behalen van hun<br />

communicatiedoelstellingen via diverse online kanalen.<br />

Hoe is informatiebeveiliging opgezet in uw organisatie?<br />

Beveiliging van het platform is qua techniek belegd bij het Team<br />

Architectuur. Binnen het Team Architectuur bepalen wij de<br />

samenhang van de verschillende omgevingen en de eisen die<br />

aan die omgevingen gesteld worden. Beveiliging is daar een<br />

elementair onderdeel bij. Technische zaken komen bij ons aan<br />

het licht, maar ook de meer procedurele, organisatorische en<br />

procesmatige kant van de beveiliging hebben daarbij onze aandacht.<br />

Daarnaast is beveiliging verweven in het gehele proces<br />

van analyse, ontwerp, bouw en testen<br />

van de websites en applicaties die we<br />

realiseren.<br />

Hoeveel mensen houden zich in uw<br />

organisatie bezig met informatiebeveiliging?<br />

We zouden haast willen zeggen: iedereen!<br />

Dat is wel ons streven in ieder<br />

geval. Het moet in elke functie een<br />

onderdeel van het werk zijn. Adviseurs,<br />

ontwerpers, testers, architecten,<br />

functioneel beheerders en redacteuren:<br />

allemaal moeten ze zich bewust zijn van<br />

beveiliging en er naar handelen.<br />

Wat zijn de belangrijkste uitdagingen op het gebied van informatiebeveiliging?<br />

Als overheid hebben wij hier een hele grote uitdaging. Wanneer<br />

een webapplicatie beveiligingsrisico’s bevat kan dit al snel tot<br />

commotie leiden, omdat informatie gevoelig kan zijn voor vele<br />

doelgroepen. Het is dus aan ons om ervoor te zorgen dat we alle<br />

applicaties op een gedegen manier beveiligen.<br />

Welke maatregelen nemen jullie hiervoor?<br />

Continue aandacht voor informatiebeveiliging is bij ons in het<br />

hele proces aanwezig. Vanaf de analyse- en ontwerpfase tot aan<br />

het functioneel en technisch beheer is er sterke aandacht voor<br />

beveiliging. Het is één van de succesindicatoren in ons proces<br />

en is continu onder de aandacht. Om te controleren of dit proces<br />

tot de juiste resultaten leidt, laten we jaarlijks een beveiligingsaudit<br />

uitvoeren door een onafhankelijke partij. Elk jaar zetten<br />

wij een offerteaanvraag uit bij een aantal bedrijven. <strong>Madison</strong><br />

<strong>Gurkha</strong> is één van de partijen die het onderzoek al een aantal<br />

keer heeft uitgevoerd.<br />

Wat zijn uw ervaringen met <strong>Madison</strong> <strong>Gurkha</strong>?<br />

<strong>Madison</strong> <strong>Gurkha</strong> voert de onderzoeken op een consistente en<br />

objectieve manier uit. De rapportages zijn daardoor goed te<br />

vergelijken en op die manier hebben wij een goed instrument in<br />

handen om het niveau van de beveiliging te monitoren.<br />

De gevonden risico’s zijn altijd duidelijk omschreven en voorzien<br />

van een aanbeveling die zal leiden tot het wegnemen van het<br />

risico. De onderzoeken geven ons waardevolle informatie waardoor<br />

wij onze beveiliging op een hoog niveau kunnen houden<br />

en dat ook in een onafhankelijk rapport kunnen aantonen.<br />

<strong>Madison</strong> <strong>Gurkha</strong> april 2013<br />

11


Bent u klaar voor de DigiD audit?<br />

DigiD Audit<br />

Readiness Scan<br />

Met de DigiD Audit Readiness Scan helpt ITSX u bij het tijdig vaststellen<br />

van verbeterpunten en ondersteunt u bij de audit voorbereidingen.<br />

Ter bescherming van persoonsgegevens van burgers heeft<br />

Logius een beveiligingsnorm opgesteld waaraan DigiD gebruikers<br />

zoals gemeenten en publieke instellingen moeten voldoen.<br />

Beveiligingsincidenten in DigiD gerelateerde applicaties kunnen<br />

leiden tot het rigoureus afsluiten van DigiD met alle gevolgen<br />

van dien. Het is daarom van belang dat wanneer u DigiD<br />

gebruikt binnen uw organisatie, u de IT-beveiliging op orde<br />

heeft en op tijd klaar bent voor de verplichte audit. Deze audit<br />

dient eind 2013 te zijn afgerond.<br />

Het vergt een aanzienlijke inspanning van organisaties om<br />

aan de norm te kunnen voldoen. De Logius DigiD norm is<br />

breed opgesteld en bevat technische en meer procedurele<br />

zaken. Daarom is het goed om te weten dat ons moederbedrijf<br />

<strong>Madison</strong> <strong>Gurkha</strong> betrokken is geweest bij een<br />

pilot van KING en al meerdere bedrijven heeft getoetst tegen<br />

de DigiD norm. Op basis van de kennis en ervaring die<br />

dit oplevert kan ITSX uw organisatie ondersteunen met de<br />

DigiD Audit Readiness Scan. De scan bekijkt de mate waarin<br />

uw organisatie klaar is voor de audit en voldoet aan de normen.<br />

Deze ‘gap-analyse’ levert een concreet verbeterplan en een<br />

‘roadmap’ op om de audit succesvol te laten verlopen. ITSX<br />

en <strong>Madison</strong> <strong>Gurkha</strong> kunnen u uiteraard ook de helpende hand<br />

bieden bij het uitvoeren van het verbeterplan.<br />

De DigiD Audit Readiness Scan vergt een geringe investering<br />

maar bespaart u een langdurig, moeizaam en duur traject om<br />

uw IT-beveiliging op orde te krijgen en te voldoen aan de DigiD<br />

norm.<br />

Indien u vragen heeft of een afspraak wilt maken, kunt u contact<br />

met ons opnemen via www.itsx.com of info@itsx.com.<br />

ITSX en haar consultants leveren diensten over de gehele<br />

breedte van het vakgebied informatiebeveiliging,<br />

waaronder de deelgebieden Information Security Management,<br />

IT-Audit en Compliance, Testen, Opleiding<br />

en Training.<br />

Your Security is Our Business

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!