Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Het begint allemaal bij gezond verstand

Ruwe slides voor #sysconf 18 dec 2012 @ HOGent. Algemene talk over security en wat er allemaal mis mee gaat / kan gaan...

  • Be the first to comment

Het begint allemaal bij gezond verstand

  1. 1. Information securityHet begint allemaal bij goed gezond verstand Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
  2. 2. Wie ben ik?● Jan Guldentops (° 1973) ● Historian by Education ● ICT consultant & researcher by vocation ● Security-guy by accident● Sterke focus op : ● Open Source / Linux ( since 1993 ) – Open Source fundamentalist na mijn uren ● Research ( BA Testlab ) ● Security
  3. 3. Wie zijn jullie ?● Student, werkmens en / of ondernemer ?● Welk ICT-geloof hang je aan ? ● Open source-pinguin of demoontje ● Blinde volgeling van Redmont ● Lid van de Apple sekte ● Of homo universalis ?● Zoek je een carriere in ICT security ?
  4. 4. Better Access / BA N.V.● Opgericht in 1996 ● Oudste Belgische Linux / Open Source bedrijf● Sterke focus op “openheid” ● Open Systems ● Open standards ● Open Source● Verzinnen/ontwerpen, bouwen, beveiligen en beheren ICT, security en netwerkinfrastructuren.● Creativiteit: enorm veel “Mac Guyver” projects
  5. 5. BA Testlabs● R&D afdeling van BA ● Veel vergelijkende tests / onderzoekjes die we in de gespecialiseerde pers publiceren ● Stagewerking : – Elk jaar 5 stagaires die een uitdagend project krijgen ● Onderzoeks / ontwikkel-ideeën praktisch uitwerken ● De lat ligt heel hoog ● Begeleid door mezelf en één techie – Niks te verliezen – Serieuze referentie voor je CV
  6. 6. For the record:Ik heb mezelf nooit beschouwd als security-expert!
  7. 7. Belgium Online● In 1996 werd de eerste Belgische internet-bank gelanceerd, en ik publiceerde de gigantische security- problemen die in de hele omgeving zitten● Amateurisme – browseable cgi-bin-dir – clear-text, downloadable perlscripts – mainframe userid/password rechtstreeks opzetbaar uit deze software – (internal) documentation downloadable – debug logging naar een worldwide browseable directory – ...● “experts” ● Gebouwd door Netvision ( later Ubizen now Verizon )
  8. 8. In security there is often a bigdifference between reality and theory, marketing and sales
  9. 9. Wat is security ?● Uitermate simpel : CIA Confidentiality Integrity Availibility● En dit alles ga je op een structurele manier proberen te garanderen...
  10. 10. Perpetuum Mobile VISIE ←WETTELIJKE VEREISTEN + INVENTARIS ↓BELEIDSAANPASSINGEN RISICO-ANALYSE BELEIDSPLAN (ACT) → ↑ ↓ CONTROLE / AUDIT PLAN TOT (CHECK) UITVOERING / BIJSTURING (PLAN) ← EIGENLIJKE ← UITVOERING / BIJSTURING (DO)
  11. 11. Welke practische problemen ga je allemaal tegenkomen?
  12. 12. User Authenticatie● We gebruiken nog altijd vooral userid/wachtwoord voor authenticatie ? -- ● Sterke, tokenbased authenticatie ? ● Certificaten ?● Geen centrale user en vooral rollen management ? ● Meerdere gebruikerssystemen binnen één organisatie● Bad passwords / gebruik● Clear-text van userid / passwords en andere gevoelige informatie● ...
  13. 13. E-mail● Ondanks dat men vaak de dood van e-mail heeft aangekondigd is het nog altijd één van de belangrijkste vormen van communicatie● Maar: ● Niemand tekent of versleutelt zijn e-mail ● We gebruiken nog altijd goeie oude SMTP met al zijn problemen. – Typisch voorbeeld is het spamprobleem ● Redundantie is vaak een probleem, dns is een probleem...● In feite is het een mirakel dat e-mail gewoon werkt.
  14. 14. Encryptie● We versleutelen nog altijd niet alles ● Disks ● Devices ● Communications● En als we het gebruiken dan doen we het nog vaak op een slechte, knudde manier.● Meeste IT-professionals hebben geen enkele awareness van hoe encryptie werkt en hoe het te gebruiken...
  15. 15. Secure communications● Onze software communiceert nog altijd clear- text of met slecht opgezette encryptie. ● Bv. geen gebruik van third party signed certificaten bij web-applicaties● Vaak triviaal om ● een man-in-the-middle attact te doen ● Wachtwoorden te sniffen
  16. 16. IPv6● 1996 zaten we blijkbaar al zonder internet- adressen ( “Imminent death of the internet, episode 3097”)● Niemand gebruikt ipv6● Security Ipv6 rammelt aan alle kanten● Zelfs sommige electriciteitsnetvoorzieners kiest voor zijn smart metering project ervoor om ipv4 adressen te gebruiken...
  17. 17. Amateurisme● Beveiliging en security zijn vaak nog altijd side- shows● Er wordt nauwelijks ontwikkeld met security in het achterhoofd maar die wordt er later bij opgebouwd.● Zelfs security-bedrijven gaan enorm in de mist : ● Voorbeeld van Diginotar
  18. 18. Het officiele rapport :The successful hack implies that the current network setup and / or procedures at DigiNotarare not sufficiently secure to prevent this kind of attack.The most critical servers contain malicious software that can normally be detected byanti-virus software. The separation of critical components was not functioning or was not inplace. We have strong indications that the CA-servers, although physically very securelyplaced in a tempest proof environment, were accessible over the network from themanagement LAN.The network has been severely breached. All CA servers were members of one Windowsdomain, which made it possible to access them all using one obtained user/passwordcombination. The password was not very strong and could easily be brute-forced.The software installed on the public web servers was outdated and not patched.No antivirus protection was present on the investigated servers.An intrusion prevention system is operational. It is not clear at the moment why it didn ‟t blocksome of the outside web server attacks. No secure central network logging is in place.
  19. 19. Good system administration● Integrity checks ● Hostbased IDS op alle kritische servers● Firewalling op alle kritische servers● Gevorderde procesbeheer bijvoorbeeld Selinux laten aanstaan !● Centraal tamper-proof logging● Deftige password policies of beter sterke authenticatie!● Automated, regelmatige updates security-updates● Minimal software installs● Etc.
  20. 20. Business Continuity● Correcte risk assessment : ● RTO ● RPO● Audits / tests en gezond verstand worden vergeten● Ik kom nog maandelijks gevallen van belangrijk data verlies tegen !● RT @JeremiadLee: There’s an assumption that when you host in the cloud, the datacenter is well above sea level.
  21. 21. Security awareness is heel laag
  22. 22. Operating systems● Zijn nog altijd niet secure● Niet alleen een probleem van het core OS maar ook van de componenten ( java, flash, browsers, etc.)● Hele platforms zijn niet klaar : ● Bijvoorbeeld Android / Ipad zijn geen echte multiuser omgevingen● Ook de eindgebruikers zijn een probleem
  23. 23. Wat kan jullie helpen ?
  24. 24. Cyber police● In 1996 there hardly existed anything like a computer crime unit or a Digitale recherche● Now there is an infrastructure and professionals for this.● But often money is wasted by politicians ● Digitale meldpunten ● Etc.
  25. 25. Wetgeving● In 1996 was er geen enkele wetgeving om cybercriminele op een niet lachwekkende manier te vervolgen.● Nu is die er wel...● Maar nu is het evenwicht tussen privacy / burgerrechten en de oorlog tegen cybercriminaliteit soms zoek. ● Vooral als het om auteursrechten gaat
  26. 26. Best practices● We hebben ondertussen een aantal frameworks, richtsnoeren die je helpen bij security.● Bijvoorbeeld : ● Cobit ● ISO/IEC 17799 ( code voor informatiebeveiliging)● Deze kunnen je een heel eind op weg zetten...
  27. 27. M(o)ore● De wet van Moore geldt nog altijd: ● Exponentiele groei van de beschikbare bandbreedte ook tot bij de eindgebruiker ● Exponentiele groei van computing power, storage, memory, etc.● Globalisering● Maakt de job van security-administrator niet altijd makkelijker ● Encryptie kan makkelijker gekraakt worden ● Denial-of-service aanvallen zijn een stuk eenvoudiger geworden
  28. 28. M(o)ore● Moores law is still working : ● Exponential growth of the available bandwidth ● Computing power● Globalisation● Doesnt make it easier ● Encryption can be broken more quickly ● Denial-of-service attacks get more lethal
  29. 29. Cloud / Cloud washing● Weet er iemand wat cloud echt betekent ?● 1.000.000 verschillende definities : ● Private / public / hybride ● SAAS, PAAS, IAAS,● Disruptive technology● Veel marketing blabla en cloud washing● Maar op het vlak van security veranderen de regels niet : ● CIA
  30. 30. ICT is geen baas meer● IT / Security manager waren altijd no-men● Vroeger waren zij de alfa en omega van wat er gebeurde in bedrijf /organisatie● Bedreigd door : ● Consumerism ● BYOD● Nu moeten ze Yesmen worden...
  31. 31. Mobilisatie● Netwerk perimeter is volledig verdwenen!● Enorme consequenties voor ● Network ● Authentication ● Devices ● Data Leakage ● Business Continuity ● ...
  32. 32. Cyber criminals hebben zich georganiseerd● 1996 waren hackers meestal cyberpunks ● Beetje in de traditie van wat de anonymous en piratenbeweging nu is.● Nu is het vooral de georganiseerde mafia ● Scamming ● Trade and industrial secrets ● Hacking ● Blackmail...
  33. 33. Privacy Impact● “Dave”-project voor Febelfin ● Willen awareness creeëren dat je niet om het even wat op het internet moet posten ● http://www.youtube.com/watch?v=F7pYHN9iC9I● 4 factors ● Wat we zelf weggeven via sociale media, blogs, etc. ● Wat applicaties van ons weggeven als we ze gebruiken ● Open, vaak overheids-data ● Wat grote spelers die veel over ons weten hiermee doen...● Vuistregel: Alles wat je op het internet zet is publiek!
  34. 34. Common sense is so rare thesedays it should be classified as a super power...
  35. 35. Tips en trucks● Er is maar één killer security product en dat is gezond verstand : ● Wees kritisch ● Wees redelijk en praktisch ● Zorg dat je ten allen tijd● Gebruik frameworks en standaarden maar gebruikt ze niet als dogmas maar als praktische tools.● Zorg ervoor dat je awareness creëert van de eindgebruiker over de ICT-staf tot op het hoogste management niveau.● Als het om cloud gaat, zorg dat je echte en legale garanties hebt.
  36. 36. Meer weten over security ?
  37. 37. Questions ? Jan Guldentops j@ba.beTwitter: JanGuldentops

    Be the first to comment

    Login to see the comments

  • bertvanvreckem

    Dec. 27, 2012

Ruwe slides voor #sysconf 18 dec 2012 @ HOGent. Algemene talk over security en wat er allemaal mis mee gaat / kan gaan...

Views

Total views

415

On Slideshare

0

From embeds

0

Number of embeds

2

Actions

Downloads

12

Shares

0

Comments

0

Likes

1

×