Programma overzicht

Security Awareness

Bram Abbekerk
TUNIX

In de huidige bedrijfsvoering is allerlei interne informatie beschikbaar. Bedrijfsinformatie heeft waarde, ook voor buitenstaanders. Vaak is deze informatie via het Internet te raadplegen. Dit zorgt voor gemakkelijker toegang en verspreiding van die informatie.

Daarom moet bedrijfsinformatie worden beveiligd: in het bedrijf hoort niet iedereen (fysiek of digitaal) toegang te hebben tot alle informatie. Het is al langer een feit dat informatiebeveiliging door technische maatregelen als firewalls, sleutels en pasjes een beperkte werking heeft. Een bedrijfspion of hacker zal door (meta)informatievergaring de zwakke schakels zoeken. Die schakels behelzen onjuist gebruikte en/of onjuist geconfigureerde techniek, maar vooral ook mensen.

Veel fouten worden (onbewust) door medewerkers gemaakt. De risico's van bepaald gedrag zijn vaak moeilijk in te schatten doordat omgang met informatie vaak technisch ingewikkeld is en digitale informatie bovendien onzichtbaar/ontastbaar is. Daarnaast kost bescherming van informatie een inspanning die in eerste instantie de voortgang van je werk in de weg lijkt te staan.

De menselijke kant van informatiebeveiliging vormt het onderwerp van deze presentatie. Een aantal andere dan technische aanvalsmethoden worden besproken tezamen met mogelijk te nemen maatregelen, met als doel het opmerkzaam maken van het (onbewuste) gedrag van medewerkers bij de omgang met bedrijfsgegevens.


Inside Security Checks and Safe Exceptions

Brandon Bray
Microsoft
<branbray@microsoft.com>

Buffer overrun attacks continue to be the leading security issue facing the software industry. In this talk, you will learn the details of specific methods attackers use to exploit buffer overrun vulnerabilities, from inserting arbitrary code to hijacking function pointers to hijacking the exception handling mechanism itself. Using Visual C++ as a concrete example, you will learn how C++ compilers can reduce or even eliminate different classes of security attacks, how the Visual C++ implement security checks and safe exceptions, and how the mechanisms work to make software more robust against attack.


Intrusion Detection / Prevention

Tames van der Does
Cisco
<tdoes@cisco.com>

De laatste tijd staat het nieuws vol van berichten over de groei van virussen en Internet wormen als Blaster, Sobig, Swen, etc. Traditionele firewalls zijn meestal niet in staat om deze nieuwe aanvallen te stoppen. Daarom is er een nieuw soort oplossing nodig om deze aanvallen te stoppen: intrusion detection en prevention. In deze sessie leert u hoe deze nieuwe wormen en virussen werken en leert u welke verschillende oplossingen er bestaan om deze aanvallen tegen te houden.


Secure WiFi, kan dat ??

Rudi van Drunen
Xlexit
<R.van.Drunen@xlexit.com>

WiFi is IN, iedereen heeft er tegenwoordig mee te maken, en bij iedereen is (hopelijk) bekend dat WEP (Wired Equivalent Privacy), het "standaard" encryptie protocol op de linklevel in 802.11b, niet echt veilig is. Verder bezitten radioverbindingen inherent een extra vulnerability. Het is namelijk heel simpel toegang te krijgen tot het medium, vaak ook buiten het gebouw waar het gebruikt wordt. Deze twee factoren vragen om nieuwe technieken om draadloze netwerken adequaat te beveiligen. Niet alleen is het van belang om in te zien dat de verbinding afgeluisterd kan worden, maar ook een Denial Of Service aanval is relatief eenvoudig te doen.

In deze presentatie zal worden ingegaan op de onveiligheid van 802.11 netwerken en zullen een aantal bestaande en nieuwe technieken worden besproken om toch tot een voor een toepassing aanvaardbaar niveau van beveiliging te komen. Naast zowel fysieke beveiliging en de IP level security zoals IPsec, zullen ook de nieuwere authenticatie methoden en protocollen op het linkniveau, zoals WPA (WiFi Protected Access) aan bod komen.

Ervaringen onder andere opgedaan in een wireless community netwerk zullen als voorbeeld dienen, en waar mogelijk gedemonstreerd worden.


An overview of cryptography in the real world

Niels Ferguson

<niels@macfergus.com>

Cryptography is an essential component of digital security systems, but it is often misunderstood. We will discuss the things that cryptography can do, and, often overlooked, what it can't do. We'll look at what is required to support a cryptographic function, the features it can provide to a product, and the most common pitfalls in real-world implementations.


Gebruik van PKI in draadloze
omgevingen op mobiele apparatuur

Marjo Geers
TNO Telecom
<geers@fel.tno.nl>

Elektronisch zaken doen en elektronisch communiceren krijgen een steeds grotere rol in onze samenleving. De mogelijkheid tot het zetten van een elektronische handtekening, de onweerlegbaarheid hiervan, betrouwbare authenticatie van partijen en betrouwbare versleuteling van gegevens zijn daarbij kernbegrippen. Om aan deze eisen te voldoen is een Public Key Infrastructure (PKI) een goede oplossing.

Ook zien we momenteel de trend dat gebruikers er steeds meer van uitgaan dat ze elektronisch kunnen communiceren waar en wanneer ze maar willen. Draadloze communicatie en draagbare (mobiele) apparatuur zijn daarbij heel belangrijk. De draadloze verbindingen kunnen echter beperkt zijn in bandbreedte (zoals nu nog duidelijk het geval is bij GSM en GPRS) en de draagbare mobiele apparatuur kan een beperkte reken- en geheugencapaciteit hebben (vooral mobiele telefoons).

Door deze beperkingen is een standaard PKI implementatie mogelijk niet geschikt voor gebruik in een draadloze mobiele omgeving. Er bestaan speciale PKI oplossingen voor deze situatie. Twee belangrijke voorbeelden daarvan zijn PKI over WAP en het NOVOMODO systeem. Wij hebben deze systemen vergeleken met elkaar en met een standaard PKI implementatie op een aantal punten, namelijk op benodigde bandbreedte, rekencapaciteit, geheugencapaciteit en beveiliging. Ook hebben we de mogelijkheden van draadloze verbindingen en mobiele apparatuur op een rijtje gezet. Op basis van deze gegevens hebben we bepaald welk PKI oplossing het meest beschikt is voor gebruik in een draadloze omgeving met mobiele apparatuur.


The other side of information security

Rene Helmus
Ubizen
<rene.helmus@ubizen.com>

Bij veel bedrijven wordt informatiebeveiliging nog gezien als een technisch probleem. Toch wordt men zich meer en meer bewust van het feit dat de technische oplossingen slechts een deel van de totale beveiliging vormen. In toenemende mate richten bedrijven zich op de organisatorische kant van informatiebeveiliging. Om deze organisatorische kant in te richten is een gerichte aanpak noodzakelijk die uitgaat van de behoeften van de bedrijfsprocessen. Een dergelijke aanpak is het onderwerp van deze presentatie, waarbij een algemeen overzicht, ideeën, referenties, hits en tips gegeven worden. De volgende onderdelen komen aan bod:

  • Risk Management
  • Security Policies & Procedures
  • Security Standards
  • Security Awareness
  • Security Auditing & Monitoring
  • Koppeling organisatorische kant en technische implementatie

Het belangrijkste doel van de presentatie is het geven van een overzicht en inzicht in de organisatorische aspecten van informatiebeveiliging. Hierin staat de pragmatische aanpak centraal, waarbij door middel van voorbeelden, hints en tips het publiek hier ook daadwerkelijk iets mee kan doen in de dagelijkse werkzaamheden.


CERT

Erik de Jong
GOVCERT.NL
<erik.dejong@govcert.nl>

Zoals op vele gebieden in het leven, is ook op het vlak van informatiebeveiliging samenwerking en informatie-uitwisseling de sleutel tot succes. Computer Emergency Response Teams (CERTs) spelen hierin een belangrijke faciliterende en informerende rol. In deze presentatie wordt inzicht gegeven in de "CERT"-wereld, waarbij onder andere wordt ingegaan op de rol van een CERT, de soorten CERTs en samenwerkingsverbanden tussen CERTs.

GOVCERT.NL vervult deze faciliterende rol op twee vlakken: enerzijds biedt zij haar diensten aan aan (rijks- en andere) overheden, anderzijds gebruikt zij dezelfde waardevolle informatie om via de Waarschuwingsdienst burgers te waarschuwen voor zaken als wormen en kwetsbaarheden. Op deze manier draagt GOVCERT.NL bij aan bewustwording op het gebied van informatiebeveiliging in een breder maatschappelijk verband.

Tevens zal worden ingegaan op een specifiek incident dat zich eerder dit jaar heeft voorgedaan. Begin maart werd een vrij ernstige kwetsbaarheid in sendmail bekend gemaakt. Goede en efficiënte samenwerking tussen CERTs heeft, binnen Nederland maar zeker ook elders in de wereld, concrete voordelen gehad voor security en abuse teams.


Informatiebeveiliging, meer dan techniek alleen.

Han van Loenhout
CGEY
<han.van.loenhout@cgey.nl>

In de beveiligingspraktijk van alledag zijn we bezig met oplossingen. Maar als VPN of IDS de oplossing is, wat was dan de vraag? Vaak wordt geen moment over de vraag nagedacht. Een beveiligingsoplossing wordt geïmplementeerd, zonder dat wordt nagedacht over de gevaren of dreigingen die worden opgelost. Ondertussen heeft de opdrachtgever geen idee meer wat nu de eigenlijke reden was van deze oplossing. Het lijkt dat informatiebeveiliging een eigen leven leidt waar de business af en toe bij gebaat zou kunnen zijn, doch in alle gevallen wel stevig voor moet betalen.

Beveiligingsarchitectuur is een middel om de juiste vraag vast te stellen, om duidelijk te maken welke gevaren worden opgelost en welke niet worden opgelost. Het biedt ons het middel om de opdrachtgever op een gestructureerde wijze te helpen bij het vaststellen van de eisen, het ontwerpen van een goede beveiliging bestaande uit een consistente en coherente set van maatregelen, waarvan de technische oplossingen slechts een (belangrijk) deel zijn.

Want uiteindelijk vertrouwen we de technische maatregelen wel, maar we verifiëren wel of ze het juiste antwoord zijn op de gestelde vraag. Trust but verify!


Convergentie en beveiliging

Nico de Louwere
Cisco
<nlouwere@cisco.com>

IP communicatietechnologie laat data, spraak en video over hetzelfde netwerk plaatsvinden. Dat is niet alleen goedkoper maar ook veel efficiënter. Maar het brengt nieuwe security risico's met zich mee. In deze sessie wordt gekeken naar welke risico's er zijn en welke 'best practises' u moet volgen om problemen te voorkomen.


Secure Programming by Example

Aschwin Marsman

<aschwin@marsman.org>

Aan de hand van voorbeelden uit de (open source) praktijk zal ik laten zien wat veel gemaakte fouten zijn die voorkomen in applicaties.

Vanuit het oogpunt van een software engineer wordt aandacht besteed aan onder andere het voorkomen van buffer overflows, het doen van input validatie, het veilig creëren van tijdelijke files, het voorkomen van memory leaks en het veilig opstarten van een externe applicatie.

Er zal voornamelijk aandacht besteed worden aan de programmeertalen C en C++. Ik zal ook een aantal tools aan bod laten komen die een software engineer kan helpen om problemen te detecteren voordat de gebruiker van de software ze tegenkomt. Tenslotte zal ik een aantal aandachtspunten geven die meegenomen kunnen worden bij het ontwikkelen van veilige, robuuste en zeker ook functionele software.


Balans tussen privacy en veiligheid

Sjoera Nas
Bits of Freedom
<sjoera@bof.nl>

Wie anno nu moet kiezen tussen privacy en veiligheid, hoeft niet lang na te denken. Zeker een politicus niet. Veiligheid is daarom wel eens een 'debatdodend middel' genoemd. Na het V-woord durft niemand nog moeilijke woorden uit te spreken als privacy en briefgeheim. Sinds de aanslagen van 11 september 2001 zijn er wereldwijd razendsnel nieuwe wetten aangenomen uit naam van de strijd tegen het terrorisme. Dat diezelfde wetten vaak al jaren op de plank lagen, maar dan onder trefwoorden als 'criminaliteit' of 'modernisering opsporing', lijkt niemand te deren. Het politieke klimaat voor hard-core opspoorders is nog nooit zo gunstig geweest, en daar weten ook de Europese havikken optimaal gebruik van te maken. Plannen voor langdurige opslag van verkeersgegevens worden nog zwarter in het licht van plannen om overal micro-chips in te stoppen (RFID's), van paspoort tot bankbiljet. Ondertussen worden de formele toegangsdrempels alvast verlaagd; eventuele rechterlijke controle op gebruik van de monsterdatabases van de toekomst wordt nu al uitgesloten.

Aan de hand van de actualiteit gaat Sjoera Nas in haar lezing in op de balans tussen privacy en veiligheid. Sjoera Nas is co-directeur van Bits of Freedom, een stichting die opkomt voor digitale burgerrechten. Bits of Freedom verzet zich tegen afbreuk van grondrechten in het digitale domein, bijvoorbeeld bij censuur op internet, camera toezicht in de openbare ruimte, privacy-inbreuken, het ongebreideld afluisteren van communicatie en het toepassen van biometrie in paspoorten.


Wanneer is het veilig genoeg?

Eric Nieuwland
KPMG Information Risk Management
<nieuwland.eric@kpmg.nl>

Veel te vaak wordt beveiliging van informatie als een puur technisch probleem benaderd. Met die techniek weet de gemiddelde ICT afdeling wel raad. In de praktijk wordt de afdeling ICT echter vaak ook opgezadeld met de verantwoordelijkheid voor de gehele informatiebeveiliging en daarvoor is zij veelal niet toegerust. De vergissing is wel begrijpelijk: virussen en hackers zijn immers de meest zichtbare problemen. Informatiebeveiliging is echter een onderwerp dat over de volle breedte van een organisatie gaat. Wanneer is het goed genoeg? En wat mag het kosten? Dit zijn maar een paar essentiële vragen die niet vanuit de ICT beantwoord kunnen worden. Pas als er antwoord op deze vragen is, kan ICT er een invulling aan gaan gegeven. Het is het aloude verhaal van beleid, risico's en maatregelen. Gegeven de praktijksituatie moet je als ICT-er dus proberen beleid te (laten) formuleren. Hoe pak je dat aan? Waar begin je? En wanneer is het goed genoeg?


Web servers in the security era
IIS6 versus Apache 2.0

Martin Vliem
CGEY
<mvliem@cgey.nl>

As more and more companies see and understand the importance of security, even Microsoft decided to elevate security to their top priorities. One of the more apparent results is the release of the successor of one of the most disreputable (from a security point of view) products ever, the Internet Information Services 6.0. In this presentation first some of the main security problems concerning web servers will be explored, followed by a technical discussion on how both IIS6 and Apache 2.0 handle these security issues. Both the underlying architecture as well as the secure configuration of both IIS6 and Apache 2.0 will be covered and compared. An overview of the comparison between the two major web servers will conclude the presentation.


Scenarios for security architectures

Arjan Vos
KPMG Information Risk Management
<vos.arjan@kpmg.nl>

During the presentation various business scenarios are sketched, each posing specific technological, security, and operational issues. It is discussed how security may be implemented and used in the infrastructure taking into account:

1) the business scenarios,

2) consequences when using specific technologies (e.g. XML/SOAP, J2EE) and/or platforms (Microsoft .NET, IBM's WebSphere, Sun ONE), and

3) dynamic security requirements such as trust policies and trust exchanges, monitoring compliance issues, and real-time risk management practices in the infrastructure.

Various security architecture scenarios are presented, and how these could be layered upon one or more applicable infrastructure topologies.


Linux Netfilter Advanced Topics

Jos Vos
X/OS Experts in Open Systems BV
<jos@xos.nl>

Netfilter (iptables) is het modulaire IP packet filtering en "mangling" subsysteem in de Linux 2.4 en 2.6 kernels.

Deze presentatie zal ingaan op de architectuur van Netfilter, de plaats van het Netfilter subsysteem binnen de IP-stack van de Linux-kernel en de packet flow door de Netfilter componenten.

Daarna zal een aantal meer geavanceerde functies van Netfilter en iptables worden besproken, aangevuld met enkele voorbeelden. Hieronder vallen onder andere Network Address Translation (NAT, niet te verwarren met het bekende masquerading, dat hiervan een subset is), connection tracking (statefull filtering) en enkele andere, minder bekende Netfilter modules.

Verder zal een aantal hints worden gegeven voor het opstellen van iptables rules, die de veiligheid en onderhoudbaarheid ten goede kunnen komen. Tenslotte zal worden ingegaan op toekomstige ontwikkelingen van het Netfilter subsysteem.

Voor deze presentatie is enige basiskennis van IP packet filtering gewenst.


Trustworthy, Trusted, treacherous Computing

Ruediger Weis
Vrije Universiteit
<ruedi@cryptolabs.org>

At the moment Microsoft and the Trusted Computing Group are using at least hundreds millions of Euros stake to make the biggest change of the information landscape since decades.

Besides positive features like a more secure hardware storage for cryptographic keys an analysis of the proposed standards leads to a lot of problematic properties. One of main problems is that the administrator will not have the full control on their own computers anymore. Additional the market domination of Microsoft, obscurities regarding the needed trust infrastructure and a heap of patents have lead to critical evaluations of European Institutions and governments.

In this talk we concentrate on a technical analysis of the proposed architectures and their implications to Open Source Operation Systems. Finally we give an overview and outlook on alternative models which allows the user to have similar security features and still keep the full control over the personal devices.



Last modified: Tue, 22 Jul 2003 11:44:55 +0200