Security

Een telkens terugkerend thema binnen de ICT is security. Door de tijd heen is dit een onderwerp dat steeds complexer is geworden met de komst van het internet. Inmiddels zijn bijna alle computers, telefoons en tablets met het internet verbonden. Omdat onze afhankelijkheid van ICT hulpmiddelen zo is toegenomen vormt het een interessant doelwit voor misbruik.

Misbruik van ICT middelen kan ICT technisch worden benaderd 
(zoals in dit artikel), maar ook maatschappelijk. Dit laatste 
is eveneens bijzonder interessant. Wie (welke groepen) 
proberen misbruik te maken van ICT hulpmiddelen en wie zijn 
daarvan het slachtoffer. In toenemende mate lijken overheden 
(landen) digitale systemen van andere mogendheden te 
misbruiken voor informatie en verstoring van  processen.

Welke onderwerpen raken aan security?

Zoals gezegd, security is een breed onderwerp en ik zal uiteraard niet kompleet in mijn beschrijving. Echter de volgende onderwerpen behoren er zeker wel toe:

lock02Security by design

Dit is het principe dat er pas echt sprake kan zijn van security wanneer je het vanaf de start meeneemt in het ontwerp.

 

 

 

Security by obscurity

Dit betreft de (foutieve) overtuiging dat het geheim 
houden van "achter deurtjes" (exploits) in software tot 
een hogere mate van security zou leiden. Niets is minder 
waar. Mensen die misbruik willen maken kennen deze 
"exploits" toch en eindgebruikers zijn niet in staat 
zich hiertegen te verdedigen omdat men zich van het 
probleem niet bewust is - het is immers geheim gehouden. 
Het openbaar maken van exploits leidt veelal tot 
het sneller oplossen (fixen) van de exploits. 
Bij open source software communities worden exploits 
nooit geheim gehouden, men is dan ook tegen 
"security by obscurity".

Fysieke toegang

De fysieke toegang tot systemen is van grote invloed op de security. Dat is dan ook (een van) de reden dat veel bedrijven hun systemen in een datacenter plaatsten. Datacenters hebben uitgebreide toegangsbeveiliging waardoor de zorg daarvoor vervalt. Bij ICT audits wordt fysieke toegang altijd gecontroleerd. Het gebruik van een datacenter maakt zo’n controle bijzonder eenvoudig.

Authenticatie

Dit betreft het mechanisme om zeker te stellen dat een gebruiker is wie hij zegt dat hij is. Deze informatie wordt veelal gebruikt om users tot groepen te laten behoren. Deze groepen worden vervolgens gebruikt om toegang tot bijvoorbeeld bestanden te verlenen. Bestanden (files) kennen dan bijvoorbeeld een control access list (ACL). Deze ACL bevat de users en groepen en de rechten die daaraan zijn toegekend. Indien een grotere mate van security gewenst is wordt two factor security toegepast. Met two factor securty wordt bedoeld: iets dat je weet (username + password) en iets dat je hebt (token, pasje, chip of mobieltje).

Certificaten / encryptie

Certificaten zijn digitale sleutels die gebruikt kunnen worden om informatie te versleutelen (encyrpten) of om mee te autenticeren. Deze certificaten kennen vaak een geheim deel (de private key) en een publieke deel (de public key). Het principe hierbij is dat de sleutel waarmee informatie encrypt wordt niet dezelfde is als de sleutel waarmee de informatie de-crypt wordt. Meer informatie hierover is hier te vinden.

Firewalls

Een firewall is software (eventueel draaiend op dedicated hardware) dat netwerkverkeer filtert. Filtering vind plaats op de OSI laag van het netwerkprotocol (laag 3 en 4). Zo kan gefilterd worden op bronadres of doeladres, of op specifike toepassingen (poortnummers) e.d. Een firewall kijkt in principe niet naar de inhoud van netwerk pakketjes. Indien dat wel het geval is, is er sprake van “Deep packet inspection”. Meer informatie over firewalls kan je hier vinden.

Proxy

Een proxy kan netwerkverkeer filteren en een onderdeel zijn van de beveiligingsmaatregelen die getroffen worden voor veilig internet gebruik. Een bekende open source software oplossing hiervan is Squid (meer info hier).

Anti virus software en spam filtering

Virussen en spam zijn een grote ergernis van eindgebruikers. Hoewel voornamelijk Microsoft Windows systemen hier gevoelig voor zijn, kunnen ook Mac OSX en Linux hiervan last hebben. Een virus betreft software die (door de gebruiker) onbedoeld op een systeem komt en waarmee het systeem of de informatie op het systeem misbruikt kan worden ook anderen. Veelal kan dit misbruik op afstand plaats vinden (via internet bijvoorbeeld). Software om virussen te filteren worden anti-virus software genoemd.

Collusion is een FireFox plugin waarmee je (visueel 
kan zien welke sites je volgen (via cookies). 
Meer informatie over Collusion vind je hier. 
Collusion lijkt erg op Ghostery - een extensie 
die iets vergelijkbaars doet binnen Google Chrome.

Backup

Backup heeft op twee manieren te maken met security. Ten eerste kan met een backup data / gegevens worden veilig gesteld. Ten tweede zijn security maatregelen ook van toepassing op de backup (de de gegevens die daar op staan, versleuteling, fysieke toegang e.d.).

Intrusion-detection

Intrusion detaction betreft software die waarschuwt bij ongeoorloofde wijzigingen op systemen. Zo kunnen bijvoorbeeld wijzigingen van config files gecontroleerd worden. Het is een soort detectie systeem. Stone-IT voert in haar productportfolio geen producten die dit doen. Open source intrusion detection software zijn bijvoorbeeld Snort en TripWire.

Social engineering

Social engineering betreft de trucs die gebruikt worden om personen gegevens afhandig te maken. Het doel is vervolgens misbruik te maken van deze gegevens (zoals bijvoorbeeld het zich toegang verschaffen tot beveiligde systemen). Het probleem daarbij is natuurlijk dat het misbruik pas kan worden vast gesteld als het te laat is. Er wordt met bestaande en correcte credentials ingelogd, dus is er – systeem technisch – geen sprake van onbedoeld gebruik.

Voortdurende verandering

De voortdurende veranderingen van aanvallen, hack en exploits zijn de reden dat security als onderwerp binnen de ICT voortdurend terug komt. Waren we een paar jaar geleden erg druk met spam, nu lijken we dat redelijk onder controle te hebben. Dat is natuurlijk zo, totdat er nieuw vormen van spam bedacht worden. Op dit moment worden Java en PHP vaak misbruikt om systemen en sites binnen te komen. Tot nu toe waren phishing pogingen goed te herkennen, maar in toenemende mate worden deze pogingen moeilijker te doorgronden en neemt het risico toe. Bruce Schneier schrijf over dit soort onderwerpen. Bijvoorbeeld over Advanced Persistant Threat (APT). Het loont zich de moeite dergelijke blogs te volgen en tijdig op de hoogte te zijn van de ontwikkelingen op het gebied van ICT security.

Maar wat te doen?

De aanhoudende (en bij tijd en wijlen toegenomen) aandacht voor security noodzaakt ons het structureel een plaats te geven binnen de ICT. Dit geldt zowel voor de bouw van software als het (technische) beheren van infrastructuur en applicaties. We hebben als ICT-ers de plicht om security binnen projecten voldoende aandacht te geven.

Volgens mij zijn er wel een paar vuistregels die we kunnen volgen:

  • zoals gezegd, geef security een prominenten plaats binnen projecten en beheer,
  • zorg dat software zoveel mogelijk up to date is,
  • ga ervan uit dat infrastructuur en applicaties altijd gehacked zullen worden en kijk dan opnieuw naar het ontwerp,
  • gebruik “sterke” passwords,
  • gebruik encryptie waar mogelijk (zowel voor netwerk verkeer als disk encryptie),
  • wees “wakker” voor zaken die je ongewoon of vreemd voorkomen,
  • denk bij “vreemde zaken” altijd gelijk aan een security breach,
  • zorg dat je op de hoogte blijft van security tools en leer ze gebruiken / toe te passen,
  • zorg dat je op de hoogte blijft van de ontwikkelingen op dit vlak, lees voldoende websites die hierover schrijven,
  • en als laatste wees voorbereid op een security breach, weet wat je in zo’n geval moet doen (zorg bijvoorbeeld voor een security emergency team en een draaiboek dat doorlopen moet worden)
  • bekijk de HoneyMap
  • bekijk periodiek de Sicherheisttacho

De bovenstaande punten zijn ongetwijfeld niet voldoende, maar zie ze eerder als een startpunt.