NGN: HET PLATFORM VOOR DE ICT PROFESSIONAL

Geplaatst op 22-6-2010 15:16 door Kees Hogewoning "20% consumenten gebruikt één wachtwoord voor alles" zo luidt de kop van een artikel op security.nl. Volgens F-Secure zou 20% van de gebruikers één wachtwoord gebruiken voor alles wat ze doen op internet. Ik vind die 20% nog best een laag percentage. Wanneer je aan gebruikers zou vragen of ze hetzelfde wachtwoord gebruiken voor meerdere accounts, zal dit percentage waarschijnlijk hoger uitkomen. Het hergebruiken van wachtwoorden is een praktijk die vaak voorkomt. Het gebruiken van één wachtwoord voor alles is een uiterste. Ik zie vaak dat gebruikers een beperkte set aan wachtwoorden hebben of wachtwoorden die sterk op elkaar lijken. Zo wordt het aantal te onthouden wachtwoorden beperkt. In de praktijk is het bijna niet de doen om voor alle accounts een ander wachtwoord te verzinnen én dat ook nog te onthouden. Het is dus niet gek als een gebruiker al snel de neiging heeft om één of enkele wachtwoorden te gebruiken voor alle accounts.

Een manier om dit probleem op te lossen is het maken van een lijst met accounts en wachtwoorden. Daar treedt dan het probleem op dat die lijst beveiligd moet worden. Een papieren lijstje is vanuit het oogpunt van beveiliging nogal kwetsbaar. Een digitaal lijstje in de vorm van een password manager is een veiligere optie. Een password manager kan beveiligd worden met één sterk wachtwoord. Dan hoef je nog maar één wachtwoord te onthouden. De andere wachtwoorden zit dan opgeborgen achter dat éne wachtwoord.

Als je toch niet van plan bent om de wachtwoorden die in je password manager staan te onthouden dan hoeven dit ook  geen simpele wachtwoorden te zijn. Dan kun je bijvoorbeeld wachtwoorden gebruiken die bijvoorbeeld uit 20 willekeurige karakters bestaan. Waarom zou je de moeite nemen om P3M!h4HA@TiC*Rpz9M%L te onthouden. Met knippen en plakken kun je het wachtwoord toch eenvoudig gebruiken. Op deze wijze kun je elk account een uniek en moeilijk te raden wachtwoord geven, wat toch praktisch te gebruiken is. Je moet er alleen goed voor zorgen dat het wachtwoord van je password manager een goed én sterk wachtwoord is wat je ook kan onthouden.

Als back-up voor de password manager kan periodiek de lijst uitgeprint worden en bijvoorbeeld in een kluis bewaard worden. De digitale beveiliging wordt dan ingeruild voor fysieke beveiliging.

Voorbeelden van password managers

• KeePass
• KeePassX
• Password safe

Geplaatst op 9-4-2010 15:55 door Kees Hogewoning Als beheerders doen we goed ons best om informatie te bewaren. We zorgen voor betrouwbare opslag  en zorgen voor goede back-up en restore mogelijkheden. Maar soms moet de informatie ook verwijderd worden. En dan bedoel ik dat informatie ook echt goed verwijderd moet worden. Zodanig dat niemand anders meer de informatie van het opslagmedium kan terughalen. Nog te vaak blijft er informatie achter op afgedankte informatiedragers.  Deze afgedankte informatiedragers worden vaak verkocht of weggegooid. Daarna is er vaak geen zicht meer op wat er met de achtergebleven informatie gebeurt.

Bij een opslagmedium moet je niet alleen denken aan een harde schijf, cd-rom, dvd of back-uptape maar ook aan USB-memorysticks, mediaplayers, mobile telefoons, PDA's en soms zelfs aan printers of telefooncentrales die een harde schijf kunnen hebben.

Een eenvoudige delete is niet voldoende om data van een opslagmedium te verwijderen. Na een druk op de delete knop blijft er nog voldoende informatie achter om het bestand geheel of gedeeltelijk weer te herstellen. Zolang de ruimte op de disk niet is overschreven door een ander bestand is de data weer terug te halen. Als het bestand nog in de recycle bin van Windows zit is het herstellen van het bestand natuurlijk helemaal makkelijk.

Voor het grondig verwijderen van data van herschrijfbare opslagmedia zijn er verschillende opties:

1. Overschrijven de inhoud van het opslagmedium. Hiervoor is software beschikbaar waarbij het medium  overschreven kan worden met andere (willekeurige) data. Veel leveranciers van harde schijven stellen hiervoor software beschikbaar. Zoek op internet naar 'harddisk wipe tool' en je struikelt over de tools die hiervoor beschikbaar zijn. Voor harde schijven kan bijvoorbeeld DBAN gebruikt worden. Voor flash geheugen kan bijvoorbeeld Roadkil's Disk Wipe gebruikt worden. Voor het leegmaken van een disk gaan de meeste tools uit van het principe dat je een bootable cd maakt en daarvan de computer boot. De disk moet dan nog wel in een computer zitten waarvan je kunt booten.
2. Heb je een opslagmedium waarop de informatie op magnetische wijze is weggeschreven zoals dat meestal het geval is bij een harde schijf of tape dan kan het degaussing een oplossing zijn. De disk hoeft dan ook niet in een computer te zitten om leeggemaakt te worden. Met een degausser wordt door middel van een sterk elektromagnetisch veld de magnetisch opgeslagen data vernietigd.
3. Daarnaast is er nog de mogelijkheid om het opslagmedium fysiek te vernietigen.  Voor niet-herschrijfbare opslagmedia zoals cd's en dvd's is dit de enige mogelijkheid. Voor het vernietigen of wissen van harde schijven die in apparatuur zoals printers of telefooncentrales zit zal de disk uit het apparaat verwijderd moeten worden. Of het hele apparaat kan in de schredder.
   
   

Wil je de moeite niet nemen om afgedankte informatiedragers te wissen of vernietigen dan is encryptie ook een oplossing. De data hoeft niet verwijderd te worden want voor een buitenstaander is de informatie niet te gebruiken. De betrouwbaarheid van deze oplossing is afhankelijk van de sterkte van de encryptie en het geheim houden van de decryptiesleutels.

Geplaatst op 22-3-2010 14:49 door Kees Hogewoning OpenSSL is een standaard toolkit om met certificaten te werken. OpenSSL werkt via de commandline en het aantal commandline-parameters is groot. Dit biedt goede mogelijkheden om (uitgebreide) scripts te maken.



Om op een makkelijke manier zonder scripts het beheer van certificaten uit te voeren is het gebruik van een grafische interface handig. XCA is zo'n grafische interface voor OpenSSL. XCA kun je downloaden via http://sourceforge.net/projects/xca.

De belangrijkste functies van XCA zijn het maken en beheren van private keys, certificate signing requests, certificaten, templates en revocation lists. XCA ondersteunt onder andere het gebruik van het PEM, DER, PKCS#12 (*.pfx) en PKCS#7- formaat van certificaten. Templates is een onderdeel wat speciaal voor XCA is. Alle standaard informatie die gebruikt wordt bij het aanmaken van certificaten en certicate signing request kan in een template geplaatst worden voor hergebruik.



Alle instellingen, keys en certificaten worden opgeslagen in één centrale database. Deze database is met een wachtwoord beveiligd. Er kunnen meerdere database gemaakt en beheerd worden. Voor bijvoorbeeld testdoeleinden kan een aparte database te gemaakt.

Geplaatst op 11-2-2010 15:06 door Kees Hogewoning
Cookies zijn kleine tekstbestanden die door de webbrowser op de pc worden opgeslagen. Ze bevatten informatie zoals session id, gebruikersinstellingen of andere informatie die de website  nodig heeft. De website geeft aan de browser aan wanneer er een cookie moet worden opgeslagen. Telkens wanneer de betreffende website opnieuw wordt bezocht wordt het cookie naar de website teruggezonden. Door middel van cookies kan de website gebruikers koppelen aan de bekeken pagina's van de website. Een praktische toepassing is de elke gebruiker zijn eigen winkelmandje krijgt in het geval dat de website een online winkel is. Het zou vervelend zijn als je het winkelmandje van iemand anders zou kunnen vullen.
 
Hoe de webbrowser omgaat met cookies is in de webbrowser in te stellen. Je kunt gemakkelijk instellen hoe je met het accepteren van cookies wilt omgaan en wanneer je ze wilt verwijderen.  De volgende afbeelding laat de opties zien voor Firefox.
 

 
Behalve cookies in de webbrowser zijn er ook cookies in flash. Hoe de webbrowser om moet gaan met flashcookies is lastiger in te stellen. Zelf in private browsing mode blijven flashcookies op de pc achter. Zo heel erg 'private' is dat dus niet. Voor Firefox is daarvoor wel een extensie die deze tekortkoming oplost: BetterPrivacy. 

In de flashplayer zelf kan ook nog ingesteld worden hoe deze met cookies, beveiliging en andere instellingen om moet gaan. Vervelend hierbij is echter dat is dat de instellingen alleen gedaan kunnen worden door een website van Adobe te bezoeken. Je met hiervoor naar: http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager07.html. Je krijgt dan de volgende flash applicatie te zien waarin je de instellingen kunt wijzigen.
 

 
Meer over cookies:
http://lifehacker.com/5461114/fact-and-fiction-the-truth-about-browser-cookies

-- edit --
Adobe is ondertussen ook wakker geworden en heeft aangekondigd van vanaf flash 10.1 private browsing wel ondersteund wordt. In de bètaversie schijnt dit nog niet helemaal soepel te werken.

p.s.
Wist je dat Computer monster de voorganger van Cookie monster was.

Geplaatst op 1-2-2010 12:09 door Kees Hogewoning

Op woensdag 17 februari 2010 is er een NGN evenement met als titel "Disaster Recovery, een praktijkvoorbeeld". Zoals bij soort aankondigingen gebruikelijk is worden er argumenten aangedragen hoe je het aan je baas kunt uitleggen dat je daar toch echt naar toe moet. Toen ik dat las dacht ik nog aan een ander argument. Laat je baas het volgende filmpje maar eens zien. Vooral de tweede helft is redelijk dramatisch. Het filmpje laat zien hoe het disaster is verlopen. Hoe de recovery is verlopen vertelt het verhaal niet.

"This video taken from security cameras of Vodafone Turkey's Data Center in Istanbul."

Geplaatst op 12-1-2010 11:06 door Kees Hogewoning Een aantal firewalls en intrusion detection systemen (IDS) zijn uitgerust met SSL-inspection. Hiermee is het mogelijk om netwerkverkeer binnen een SSL-tunnel te inspecteren.

Zonder SSL-inspection wordt er een SSL-tunnel opgezet tussen een webbrowser en de webserver. Dit gebeurt al op het moment dat je een website bezoek waarvan de url met https begint. Al het netwerkverkeer tussen de browser en de server is versleuteld. Iemand die, bijvoorbeeld met Wireshark naar dat netwerkverkeer kijkt ziet alleen versleutelde data. Een IDS ziet dus ook alleen versleutelde data. Malware en andere data die de IDS normaliter zou tegen houden is nu versleuteld en "onzichtbaar" voor de IDS. Een SSL-tunnel is een veilige manier om gegevens zonder controle langs een firewall of IDS te smokkelen.

Bij het toepassen van SSL-inspection wordt de SSL-verbinding op de firewall of IDS afgebouwd. De SSL-tunnel loopt van de webserver naar de IDS. Binnen de IDS is de data niet versleuteld. De IDS kan de gegevens dan ook scannen. Als het netwerkverkeer in orde is bevonden wordt er een  nieuwe SSL-verbinding opgezet tussen de IDS en de browser. Hiervoor wordt door de IDS een nieuw SSL-certificaat gemaakt. Dit certificaat van de IDS zal ook in de browser zichtbaar zijn. Beheerders kunnen zelf (root)certificaten distribueren naar alle werkstations. Een gebruiker krijgt hierdoor geen melding te zien in de webbrowser dat het certificaat vervangen is door een ander certificaat. Het is voor de gebruiker alleen zichtbaar wanneer hij naar de details van het certificaat kijkt.

Het voordeel van SSL-inspection is dat met SSL beveiligd netwerkverkeer wordt gescand op ongewenste inhoud. Het is een goed streven om al het netwerkverkeer dat een netwerk binnenkomt of er uit gaat te scannen. Toch zit er een vervelend nadeel aan SSL-inspection. De gebruiker die een met https beveiligde website bezoek gaat er van uit dat zijn gegevens veilig zijn. Dat ze ook niet door anderen kunnen worden gelezen. Websites hebben meestal een goede reden om SSL te gebruiken. Door het toepassen van SSL-inspection weet de gebruiker niet meer met zekerheid of zijn gegevens door iemand anders zijn gelezen of gewijzigd. Iemand die toegang heeft tot de IDS kan ook de mogelijkheid hebben de gegevens te lezen. Het gebruik van SSL is dus niet altijd zo veilig als dat het lijkt.

Het gebruik van SSL-inspection kan tot vreemde situaties leiden. Zo vertellen de Nederlandse banken aan haar klanten dat ze bij het gebruik van internetbankieren er op moeten letten dat het certificaat van de website voor internetbankieren klopt. Bij tenminste één van die banken wordt SSL-inspection toegepast op het netwerkverkeer. Aan de klanten wordt verteld dat ze moeten opletten dat de beveiliging bij het bezoek van de website in orde is. Voor de eigen medewerkers wordt de SSL-tunnel open gebroken en worden er concessies gedaan aan de vertrouwelijkheid van de versleutelde data.

Op isaserver.org wordt uitgelegd hoe ssl-inpection is in te stellen voor Microsoft ISA Server.
http://www.isaserver.org/tutorials/Outbound-SSL-Inspection-TMG-Firewalls-Part1.html
http://www.isaserver.org/tutorials/Outbound-SSL-Inspection-TMG-Firewalls-Part2.html
Geplaatst op 23-12-2009 10:08 door Kees Hogewoning Er is een trend gaande dat steeds meer bedrijven toestaan dat medewerkers hun eigen laptop meenemen en gebruiken. Dit concept wordt ook wel "Bring you own laptop genoemd". Naar mate er bij een bedrijf meer ZZP-ers rondlopen zie je ook steeds meer eigen laptops. Soms zie je ook dat bedrijven medewerkers een eigen ICT-budget geven. Binnen bepaalde randvoorwaarden mogen medewerkers hun eigen ICT-voorzieningen regelen.

Het gebruik van "vreemde laptops"  heeft wel gevolgen voor de beveiliging van een ICT-omgeving. Als bij een organisatie alleen eigen computers gebruikt worden zou bekend moeten zijn welke computers aan het netwerk gekoppeld zijn en wat daar aan software op staat. Als bedrijf weet je hoe de beveiliging ervan geregeld is. Bij het gebruik van vreemde laptops weet je als bedrijf niet hoe de beveiliging ervan geregeld is. Dit is een risico.

Wanneer een bedrijf het gebruik van vreemde laptops toestaat zal in de beveiliging van het bedrijfsnetwerk hier rekening mee gehouden moeten worden. Het gebruik van alleen de standaard firewall of virusscanner  is niet meer voldoende. De beveiliging verschuift zich naar de applicatie- en de informatielaag. Authenticatie en autorisatie wordt dan bepaald in de applicatie. Het gebruik van bijvoorbeeld applicatievirtualisatie kan een handig hulpmiddel zijn. In virtualisatielaag kan dan geregeld worden wie toegang krijgt tot een applicatie. Die hoeft dan niet in de applicatie zelf geregeld te worden. Zo worden binnen een netwerk ook grenzen gelegd. Applicaties en informatie worden binnen een netwerk extra afgeschermd.
Geplaatst op 6-12-2009 11:41 door Kees Hogewoning Op Security.nl staat een bericht met als titel "Criminelen te lui voor encryptie". Ik moest gelijk denken aan een alternatieve titel: "Beheerders te lui voor encryptie". Er zijn inmiddels behoorlijk veel mogelijkheden beschikbaar voor het toepassen van encryptie. In de praktijk is het toepassen van encryptie eerder  uitzondering dan  regel. Vooral bij laptops en andere mobiele apparaten zou encryptie zou encryptie standaard toegepast moeten worden. Het komt immers regelmatig voor dat mobiele informatiedragers "kwijt raken".

Wil je met encryptie aan de slag dan kan ik je aanraden om eens naar TrueCrypt en AxCrypt te kijken. Beiden zijn open source maar er zijn genoeg andere alternatieven. Geplaatst op 26-10-2009 21:28 door Kees Hogewoning Twee van mijn favoriete collecties tools zijn de utilities van Sysinternals en die van Nirsoft. De diverse tools waaruit deze collecties zijn opgebouwd zijn afzonderlijk te downloaden. Die collectie van Sysinternals kan ook als één suite gedownload worden. Wat bij beiden ontbreekt is een gebruikersvriendelijke interface om de tools in één keer te updaten en een overzichtelijke interface om gemakkelijk toegang te krijgen tot de diverse tools. Door de hoeveelheid tools is het vaak zoeken naar de juiste tool.

Een tool die in deze tekortkomingen voorziet is Windows System Control Center (WSCC). In één applicatie zijn de tools verdeeld in categorieën. Elke tool is voorzien een korte omschrijving. En met een druk op de knop zijn de tools te starten.


Geplaatst op 20-9-2009 09:41 door Kees Hogewoning Aan wachtwoorden worden eisen gesteld. Soms mag je alleen letters en cijfers gebruiken. Een andere keer moeten er ook nog leestekens bij zitten. Hoeveel karakters van elke soort er in het wachtwoord moeten zitten kan ook nog variëren. Niet alleen het wachtwoord is daarmee moeilijk, het wordt de gebruiker ook nog eens moeilijk gemaakt. Over hoe je met wachtwoorden moet omgaan is al ontzettend veel geschreven. Vraag aan 10 ICT-ers hoe je met wachtwoorden moet omgaan en je krijgt 10 verschillende meningen. Om aan deze eindeloze discussie iets toe te voegen heb ik hier nog een manier om met wachtwoorden om te gaan. Een manier om het voor de gebruiker wat makkelijk te maken.

Password Chart is een website waarop een eenvoudige webapplicatie staat die makkelijk te onthouden wachtwoorden kan omzetten naar een moeilijker wachtwoord.

Het begint met het maken van een woord of zin om de tabel die rechts in het plaatje getoond wordt op te bouwen. Deze phrase wordt ingevuld in het eerste invulveld. In het volgende invulveld  wordt het makkelijke wachtwoord ingevuld. Dit wachtwoord bestaat uit letters en cijfers. Dit is het wachtwoord wat de gebruiker moet onthouden. Met behulp van de tabel worden de letters en cijfers van het makkelijke wachtwoord vervangen door andere karakters. Als voorbeeld heb ik het wachtwoord "Makkelijk" gebruikt. Met behulp van de tabel wordt "M" vervangen door "+69". De "A" wordt vervangen door "qs", enzovoort. Het wachtwoord wat uiteindelijk ingetypt moet worden om te in loggen is "+69qs7777hh766xc77". Dit wachtwoord hoeft een gebruiker dus niet te onthouden. De gebruiker hoeft alleen maar het woord "Makkelijk" te onthouden.

Om de tabel te gebruiken zo je elke keer naar de website kunnen gaan om de tabel opnieuw te laten tonen. Het is makkelijk om de tabel één keer te maken en goed te bewaren. Met een beetje creativiteit is een tabel ook zelf te maken.  De tabel zelf zou ik wel geheim houden. Als een hacker de tabel in handen heeft dan kan hij een brute force attack makkelijker uitvoeren. Ik ken alleen nog geen brute force attack software die met een dergelijke tabel rekening kan houden.
Geplaatst op 4-9-2009 15:06 door Kees Hogewoning Internet wordt volop als medium gebruikt om bestanden uit te wisselen. Bij een downloadlink op een webpagina staat soms ook nog een hash. Deze hash wordt ook wel een fingerprint of checksum genoemd. Waar dient zo'n hash eigenlijk voor en wat kun je ermee?


De hash van een bestand is als het ware de vingerafdruk ervan. Zoals elke mens een unieke vingerafdruk heeft zo heeft elk bestand een unieke hash. Het bestand en hash horen bij elkaar. Mocht om wat voor reden het bestand veranderen dan klopt de bijbehorende hash niet meer.

Van een bestand wordt de hash berekent met behulp van een hashing algortime. Gelukkig zitten deze hashing algoritmes verpakt in programma's die deze berekening kunnen uitvoeren.  De berekende hash wordt gepubliceerd. Zo kan iedereen te weten komen welke hash-waarden en bestanden bij elkaar horen. Wanneer iemand het bestand download kan hij zelf weer de hash berekenen. Is de zelf berekende hash hetzelfde als de gepubliceerde hash dan weet de downloader dat het bestand hetzelfde bestand is als op de server. Komen de hashes niet met elkaar overeen dan is het bestand voor, tijdens of na het downloaden gewijzigd.

Bij de het downloaden van bestanden kan de hash gebruikt worden om te controleren of het bestand goed is aangekomen. Als tijdens transport het bestand veranderd dan klopt de hash niet meer. Een hash kan ook gebruikt worden om te controleren of het juiste bestand is gedownload.

Stel dat een hacker het bestand op de server vervangt door een ander bestand wat bijvoorbeeld een virus bevat, dan komt de hash van het bestand niet overeen met de hash die op de website gepubliceerd is. Als de hash en het bestand op dezelfde server staan kan een hacker beiden vervangen. Dan is niet te controleren of het juiste bestand is gedownload. De hash en het bestand horen daarom ook op verschillende server te staan.

Een handige tool  om hashes to controleren is HashTab. Deze tool werkt in combinatie met de Windows Verkenner. Bij de eigenschappen van een bestand komen de hashes in een extra tabblad te staan. Een alternatief is MD5deep. Dit is een open source tools die geschikt is voor meerdere platformen en werkt op de commandline.

Geplaatst op 10-7-2009 12:55 door Kees Hogewoning Het kan wel eens gebeuren dat je moet inloggen op een Windows computer waarvan geen wachtwoord bekend is. Dan moeten er toch wat hackingtechnieken op los gelaten worden om toegang te krijgen. Een tool die al lange tijd meegaat is de Offline NT Password & Registry Editor. De computer kan geboot worden met deze cd. Vervolgens kunnen met de op de cd aanwezige tools wachtwoorden gewijzigd worden. Dit laat natuurlijk sporen achter omdat het wachtwoord gewijzigd wordt.

Een optie die minder sporen achterlaat is Kon-Boot. Nadat de computer boot van deze cd-rom wordt Windows op de gebruikelijke wijze gestart. In het inlogscherm van Windows hoeft vervolgens alleen de (lokale) gebruikersnaam ingevuld te worden. Het veld waar het wachtwoord ingevuld wordt kan leeg gelaten worden of er kan een volledig willekeurig wachtwoord ingevuld worden. Elke willekeurig wachtwoord wordt geaccepteerd omdat het wachtwoord niet gecontroleerd wordt. Kon-Boot werkt trouwens ook met Linux.

Deze tools zijn natuurlijk handig als het wachtwoord niet bekend is. Vanuit het oogpunt van beveiliging is het gebruik van dergelijke tools niet gewenst. Om het gebruik van deze tools te voorkomen kan gedacht worden aan de volgende beveiligingsmaatregelen:

• Gebruik diskencryptie
• Hernoem het account "Administrator" naar een minder voor hand liggende naam
• Wijzig de bootvolgorde zodat de pc alleen van de harde schijf gestart kan worden en beveilig de BIOS met een wachtwoord.
• Beperk de fysieke toegang tot de pc

Geplaatst op 17-6-2009 16:06 door Kees Hogewoning Helaas is een virusscanner een noodzakelijk kwaad. Een download is niet altijd wat je denkt dat het is. De virusscanner kan dan terecht alarm slaan. ICT-beveiliging is een belangrijk onderdeel van mijn werk. Daar heb ik ook tooling voor nodig. Security tools kun je vaak op twee manieren gebruiken. Je kunt ze gebruiken om de beveiliging te analyseren met het doel de beveiliging te verbeteren. Security tools zijn ook te gebruiken om te hacken. Een deel van de security tools die in mijn toolset heb zitten worden door virusscanners aangemerkt als ongewenste software. Als ik dus niet oplet verwijderd de virusscanner de tools weer van mijn systeem. Om dat te voorkomen bewaar ik de tools in een zipbestand met een wachtwoord. Een virusscanner weet het wachtwoord niet en kan zo de inhoud niet scannen en ook niet verwijderen.

 Recentelijk had ik weer eens een aanvaring met de virusscanner. Dit keer niet met een security tool maar met een loginscript. Een collega van mij had een loginscript geschreven maar dit loginscript werd door de virusscanner aangemerkt als virus. Een loginscript valt niet te gebruiken als de virusscanner het loginscript telkens verwijderd. Om dit probleem op te lossen hebben we dezelfde tacktiek toegepast als dat schrijvers van virussen doen. Een schrijver van virussen wil niet dat zijn virus herkent wordt door een virusscanner. Een van de manieren om dat te voorkomen is het versleutelen van de inhoud van het virus.

Het betreffende loginscript was een vbscript. Een vbscript kan versleuteld worden met de Microsoft Script Encoder. Het vbscript met de bestandsextensie vbs wordt omgezet in een bestand met de extensie vbe. Windows kan dit versleutelde script gewoon uitvoeren en de virusscanner herkent het niet meer als virus.

Het originele vbscript moet nog wel bewaard worden om later te kunnen aanpassen. Deze wordt dan maar weer bewaard in een zipbestand met een wachtwoord.
Geplaatst op 3-6-2009 13:12 door Kees Hogewoning Op maandag 22 juni is er een NGN evenement waarin Nir Zuk, CTO van Palo Alto Networks een presentatie en demo 'Re-inventing the firewall' geeft. In de aankondiging van dit event op de NGN website staat een link naar een filmpje van een presentatie die hij geeft. Hierbij stelt hij dat een doorsnee firewall in essentie hetzelfde is als een netwerkkabel. Dit is wat kort door de bocht, maar hij heeft toch een goed punt te pakken. Bijna al het netwerkverkeer gaat tegenwoordig over poort 80 (http) en 443 (https). Ook virussen en andere malware versturen hun netwerkverkeer over deze poorten.

Een doorsnee firewall kijkt voornamelijk naar het ip-adres van de verzender en de ontvanger en naar de poorten. Een doorsnee firewall kijkt niet naar de inhoud van de netwerkpakketjes. Dat is een taak die meer is weggelegd voor een intrusion detection systeem (IDS). Een moderne firewall zal dan ook de traditionele firewall functie en de IDS functie moeten combineren. Dit biedt dan ook weer een extra mogelijkheid. Een combinatie van firewall en IDS kan gebruikt worden als intrusion prevention systeem (IPS). Als een IDS een poging tot inbraak detecteert kan aan de firewall de opdracht gegeven worden om het netwerkverkeer van de mogelijke inbreker te blokkeren. Dit klinkt leuk maar is niet zonder risico's. Zoals een virusscanner ten onrechte bestanden kan aanmerken als virus, zo kan een IDS ten onrechte netwerkverkeer aanmerken als een inbraakpoging. Een IPS zou zo dus ten onrechte netwerkverkeer kunnen blokkeren. Je zal maar de klanten van je webshop de toegang ontzeggen. Dan heb je toch een probleem.

Een firewall gecombineerd met een IDS-functie heeft op dit moment zeker een toegevoegde waarde in veel omgevingen. Nog een stap verder is het afscheid nemen van de firewall. Maar dat zal op dit moment voor velen een stap te ver zijn.
Geplaatst op 24-5-2009 11:18 door Kees Hogewoning Truecrypt is een encryptietool die disken en partities kan versleutelen. Bij de NGN is deze tool al vaker langs gekomen. Type in de zoekveld op de homepage maar eens Truecrypt in. Eén van de dingen die Truecrypt redelijk bijzonder maakt is dat het als open source tool de partitie kan versleutelen waarop Windows is geïnstalleerd. Een recente herinstallatie van een pc heb ik gebruikt om wat screenshots te maken en de procedure uit te schrijven om te laten zien hoe dat proces verloopt.

1. Installeer eerst gewoon Windows
2. Download Truecrypt van http://www.truecrypt.org/downloads
3. Installeer Truecrypt
4. Start Truecrypt en ga in het menu naar System en dan naar Encrypt System Partition/Drive
5. Vervolgens doorloop je de wizard waarin je het volgende kunt aangeven:

• Type of System Encryption: Normal of Hidden. Tenzij je echt wat te verbergen hebt kies je hier voor Normal. Hoe een Hidden volume werkt kun je hier lezen op de website van Truecrypt.
• Area to encrypt: hier kun je kiezen of je alleen een partitie of een volledige disk wilt versleutelen. Ik heb hier gekozen voor de versleuteling van de volledig disk.
• Encryption of host protected area: Yes of No. Aan het einde van een disk kan er een gebied zijn wat verborgen is voor het besturingssysteem. Toch kunnen er applicaties zijn die hier gebruik van maken. Dit deel van de disk mag dan niet versleuteld zijn. Als niet bekend is of dergelijke applicaties aanwezig zijn kan veiligheidshalve het beste voor No gekozen worden.
• Number of operating sytems: kies hier voor single-boot of multi-boot.
• Encryption options: kies hier het encryptie en het hash-algoritme. Met behulp van een benchmark kan bepaald worden welk algoritme het snelste is.

• Password: hier geef je aan wat het wachtwoord is wat ingetypt moet worden tijdens het booten. Niet vergeten dus!
• In de volgende schermen worden random data en de sleutels gegenereerd. Daarna komt het onderdeel waarin een rescue disk wordt gemaakt. Met behulp van de rescue disk kan een beschadigde bootloader hersteld worden. Om de disk te kunnen lezen is altijd het wachtwoord nodig. Met een rescue disk kan dus niet het wachtwoord omzeilt worden. De rescue disk wordt gemaakt in de vorm van een iso-bestand wat op cd-rom gebrand kan worden.
• Daarna kan gekozen worden voor een Wipe Mode. Hier kun je aangeven hoe met de niet-gebruikte delen van disk van de disk moet worden omgegaan tijdens het versleutelen.
• Vervolgens controleert Truecrypt door middel van een test of alles goed werkt en start het eigenlijke versleutelen. De versleuteling kan wel een tijdje duren maar dit gebeurt op de achtergrond. Als de computer tijdens het versleutelen wordt uitgezet of gereboot gaat het versleutelen later weer verder.
  

Voor een volledig overzicht staan in dit bestand alle screenshots.
Geplaatst op 3-5-2009 12:40 door Kees Hogewoning Disk encryptie is één van de manieren om informatie op de harde schijf te versleutelen. Diskencryptie wordt toegepast om te voorkomen dat bij verlies of diefstal van een computer anderen de inhoud van de harde schijf kunnen lezen. Met behulp van een wachtwoord of sleutel worden de bestanden opgeslagen op de disk en weer gelezen van disk. Zolang de sleutel in het geheugen van de computer aanwezig is werkt het versleutelen en ontsleutelen zonder dat er om een wachtwoord wordt gevraagd.

Disk encryptie is te vergelijken met het gebruik van een kluis. De informatie kan veilig opgeborgen worden in een kluis. Met de juiste sleutel of code is de kluis te openen om nieuwe informatie erin te stoppen of aanwezige informatie eruit. Dat werkt goed zolang niemand anders de sleutel of code heeft. Die moet dus veilig bewaard worden.

In een computer wordt de sleutel ingetypt of op een andere manier ingevoerd voordat de sleutel gebruikt wordt. De sleutel zit dus in het geheugen. Om toegang te krijgen tot versleutelde bestanden moet je de sleutel in handen krijgen. De sleutel uit het geheugen van de computer halen, is een manier om dat voor elkaar te krijgen. Op deze website van Princeton University wordt uitgelegd hoe dat gedaan kan worden. Om een dergelijke aanval te voorkomen moet de computer na gebruik ook echt uitgezet worden en dus niet in stand-by.

Het kan natuurlijk ook zo:


(xkdc.com)
Geplaatst op 23-4-2009 12:01 door Kees Hogewoning Een netwerkbeheerder hoort eigenlijk altijd te weten wat er allemaal in zijn netwerk aanwezig is. Dat is niet alleen omdat hij (of zij) het moet beheren. Als je wilt weten hoe de beveiliging van het netwerk er voor staat moet ook bekend zijn wat er allemaal in het netwerk staat. In principe komt het er op neer dat als je niet weet wat je hebt, je ook niet weet wat je moet beveiligen en dus ook niet weet van welke devices de beveiliging gecontroleerd moet worden.

The Dude is een handige tool om inzichtelijk te maken wat er allemaal in een netwerk aanwezig is. Deze tool scant periodiek het netwerk en maakt een netwerktekening. Vanuit deze tekening kan weer ingezoomd worden op de devices. Het beheer van de devices kan hier ook aan gekoppeld worden.



Even een korte opsomming van de website:
Some of it's features:

• The Dude is free of charge!
• Auto network discovery and layout
• Discovers any type or brand of device
• Device, Link monitoring, and notifications
• Includes SVG icons for devices, and supports custom icons and backgrounds
• Easy installation and usage
• Allows you to draw your own maps and add custom devices
• Supports SNMP, ICMP, DNS and TCP monitoring for devices that support it
• Individual Link usage monitoring and graphs
• Direct access to remote control tools for device management
• Supports remote Dude server and local client
• Runs in Linux Wine environment, MacOS Darwine, and Windows
• Best price/value ratio compared to other products (free of charge)

Geplaatst op 1-4-2009 09:42 door Kees Hogewoning De afgelopen twee dagen ben ik naar het Cybercrime Security Forum 2009 geweest. Ik heb veel tools en hacking mogelijkheden gezien. Het is gewoon eng om te zien hoe eenvoudig het is om door middel van hacking de beveiliging te doorbreken. Vooral de combinatie van techniek, social engineering en criminaliteit zorgt voor gevaarlijke combinatie. De belangrijkste conclusies van dit forum zijn de volgende:

• Als je eenmaal het beoogde doelwit bent van een hacker kan de beveiliging altijd doorbroken worden. Maak het de hacker dus zo moeilijk mogelijk.
• Er zijn geen oplossingen om iets te beveiligen er zijn alleen tegenmaatregelen. Zorg dus dat je zoveel mogelijke tegenmaatregelen genomen hebt. Zorg er ook voor dat de maatregelen op tijd genomen zijn.
• De combinatie van hacking (techniek) en social engineering vormt een zeer krachting aanvalsmiddel. Beveilig dus niet alleen de techniek maar ook de mensen.
  

Geplaatst op 3-3-2009 08:55 door Kees Hogewoning Gisteren verscheen op nu.nl het bericht dat de Consumentenbond betere beveiliging voor laptops wil. Volgens de Consumentenbond worden laptops zonder een compleet beveiligingspakket geleverd. "Een aantal heeft zelfs geen probeerversie voorgeïnstalleerd." Als ik zo'n bericht lees vraag ik me af of consument wel weet wat hij koopt. Als ik de folders van verschillende computerverkopers lees dan zie ik dat deze hardware verkopen met daarop voorgeïnstalleerd een besturingssysteem. Ik lees bijna nergens dat er nog meer software wordt meegeleverd. Vaak is deze extra software wel op de laptop geïnstalleerd. Dat schept valse verwachtingen. De koper denkt een complete machine te kopen die hij alleen nog maar aan hoeft te zetten en alles werkt. En dat dus ook alles veilig is. Helaas is dat niet zo en moet de koper alsnog extra software installeren of licenties aanschaffen voor de probeerversies van software.

De verkopers van computers zouden gewoon duidelijk moeten vertellen wat ze leveren en wat niet zodat de koper precies weet wat hij geleverd krijgt. Dat lijkt me een behoorlijke uitdaging want koper en verkoper praten een verschillende taal. Daarnaast is het voor de verkopers een uitdaging om precies datgene te leveren wat de koper wil hebben. Dus een plug-en-play laptop. Resultaat: de verkoper is blij dat hij geen zeurende consument(enbond) heeft en de consument is blij dat hij een alles-in-één-machine heeft die volgens verwachting werkt.

Wat vinden jullie moet beveiligingssoftware standaard meegeleverd worden bij een computer? Geplaatst op 25-2-2009 09:14 door Kees Hogewoning Gisteren was de webmaildienst Gmail niet beschikbaar. Gelukkig is het probleem weer opgelost. Wereldwijd maken veel mensen gebruikt van deze dienst dus de impact is zeer groot.

Eén van de risico's van het gebruik van internetdiensten is dat je volledig afhankelijk bent van de leverancier ervan. Als de leverancier de stekker eruit trekt of technisch probleem heeft kun je niet meer bij de gegevens. Een back-up van je eigen gegevens op je eigen hardware is dan wel zo handig. Het is echter niet altijd even gemakkelijk om een back-up te maken van de gegevens. Bij Google is er voor elke dienst een andere manier om een back-up te maken. Het lijkt wel of Google een ontmoedigingsbeleid voert om de eigen data veilig te stellen.

P.S. Vorige keer schreef ik over (IN)SECURE Magazine. Inmiddels in Issue 20 uitgekomen.
Geplaatst op 30-1-2009 12:56 door Kees Hogewoning (IN)SECURE Magazine is een gratis digitaal tijdschrift in PDF-formaat. Het verschijnt niet echt regelmatig maar wanneer het verschijnt dan ligt er ook een berg interessant leesvoer. Het is is zeker aan te raden om je per e-mail of per RSS-feed op de hoogte te laten stellen wanneer er weer nieuw nummer gedownload kan worden.


Het volgende citaat uit het meest recente nummer wil ik jullie niet onthouden:

As the old adage states "if anything can go wrong, it will". In the case of security, the chances of something going wrong tends to increase with complexity. It is therefore paramount that instead of aiming towards a system that is impenetrable, we shift an adequate amount of our focus towards accountability. We cannot guarantee that a system cannot be compromised but we can increase the chances that if it does, we are promptly notified and can assess the extent of the problem.

Sandro Gauci in het artikel "How security can hurt us". (IN)SECURE Magazine issue 19

Geplaatst op 26-1-2009 12:23 door Kees Hogewoning Een virtuele machine bestaat uit virtuele hardware. Het is hardware die er wel is maar die je niet in je handen kunt houden. Het besturingssysteem en software binnen de virtuele machine is weinig virtueel. Het is net zo ongrijpbaar als dat het op echte hardware ook is. Het besturingssysteem en de sofware moeten daarom ook net zo beveiligd worden als dat bij een echte server ook nodig is.

Virtualisatie kan ook gebruikt worden als een beveiligingsmiddel. Een virtuele machine kan een applicatie afschermen van het onderliggende gastbesturingssysteem of afschermen van het netwerk.

Een voorbeeld waarin virtualisatie gebruikt kan worden is het afschermen van de webbrowser. Dit kan handig zijn als je websites bezoekt die je niet vertrouwd omdat ze mogelijk malware verspreiden. Ook kan het handig zijn om zeker te weten dat eventueel aanwezige malware niet meekijkt. Bijvoorbeeld bij het regelen van bankzaken via internet.

Browswervirtualisatie kan op verschillende manieren uitgevoerd worden. Het niveau van beveiliging en de mate van praktische gebruik is daarbij verschillend:

1. De webbrowser kan met verschillende profielen werken. In Firefox is dit handig geregeld met de profilemanager. De profilemanager kun je starten door Firefox te starten met commando firefox --profilemanager. De profilen kunnen je verschillende instellingen geven en daarbij andere add-ons installeren. In Internet Explorer is dit wat lastiger. Hierbij zul je met meerdere gebruikersaccounts moeten werken.



2. De webbrowser kan ook gebruikt worden binnen een virtuele machine die nergens anders voor gebruikt wordt. Software (en eventuele malware) die op het gastbesturingssysteem draait is niet van invloed op de webbrowser. De webbrowser zelf heeft ook geen invloed op gastbesturingssysteem.

3. Nog een stapje verder is het read-only maken van de virtuele omgeving. Dit kan door het opstarten van virtuele server vanaf een bootable iso-image of door het terugzetten van snapshots van de virtuele server. De wijzigingen in de virtuele omgeving worden niet opgeslagen. Elke keer dat de virtule machine gestart wordt is die weer hetzelfde als de keer daarvoor. De omgeving van de webbrowser kan niet blijvend aangepast worden waardoor het effect van malware tijdelijk is. Geplaatst op 18-1-2009 17:08 door Kees Hogewoning "Behoefte aan mobility dramatisch onderschat" zo kopte onlangs de Computable. In dat artikel gaat het niet om de mobiliteit zelf maar om de tools die daarbij gebruikt worden. Een groot deel van de medewerkers gebruikt zelfaangeschafte mobiele apparaten zoals smartphones, pda's en laptops om het werk te doen.

Dit is een trend die steeds verder doorzet. In sommige beroepsgroepen is het al gebruikelijk dat iedereen voor zijn of haar eigen digitale tools zorgt. Ook op scholen en universiteiten krijgen studenten steeds vaker te horen dat ze voor de opleidingen een laptop nodig hebben. De apparatuur moeten ze zelf maar uitzoeken, aanschaffen, meenemen en gebruiken.

Vanuit functioneel oogpunt is er niets mis met deze trend. Iedereen gebruikt zo de producten die het beste aansluiten bij de manier van werken. En de apparatuur wordt ook steeds meer aan de persoonlijke behoeften afgestemd. Vergelijk het maar met een pen. Ik wil ook gewoon schrijven met een pen die bij mij lekker in de hand ligt en waarmee ik lekker kan schrijven. Dat hoeft helemaal niet te betekenen dat een ander ook lekker met de pen overweg kan.

Vanuit het oogpunt van security is het een heel ander verhaal. Informatie spreidt zich uit over meer apparaten en meer typen apparaten. De meest gebruikelijke methoden van beveiligen gaan uit van het beveiligen van het apparaat waar de informatie zich op bevind. Als je als informatie-eigenaar geen eigenaar bent van het apparaat heb je een probleem. Ook als je niet meer weet op welke apparaten de informatie zich nu bevind. De focus van beveiliging moet steeds meer liggen op beveiliging van de informatie zelf. Ongeacht waar de informatie zich bevindt. Dat vereist een andere manier van beveiligen.
Geplaatst op 7-1-2009 21:23 door Kees Hogewoning Een firewall is toch alleen maar lastig. In principe houdt een firewall alleen netwerkverkeer tegen en zit daarmee dus altijd in de weg. Het nut van een firewall wordt ook steeds minder. Vroeger had je malware die op niet-standaard poorten werkten zoals Back Orifice op poort 31337. In dat geval bewijst een firewall zijn nut. Tegenwoordig gaat bijna alle malware over de standaardpoorten 80 (http) en 443 (http). Ook de recente P2P software zoals Skype schieten gaten in de firewall. Er gaan steeds meer informatiestromen tussen organisaties en over netwerken van derden. Uiteindelijk is het daarom veel belangrijker om de informatie zelf te beveiligen en niet zozeer de IT infrastructuur. Een veilige IT infrastructuur is natuurlijk wel een extra pluspunt.  

Een interessant concept is de-perimeterization. Dit principe gaat uit van de volgende beveiligingsmaatregelen:

• encryptie/versleuteling
• veilige computerprotocollen
• veilige computersystemen
• authenticatie op gegevensniveau

In het Commandments document van het Jericho forum worden de 11 geboden benoemd en toegelicht om tot een veilige de-perimetrisatie te komen. Deze 11 geboden zijn:

1. The scope and level of protection should be specific & appropriate to the asset at risk.
2. Security mechanisms must be pervasive, simple, scalable & easy to manage.
3. Assume context at your peril.
4. Devices and applications must communicate using open, secure protocols.
5. All devices must be capable of maintaining their security policy on an untrusted network.
6. All people, processes, technology must have declared and transparent levels of trust for any transaction to take place.
7. Mutual trust assurance levels must be determinable.
8. Authentication, authorisation and accountability must interoperate / exchange outside of your locus / area of control.
9. Access to data should be controlled by security attributes of the data itself.
10. Data privacy (and security of any asset of sufficiently high value) requires a segregation of duties/privileges.
11. By default, data must be appropriately secured when stored, in transit and in use.

Geplaatst op 8-12-2008 21:00 door Kees Hogewoning "Nep-virusscanners grootste plaag op internet" zo kopt een artikel op security.nl. Dit is een trend op het gebied van malware die al een tijdje aan de gang is. Ik loop hier ook wel eens tegen aan en met een grote glimlach bekijk ik dan de creative uitwerking van deze malware. De nep-virusscanner laat vaak een lijst met bestanden zien die zogenaamd gescand worden. Zo komen keurig netjes de de systeembestanden uit de Windows-directory voorbij. De software claimt zelfs Windows-virussen (vaak zijn dit Trojans) te vinden. Ik kan me voorstellen dat een niets vermoedende gebruiker zich een hoedje schrikt. Inspelen op angsten is immers een effectieve manier om social engineering toe te passen of om virusscanners te verkopen.



En het leukste van dit alles is: ik gebruik Linux. Er is in de verste verte geen Windows-virus of systeembestand te vinden...
Geplaatst op 24-11-2008 14:07 door Kees Hogewoning Laatst viel mijn oog op dit artikel: "Bijna de helft van de mensen heeft technische hulp nodig". 48% van de gebruikers heeft meestal hulp nodig van anderen om apparaten te gebruiken of om uitgelegd te krijgen hoe het apparaat werkt. Als iemand uit die groep van 48% hulp vraagt aan iemand anders uit die groep van 48%  kan ik begrijpen dat veel mensen er niet uitkomen. Maar veel gebruikers namen contact op met een helpdesk om het probleem op te lossen.

Als zo'n grote groep mensen al problemen heeft met alleen het gebruik van technologie hoe moet het dan wel niet zijn met veilig gebruik ervan. Dat doet mij vermoeden dat veel beveiligingsmaatregelen achterwege blijven. Als ICT-ers kunnen we mooie en veilige toepassingen maken maar er zijn ook gebruikers die er gebruik van maken. Zouden wij het als ICT-ers gewoon niet te moeilijk maken voor gebruikers. Of is die gebruiker nou zo dom? Geplaatst op 15-11-2008 23:21 door Kees Hogewoning Voor de bouwsector bestaat er een leuke website waarin met foto's wordt aangegeven hoe het dus niet moet in de bouw. (Let dus goed op als je nu een aannemer hebt rondlopen.) De getoonde foto's hebben aan de ene kant een hoog humoristisch gehalte. Aan de andere kant laten ze zien wat er dus fout kan gaan. En daar kan weer van geleerd worden. Fouten die je zelf een keer gemaakt hebt wil je niet nog een keer doen. Hier komt het bekende spreekwoord van die ezel om de hoek kijken. Maar ook anderen kunnen leren van je fouten. Wat ze in de bouwsector doen kunnen we ook in de ICT. Het moet natuurlijk geen "Hall of shame" te worden. Onder het motto "Ter leering ende vermeack" hebben anderen ook wat de fouten die gemaakt zijn. Een leuk voorbeeld daarvan is de website: http://thedailywtf.com. Maar ook het forum zou daarvoor een goede plek zijn. Geplaatst op 22-9-2008 14:30 door Kees Hogewoning Tegenwoordig heet alles 2.0: enterprise 2.0, internet 2.0, business 2.0. Het begon allemaal met web 2.0, iets waar volgens mij nog steeds geen eenduidige definitie van is. De leukste uitleg van wat web 2.0 is vind je hier.



Het maakt niet uit wat de definitie is van web 2.0 precies is. De manier waarop internet de laatste jaren gebruikt wordt is veranderd. Internet wordt steeds meer tweerichtingsverkeer waar de gebruikers voor een belangrijk deel de inhoud bepalen. Gebruikers zetten steeds meer informatie op het internet. Niet alleen privé- maar ook bedrijfsinformatie. Bedrijfsinformatie komt niet alleen naar buiten via de geregisseerde corporate website maar ook via ongecontroleerde kanalen zoals Facebook, Twitter of LinkedIn. Deze laatste is te gebruiken om contacten te verzamelen en delen. Het medewerker- of klantenbestand kan hierdoor ook onbedoeld op internet staan. Een Engelse rechter heef inmiddels in een rechtszaak al bepaald dat LinkedIn contacten bedrijfsgegevens zijn.

Naast het uitlekken van (gevoelige) bedrijfsgegevens doordat ze via een web 2.0-dienst op internet geplaatst worden biedt web 2.0 ook mogelijkheden voor social engineering. Het is makkelijk om met valse gegevens accounts aan te maken. Is het LinkedIn account wat je toevoegd aan je eigen netwerk wel van degene die zegt dat hij/zij is? Onder een valse naam naam kun je contact leggen met anderen en zo gegevens te ontfutselen. Maar ook de reputatie van een persoon of bedrijf kan naar de vernieling worden geholpen.

Web 2.0 is een feit. De security moet daarop aangepast worden. Bedrijven moeten stilstaan bij het gebruik van web 2.0-diensten door hun werknemers. Van web 2.0 kan handig gebruik gemaakt worden maar gebruikers moeten zich ook bewust zijn van misbruik. Ook moeten gebruikers weten hoe zij met (gevoelige) informatie moeten omgaan. Welke waarde heeft informatie en wat mag ermee gedaan worden. Daarnaast geef je gebruikers niet meer informatie / data dan dat ze voor hun werk nodig hebben. Dat laatste is gewoon security 1.0. Geplaatst op 15-8-2008 15:41 door Kees Hogewoning Al enige tijd ben ik aan het rondkijken naar een leuke (ICT-)opleiding. Niet dat ik daar veel haast mee maak want de dagelijkse beslommeringen kosten ook veel tijd. Ik kijk dus wel eens rond op websites van opleiders of vraag een opleidingsgids aan. Een papieren gids is soms overzichtelijker dan de websites waarvoor je eerst de cursus "spoorzoeken voor gevorderden" voor gevolgd moet hebben. Een tijdje terug had ik een opleiding gevonden met een interessant programma. Totdat ik bij de details kwam: 3 jaar lang en dan zo ongeveer om de twee weken een lesavond en ook nog eens aan de andere kant van Nederland. Toen was het niet meer zo leuk.

CISSP leek me ook wel wat. Ik heb van iemand een cursusboek geleend om eens door te kijken. Over CISSP wordt wel eens gezegd dat het "mile wide and an inch deep" is. En dat klopt dus ook.  De methode van van examineren lijkt ook nergens op. Met 250 vragen in 6 uur test je voornamelijk of iemand snel kan denken, lang geconcentreerd kan blijven en stressbestendig is. Kortom CISSP was dus ook niet wat ik zocht.

Heel veel opleidingen zijn gekoppeld aan producten van een leverancier. Kijk maar eens naar het opleidingenscala van Microsoft, Cisco en Novell. Ik zit er niet op te wachten om het label van Microsoft of Cisco opgeplakt te krijgen. In opleidingen ben ik op zoek naar generiek bruikbare kennis. Als ik bij wijze van spreken wil weten weten hoe de techniek verpakt is in knopjes, commando's en windows dan zoek ik dat wel op in een handleiding. De omvang van een opleiding moet niet al te groot zijn. Het moet de vragen die ik heb kunnen beantwoorden en genoeg kunnen prikkelen om over de grenzen van de opleiding heen te kijken. Het moet het blikveld kunnen vergroten.

In de praktijk komt het er nu dus op neer dat ik zelf meer cursussen en workshops geef dan dat ik ze zelf volg. Mijn collega's bij Vanveen informatica maken er handig gebruik van en van het voorbereiden en geven van workshops leer ik meer dan dat ik zelf een workshop volg. Mocht iemand nog een goede opleiding weten dan hou ik me aanbevolen.
Geplaatst op 1-8-2008 16:25 door Kees Hogewoning Google heeft onlangs een nieuwe mijlpaal bereikt. Nog meer pagina's dan voorheen zijn te doorzoeken. De kunst is om alleen dat te vinden wat je ook zoekt. Google kent hiervoor een aantal zoekopties. Dan bedoel ik niet deze search features maar zoekopties die vanuit het oogpunt van security interessant zijn. In het zoekscherm in Google kun je een aantal zoekopties meegeven. Een overzicht hiervan staat op: http://www.google.com/help/operators.html.

Om te zoeken naar bestanden kun je bijvoorbeeld gebruik maken van de optie intitle. De webpagina's die een directory listing laten zien hebben vaak in de titel de term "index of" staan. Deze pagina's zijn zo gemakkelijk te herkennen en door middel van Google kan op de inhoud (de bestands- en directorynamen) gezocht worden.

Het robots.txt bestand is ook altijd leuk. In dit bestand is aangegeven welke directories niet doorzocht mogen worden door de zoekrobots van zoekmachines. Directories waar dus blijkbaar iets in staat wat niet voor iedereen bestemd is worden dus met naam genoemd.

Een tool om websites door middel van Google te doorzoeken op vulnerabilities is Goolag Scanner. Vergeet bij de installatie van deze tool niet het geluid op pc aan te zetten want een disclaimer wordt tijdens de setup voorgelezen. Dat scheelt weer in lezen van kleine lettertjes.

Kortom als iets op internet staat en het is niet door middel van authenticatie en autorisatie afgeschermd dan is het altijd wel door iemand te vinden. Internet is een publieke ruimte en in de beveiliging van informatie op internet moeten we daar rekening mee houden. Als iets niet door anderen gezien mag worden moeten ze er niet bij kunnen komen. Of nog beter: gewoon niet op internet zetten. Geplaatst op 25-6-2008 12:07 door Kees Hogewoning Het is de normaalste zaak van de wereld om internetwebsites met SSL te gebruiken. We kijken er niet meer van op wanneer er https in de URL staat en een slotje in de webbrowser. Klik je op het slotje dan zie je dat er een certificaat aan hangt. Het gebruik van certificaten voor e-mail is veel minder gebruikelijk. De veel gebruikte e-mailclients zijn er wel voor ingericht. Certificaten kunnen in e-mail voor twee dingen gebruikt worden: versleuteling en ondertekening. Dat laatste wordt ook wel de digitale handtekening genoemd.

Voordat certificaten in een e-mailclient gebruikt kunnen worden zullen er eerst certificaten toegevoegd moeten worden. Er zijn een aantal manieren om aan certificaten te komen. Ten eerste kun je ze gewoon kopen bij de bekende Certifcation Autorities zoals Verisign, Thawte, Entrust en anderen. Je kunt ze ook zelf maken. De bekendste toolkit hiervoor is OpenSSL. Daarmee kun je zelf een certification autorithy opzetten. Of je kunt een gratis certificaat aanvragen. Thawte en Comodo bieden bijvoorbeeld de optie om een gratis persoonlijk e-mail certificaat aan te vragen. Door het invullen van wat (fake) gegevens in een formulier kun je online een certifcaat laten aanmaken. Het resultaat:



De tekst “Ben ik te vertrouwen” kun je bij de aanvraag veranderen in elke andere willekeurige tekst. Dat biedt mogelijkheden om de mail te onderteken met een andere naam.
Geplaatst op 25-5-2008 17:52 door Kees Hogewoning De laatste tijd duiken mooie voorbeelden op van spear-phishing. Ik heb nog weinig goede Nederlandse voorbeelden gezien maar dat lijkt me maar een kwestie van tijd. Bij de gebruikelijke spam worden de e-mails lukraak verzonden. Op soms een paar variabelen na zoals de aanhef zijn deze redelijk anoniem. Bij spear-phishing heeft de verzender zijn huiswerk gedaan. De e-mail wordt doelgericht aan een persoon gestuurd. De e-mail is zodanig opgesteld dat het lijkt alsof de verzender de ontvanger persoonlijk kent of er een (zakelijke) relatie mee heeft. Het resultaat is dan bijvoorbeeld een e-mail van een rechtbank waarin aangekondigd wordt dat er een rechtzaak tegen je gestart is. In de e-mail staan de naam, adres en andere persoonlijke gegevens van de ontvangen. Als de ontvanger de dagvaarding wil bekijken dan moet de website van de rechtbank bezocht worden. De link in de e-mail naar de website van de rechtbank verwijst natuurlijk niet naar echte website van de rechtbank. In plaats van bij rechtbank kom het slachtoffer uit op een nagebootste website. Om de dagvaarding te kunnen zien moet eerst een plugin gedownload en geïnstalleerd worden. Alleen de plugin blijkt een fraai stukje malware te zijn zoals een keylogger.

Spear-phishing lijkt een grotere slagingskans te hebben omdat er veel meer gebruik gemaakt wordt van social engineering. Bovendien lijkt de e-mails die spear-phishers versturen veel meer op 'echte' e-mail. Hierdoor is de kans ook kleiner dat ze door spamfilters worden tegengehouden. Wat kun je doen tegen spear-phishing: vooral goed opletten op de inhoud van de e-mail en een gezond portie wantrouwen. De eventuele schade kan beperkt blijven door het gebruik van goede virus- of malwarescanners. Geplaatst op 27-3-2008 16:19 door Kees Hogewoning Bruce Schneier plaatste recent een interessant artikel over de 'Security Mindset' in zijn blog. Hij beschrijft daarin de manier waarop mensen die met security bezig zijn denken. 'Security requires a particular mindset. Security professionals -- at least the good ones -- see the world differently. They can't walk into a store without noticing how they might shoplift. They can't use a computer without wondering about the security vulnerabilities. They can't vote without trying to figure out how to vote twice. They just can't help it.' Als je blog van Bruce Schneier leest en je krijgt een gevoel van herkenning dan heb je het security virus ook te pakken. Een  collega van mij bracht dit op vergelijkbare wijze eens onder woorden met de uitspraak: 'Paranoia is een core-competentie van een security consultant.'

De Security Mindset is op twee manier te gebruiken. Eén manier is om op zoek te gaan naar de zwakke plekken met de intentie om zwakke plekken te versterken. Een andere manier is het zoeken naar zwakke plekken om er misbruik van te maken. Neem bijvoorbeeld een proces als vulnerability scanning. Een beheerder van een IT-omgeving zoekt de vulnerabilities om ze kunnen patchen en een hacker zoekt de vulnerabilities om er een exploit op los te laten. De tools die daarvoor gebruikt worden (vulnerability scanners) zijn dus op twee manieren te gebruiken namelijk als beheertool en als hacktool. Tools die op internet te vinden zijn op websites van de hacker-scene kunnen wel degelijk als serieuze beheertools ingezet worden. Sommige virus- en malware scanners willen nog wel eens moeilijk doen over 'hackingtools'. Dus voor je het weet heeft een virusscanner de vulnerability scanner verwijderd.  Dan zit er weer niets anders op dan de concurrende virusscanner tijdelijk uit te zetten met alle risico's van dien.
Geplaatst op 10-3-2008 13:07 door Kees Hogewoning Zoek op internet wat een security architectuur is en je krijgt bijna net zoveel omschrijvingen als dat er security architecten zijn. Als je security architecten vraagt wat ze doen dan krijg je ook uiteenlopende antwoorden. In principe hoeft een security architectuur helemaal niet moeilijk of ingewikkeld te zijn.

Security architectuur komt voort uit het architectuur denken. Architectuur zorgt voor de juiste balans van noodzaak en middelen. Waarom gaan we iets doen, wat gaan we doen en waarmee gaan we het doen. Een security architect kijkt naar de manier waarmee de juiste security middelen ingezet kunnen worden. Security middelen moeten effectief ingezet worden tegen reële bedreigingen.

Veel organisaties hebben wel een informatiebeveiligingsbeleid. Daarin is als het goed is, beschreven wat er is geregeld voor informatiebeveiliging. Dat gebeurt dan in termen zoals ‘iemand heeft alleen toegang tot informatie die hij/zij voor zijn/haar functie nodig heeft’. Dit zegt natuurlijk nog helemaal niets over hoe dat dan geregeld moet worden. Een security architectuur beschrijft niet alleen in hoofdlijnen welke maatregelen genomen moeten worden maar ook de samenhang en de manier waarop deze maatregelen ingezet moeten worden.

In dit artikel op Linux.com worden 9 principes van een security architectuur beschreven. Deze principes zijn:

1. Beschrijf een security policy en weet wat er op het systeem draait
2. Zorg dat acties gecontroleerd kunnen worden
3. Geef gebruikers en processen alleen de minimaal benodigde rechten
4. Zorg voor een gelaagde beveiliging
5. Audit het systeem en bekijk de logs
6. Stel een systeem zo in dat een aanval snel beheerst kan worden
7. Een systeem is net zo sterk als de zwakste schakel
8. Het sluiten van deur als de aanvallers weg zijn heeft geen zin.
9. Beoefen full disclosure, waarschuw gebruikers en ander belanghebbenden zo snel als mogelijk

Met deze principes in gedachten kun je voor elke ICT-omgeving een effectieve security architectuur opstellen.

Kees Hogewoning