|
Security Awareness
|
In de huidige bedrijfsvoering is allerlei interne informatie beschikbaar. Bedrijfsinformatie heeft waarde, ook voor buitenstaanders. Vaak is deze informatie via het Internet te raadplegen. Dit zorgt voor gemakkelijker toegang en verspreiding van die informatie.
Daarom moet bedrijfsinformatie worden beveiligd: in het bedrijf hoort niet iedereen (fysiek of digitaal) toegang te hebben tot alle informatie. Het is al langer een feit dat informatiebeveiliging door technische maatregelen als firewalls, sleutels en pasjes een beperkte werking heeft. Een bedrijfspion of hacker zal door (meta)informatievergaring de zwakke schakels zoeken. Die schakels behelzen onjuist gebruikte en/of onjuist geconfigureerde techniek, maar vooral ook mensen.
Veel fouten worden (onbewust) door medewerkers gemaakt. De risico's van bepaald gedrag zijn vaak moeilijk in te schatten doordat omgang met informatie vaak technisch ingewikkeld is en digitale informatie bovendien onzichtbaar/ontastbaar is. Daarnaast kost bescherming van informatie een inspanning die in eerste instantie de voortgang van je werk in de weg lijkt te staan.
De menselijke kant van informatiebeveiliging vormt het onderwerp van deze presentatie. Een aantal andere dan technische aanvalsmethoden worden besproken tezamen met mogelijk te nemen maatregelen, met als doel het opmerkzaam maken van het (onbewuste) gedrag van medewerkers bij de omgang met bedrijfsgegevens.
|
Inside Security Checks and Safe Exceptions
Brandon Bray Microsoft <branbray@microsoft.com>
|
Buffer overrun attacks continue to be the leading security issue facing the software industry. In this talk, you will learn the details of specific methods attackers use to exploit buffer overrun vulnerabilities, from inserting arbitrary code to hijacking function pointers to hijacking the exception handling mechanism itself. Using Visual C++ as a concrete example, you will learn how C++ compilers can reduce or even eliminate different classes of security attacks, how the Visual C++ implement security checks and safe exceptions, and how the mechanisms work to make software more robust against attack.
|
Intrusion Detection / Prevention
|
De laatste tijd staat het nieuws vol van berichten over de groei van
virussen en Internet wormen als Blaster, Sobig, Swen, etc. Traditionele firewalls zijn meestal niet in staat om deze nieuwe aanvallen te stoppen. Daarom is er een nieuw soort oplossing nodig om deze aanvallen te stoppen: intrusion detection en prevention. In deze sessie leert u hoe deze nieuwe wormen en virussen werken en leert u welke verschillende oplossingen er bestaan om deze aanvallen tegen te houden.
|
Secure WiFi, kan dat ??
Rudi van Drunen Xlexit <R.van.Drunen@xlexit.com>
|
WiFi is IN, iedereen heeft er tegenwoordig mee te maken, en
bij iedereen is (hopelijk) bekend dat WEP (Wired Equivalent Privacy), het
"standaard" encryptie protocol op de linklevel in 802.11b, niet echt
veilig is. Verder bezitten radioverbindingen inherent een extra
vulnerability.
Het is namelijk heel simpel toegang te krijgen tot het medium, vaak ook
buiten het gebouw waar het gebruikt wordt. Deze twee factoren vragen
om nieuwe technieken om draadloze netwerken adequaat te beveiligen.
Niet alleen is het van belang om in te zien dat de verbinding
afgeluisterd kan worden, maar ook een Denial Of Service aanval is
relatief eenvoudig te doen.
In deze presentatie zal worden ingegaan op de onveiligheid van 802.11
netwerken en zullen een aantal bestaande en nieuwe technieken worden
besproken om toch tot een voor een toepassing aanvaardbaar niveau van
beveiliging te komen. Naast zowel fysieke beveiliging en de IP level
security zoals IPsec, zullen ook de nieuwere authenticatie methoden en
protocollen op het linkniveau, zoals WPA (WiFi Protected Access) aan
bod komen.
Ervaringen onder andere opgedaan in een wireless community netwerk
zullen als voorbeeld dienen, en waar mogelijk gedemonstreerd worden.
|
An overview of cryptography in the real world
|
Cryptography is an essential component of digital security systems, but it
is often misunderstood. We will discuss the things that cryptography can
do, and, often overlooked, what it can't do. We'll look at what is required
to support a cryptographic function, the features it can provide to a
product, and the most common pitfalls in real-world implementations.
|
Gebruik van PKI in draadloze omgevingen op mobiele apparatuur
Marjo Geers TNO Telecom <geers@fel.tno.nl>
|
Elektronisch zaken doen en elektronisch communiceren krijgen een steeds
grotere rol in onze samenleving. De mogelijkheid tot het zetten van een
elektronische handtekening, de onweerlegbaarheid hiervan, betrouwbare
authenticatie van partijen en betrouwbare versleuteling van gegevens zijn
daarbij kernbegrippen. Om aan deze eisen te voldoen is een Public Key
Infrastructure (PKI) een goede oplossing.
Ook zien we momenteel de trend dat gebruikers er steeds meer van uitgaan
dat ze elektronisch kunnen communiceren waar en wanneer ze maar willen.
Draadloze communicatie en draagbare (mobiele) apparatuur zijn daarbij heel
belangrijk. De draadloze verbindingen kunnen echter beperkt zijn in
bandbreedte (zoals nu nog duidelijk het geval is bij GSM en GPRS) en de
draagbare mobiele apparatuur kan een beperkte reken- en geheugencapaciteit
hebben (vooral mobiele telefoons).
Door deze beperkingen is een standaard PKI implementatie mogelijk niet
geschikt voor gebruik in een draadloze mobiele omgeving. Er bestaan
speciale PKI oplossingen voor deze situatie. Twee belangrijke voorbeelden
daarvan zijn PKI over WAP en het NOVOMODO systeem. Wij hebben deze systemen
vergeleken met elkaar en met een standaard PKI implementatie op een aantal
punten, namelijk op benodigde bandbreedte, rekencapaciteit,
geheugencapaciteit en beveiliging. Ook hebben we de mogelijkheden van
draadloze verbindingen en mobiele apparatuur op een rijtje gezet. Op basis
van deze gegevens hebben we bepaald welk PKI oplossing het meest beschikt
is voor gebruik in een draadloze omgeving met mobiele apparatuur.
|
The other side of information security
Rene Helmus Ubizen <rene.helmus@ubizen.com>
|
Bij veel bedrijven wordt informatiebeveiliging nog gezien als een technisch probleem. Toch wordt men zich meer en meer bewust van het feit dat de technische oplossingen slechts een deel van de totale beveiliging vormen. In toenemende mate richten bedrijven zich op de organisatorische kant van informatiebeveiliging. Om deze organisatorische kant in te richten is een gerichte aanpak noodzakelijk die uitgaat van de behoeften van de bedrijfsprocessen. Een dergelijke aanpak is het onderwerp van deze presentatie, waarbij een algemeen overzicht, ideeën, referenties, hits en tips gegeven worden. De volgende onderdelen komen aan bod:
- Risk Management
- Security Policies & Procedures
- Security Standards
- Security Awareness
- Security Auditing & Monitoring
- Koppeling organisatorische kant en technische implementatie
Het belangrijkste doel van de presentatie is het geven van een overzicht en inzicht in de organisatorische aspecten van informatiebeveiliging. Hierin staat de pragmatische aanpak centraal, waarbij door middel van voorbeelden, hints en tips het publiek hier ook daadwerkelijk iets mee kan doen in de dagelijkse werkzaamheden.
|
CERT
Erik de Jong GOVCERT.NL <erik.dejong@govcert.nl>
|
Zoals op vele gebieden in het leven, is ook op het vlak van
informatiebeveiliging samenwerking en informatie-uitwisseling de sleutel
tot succes. Computer Emergency Response Teams (CERTs) spelen hierin een
belangrijke faciliterende en informerende rol. In deze
presentatie wordt inzicht gegeven in de "CERT"-wereld, waarbij onder
andere wordt ingegaan op de rol van een CERT, de soorten CERTs en
samenwerkingsverbanden tussen CERTs.
GOVCERT.NL vervult deze faciliterende rol op twee vlakken: enerzijds
biedt zij haar diensten aan aan (rijks- en andere) overheden, anderzijds
gebruikt zij dezelfde waardevolle informatie om via de Waarschuwingsdienst
burgers te waarschuwen voor zaken als wormen en kwetsbaarheden. Op deze
manier draagt GOVCERT.NL bij aan bewustwording op het gebied van
informatiebeveiliging in een breder maatschappelijk verband.
Tevens zal worden ingegaan op een specifiek incident dat zich eerder dit
jaar heeft voorgedaan. Begin maart werd een vrij ernstige kwetsbaarheid in
sendmail bekend gemaakt. Goede en efficiënte samenwerking tussen CERTs
heeft, binnen Nederland maar zeker ook elders in de wereld, concrete
voordelen gehad voor security en abuse teams.
|
Informatiebeveiliging, meer dan techniek alleen.
|
In de beveiligingspraktijk van alledag zijn we bezig met oplossingen. Maar
als
VPN of IDS de oplossing is, wat was dan de vraag?
Vaak wordt geen moment over de vraag nagedacht. Een beveiligingsoplossing
wordt
geïmplementeerd, zonder dat wordt nagedacht over de gevaren of dreigingen
die
worden opgelost. Ondertussen heeft de opdrachtgever geen idee meer wat nu
de
eigenlijke reden was van deze oplossing. Het lijkt dat
informatiebeveiliging een
eigen leven leidt waar de business af en toe bij gebaat zou kunnen zijn,
doch in
alle gevallen wel stevig voor moet betalen.
Beveiligingsarchitectuur is een middel om de juiste vraag vast te stellen,
om
duidelijk te maken welke gevaren worden opgelost en welke niet worden
opgelost.
Het biedt ons het middel om de opdrachtgever op een gestructureerde wijze
te
helpen bij het vaststellen van de eisen, het ontwerpen van een goede
beveiliging
bestaande uit een consistente en coherente set van maatregelen, waarvan de
technische oplossingen slechts een (belangrijk) deel zijn.
Want uiteindelijk vertrouwen we de technische maatregelen wel, maar we
verifiëren wel of ze het juiste antwoord zijn op de gestelde vraag. Trust
but
verify!
|
Convergentie en beveiliging
|
IP communicatietechnologie laat data, spraak en video over hetzelfde
netwerk plaatsvinden. Dat is niet alleen goedkoper maar ook veel
efficiënter. Maar het brengt nieuwe security risico's met zich mee. In deze sessie wordt gekeken naar welke risico's er zijn en welke 'best practises' u moet volgen om problemen te voorkomen.
|
Secure Programming by Example
|
Aan de hand van voorbeelden uit de (open source) praktijk zal ik
laten zien wat veel gemaakte fouten zijn die voorkomen in applicaties.
Vanuit het oogpunt van een software engineer wordt aandacht besteed
aan onder andere het voorkomen van buffer overflows, het doen van input
validatie, het veilig creëren van tijdelijke files, het voorkomen van
memory leaks en het veilig opstarten van een externe applicatie.
Er zal voornamelijk aandacht besteed worden aan de programmeertalen
C en C++. Ik zal ook een aantal tools aan bod laten komen die een
software engineer kan helpen om problemen te detecteren voordat
de gebruiker van de software ze tegenkomt. Tenslotte zal ik een
aantal aandachtspunten geven die meegenomen kunnen worden bij het
ontwikkelen van veilige, robuuste en zeker ook functionele software.
|
Balans tussen privacy en veiligheid
Sjoera Nas Bits of Freedom <sjoera@bof.nl>
|
Wie anno nu moet kiezen tussen privacy en veiligheid, hoeft niet lang
na te denken. Zeker een politicus niet. Veiligheid is daarom wel eens
een 'debatdodend middel' genoemd. Na het V-woord durft niemand nog
moeilijke woorden uit te spreken als privacy en briefgeheim. Sinds de
aanslagen van 11 september 2001 zijn er wereldwijd razendsnel nieuwe
wetten aangenomen uit naam van de strijd tegen het terrorisme. Dat
diezelfde wetten vaak al jaren op de plank lagen, maar dan onder
trefwoorden als 'criminaliteit' of 'modernisering opsporing', lijkt
niemand te deren. Het politieke klimaat voor hard-core opspoorders is
nog nooit zo gunstig geweest, en daar weten ook de Europese havikken
optimaal gebruik van te maken. Plannen voor langdurige opslag van
verkeersgegevens worden nog zwarter in het licht van plannen om overal
micro-chips in te stoppen (RFID's), van paspoort tot bankbiljet.
Ondertussen worden de formele toegangsdrempels alvast verlaagd;
eventuele rechterlijke controle op gebruik van de monsterdatabases van
de toekomst wordt nu al uitgesloten.
Aan de hand van de actualiteit gaat Sjoera Nas in haar lezing in op de
balans tussen privacy en veiligheid. Sjoera Nas is co-directeur van
Bits of Freedom, een stichting die opkomt voor digitale burgerrechten.
Bits of Freedom verzet zich tegen afbreuk van grondrechten in het
digitale domein, bijvoorbeeld bij censuur op internet, camera toezicht
in de openbare ruimte, privacy-inbreuken, het ongebreideld afluisteren
van communicatie en het toepassen van biometrie in paspoorten.
|
Wanneer is het veilig genoeg?
Eric Nieuwland KPMG Information Risk Management <nieuwland.eric@kpmg.nl>
|
Veel te vaak wordt beveiliging van informatie als een puur technisch
probleem benaderd. Met die techniek weet de gemiddelde ICT afdeling wel
raad. In de praktijk wordt de afdeling ICT echter vaak ook opgezadeld
met de verantwoordelijkheid voor de gehele informatiebeveiliging en
daarvoor is zij veelal niet toegerust. De vergissing is wel begrijpelijk:
virussen en hackers zijn immers de meest zichtbare problemen.
Informatiebeveiliging is echter een onderwerp dat over de volle breedte van
een organisatie gaat. Wanneer is het goed genoeg? En wat mag het kosten?
Dit zijn maar een paar essentiële vragen die niet vanuit de ICT beantwoord kunnen worden. Pas als er antwoord op deze vragen is, kan ICT er een invulling aan gaan gegeven. Het is het aloude verhaal van beleid, risico's en maatregelen. Gegeven de praktijksituatie moet je als ICT-er dus proberen beleid te (laten) formuleren. Hoe pak je dat aan? Waar begin je? En wanneer is het goed genoeg?
|
Web servers in the security era IIS6 versus Apache 2.0
|
As more and more companies see and understand the importance of security,
even
Microsoft decided to elevate security to their top priorities. One of the
more
apparent results is the release of the successor of one of the most
disreputable (from a security point of view) products ever, the Internet
Information Services 6.0. In this presentation first some of the main
security
problems concerning web servers will be explored, followed by a technical
discussion on how both IIS6 and Apache 2.0 handle these security issues.
Both
the underlying architecture as well as the secure configuration of both
IIS6 and
Apache 2.0 will be covered and compared. An overview of the comparison
between
the two major web servers will conclude the presentation.
|
Scenarios for security architectures
Arjan Vos KPMG Information Risk Management <vos.arjan@kpmg.nl>
|
During the presentation various business scenarios are sketched, each
posing specific technological, security, and operational issues. It is
discussed how security may be implemented and used in the infrastructure
taking into account:
1) the business scenarios,
2) consequences when using specific technologies (e.g. XML/SOAP, J2EE)
and/or platforms (Microsoft .NET, IBM's WebSphere, Sun ONE), and
3) dynamic security requirements such as trust policies and trust exchanges, monitoring compliance issues, and real-time risk management practices in the
infrastructure.
Various security architecture scenarios are presented, and how these could be layered upon one or more applicable infrastructure topologies.
|
Linux Netfilter Advanced Topics
Jos Vos X/OS Experts in Open Systems BV <jos@xos.nl>
|
Netfilter (iptables) is het modulaire IP packet filtering en "mangling"
subsysteem in de Linux 2.4 en 2.6 kernels.
Deze presentatie zal ingaan op de architectuur van Netfilter, de plaats van
het
Netfilter subsysteem binnen de IP-stack van de Linux-kernel en de packet
flow
door de Netfilter componenten.
Daarna zal een aantal meer geavanceerde functies van Netfilter en iptables
worden besproken, aangevuld met enkele voorbeelden. Hieronder vallen onder
andere Network Address Translation (NAT, niet te verwarren met het bekende
masquerading,
dat hiervan een subset is), connection tracking (statefull filtering) en
enkele
andere, minder bekende Netfilter modules.
Verder zal een aantal hints worden gegeven voor het opstellen van iptables
rules, die de veiligheid en onderhoudbaarheid ten goede kunnen komen.
Tenslotte
zal
worden ingegaan op toekomstige ontwikkelingen van het Netfilter subsysteem.
Voor deze presentatie is enige basiskennis van IP packet filtering gewenst.
|
Trustworthy, Trusted, treacherous Computing
Ruediger Weis Vrije Universiteit <ruedi@cryptolabs.org>
|
At the moment Microsoft and the Trusted Computing Group
are using at least hundreds millions of Euros stake
to make the biggest change of the information
landscape since decades.
Besides positive features like a more secure hardware
storage for cryptographic keys an analysis of the proposed
standards leads to a lot of problematic properties.
One of main problems is that the administrator will not
have the full control on their own computers anymore.
Additional the market domination of Microsoft, obscurities
regarding the needed trust infrastructure and
a heap of patents have lead to critical evaluations
of European Institutions and governments.
In this talk we concentrate on a technical
analysis of the proposed architectures
and their implications to Open Source Operation Systems.
Finally we give an overview and outlook on alternative
models which allows the user to have similar security features
and still keep the full control over the personal devices.
|