Madison Gurkha Update 18
Madison Gurkha Update 18
Madison Gurkha Update 18
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Your Security is Our Business<br />
<strong>18</strong> ApRIL 2013<br />
update<br />
DE COLUMN 2<br />
Hans Van de Looy<br />
HET NIEUWS 3<br />
• Overheid & ICT vakbeurs<br />
• Forensische expertise<br />
• Vacatures<br />
• Agenda<br />
HET EvENT 4<br />
Black Hat Sessions Part XI:<br />
Cyber…Security – 14 mei 2013<br />
HET INzICHT 6<br />
Het curieuze geval “42.0.20.80”<br />
door Matthijs Koot<br />
HET INTERvIEW 8<br />
Wim Verloop, Digital Investigation B.V.<br />
DE HACK 10<br />
Johan van Selst over de actuele<br />
ontwikkelingen rondom SSL<br />
DE KLANT 11<br />
Michael Wijnakker en Gerrit Berkouwer<br />
van het ministerie van Algemene Zaken<br />
Nog een paar weken en dan<br />
gaat de Black Hat Sessions<br />
Part XI: Cyber..Security van start.<br />
Meld u snel aan met de<br />
relatiekortingscode op pagina 4
2<br />
DE COLUMN<br />
“Medium ciphersuites” voor het beschermen<br />
van financiële of medische informatie?<br />
Geen goed idee<br />
<strong>Madison</strong> <strong>Gurkha</strong> april 2013<br />
Een van de belangrijkste problemen waar we toch alweer<br />
een tijdje mee worstelen zijn de zwakheden die zijn vastgesteld<br />
in TLSv1.0. Dit cryptografische protocol dat ondermeer<br />
gebruikt wordt voor de beveiliging van webverkeer<br />
heeft de afgelopen jaren al verschillende scheuren opgelopen.<br />
Ik denk daarbij aan aanvallen als BEAST, CRIME,<br />
Lucky 13 en onveilige ‘renegotiation’. Voor al deze aanvallen<br />
zijn weliswaar mitigerende maatregelen beschikbaar,<br />
maar geen daarvan zijn werkelijke oplossingen: het blijven<br />
lapmiddelen. Om een aanval als BEAST tegen te gaan<br />
moeten we zelfs een redelijk bejaarde ‘stream cipher’<br />
accepteren (RC4), en juist bij dit ‘cipher’ is in maart een<br />
zodanige zwakheid blootgelegd dat het nu tijd wordt om<br />
de problemen werkelijk op te lossen.<br />
En er zijn oplossingen beschikbaar: één daarvan is<br />
TLSv1.2. In augustus 2008 is dit protocol vastgelegd in<br />
RFC 5246. In maart 2011 is het verder gespecificeerd in<br />
RFC 6176.<br />
Helaas wordt het overgrote merendeel van het huidige<br />
webverkeer beschermd door SSLv3 of TLSv1.0. TLSv1.2<br />
wordt slechts door ongeveer 12% van alle websites ondersteund.<br />
Het is nog erger als we kijken naar de bekende<br />
browsers. Hoewel alle recente browsers TLSv1.0 ondersteunen,<br />
worden TLSv1.1 en 1.2 standaard uitsluitend<br />
door Safari 5 op iOS ondersteund. Chrome ondersteunt<br />
TLSv1.1 vanaf versie 22 en IE 8-10 (op Windows 7 of<br />
Windows 8) en Opera 10-12 (Linux, Mac OSX, Windows)<br />
ondersteunen TLSv1.1 als 1.2 wel, maar standaard staat<br />
deze ondersteuning uitgeschakeld. Firefox en Safari op<br />
Mac OSX ondersteunen alleen TLSv1.0.<br />
HET COLOfON<br />
Redactie<br />
Daniël Dragičević<br />
Laurens Houben<br />
Remco Huisman<br />
Frans Kollée<br />
Matthijs Koot<br />
Maayke van Remmen<br />
Ward Wouts<br />
In iedere <strong>Madison</strong> <strong>Gurkha</strong> <strong>Update</strong> vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende<br />
onderwerpen rondom IT-beveiliging. Deze keer een technische column door Hans Van de Looy.<br />
Vormgeving & productie<br />
Hannie van den Bergh /<br />
Studio-HB<br />
Foto cover<br />
Digidaan<br />
Contactgegevens<br />
<strong>Madison</strong> <strong>Gurkha</strong> B.V.<br />
Postbus 2216<br />
5600 CE Eindhoven<br />
Nederland<br />
Het wordt dus tijd dat we webservers inrichten waarbij<br />
gebruik gemaakt wordt van TLSv1.2 en dat leveranciers<br />
van webbrowsers de ondersteuning van TLSv1.1 en 1.2<br />
standaard gaan ondersteunen, want hoewel RC4 nog<br />
niet volledig gebroken is zijn de aangetoonde scheuren<br />
zodanig dat we echt af moeten van het ondersteunen<br />
van ‘medium cipher suites’ voor het beschermen van<br />
medische, financiële en andere vertrouwelijke persoonlijke<br />
gegevens. Voor meer informatie over deze materie<br />
verwijs ik u graag naar de rubriek ‘De Hack’ elders in deze<br />
<strong>Update</strong>.<br />
Natuurlijk hoop ik u allen te ontmoeten tijdens de Black<br />
Hat Sessions in Ede op 14 mei aanstaande of tijdens<br />
OHM 2013 deze zomer in de buurt van Geesterambacht<br />
om eens verder te filosoferen over deze en andere vraagstukken.<br />
Rest me u veel plezier te wensen bij het lezen van deze<br />
<strong>Update</strong>.<br />
Hans Van de Looy<br />
Partner, Principal Security Consultant<br />
T +31 40 2377990<br />
F +31 40 2371699<br />
E info@madison-gurkha.com<br />
Redactie<br />
redactie@madison-gurkha.com<br />
Bezoekadres<br />
Vestdijk 9<br />
5611 CA Eindhoven<br />
Nederland<br />
Voor een digitale versie van de <strong>Madison</strong> <strong>Gurkha</strong> <strong>Update</strong> kunt u terecht op www.madison-gurkha.com.<br />
Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.
In ‘Het Nieuws’ belichten we nieuwe ontwikkelingen in de<br />
IT-beveiligingswereld en rondom <strong>Madison</strong> <strong>Gurkha</strong>.<br />
VAKBEURS<br />
OVERHEID & ICT 2013<br />
<strong>Madison</strong> <strong>Gurkha</strong> en ITSX zijn dit jaar aanwezig met een beursstand<br />
op Overheid & ICT, het platform voor ICT-toepassingen en -diensten<br />
voor de overheid. U bent van harte welkom op onze stand B095.<br />
Wij zullen u op een interactieve manier kennis laten maken met<br />
onze zeer complexe en snel veranderende vakgebied. Wij hebben<br />
de volgende presentaties / demo voor u in petto:<br />
t t t<br />
DigiD Audit Procedureel<br />
Code voor informatiebeveiliging: ISO 27000 / 27001<br />
Live Hacking Demo<br />
Op onze website vindt u meer informatie over het beursprogramma<br />
en de bijbehorende tijdslots. Hier kunt u zich ook meteen registreren<br />
voor uw gratis toegangsbewijs.<br />
VACATURES<br />
Graag tot ziens op 23/24/25 april 2013<br />
in de Jaarbeurs Utrecht<br />
<strong>Madison</strong> <strong>Gurkha</strong> is een van de meest toonaangevende<br />
en gespecialiseerde IT-beveiligingsbedrijven in<br />
Nederland. Het is de ervaring, kennis en kunde van<br />
onze consultants die bepalend is voor kwaliteit en<br />
onontbeerlijk is in ons vakgebied. Waar tools stoppen<br />
gaan wij verder!<br />
Door onze aanhoudende groei zijn wij opzoek naar:<br />
Security Consultants (SC)<br />
Senior Security Consultants (SSC)<br />
Junior Security Consultants (JSC)<br />
Kijk voor meer informatie over de verschillende<br />
vacatures op onze website.<br />
t t t<br />
HET NIEUWS AgENDA<br />
©VNU Exhibitions Europe, Vakbeurs overheid & ICT 2012<br />
In de <strong>Madison</strong> <strong>Gurkha</strong> <strong>Update</strong> presenteren wij<br />
een lijst met interessante bijeenkomsten die de<br />
komende tijd zullen plaatsvinden.<br />
23 – 25 april 2013<br />
Overheid & ICT<br />
Jaarbeurs Utrecht<br />
http://www.overheid-en-ict.nl/<br />
Overheid & ICT is hét platform voor<br />
ICT-toepassingen en –diensten voor<br />
de overheid. U bent van harte welkom<br />
op onze stand B095. Wij zullen u op<br />
een interactieve manier kennis laten<br />
maken met onze zeer complexe en<br />
snel veranderende vakgebied. Meer<br />
over onze deelname aan de Overheid<br />
& ICT vakbeurs leest u hiernaast.<br />
14 mei 2013<br />
Black Hat Sessions XI<br />
De Reehorst Ede, Nederland<br />
http://www.blackhatsessions.com/<br />
Deze elfde editie van de Black Hat<br />
Sessions wordt georganiseerd door<br />
<strong>Madison</strong> <strong>Gurkha</strong> en staat in het teken<br />
van Cyber Security en alles wat<br />
daarmee te maken heeft zoals Cyber-<br />
Crime, CyberTerrorisme, CyberWarfare.<br />
Meer over de Black Hat Sessions<br />
Part XI leest u in deze <strong>Update</strong>.<br />
31 juli 2013 t/m 4 augustus 2013<br />
Observe. Hack. Make.<br />
Geestmerambacht, Noord Holland<br />
OHM2013 is een internationale conferentie<br />
met als onderwerp technologie<br />
en beveiliging in een bijzondere vorm.<br />
<strong>Madison</strong> <strong>Gurkha</strong> is sponsor van deze<br />
zevende editie in een reeks van legendarische<br />
hackerbijeenkomsten.<br />
Forensische expertise<br />
Ondanks alle inspanningen om IT-beveiligingsrisico’s te identificeren,<br />
verminderen en voorkomen, is het nooit helemaal uit te sluiten<br />
dat er toch een (poging tot) digitale inbraak of vandalisme plaats<br />
vindt. Maar wie is een betrouwbare partner bij een dergelijke crisissituatie?<br />
Om u een compleet dienstenpakket aan te bieden werkt <strong>Madison</strong><br />
<strong>Gurkha</strong> samen met met digitaal forensisch onderzoeksbureau<br />
Digital Investigation B.V.<br />
Elders in deze update leest u een uitgebreid interview met Wim<br />
Verloop, directeur van Digital Investigation B.V.<br />
<strong>Madison</strong> <strong>Gurkha</strong> april 2013 3
4<br />
Dit jaar organiseert <strong>Madison</strong> <strong>Gurkha</strong> alweer de 11e editie van de inmiddels befaamde Black Hat Sessions.<br />
HET EvENT<br />
14 mei 2013, De Reehorst Ede<br />
Black Hat Sessions Part XI<br />
Cyber…Security<br />
Het woord ‘cyber’ kent nogal wat achtervoegsels, waarmee zaken<br />
uit het echte leven te verplaatsen zijn naar de digitale wereld.<br />
Denk bijvoorbeeld aan cyberpesten, cybersex, cyberpunk en meer<br />
on-topic voor de Black Hat Sessions vooral ook aan cyberwarfare,<br />
cyberterrorisme en cybercrime.<br />
Wat als een aanvaller via het internet sluizen<br />
kan bedienen en gebieden onder water kan<br />
zetten? Wat als iemand onze drinkwatervoorziening<br />
kan manipuleren? Of onze gas- en<br />
elektriciteitstoevoer weet te saboteren?<br />
We denken er liever niet aan, en voor velen<br />
klinkt het nog theoretisch. Maar uit bekende<br />
incidenten, onder andere in het Midden-<br />
Oosten, en uit voortschrijdende technieken<br />
en methoden voor cyberaanvallen wordt<br />
duidelijk dat veilig gebruik van IT een belangrijke<br />
voorwaarde is voor maatschappelijke<br />
veiligheid.<br />
Om u meer kennis te geven over het onderwerp<br />
dat de gemoederen erg bezig houdt,<br />
heeft <strong>Madison</strong> <strong>Gurkha</strong> voor de Black Hat Sessions<br />
Part XI: Cyber…Security een interessant<br />
programma opgesteld met inspirerende<br />
sprekers. Of zij nu concreet betrokken zijn<br />
bij cybercrimebestrijding dan wel bij het<br />
verkrijgen van inzicht over de werkwijze van<br />
cybercriminelen: het sprekersprogramma is<br />
samengesteld uit prominenten die op een of<br />
andere manier betrokken zijn bij cybercrime –<br />
of bij cyberwarfare.<br />
Meld u aan als relatie van<br />
<strong>Madison</strong> <strong>Gurkha</strong><br />
De kosten voor deelname bedragen 265 euro<br />
excl. BTW per persoon. Documentatie en<br />
een uitgebreide lunch inbegrepen. Uiteraard<br />
geldt ook dit jaar voor alle relaties van<br />
<strong>Madison</strong> <strong>Gurkha</strong> een korting van 35 euro.<br />
Zo betaalt u dus maar 230 euro excl. BTW<br />
<strong>Madison</strong> <strong>Gurkha</strong> april 2013<br />
per persoon. Via het inschrijfformulier op de<br />
website www.blackhatsessions.com kunt u<br />
zich aanmelden als Deelnemer en hier de kortingscode<br />
BHSMG-14m opgeven. De korting<br />
wordt tijdens het afrekenproces automatisch<br />
verwerkt. Voor studenten hebben wij een<br />
speciaal tarief van 55 euro mogelijk weten te<br />
maken.<br />
Meld u aan als relatie van <strong>Madison</strong> <strong>Gurkha</strong> en ont-<br />
vang 35 euro korting op de reguliere deelnemersprijs.<br />
Vul de kortingscode BHSMG-14m in bij uw online-<br />
inschrijving en de korting wordt direct verrekend!
PROGRAMMA<br />
ONDERwERP<br />
GEwIJZIGD<br />
08:30 uur Ontvangst en registratie<br />
09:25 uur Opening door de dagvoorzitter<br />
09:30 uur Keynote: All you wanted to know about the<br />
Pobelka Botnet but were afraid to ask<br />
Wim Verloop, Managing Partner & Senior<br />
Forensic Analist, Digital Investigation B.V.<br />
Het Pobelka botnet verzamelde gedurende geheel<br />
2012 gegevens van zoveel mogelijk organisaties<br />
en Nederlanders. Dit resulteerde in een<br />
database van 750GB met gevoelige informatie<br />
over organisaties en individuen. Het botnet is<br />
wel opgeruimd, maar wat kunnen kwaadwillenden<br />
met de reeds verzamelde informatie? Digital<br />
Investigation is nauw betrokken geweest bij de<br />
opsporing en ontmanteling van dit botnet. Tijdens<br />
deze keynote geeft Wim Verloop een uitgebreide<br />
beschrijving van deze aanval op de Nederlandse<br />
samenleving. Er is al aardig wat bekend<br />
over deze aanval, maar heel veel ook nog niet.<br />
10:20 uur Onderweg naar een open, veilige en betrouwbare<br />
digitale samenleving<br />
Gerben Klein Baltink, Secretaris Cyber<br />
Security Raad<br />
De Cyber Security Raad voorziet de Nederlandse<br />
overheid gevraagd en ongevraagd van advies<br />
over relevante ontwikkelingen op het gebied van<br />
digitale veiligheid. Gerben Klein Baltink zal in zijn<br />
presentatie ingaan op het (economisch) belang<br />
van een goed functionerende digitale omgeving,<br />
de dreigingen die we ondervinden en de noodzaak<br />
om een balans te vinden tussen openheid<br />
en veiligheid.<br />
11:15 uur Koffiepauze / Informatiemarkt<br />
11:45 uur Cyber operations, will it change future warfare?<br />
Hans Folmer, Commandant Taskforce Cyber<br />
van Defensie<br />
De komende jaren versterkt het Ministerie van<br />
Defensie haar digitale weerbaarheid en ontwikkelt<br />
zij het militaire vermogen om cyberoperaties<br />
uit te voeren. De Defensie Cyber Strategie geeft<br />
daaraan richting, samenhang en focus. ‘Cyberkolonel’<br />
Hans Folmer, Commandant Taskforce<br />
Cyber bij de Defensiestaf, zal ingaan op de cyberuitdagingen<br />
waarvoor Defensie zich gesteld<br />
ziet. Wat zijn de cybertaken van Defensie? Is<br />
Defensie de nationale firewall? Hoe zien de defensieve<br />
taken eruit en hoe de offensieve? Voor<br />
welke morele dilemma’s komen we te staan en<br />
hoe gaan we die overwinnen? Op deze en andere<br />
vragen zal Hans Folmer een antwoord geven<br />
tijdens zijn presentatie.<br />
SPONSORS & MEDIA PARTNERS<br />
12:30 uur Lunch / informatiemarkt<br />
13:30 uur If you generate 3-4% of all global traffic, how<br />
do you handle abuse?<br />
Alex de Joode, Senior Regulatory Counsel<br />
and Liaison Officer, LeaseWeb<br />
What do you need to become a good netizen?<br />
How do you ensure abuse is handled in a timely<br />
fashion and what programmes has LeaseWeb<br />
developt to fight cybercrime? This presentation<br />
will give you an insight on how one of the largest<br />
self-managed dedicated hosting companies on a<br />
daily basis fights cybercrime in all it’s facets.<br />
14:20 uur The black with blue and gold hat session<br />
Eileen Monsma, Advisor, Poltie - Team High<br />
Tech Crime<br />
Gedurende deze presentatie wordt het publiek<br />
meegenomen in de wereld van het Team High<br />
Tech Crime van de politie. Gewapend met hoogwaardige<br />
expertise zet het team zich in voor de<br />
bestrijding van de meest ondermijnende in innovatieve<br />
vormen van cybercrime. Er wordt fors<br />
uitgebreid, maar uit zichtbare dreigingen blijkt<br />
dat black hats nog minder om capaciteit verlegen<br />
zitten en doelwitten voor het uitkiezen hebben.<br />
Welke ontwikkelingen zien we in de cyber<br />
underground? Welk recherchewerk gaat schuil<br />
achter grote incidenten? En hoe kunnen we onze<br />
krachten nog beter bundelen om Nederland onaantrekkelijk<br />
te maken voor cybercriminelen?<br />
15:15 uur Koffiepauze / Informatiemarkt<br />
15:45 uur Gebruik de (criminele) hacker. Zij bepalen<br />
jouw toekomst<br />
Rickey Gevers<br />
Het hacken van allerlei computers op Universiteiten<br />
was een leuk tijdverdrijf, totdat Rickey in<br />
2008 werd opgepakt voor een hack bij een Amerikaanse<br />
Universiteit in Michigan en uiteindelijk<br />
in 2011 werd veroordeeld. Rickey zal in zijn presentatie<br />
uitgebreid ingaan op wat hij heeft meegemaakt,<br />
hoe hij aankijkt tegen de Nederlandse<br />
hackerwereld en hoe we met veroordeelde hackers<br />
om zouden moeten gaan.<br />
16:35 uur Afsluiting door de dagvoorzitter<br />
16:40 uur Borreluur / Informatiemarkt<br />
HET EvENT<br />
<strong>Madison</strong> <strong>Gurkha</strong> april 2013 5
6<br />
In de rubriek “Het Inzicht” stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Deze keer geeft Matthijs Koot meer<br />
inzicht in het curieuze geval “42.0.20.80”.<br />
HET INzICHT<br />
Deze keer een Inzicht op het snijvlak van technologie en, vooruit,<br />
internationale betrekkingen. Een vriend vertelde me vorig jaar dat zijn<br />
computer, een MacBook, al langere tijd af en toe niet leek te kunnen<br />
verbinden met Google. In december was ik bij hem op bezoek, en<br />
deed het probleem zich opnieuw voor. Ik kroop achter zijn systeem,<br />
startte tcpdump en probeerde www.google.com te openen in Firefox.<br />
In het opgevangen netwerkverkeer zag ik SYN-pakketten naar TCPpoort<br />
80 en TCP-poort 443 op het IP-adres 42.0.20.80. Die pakketten<br />
werden beantwoord met RST-pakketten: geen gehoor, dus. Een<br />
WHOIS-query geeft de volgende informatie bij 42.0.20.80:<br />
inetum 42.0.16.0 – 42.0.23.255<br />
netname CHINANET-GD<br />
descr CHINANET Guangdong province network<br />
descr Data Communication Division<br />
descr China Telecom<br />
country CN<br />
admin-c CH93-AP<br />
tech-c IC83-AP<br />
status ALLOCATED PORTABLE<br />
remarks service provider<br />
mnt-by APNIC-HM<br />
mnt-lower MAINT-CHINANET-GD<br />
mnt-irt IRT-CHINANET-CN<br />
source APNIC<br />
<strong>Madison</strong> <strong>Gurkha</strong> april 2013<br />
Het curieuze geval<br />
“42.0.20.80”<br />
Een Google-domein dat naar een Chinees IP-adres<br />
wordt vertaald? Google zal beslist geen IP-adresruimte<br />
gebruiken die zij niet zelf onder beheer heeft; zelfs niet<br />
voor www.google.cn, laat staan www.google.com.<br />
Drogdenken<br />
Mijn brein associeert “Guangdong” met digitale<br />
shennanigans, en “China Telecom” met de<br />
claim in het Mandiant APT1-rapport dat China<br />
Telecom “provided special fiber optic communications<br />
infrastructure for [Unit 61398] in<br />
the name of national defense.” (“Unit 61398”<br />
wordt aangewezen als vermoedelijke bron van een<br />
lange reeks serieuze spionageactiviteiten.) Maar goed, dat<br />
is drogdenken (affirmation of the consequence), en ik moet me<br />
bij de feiten houden.<br />
Om uit te sluiten dat het probleem alleen in de computer van mijn<br />
vriend zat verbond ik mijn eigen laptop met zijn netwerk en draaide<br />
“host –t www.google.com”. Opnieuw luidde het antwoord<br />
“www.google.com has address 42.0.20.80”.<br />
Vervolgens zocht ik via een zoekmachine naar “42.0.20.80”. Uit de<br />
zoekresultaten blijkt dat dat IP-adres sinds ten minste 2009 wordt<br />
geassocieerd met verbindingsproblemen bij meerdere Google-domeinen,<br />
waaronder www.google.com, talk.google.com, dl-ssl.google.<br />
com, v8.lscache4.c.youtube.com en www.picasaweb.google.com.<br />
Hoewel ik eigenlijk eerst nog andere tests moest uitvoeren, besloot ik<br />
op Twitter te vragen:<br />
What’s up with @Google domains incidentally resolving to<br />
42.0.20.80, owned by China Telecom (Guangdong)? Is that bonafide?<br />
Daarop antwoordde @Yafsec (Edwin van Andel) het volgende:<br />
@mrkoot If the resolver uses gethostbyname, it expects ipv4.<br />
When on ipv6 it apparently uses the first 4 bytes of the ipv6 address<br />
as ipv4.<br />
Uit “host -t aaaa www.google.com” wordt duidelijk dat er een IPv6<br />
adres aan dat domein is gekoppeld: “www.google.com has IPv6<br />
address 2a00:1450:4013:c00::63”. En zie daar: de eerste vier bytes<br />
“2a00:1450” zijn de hexadecimale notatie van 42.0.20.80. Eureka!
Bij verder testen merkte ik dat op zowel mijn eigen systeem als het<br />
systeem van mijn vriend, het domein www.google.com soms werd<br />
vertaald naar 42.0.20.80, en soms naar een correct IPv4-adres van<br />
Google. Deze wispelturigheid bleek echter te omzeilen door niet www.<br />
google.com te gebruiken, maar ipv6.l.google.com, een domein waaraan<br />
geen IPv4-adres is gekoppeld, maar uitsluitend een IPv6-adres.<br />
Probleem ligt bij Conceptronic -router<br />
Het probleem kon als volgt worden gereproduceerd vanaf elke<br />
computer die via die router met internet werd verbonden. Eerst<br />
moet een IPv4-lookup worden uitgevoerd op dat domein: “host -t<br />
a ipv6.l.google.com”. Dat resulteert in de melding “ipv6.I.google.<br />
com has no A record”. Daarna moet een IPv6-lookup worden gedaan:<br />
“host -t aaaa ipv6.l.google.com”. Dat resulteert in de melding<br />
“ipv6.l.google.com has IPv6 address 2a00:1450:400c:c05::68”.<br />
Tenslotte moet de IPv4-lookup opnieuw worden uitgevoerd. Dat resulteert<br />
nu in de melding “ipv6.l.google.com has address 42.0.20.80”.<br />
Duidelijk was dat de fout waarschijnlijk ligt in de router van mijn<br />
vriend: een Conceptronic C54APRB2+ met firmware uit 2008 (er is<br />
geen update beschikbaar).<br />
Dit verhaal heb ik eerder op mijn persoonlijke blog gepubliceerd 1 . In<br />
een reactie werd gesuggereerd dat het probleem zou kunnen liggen<br />
in dproxy-ngen, dat volgens de indiener van de reactie vaak wordt gebruikt<br />
in oude DSL modems. Die software blijkt inderdaad te draaien<br />
op de Conceptronic-router: de ‘root cause’ lijkt gevonden.<br />
Vragen stellen<br />
Maar nu is de vraag: hoeveel (thuis)routers vertonen dit gedrag<br />
momenteel, wereldwijd? Is het aantrekkelijk voor “de Chinezen” om<br />
dit gedrag te misbruiken, bijvoorbeeld door op 42.0.20.80, indien een<br />
inkomende verbinding afkomstig is vanaf “interessante” Westerse<br />
IP-adresruimte, nepversies van diverse Google-websites aan te<br />
bieden om daarmee credentials te onderscheppen en/of computers<br />
te besmetten met malware? En: naar welk IPv4-adres vertalen de<br />
eerste 4 bytes van IPv6-adresruimte van andere domeinen dan die<br />
van Google?<br />
HET INzICHT<br />
Om die laatste vraag te beantwoorden heb ik gekeken naar de top<br />
1000 meestbezochte websites volgens Google’s “doubleclick adplanner”<br />
2 en naar de lijst van 2000 Nederlandse websites die ik in oktober<br />
2012 heb gebruikt bij een onderzoekje naar third-party content op Nederlandse<br />
websites 3 . Dat levert leuke feitjes op: zie de tabel hieronder<br />
voor een selectie daarvan.<br />
De resultaten laten zien dat het fenomeen verschillende kanten op<br />
werkt: gebruikers van Google kunnen uitkomen op een Chinees<br />
IP-adres, maar omgekeerd kunnen bezoekers van de website van<br />
Huawei, de Chinese telecomfabrikant die door Amerikanen wel eens<br />
is beschuldigd van spionage, terechtkomen op een Amerikaans IPadres.<br />
De tabel laat zo diverse internationale dwarsverbanden zien.<br />
Brakke router<br />
Ik acht het zeer onwaarschijnlijk dat landen werkelijk misbruik maken<br />
van deze situatie om elkaar te besmetten: het is een eigenaardig<br />
fenomeen dat aan het verdwijnen is omdat oude routers worden<br />
vervangen door nieuwe die de bug niet bevatten. Mocht u zich toch<br />
zorgen maken, doorloop de controlestappen:<br />
1. host -t a ipv6.l.google.com<br />
2. host -t aaaa ipv6.l.google.com<br />
3. host -t a ipv6.l.google.com<br />
Als bij stap 3 “42.0.20.80” in de uitkomst staat, heeft u een brakke<br />
router. En dan is hier een workaround: stel op uw computer een<br />
externe DNS-server in, bijvoorbeeld die van uw ISP. De bug treedt<br />
alleen op wanneer uw router zélf als DNS-server staat ingesteld (de<br />
standaardinstelling).<br />
Werkelijk, het internet is nog net zo’n avontuur als ik me herinner van<br />
mijn tienerjaren.<br />
1 http://blog.cyberwar.nl/2012/12/the-curious-case-of-4202080.html<br />
2 http://www.google.com/adplanner/static/top1000/<br />
3 http://www.nu.nl/internet/2947863/overheidssites-sturen-gegevens-derden.html<br />
Domeinnaam Toelichting IPv6-adres IPv4-misinterpretatie IPv4-geolocatie<br />
www.huawei.com Chinese telecomfabrikant 2001:450:2002:384::40d6:ce0a 32.1.69.2 VS<br />
www.facebook.com Facebook 2a03:2880:10:1f02:face:b00c::8 42.3.40.128 Hongkong<br />
www.yahoo.com Yahoo 2a00:1288:f006:1fe::3000 42.0.<strong>18</strong>.136 China<br />
www.bt.com British Telecom 2a00:2381:ffff::1 42.0.35.129 China<br />
www.europa.eu Officiële website van EU 2a01:e0b:1:143:62eb:69ff:fe8f:16e6 42.1.224.177 China<br />
www.att.com Amerikaanse telco 2a02:26f0:32:2:9800::90e 42.2.38.240 Hongkong<br />
www.yandex.ru Russische zoekmachine 2a02:6b8::3 42.2.107.131 Hongkong<br />
www.netflix.com VS, video-on-demand 2a01:578:3::b022:b932 42.1.87.131 Vietnam<br />
www.ocn.ne.jp Japanse ISP 2001:380:516:4900::1:1 32.1.56.5 VS<br />
www.uol.com.br Braziliaanse ISP 2804:49c:319:430::100 40.4.73.195 VS<br />
www.free.fr Franse ISP 2a01:e0c:1:1599::1 42.1.224.193 China<br />
www.t-online.de Duitse ISP 2003:2:4:164:217:6:164:162 32.3.36.22 VS<br />
www.usps.com Amerikaanse postdienst 2a02:26f0:32:2:8d00::1387 42.2.38.240 Hongkong<br />
www.elmundo.es Spaanse krant 2001:67c:2294:1000::f199 32.1.103.194 VS<br />
www.drugs.com Amerikaanse medische encyclopedie 2a02:26f0:32:2:9800::19b8 42.2.38.240 Hongkong<br />
www.seznam.cz Tsjechische zoekmachine 2a02:598:1::3 42.2.89.129 Hongkong<br />
www.sapo.pt Portugese ISP en zoekmachine 2001:8a0:2104:ff:213:13:146:140 32.1.138.2 VS<br />
<strong>Madison</strong> <strong>Gurkha</strong> april 2013 7
8<br />
HET INTERvIEW<br />
Wanneer is Digital Investigation opgericht<br />
en hoe heeft het bedrijf zich tot op heden<br />
ontwikkeld?<br />
Digital Investigation is in 2006 ontstaan en<br />
heeft zich in de eerste jaren voornamelijk op<br />
de internationale markt gericht. Dit als een<br />
direct gevolg van de samenwerking met Jess<br />
Garcia die is ontstaan tijdens bijeenkomsten<br />
en trainingen van het SANS Institute waar ik<br />
in 2006 twee forensische opleidingen heb<br />
gevolgd. Ik ben met Jess de halve wereld<br />
over geweest en heb daardoor veel praktijkervaring<br />
kunnen opdoen in grote forensische<br />
onderzoeken, e-discovery projecten en<br />
incident response activiteiten. We werkten<br />
in die tijd voor een aantal grote Amerikaanse<br />
advocatenkantoren, voor banken, verzekeringsmaatschappijen<br />
en multinationals. De<br />
werkwijze van Jess ligt op heel hoog niveau,<br />
het was in het begin dan ook echt aanpoten<br />
om alles precies te laten lopen zoals Jess<br />
eiste. Het is een geweldige, intensieve en<br />
leerzame ervaring geweest waarbij ook<br />
vreselijk gelachen is. Vanaf 2008 ben ik me<br />
gaan richten op de Nederlandse markt en<br />
kreeg daar eigenlijk vrij makkelijk toegang<br />
toe. In 2009 heb ik de stap gewaagd om<br />
mensen in dienst te gaan nemen, resulterend<br />
in een club van 10 man op het moment van<br />
schrijven. Het is hard gegaan!<br />
<strong>Madison</strong> <strong>Gurkha</strong> april 2013<br />
<strong>Madison</strong> <strong>Gurkha</strong> interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld. Deze keer een<br />
interview met Wim Verloop, directeur van Digital Investigation B.V.<br />
Ondanks alle inspanningen om<br />
IT-beveiligingsrisico’s te identificeren,<br />
verminderen en voorkomen, is het nooit<br />
helemaal uit te sluiten, dat er toch een<br />
(poging tot) digitale inbraak of vandalisme<br />
plaats vindt. Om u een compleet<br />
dienstenpakket aan te bieden werkt <strong>Madison</strong><br />
<strong>Gurkha</strong> samen met Digital Investigation B.V.<br />
Het forensisch ICT onderzoek wordt verricht<br />
door een team bestaande uit 10 gedreven<br />
en gecertificeerde forensische professionals,<br />
met Wim Verloop aan het roer.<br />
Wat zijn de belangrijkste diensten die<br />
Digital Investigation levert en aan wat soort<br />
klanten?<br />
Wij leveren voornamelijk digitaal forensisch<br />
onderzoek en incident response aan eigenlijk<br />
allerlei soorten bedrijven en instellingen. Als<br />
ik naar ons klantenbestand kijk zie ik daarin<br />
niet direct een zwaartepunt in een bepaalde<br />
sector en is dus eigenlijk heel breed wat<br />
dat betreft. Daarnaast ben ik sinds 2008<br />
Gerechtelijk Deskundige en word in die<br />
hoedanigheid ook regelmatig betrokken bij<br />
strafzaken via Rechtbanken en Gerechtshoven<br />
waarbij digitale gegevens een cruciale rol<br />
spelen. Dit zijn eigenlijk altijd wel bijzondere<br />
zaken die de nodige technische uitdagingen<br />
vormen maar geweldig zijn om te doen. We<br />
geven ook steeds vaker trainingen omdat het<br />
onderwerp Cybercrime op dit moment de<br />
gemoederen erg bezig houdt en men blijkbaar<br />
behoefte heeft aan kennis. De laatste<br />
ontwikkelingen is dat wij ook Legal Services<br />
aanbieden op het gebied van civielrechtelijke<br />
zaken. Dit betreft vooral het doen van vorderingen<br />
op personen of organisaties voor en<br />
namens klanten.<br />
Hoe vullen de diensten van Digital Investigation<br />
en <strong>Madison</strong> <strong>Gurkha</strong> elkaar aan?<br />
Digital Investigation biedt hoofdzakelijk<br />
reactieve dienstverlening, daarbij rijst vaak de<br />
CV<br />
2007-heden<br />
Senior Forensic Analyst Digital<br />
Investigation en One eSecurity<br />
2008<br />
Gerechtelijk Deskundige<br />
2006<br />
Certificering als GIAC Certified<br />
Forensic Analist via het SANS<br />
Instituut<br />
1994 – 2007<br />
Manager Information Systems<br />
Nederlandse Omroep Stichting<br />
1985 – 1993<br />
Studie Informatica aan de Vrije<br />
Universiteit Amsterdam
vraag: hoe had dit incident nou voorkomen<br />
kunnen worden? Het beantwoorden van die<br />
vraag in een bredere context dan het incident<br />
of het onderzoek is vaak erg belangrijk voor<br />
de klant. Daarin is <strong>Madison</strong> <strong>Gurkha</strong> de perfecte<br />
aanvulling op het dienstenpakket van<br />
Digital Investigation. Andersom werkt het<br />
overigens ook: als klanten een incident hebben<br />
en <strong>Madison</strong> <strong>Gurkha</strong> wordt benaderd voor<br />
ondersteuning, kunnen wij in actie komen.<br />
24x7 in heel Europa en daarbuiten.<br />
Rickey Gevers, die veroordeeld is geweest<br />
voor het hacken van een Amerikaanse<br />
Universiteit, is bij Digital Investigation in<br />
dienst getreden. Hoe zijn de reacties daarop<br />
geweest van klanten?<br />
Juist partijen die van oorsprong dicht tegen<br />
de politiewereld aan zitten reageerden<br />
heel positief, dat is anders dan ik het had<br />
ingeschat. Eigenlijk hebben we alleen maar<br />
positieve reacties gekregen en nog geen vragen<br />
gehad als “is die gast wel te vertrouwen<br />
eigenlijk?”. Het heeft alles te maken met de<br />
verbluffende expertise van Rickey op zijn vakgebied<br />
Cybercrime. Het gaat niet alleen om<br />
de technische kennis, het is het hebben van<br />
brede én diepgaande kennis van dat wereldje<br />
dat hacken heet. Hoe ze (samen)werken,<br />
hoe ze denken, wie je moet kennen etc. En<br />
bovendien is hij internationaal gezien niet de<br />
enige veroordeelde hacker die inmiddels een<br />
baan krijgt. Dus kortom voor Digital Investigation<br />
een geweldige aanwinst.<br />
Welke ontwikkelingen zie je op het gebied<br />
van Cybercrime en forensische dienstverlening?<br />
Mijn verwachting is dat op het gebied van<br />
Cybercrime de dienstverlening meer gaat opschuiven<br />
naar het preventieve. Dat heeft naar<br />
mijn idee twee richtingen. Enerzijds wil men<br />
meer actieve participatie van partijen zoals wij<br />
in het bewaken van netwerken, monitoring<br />
en dergelijke. Anderzijds denk ik dat het verkrijgen<br />
van goede inlichtingen over regionale<br />
of bredere (op handen zijnde) aanvallen veel<br />
aandacht gaat krijgen op relatief korte termijn.<br />
Voor wat betreft het forensische gebied kijk ik<br />
daar op vergelijkbare manier tegenaan.<br />
Je spreekt ook op de Black Hat Sessions op<br />
14 mei a.s. Kun je al een tipje van de sluier<br />
oplichten?<br />
Zoals wellicht bekend, ging mijn oorspronkelijke<br />
lezing over een cyber terroristische aanslag<br />
in het Midden-Oosten, maar daar mag ik<br />
helaas bij nader inzien toch niets over vertellen.<br />
Ik heb samen met mijn collega Rickey<br />
Gevers nagedacht over een onderwerp dat<br />
minstens net zo interessant en belangrijk is<br />
voor het publiek. Ik zal het gaan hebben over<br />
HET INTERvIEW<br />
het Pobelka botnet waarbij Digital Investigation<br />
zeer nauw betrokken is geweest. Uit het<br />
onderzoek dat door Digital Investigation is<br />
verricht, is gebleken dat ten minste 264.339<br />
systemen zijn besmet door het Pobelka<br />
botnet. Vele duizenden (grote) bedrijven,<br />
maar ook particulieren zijn door dit botnet<br />
besmet, waardoor zeer gevoelige informatie<br />
in handen van cybercriminelen is gekomen.<br />
Er is al aardig wat bekend over deze aanval,<br />
maar heel veel ook nog niet...<br />
Digital Investigation B.V.<br />
Sumatralaan 45<br />
Media Park, Media Gateway B<br />
1217 GP Hilversum<br />
E info@digital-investigation.eu<br />
T 035 - 677 44 11<br />
w www.digital-investigation.eu<br />
<strong>Madison</strong> <strong>Gurkha</strong> april 2013 9
10<br />
DE HACK<br />
RC4<br />
RC4 is een populair versleutelingsalgoritme<br />
dat al een tijdje meegaat: het is in 1987<br />
ontwikkeld door de bekende cryptograaf Ron<br />
Rivest (de ‘R’ in RSA). Het is het standaardalgoritme<br />
in veel communicatieprotocollen,<br />
zoals remote desktop (RDP), bittorrent en de<br />
wireless-protocollen WEP en WPA-TKIP. In<br />
SSL/TLS kan er gekozen worden uit verschillende<br />
algoritmes: naast RC4 wordt daar ook<br />
vaak AES gebruikt.<br />
RC4 is een ‘stream cipher’, wat wil zeggen<br />
dat waardes uit de invoer een-voor-een worden<br />
versleuteld. Dit in tegenstelling tot ‘block<br />
ciphers’, waarbij data in blokken tegelijkertijd<br />
versleuteld wordt. Bij een ‘stream cipher’<br />
wordt een relatief kleine sleutel (zeg 40 of<br />
128 bits) gebruikt om een lange rij willekeurige<br />
waardes te genereren, de sleutelstroom<br />
(of ‘one-time pad’). Bij versleuteling worden<br />
invoerwaardes via een XOR-operatie gecombineerd<br />
met waardes uit de sleutelstroom.<br />
Echt willekeurig<br />
Van RC4 was al bekend dat de sleutelstroom<br />
niet volledig willekeurige waardes bevatte<br />
bij gerelateerde sleutels, zoals bij WEP<br />
gebruikelijk was. Eerder onderzoek heeft<br />
bovendien aangetoond dat zelfs bij totaal<br />
ongerelateerde sleutelwaardes bepaalde<br />
waardes bovengemiddeld vaak voorkomen<br />
op enkele vaste posities in de uitvoerstroom.<br />
Hierdoor werd RC4 al een tijdje als minder<br />
veilig beschouwd.<br />
<strong>Madison</strong> <strong>Gurkha</strong> april 2013<br />
Dit keer in de rubriek ‘De Hack’ vertelt Johan van Selst, security consultant bij <strong>Madison</strong> <strong>Gurkha</strong>, meer over de actuele<br />
ontwikkelingen rondom SSL.<br />
Op 12 maart dit jaar heeft professor Dan Bernstein van de TU Eindhoven een<br />
presentatie gegeven waarin hij kwetsbaarheden in het RC4-versleutelingsalgoritme<br />
bekend maakte. Twee weken later publiceerde het Nationaal Cyber Security<br />
Centrum (NCSC) een beveiligingsadvies getiteld “Gebruik RC4 in TLS ontraden”.<br />
RC4 was op dat moment wereldwijd het meest gebruikte versleutelingsalgoritme<br />
voor de beveiliging van websites (via TLS).<br />
Bernstein en onderzoekers van de Royal Holloway<br />
University stellen dat het probleem veel<br />
groter is. Zij hebben aangetoond dat het RC4algoritme<br />
vaste voorkeurwaardes oplevert<br />
voor elke positie in het begin van de sleutelstroom,<br />
ongeacht de gebruikte sleutel.<br />
Om deze lichte voorkeur te kunnen meten in<br />
versleutelde communicatie, dient heel vaak<br />
hetzelfde bericht opnieuw versleuteld te<br />
worden. Het onderzoek heeft aangetoond dat<br />
wanneer een bericht zo’n vier miljard(!) keer<br />
versleuteld wordt met willekeurige RC4-sleutels,<br />
dat dan betrouwbaar de eerste 256 bytes<br />
van de uitvoer allemaal te achterhalen zijn.<br />
Praktisch toepasbaar<br />
Met HTTPS kan men data herhaaldelijk laten<br />
versleutelen, door telkens dezelfde webpagina<br />
te laden. De eerste 256 bytes bevatten<br />
vaak de sessiecookies waarmee een<br />
aanvaller een online account over zou kunnen<br />
nemen. Maar een aanval (met kwaadaardige<br />
JavaScript-code) duurt wel lang. Voor het<br />
onderzoek is software geschreven waarmee<br />
het 32 uur duurde om voldoende data te<br />
verzamelen.<br />
De onderzoekers hebben hun software niet<br />
gepubliceerd. Momenteel zijn dergelijke<br />
aanvallen alleen weggelegd voor organisaties<br />
die zelf nog wat onderzoek kunnen doen<br />
en voldoende rekenkracht hebben. Wel is<br />
duidelijk dat aanvallen op RC4 in de toekomst<br />
nog beter zullen worden. De genoemde getallen<br />
gaan uit van een naïeve aanval, waarbij<br />
geen kennis over de inhoud gebruikt wordt.<br />
Sessiecookies bevatten echter geen willekeurige<br />
binaire waardes, maar bijvoorbeeld<br />
Base64-tekens, wat het aantal mogelijkheden<br />
flink beperkt. Bovendien zijn de statistische<br />
afwijkingen aanzienlijk groter bij de eerste<br />
bytes in de uitvoer. Ten slotte kan vervolgonderzoek<br />
mogelijk gerelateerde zwakheden<br />
blootleggen.<br />
Alternatieven<br />
Er is geen oplossing voorhanden die compatibel<br />
is met het huidige protocol. Er zijn wel<br />
andere creatieve mogelijkheden. Sinds 2006<br />
wordt in het SSH-protocol RC4 gebruikt waarbij<br />
eerste 1536 bytes uit de sleutelstroom<br />
overgeslagen worden (RFC4345).<br />
Binnen het bestaande TLS-protocol zijn meerdere<br />
versleutelingsalgoritmes beschikbaar.<br />
Het NCSC adviseert daarom RC4 direct uit te<br />
schakelen, waardoor automatisch een ander<br />
algoritme gebruikt wordt.<br />
Recent zijn er ook kwetsbaarheden gepubliceerd<br />
voor de ‘block cipher’-algoritmes die in<br />
TSLv1.0 (en SSLv3) gebruikt worden. Beter<br />
kiest men voor de nieuwste protocolversie,<br />
TSLv1.2, waarin ‘block ciphers’ veiliger gebruikt<br />
worden (geen BEAST-kwetsbaarheid).<br />
Ook biedt deze versie meer keuze in hoogwaardige<br />
algoritmes. De TSLv1.2-standaard<br />
stamt uit 2008 (RFC5246), maar wordt nog<br />
weinig gebruikt door moderne webbrowsers<br />
en -servers.<br />
Momenteel is RC4 het enige ‘stream cipher’<br />
in de TLS-protocollen. Binnenkort wordt<br />
waarschijnlijk een modern hoogwaardig<br />
‘stream cipher’, Salsa20, toegevoegd aan<br />
de TLS-protocolstandaard. Dit algoritme is in<br />
2004 ontwikkeld door Dan Bernstein. Hopelijk<br />
wordt dit ook snel overgenomen door de<br />
softwareontwikkelaars, zodat gebruikers binnenkort<br />
weer veilig surfen via een protocol<br />
zonder bekende kwetsbaarheden.
In elke <strong>Madison</strong> <strong>Gurkha</strong> <strong>Update</strong> vragen wij een klant het spreekwoordelijke hemd van het lijf met betrekking tot zijn of haar relatie met<br />
IT-beveiliging.<br />
1In welke branche is uw organisatie<br />
actief?<br />
Onze organisatie is actief binnen<br />
de Rijksoverheid. De Dienst<br />
Publiek en Communicatie (DPC)<br />
ondersteunt de Rijksoverheid bij<br />
het gezamenlijk verbeteren van<br />
de communicatie met publiek en<br />
professionals door het bieden van<br />
shared servicediensten. Het Platform<br />
Rijksoverheid Online, met<br />
ondermeer www.rijksoverheid.nl<br />
is één van die shared services.<br />
2<br />
6<br />
7<br />
3Wat zijn de belangrijkste kwaliteiten waarover men moet beschikken<br />
om deze functies met succes uit te kunnen voeren?<br />
Beveiligingsbewustzijn is een belangrijke voorwaarde. Je moet<br />
bij alles wat je doet bijna automatisch afvragen of er nog beveiligingsaspecten<br />
bij horen. Beveiliging moet niet iets zijn wat je<br />
erbij doet; het moet een prominente plek in het proces innemen.<br />
Invloed in de organisatie is daarbij erg belangrijk. Je moet een<br />
functie hebben die in de organisatie wordt erkend als belangrijk.<br />
Bovendien is het van belang om genoeg invloed op prioritering<br />
te hebben om beveiliging goed uit te kunnen voeren.<br />
4 8<br />
5<br />
DEKLANT<br />
8vragen aan ...<br />
... Michael Wijnakker, Architect Online Media en Gerrit Berkouwer, senior Adviseur Kwaliteit en Innovatie bij<br />
de Dienst Publiek en Communicatie (DPC), ministerie van Algemene Zaken.<br />
Wat is uw functie?<br />
Michael Wijnakker: Ik ben werkzaam als Architect Online Media<br />
bij het team Architectuur. Daar ben ik met een aantal collega’s<br />
verantwoordelijk voor de software-architectuur, infrastructuur<br />
en beveiliging van het gehele Platform Rijksoverheid Online.<br />
Gerrit Berkouwer: De rijksoverheid wil steeds beter en efficiënter<br />
gaan werken. Daarbij hoort ook innovatie. Net als bij andere<br />
sectoren geldt ook hier: stilstaan is achteruitgaan. Kwaliteit van<br />
onze producten en processen zijn leidend bij wat we doen. Met<br />
het leveren van een structureel hoge kwaliteit helpen wij de 11<br />
departementen, onze opdrachtgevers, bij het behalen van hun<br />
communicatiedoelstellingen via diverse online kanalen.<br />
Hoe is informatiebeveiliging opgezet in uw organisatie?<br />
Beveiliging van het platform is qua techniek belegd bij het Team<br />
Architectuur. Binnen het Team Architectuur bepalen wij de<br />
samenhang van de verschillende omgevingen en de eisen die<br />
aan die omgevingen gesteld worden. Beveiliging is daar een<br />
elementair onderdeel bij. Technische zaken komen bij ons aan<br />
het licht, maar ook de meer procedurele, organisatorische en<br />
procesmatige kant van de beveiliging hebben daarbij onze aandacht.<br />
Daarnaast is beveiliging verweven in het gehele proces<br />
van analyse, ontwerp, bouw en testen<br />
van de websites en applicaties die we<br />
realiseren.<br />
Hoeveel mensen houden zich in uw<br />
organisatie bezig met informatiebeveiliging?<br />
We zouden haast willen zeggen: iedereen!<br />
Dat is wel ons streven in ieder<br />
geval. Het moet in elke functie een<br />
onderdeel van het werk zijn. Adviseurs,<br />
ontwerpers, testers, architecten,<br />
functioneel beheerders en redacteuren:<br />
allemaal moeten ze zich bewust zijn van<br />
beveiliging en er naar handelen.<br />
Wat zijn de belangrijkste uitdagingen op het gebied van informatiebeveiliging?<br />
Als overheid hebben wij hier een hele grote uitdaging. Wanneer<br />
een webapplicatie beveiligingsrisico’s bevat kan dit al snel tot<br />
commotie leiden, omdat informatie gevoelig kan zijn voor vele<br />
doelgroepen. Het is dus aan ons om ervoor te zorgen dat we alle<br />
applicaties op een gedegen manier beveiligen.<br />
Welke maatregelen nemen jullie hiervoor?<br />
Continue aandacht voor informatiebeveiliging is bij ons in het<br />
hele proces aanwezig. Vanaf de analyse- en ontwerpfase tot aan<br />
het functioneel en technisch beheer is er sterke aandacht voor<br />
beveiliging. Het is één van de succesindicatoren in ons proces<br />
en is continu onder de aandacht. Om te controleren of dit proces<br />
tot de juiste resultaten leidt, laten we jaarlijks een beveiligingsaudit<br />
uitvoeren door een onafhankelijke partij. Elk jaar zetten<br />
wij een offerteaanvraag uit bij een aantal bedrijven. <strong>Madison</strong><br />
<strong>Gurkha</strong> is één van de partijen die het onderzoek al een aantal<br />
keer heeft uitgevoerd.<br />
Wat zijn uw ervaringen met <strong>Madison</strong> <strong>Gurkha</strong>?<br />
<strong>Madison</strong> <strong>Gurkha</strong> voert de onderzoeken op een consistente en<br />
objectieve manier uit. De rapportages zijn daardoor goed te<br />
vergelijken en op die manier hebben wij een goed instrument in<br />
handen om het niveau van de beveiliging te monitoren.<br />
De gevonden risico’s zijn altijd duidelijk omschreven en voorzien<br />
van een aanbeveling die zal leiden tot het wegnemen van het<br />
risico. De onderzoeken geven ons waardevolle informatie waardoor<br />
wij onze beveiliging op een hoog niveau kunnen houden<br />
en dat ook in een onafhankelijk rapport kunnen aantonen.<br />
<strong>Madison</strong> <strong>Gurkha</strong> april 2013<br />
11
Bent u klaar voor de DigiD audit?<br />
DigiD Audit<br />
Readiness Scan<br />
Met de DigiD Audit Readiness Scan helpt ITSX u bij het tijdig vaststellen<br />
van verbeterpunten en ondersteunt u bij de audit voorbereidingen.<br />
Ter bescherming van persoonsgegevens van burgers heeft<br />
Logius een beveiligingsnorm opgesteld waaraan DigiD gebruikers<br />
zoals gemeenten en publieke instellingen moeten voldoen.<br />
Beveiligingsincidenten in DigiD gerelateerde applicaties kunnen<br />
leiden tot het rigoureus afsluiten van DigiD met alle gevolgen<br />
van dien. Het is daarom van belang dat wanneer u DigiD<br />
gebruikt binnen uw organisatie, u de IT-beveiliging op orde<br />
heeft en op tijd klaar bent voor de verplichte audit. Deze audit<br />
dient eind 2013 te zijn afgerond.<br />
Het vergt een aanzienlijke inspanning van organisaties om<br />
aan de norm te kunnen voldoen. De Logius DigiD norm is<br />
breed opgesteld en bevat technische en meer procedurele<br />
zaken. Daarom is het goed om te weten dat ons moederbedrijf<br />
<strong>Madison</strong> <strong>Gurkha</strong> betrokken is geweest bij een<br />
pilot van KING en al meerdere bedrijven heeft getoetst tegen<br />
de DigiD norm. Op basis van de kennis en ervaring die<br />
dit oplevert kan ITSX uw organisatie ondersteunen met de<br />
DigiD Audit Readiness Scan. De scan bekijkt de mate waarin<br />
uw organisatie klaar is voor de audit en voldoet aan de normen.<br />
Deze ‘gap-analyse’ levert een concreet verbeterplan en een<br />
‘roadmap’ op om de audit succesvol te laten verlopen. ITSX<br />
en <strong>Madison</strong> <strong>Gurkha</strong> kunnen u uiteraard ook de helpende hand<br />
bieden bij het uitvoeren van het verbeterplan.<br />
De DigiD Audit Readiness Scan vergt een geringe investering<br />
maar bespaart u een langdurig, moeizaam en duur traject om<br />
uw IT-beveiliging op orde te krijgen en te voldoen aan de DigiD<br />
norm.<br />
Indien u vragen heeft of een afspraak wilt maken, kunt u contact<br />
met ons opnemen via www.itsx.com of info@itsx.com.<br />
ITSX en haar consultants leveren diensten over de gehele<br />
breedte van het vakgebied informatiebeveiliging,<br />
waaronder de deelgebieden Information Security Management,<br />
IT-Audit en Compliance, Testen, Opleiding<br />
en Training.<br />
Your Security is Our Business