Informatiebeveiliging & Web 2.0

1,142 views

Published on

A (Dutch) presentation on the Information Security implications in a Web 2.0 world. This presentation was part of the Information Security conference as held on October 8th in Bussum, the Netherlands.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,142
On SlideShare
0
From Embeds
0
Number of Embeds
14
Actions
Shares
0
Downloads
7
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • Informatiebeveiliging & Web 2.0

    1. 1. 8 oktober 2008 Informatiebeveiliging en Web 2.0 Aanhaken of afremmen? Informatiebewust Beveiligen
    2. 2. Eerst voorstellen N.R.M.J. (Nils) van der Laan RE is Information Security Specialist bij ASML, wereldmarktleider op het gebied van lithografiesystemen voor de halfgeleiderindustrie. Hij heeft tien jaar ervaring als IT-auditor (onder andere bij Ernst & Young EDP Audit en Audit Rabobank Groep) en is specialist op het gebied van informatiebeveiliging, zowel waar het de organisatorische als technische kant betreft. Ing. M.R. (Mauriche) Kroos RE CISSP is Information Security Manager bij Ordina BPO en is vanuit die rol mede verantwoordelijk voor informatiebeveiliging vanuit de afdeling Security & Compliance. Hij heeft negen jaar ervaring als IT-auditor (onder andere bij Ernst & Young EDP Audit en Fortis Audit Services).
    3. 3. Agenda <ul><li>Web 2.0 … what’s in name? </li></ul><ul><li>In een notendop </li></ul><ul><li>Risico’s en bedreigingen </li></ul><ul><li>Maatregelen </li></ul><ul><li>Afsluiting </li></ul>
    4. 4. Web 2.0 … what’s in a name?
    5. 5. Web 2.0 in een notendop AJAX Tags Virals Cloud computing Wiki’s Blogosphere Social Networks Beta Mashups “ The Long Tail” Open API’s Look and feel
    6. 6. Web 2.0 in een notendop AJAX: A synchronous J avaScript A nd X ML AJAX Tags Virals Cloud computing Wiki’s Blogosphere Social Networks Beta Mashups “ The Long Tail” Open API’s ...
    7. 7. Web 2.0 in een notendop Wiki’s AJAX Tags Virals Cloud computing Wiki’s Blogosphere Social Networks Beta Mashups “ The Long Tail” Open API’s ...
    8. 8. Web 2.0 in een notendop Mashups http://marinetraffic.com/ais/ AJAX Tags Virals Cloud computing Wiki’s Blogosphere Social Networks Beta Mashups “ The Long Tail” Open API’s ...
    9. 9. Web 2.0 in een notendop Tags AJAX Tags Virals Cloud computing Wiki’s Blogosphere Social Networks Beta Mashups “ The Long Tail” Open API’s ...
    10. 10. Web 2.0 in een notendop Blogosphere AJAX Tags Virals Cloud computing Wiki’s Blogosphere Social Networks Beta Mashups “ The Long Tail” Open API’s ...
    11. 11. Web 2.0 in een notendop ‘ The Long Tail’ AJAX Tags Virals Cloud computing Wiki’s Blogosphere Social Networks Beta Mashups “ The Long Tail” Open API’s ...
    12. 12. Web 2.0 in een notendop Virals ‘ Aqua Teen Hunger Force’ viral campagne in Boston AJAX Tags Virals Cloud computing Wiki’s Blogosphere Social Networks Beta Mashups “ The Long Tail” Open API’s ...
    13. 13. Web 2.0 in een notendop Social Networks AJAX Tags Virals Cloud computing Wiki’s Blogosphere Social Networks Beta Mashups “ The Long Tail” Open API’s ...
    14. 14. Web 2.0 in een notendop Open API’s AJAX Tags Virals Cloud computing Wiki’s Blogosphere Social Networks Beta Mashups “ The Long Tail” Open API’s ...
    15. 15. Web 2.0 in een notendop Cloud computing Afbeelding afkomstig van http://infreemation.net AJAX Tags Virals Cloud computing Wiki’s Blogosphere Social Networks Beta Mashups “ The Long Tail” Open API’s ...
    16. 16. Web 2.0 in een notendop Beta Afbeelding afkomstig van http://infreemation.net AJAX Tags Virals Cloud computing Wiki’s Blogosphere Social Networks Beta Mashups “ The Long Tail” Open API’s ...
    17. 17. Web 2.0 in een notendop Look and feel http://www.web20badges.com/ AJAX Tags Virals Cloud computing Wiki’s Blogosphere Social Networks Beta Mashups “ The Long Tail” Open API’s ...
    18. 18. Is het allemaal écht nieuw? Volgens Tim Berners-Lee: “ … Web 1.0 was all about connecting people. It was an interactive space, and I think Web 2.0 is of course a piece of jargon, nobody even knows what it means. If Web 2.0 for you is blogs and wikis, then that is people to people. But that was what the Web was supposed to be all along .&quot;
    19. 19. Risico’s en oorzaken <ul><li>Afhankelijkheid </li></ul><ul><ul><li>Pervasive content </li></ul></ul><ul><ul><li>Pervasive logic </li></ul></ul><ul><li>Techniek </li></ul><ul><ul><li>Kwetsbaarheden in web 2.0 toepassingen * </li></ul></ul><ul><ul><li>Beveiliging deels afhankelijk van de client </li></ul></ul><ul><li>Gebruik </li></ul><ul><ul><li>‘ Verwende’ gebruikers * </li></ul></ul><ul><ul><li>Information leakage * </li></ul></ul>B I V B I V B I V
    20. 20. <ul><li>Kwetsbaarheden in web 2.0 toepassingen </li></ul><ul><li>Cross site scripting AJAX (Bv. Yamanner virus gebruikt xss aanvallen op yahoo ajax calls) </li></ul><ul><li>XML poisoning (web 2.0 applicaties wisselen informatie uit obv XML bestanden; de (tussen)bestanden kunnen “besmet” worden </li></ul><ul><li>Malicious AJAX code execution </li></ul><ul><li>RSS / Atom injection (Client side aanvallen) </li></ul><ul><li>WDSL scanning en enumeratie (kennisnemen van WDSL bestanden) </li></ul><ul><li>Clientside validation in AJAX (serverside </li></ul><ul><li>Webservice routeringsproblemen </li></ul><ul><li>Parameter manipulatie met SOAP </li></ul><ul><li>XPATH injectie in SOAP berichten </li></ul><ul><li>Rich Internet Application binary manipulatie </li></ul>Oorzaken: Techniek Top 10 web 2.0 attack vectors van http://www.net-security.org/
    21. 21. Oorzaken: Gebruik <ul><li>‘ Verwende’ gebruikers </li></ul><ul><li>Samenwerken, informatie delen </li></ul><ul><li>Overal en altijd toegang </li></ul><ul><li>Sync, sync, sync … </li></ul><ul><li>Voor alles is een oplossing (of een website) </li></ul><ul><li>Gevolg </li></ul><ul><li>Ondermijning van beveiligingsmechanismen </li></ul><ul><li>Ongewilde en ongemerkte verspreiding van informatie en ‘user credentials’ </li></ul><ul><li>Onduidelijkheid m.b.t. kwaliteit van informatie (o.a. in Wiki’s) </li></ul>
    22. 22. Oorzaken: Gebruik <ul><li>Information Leakage </li></ul><ul><li>Ebay/Markplaats hebben een database vol met verkopers en artikelen, die worden gekoppeld aan potentiële kopers </li></ul><ul><li>Google heeft een database van websites, die door middel van zoekopdrachten worden gekoppeld (inclusief een cache) </li></ul><ul><li>Schoolbank.nl heeft een database vol met oud-scholieren die elkaar willen vinden </li></ul><ul><li>Ze hebben allemaal een stukje van de puzzel… </li></ul>
    23. 23. Maatregelen <ul><li>Afhankelijkheid </li></ul><ul><li>Prefered Suppliers </li></ul><ul><li>Selectiecriteria </li></ul><ul><li>TPM, SAS 70, Security Audits </li></ul><ul><li>Centrale opslag van user credentials (bijvoorbeeld door inzet van SAML) </li></ul><ul><li>Inventarisatie en ‘reversed’ A&K analyse </li></ul><ul><ul><li>In kaart brengen behoefte </li></ul></ul><ul><ul><li>Bij wildgroei: Keuze voor structurele oplssossingen </li></ul></ul>
    24. 24. Maatregelen <ul><li>Techniek </li></ul><ul><li>Server hardening (security baselines) </li></ul><ul><li>Bij In-house ontwikkeling </li></ul><ul><ul><li>Secure Software Development </li></ul></ul><ul><ul><li>Code reviews </li></ul></ul><ul><li>Web 2.0 gateway/firewall </li></ul><ul><li>Web 2.0 security tools (i.e. ratproxy) </li></ul><ul><li>Black-listing </li></ul>
    25. 25. Maatregelen <ul><li>Gebruik </li></ul><ul><li>Bewustzijn </li></ul><ul><li>Specifiek beleid (inclusief het uitdragen daarvan) </li></ul><ul><ul><li>Gaat over: blogging, sharing, collaboration, … </li></ul></ul><ul><ul><li>Mate van gedogen sterk afhankelijk van risico’s en de bedijfscultuur! </li></ul></ul><ul><ul><li>‘ Policy on use of user credentials’ </li></ul></ul><ul><li>Concrete richtlijnen </li></ul><ul><ul><li>Bijvoorbeeld voor Wiki’s (formele / informele informatie, moderatie) </li></ul></ul><ul><ul><li>Basis: soort informatie </li></ul></ul>
    26. 26. Soorten informatie: ‘Hokjesdenken’ Ongestructureerd Informeel Formeel Gestructureerd Wiki’s BOM Document Management
    27. 27. Dus … Aanhaken of afremmen?
    28. 29. Ter afsluiting: food for thought ‘ When did we start trusting strangers?’ Rapport van ‘Universal McCann’ over de invloed van sociale media, vooral met betrekking tot beïnvloeding van koopgedrag. (http://www.universalmccann.com) http://www.slideshare.net/mickstravellin/universal-mccanns-when-did-we-start-trusting-strangers-presentation

    ×