Tweede bericht over de Securitybeurs van november 2012

Dit is de tweede posting over de Securitybeurs van november 2012. In deze posting vooral aandacht voor de spreker van Fox IT. Fox IT is een speler, die zich in een paar jaar tijd in Nederland heeft opgewerkt als de specialist als het gaat om onderzoeken van cybercriminaliteit, computerinbraak, computerfraude. Het was geen verrassing, dat zij bijvoorbeeld werden gevraagd om te onderzoeken wat er was gebeurd, bij de inbraak van Iraanse hackers bij Diginotar.

Fox IT introduceert een nieuw motto: If you can't prevent it, detect it.

En: Het is zeker dat je gehacked wordt, de vraag is alleen wanneer. Ze verkopen dus niet de illusie, dat ze je volledig kunnen beschermen. Maar ze gaan er vanuit, dat hackers altijd zullen binnendringen, ondanks je preventieve maatregelen. En dat je dus vooral moet inzetten op snelle detectie en beperken van de schade. Monitoring dus! Waarbij de formule Kans* gevolg weer opkomt. Zij stellen dus, dat de kans 100 procent is, zodat je je volledig kunt richten op de gevolgen. De gevolgen vatten zij samen in de kreet CIA: confidentiality/integrity/availability. Dus de diefstal van gegevens, het onbetrouwbaar worden van je omgeving en het verstoren van de werking van je platformen.

Een paar stellingen:

100% preventie is onmogelijk.

Er komt van alles binnen in je omgeving.Wat is goed en wat is fout?

Als je overal sloten op zet, gaat dat ten koste van produktieverkeer.

Geautomatiseerde oplossingen zijn niet effectief. Kennis en gezond verstand zijn cruciaal.

Dus een inbraak snel ontdekken en na deze 'breach' snel optreden. Zoals elk gerenommeerd adviesbureau hebben zij een aanpak met een pakkende naam: SPICE. ( spullenboel, processen, informatiebronnen, capaciteit, expertise) Met de laatste twee elementen kan een bureau het beste helpen. Dat is voor een bedrijf moeilijker zelf op te bouwen en te onderhouden. Fox IT adviseert om de situatie te doordenken, dat je gehacked wordt. Denk erover na wat er gebeurt en wat je gaat doen. Volgens Fox is het beter om hackers in dienst te hebben dan papieren tijgers met allerlei schitterende gecertificeerde titels. Dat is mij uit het hart gegrepen! Een vraagsteller uit het publiek vraagt welk budget nodig is voor het werken volgens SPICE. Het antwoord luidt “Wat heb je ervoor over?”. Prima antwoord geheel in lijn met de opdracht om ZELF na te denken over gebeurtenissen en gevolgen..

Behalve Fox IT bezocht ik nog de lezing van een Belgische spreker (Johan Loos). Hij geeft een handig overzicht van definities.

Een vulnerability is een bug, fout of misconfiguratie.

Een exploit is een code van de aanvaller om de vulnerability uit te buiten.

Payload is de code die na een exploit op een systeem is geinstalleerd.

Voorbeelden van cybercrime: website concurrent uitschakelen, credit card info stelen, porno verspreiden, identiteitsdiefstal.

En voorbeelden van wat er kan gebeuren bij een hack:

Vulnerabilities kunnen optreden in applicaties (office, adobe), in OS en op de serverside.

Malicious user enters system, creates outbound secure channel, this channel is encrypted and not inspected by firewalls.

Attack vectors: attachment bij mail; server contains executable content; app exploits; downloads; tinyurl; tracking nr bij delivery terwijl je niks besteld hebt.

Acties: retrieve passwords; log keystrokes; install backdoor; install botnet; steal cookies; access data; control webcam; control microfoon.

Client side attack: payload maskeren t.o.v. De antivirusscanner; targets browser, adobe, java, office, mediaplayer.

Uitsmijter:

Tot mijn stomme verbazing lees ik een paar maanden later in Cloudnews een interview met de ex-directeur van Diginotar die bovenstaande statements en methoden nu hanteert om zich te verkopen als beveiligingsadviseur. Dat zo'n Cloudnews dat met droge ogen plaatst, als de hele wereld weet, dat er bij Diginotar niks van klopte en dat de meest elementaire beveiligingsstappen niet waren gedaan (password makkelijk te vinden, geen updates van software uitgevoerd etc.)