Information securityHet begint allemaal bij goed gezond verstand

Jan Guldentops ( j@ba.be )BA N.V. ( http://www.ba.be )

Wie ben ik?

Jan Guldentops ( 1973)Historian by Education

ICT consultant & researcher by vocation

Security-guy by accident

Sterke focus op : Open Source / Linux ( since 1993 )Open Source fundamentalist na mijn uren

Research ( BA Testlab )

Security

Wie zijn jullie ?

Student, werkmens en / of ondernemer ?

Welk ICT-geloof hang je aan ? Open source-pinguin of demoontje

Blinde volgeling van Redmont

Lid van de Apple sekte

Of homo universalis ?

Zoek je een carriere in ICT security ?

Better Access / BA N.V.

Opgericht in 1996 Oudste Belgische Linux / Open Source bedrijf

Sterke focus op openheid Open Systems

Open standards

Open Source

Verzinnen/ontwerpen, bouwen, beveiligen en beheren ICT, security en netwerkinfrastructuren.

Creativiteit: enorm veel Mac Guyver projects

BA Testlabs

R&D afdeling van BA Veel vergelijkende tests / onderzoekjes die we in de gespecialiseerde pers publiceren

Stagewerking : Elk jaar 5 stagaires die een uitdagend project krijgenOnderzoeks / ontwikkel-ideen praktisch uitwerken

De lat ligt heel hoog

Begeleid door mezelf en n techie

Niks te verliezen

Serieuze referentie voor je CV

For the record:Ik heb mezelf nooit beschouwd als security-expert!

Belgium Online

In 1996 werd de eerste Belgische internet-bank gelanceerd, en ik publiceerde de gigantische security-problemen die in de hele omgeving zitten

Amateurisme browseable cgi-bin-dir

clear-text, downloadable perlscripts

mainframe userid/password rechtstreeks opzetbaar uit deze software

(internal) documentation downloadable

debug logging naar een worldwide browseable directory

...

expertsGebouwd door Netvision ( later Ubizen now Verizon )

In security there is often a big difference between reality and theory, marketing and sales

Wat is security ?

Uitermate simpel : CIA

ConfidentialityIntegrityAvailibility

En dit alles ga je op een structurele manier proberen te garanderen...

VISIEWETTELIJKE VEREISTEN

+INVENTARISBELEIDSAANPASSINGEN
(ACT)RISICO-ANALYSE
BELEIDSPLAN

CONTROLE / AUDIT
(CHECK)PLAN TOT
UITVOERING / BIJSTURING
(PLAN)

EIGENLIJKE
UITVOERING / BIJSTURING
(DO)

Perpetuum Mobile

Welke practische problemen ga je allemaal tegenkomen?

User Authenticatie

We gebruiken nog altijd vooral userid/wachtwoord voor authenticatie ? -- Sterke, tokenbased authenticatie ?

Certificaten ?

Geen centrale user en vooral rollen management ?Meerdere gebruikerssystemen binnen n organisatie

Bad passwords / gebruik

Clear-text van userid / passwords en andere gevoelige informatie

...

E-mail

Ondanks dat men vaak de dood van e-mail heeft aangekondigd is het nog altijd n van de belangrijkste vormen van communicatie

Maar: Niemand tekent of versleutelt zijn e-mail

We gebruiken nog altijd goeie oude SMTP met al zijn problemen. Typisch voorbeeld is het spamprobleem

Redundantie is vaak een probleem, dns is een probleem...

In feite is het een mirakel dat e-mail gewoon werkt.

Encryptie

We versleutelen nog altijd niet alles Disks

Devices

Communications

En als we het gebruiken dan doen we het nog vaak op een slechte, knudde manier.

Meeste IT-professionals hebben geen enkele awareness van hoe encryptie werkt en hoe het te gebruiken...

Secure communications

Onze software communiceert nog altijd clear-text of met slecht opgezette encryptie. Bv. geen gebruik van third party signed certificaten bij web-applicaties

Vaak triviaal om een man-in-the-middle attact te doen

Wachtwoorden te sniffen

IPv6

1996 zaten we blijkbaar al zonder internet-adressen ( Imminent death of the internet, episode 3097)

Niemand gebruikt ipv6

Security Ipv6 rammelt aan alle kanten

Zelfs sommige electriciteitsnetvoorzieners kiest voor zijn smart metering project ervoor om ipv4 adressen te gebruiken...

Amateurisme

Beveiliging en security zijn vaak nog altijd side-shows

Er wordt nauwelijks ontwikkeld met security in het achterhoofd maar die wordt er later bij opgebouwd.

Zelfs security-bedrijven gaan enorm in de mist : Voorbeeld van Diginotar

Het officiele rapport :

The successful hack implies that the current network setup and / or procedures at DigiNotar are not sufficiently secure to prevent this kind of attack.The most critical servers contain malicious software that can normally be detected by anti-virus software. The separation of critical components was not functioning or was not in place. We have strong indications that the CA-servers, although physically very securely placed in a tempest proof environment, were accessible over the network from the management LAN.The network has been severely breached. All CA servers were members of one Windows domain, which made it possible to access them all using one obtained user/password combination. The password was not very strong and could easily be brute-forced.The software installed on the public web servers was outdated and not patched.No antivirus protection was present on the investigated servers.An intrusion prevention system is operational. It is not clear at the moment why it didnt block some of the outside web server attacks. No secure central network logging is in place.

Good system administration

Integrity checks Hostbased IDS op alle kritische servers

Firewalling op alle kritische servers

Gevorderde procesbeheer bijvoorbeeld Selinux laten aanstaan !

Centraal tamper-proof logging

Deftige password policies of beter sterke authenticatie!

Automated, regelmatige updates security-updates

Minimal software installs

Etc.

Business Continuity

Correcte risk assessment :RTO

RPO

Audits / tests en gezond verstand worden vergeten

Ik kom nog maandelijks gevallen van belangrijk data verlies tegen !

RT @JeremiadLee: Theres an assumption that when you host in the cloud, the datacenter is well above sea level.

Security awareness is heel laag

Operating systems

Zijn nog altijd niet secure

Niet alleen een probleem van het core OS maar ook van de componenten ( java, flash, browsers, etc.)

Hele platforms zijn niet klaar : Bijvoorbeeld Android / Ipad zijn geen echte multiuser omgevingen

Ook de eindgebruikers zijn een probleem

Wat kan jullie helpen ?

Cyber police

In 1996 there hardly existed anything like a computer crime unit or a Digitale recherche

Now there is an infrastructure and professionals for this.

But often money is wasted by politicians Digitale meldpunten

Etc.

Wetgeving

In 1996 was er geen enkele wetgeving om cybercriminele op een niet lachwekkende manier te vervolgen.

Nu is die er wel...

Maar nu is het evenwicht tussen privacy / burgerrechten en de oorlog tegen cybercriminaliteit soms zoek. Vooral als het om auteursrechten gaat

Best practices

We hebben ondertussen een aantal frameworks, richtsnoeren die je helpen bij security.

Bijvoorbeeld : Cobit

ISO/IEC 17799 ( code voor informatiebeveiliging)

Deze kunnen je een heel eind op weg zetten...

M(o)ore

De wet van Moore geldt nog altijd: Exponentiele groei van de beschikbare bandbreedte ook tot bij de eindgebruiker

Exponentiele groei van computing power, storage, memory, etc.

Globalisering

Maakt de job van security-administrator niet altijd makkelijker Encryptie kan makkelijker gekraakt worden

Denial-of-service aanvallen zijn een stuk eenvoudiger geworden

M(o)ore

Moore's law is still working : Exponential growth of the available bandwidth

Computing power

Globalisation

Doesn't make it easier Encryption can be broken more quickly

Denial-of-service attacks get more lethal

Cloud / Cloud washing

Weet er iemand wat cloud echt betekent ?

1.000.000 verschillende definities : Private / public / hybride

SAAS, PAAS, IAAS,

Disruptive technology

Veel marketing blabla en cloud washing

Maar op het vlak van security veranderen de regels niet : CIA

ICT is geen baas meer

IT / Security manager waren altijd no-men

Vroeger waren zij de alfa en omega van wat er gebeurde in bedrijf /organisatie

Bedreigd door : Consumerism

BYOD

Nu moeten ze Yesmen worden...

Mobilisatie

Netwerk perimeter is volledig verdwenen!

Enorme consequenties voor Network

Authentication

Devices

Data Leakage

Business Continuity

...

Cyber criminals hebben zich georganiseerd

1996 waren hackers meestal cyberpunks Beetje in de traditie van wat de anonymous en piratenbeweging nu is.

Nu is het vooral de georganiseerde mafia Scamming

Trade and industrial secrets

Hacking

Blackmail...

Privacy Impact

Dave-project voor FebelfinWillen awareness creeren dat je niet om het even wat op het internet moet posten

http://www.youtube.com/watch?v=F7pYHN9iC9I

4 factors Wat we zelf weggeven via sociale media, blogs, etc.

Wat applicaties van ons weggeven als we ze gebruiken

Open, vaak overheids-data

Wat grote spelers die veel over ons weten hiermee doen...

Vuistregel: Alles wat je op het internet zet is publiek!

Common sense is so rare these days it should be classified as a super power...

Tips en trucks

Er is maar n killer security product en dat is gezond verstand : Wees kritisch

Wees redelijk en praktisch

Zorg dat je ten allen tijd

Gebruik frameworks en standaarden maar gebruikt ze niet als dogma's maar als praktische tools.

Zorg ervoor dat je awareness creert van de eindgebruiker over de ICT-staf tot op het hoogste management niveau.

Als het om cloud gaat, zorg dat je echte en legale garanties hebt.

Meer weten over security ?

Questions ?

Jan Guldentopsj@ba.beTwitter: JanGuldentops