November 2, 2015

Alert Online: Security Awareness workshop over wachtwoorden

By Jeroen Egmond

Zojuist heeft Menno van Zaanen een workshop gegeven over wachtwoorden. Allereerst werd een introductie gegeven waarin werd ingegaan op communicatie en hoe dit werkt tussen een zender en een ontvanger. De zender converteert informatie waarna dit wordt verzonden. Dit wordt vervolgens opgepikt door de Ontvanger die de boodschap weer converteert naar informatie.

In voorkomende gevallen wil je dat de boodschap niet bij anderen terecht komt en daarvoor is een codering nodig. Voor codering zijn verschillende methoden beschikbaar. In vroeger tijden werd hiervoor bijvoorbeeld natuurlijke taal gebruikt waarvan je redelijk zeker wist dat de andere partij dit niet sprak. Hierbij moet je dan denken aan indianen die hun moedertaal spraken. Uiteraard heeft die methode ook (vele) nadelen, en daarom zijn ook andere methoden in gebruik. Zo kan je in een aantal cryptosystemen de lettervolgorde volgens een van te voren overeengekomen methode wisselen. Daarnaast zou je ook letters kunnen vervangen door andere letters (een zogenaamde substitutie). ROT13 is hiervan een zeer bekende waarbij de letters van het alfabet in twee gelijke delen onder elkaar worden gezet en zo een boodschap kunnen coderen en decoderen.

Naast deze methoden kan ook informatie verborgen worden. Zo zou je informatie in bijvoorbeeld plaatjes, muziek, en video kunnen verstoppen.

In alle gevallen waarin je informatie gaat versleutelen is het van belang om enige informatie uit te wisselen. De methode om dit te doen kan omslachtig lijken maar is wel nodig om er zeker van te zijn dat de informatie in het tussentraject niet af te luisteren is. Een goede analogie die hierbij gegeven kan worden is het gebruik van een kistje en een paar sloten. Je stopt de boodschap in een kistje en hangt jouw eigen hangslot eraan, vervolgens stuur je het kistje naar de tegenpartij die op zijn beurt zijn eigen slot eraan hangt. Het kistje waar nu twee sloten aan hangen wordt dan weer teruggestuurd naar de originele verzender en deze haalt zijn eigen slot weer van het kistje af. Tenslotte wordt het kistje weer gestuurd naar de ontvanger en deze haalt zijn slot eraf en kan de boodschap lezen.

In de IT werkt dit vaak met een vergelijkbaar systeem met publieke en private sleutels. Het probleem hierbij is een vertrouwenskwestie. Hoe weet je zeker dat de publieke sleutel van de tegenpartij inderdaad van die persoon is.

Het tweede deel van de presentatie ging dieper in op het gebruik van wachtwoorden. We hebben al gehoord dat het erg belangrijk om die geheim te houden. Er zijn manieren om je wachtwoord te onthouden. Tijdens de presentatie kwam ook nog de optie boven tafel om het wachtwoord gewoon niet te onthouden maar dit steeds te laten resetten als je het nodig hebt. Een betere oplossing is natuurlijk om goede passwords te gebruiken en deze niet te hergebruiken. Om dit werkbaar te maken is het gebruik van een password manager aan te bevelen. In zo’n tool sla je alle wachtwoorden op en de tool zelf heeft een hoofdwachtwoord (waarvan je dus ook moet zorgen dat niemand dat ooit kan achterhalen).

Hierna heeft Menno laten zien dat in de hele keten de mens ook een belangrijke (zwakke) rol speelt. Tijdens experimenten tijdens colleges zijn phishing acties uitgevoerd en ook mensen die aangeven phishings (nagenoeg) altijd te herkennen blijken in de praktijk ook verleidbaar om toch hun username en wachtwoorden prijs te geven. Hiervoor kunnen verschillende technieken uit de gereedschapskoffer van de Social Engineer gebruikt worden. Zo zijn daar mogelijkheden via HTML mails, via uitgeprinte mails en gewoon door brutaalweg informatie op te vragen.

De conclusie is dat als je twijfelt je nog eens een keertje extra goed moet kijken of het allemaal wel klopt, en je beter een keer extra om hulp kan vragen als je het niet zeker weet.

Category: IT Beveiliging
October 30, 2015

Alert Online: GPG: encrypting and signing data

By Jeroen Egmond

Joost en Casper hebben vandaag de presentatie in de Alert Online week verzorgd met als onderwerp “GPG: encrypting and signing data”. Deze presentatie heeft een meer hands-on karakter en is ook wat technischer. De opkomst was beter dan verwacht en Joost trapte de presentatie af met een korte inleiding van PGP, Pretty Good Privacy dat door Phil Zimmerman is gemaakt om een mogelijkheid te hebben tussen mensen om vertrouwelijk boodschappen te kunnen uitwisselen en daarbij ook zeker te kunnen stellen dat je ook daadwerkelijk met de persoon communiceert waarvan je verwacht ermee te communiceren.

Vervolgens is uitgelegd hoe het mechanisme van public en private keys werkt en wat er nodig is om goed te kunnen communiceren. Om een bericht beveiligd over te sturen heb je het publieke gedeelte van de sleutel van de tegenpartij nodig. Voor het ondertekenen van je bericht gebruik je je eigen geheime sleutel.

Na het theoretische gedeelte was het tijd voor het hands-on gedeelte dat Casper voor z’n rekening nam. Allereerst werden de laptops geboot in Ubuntu. Voor de Windows machines was een live ubuntu USB stick aanwezig zodat iedereen hetzelfde uitgangspunt had. Na het starten en de installatie van enkele noodzakelijke pakketten hebben we een PGP keypair aangemaakt en dit vervolgens geconfigureerd in de mailclient. Hierna waren we in staat om mailtjes aan elkaar te sturen die niet door anderen gelezen konden worden, en waarvan we konden zien wie de tegenpartij was.

De presentatie was goed interactief en we hebben ook nog gesproken over de verschillen met smime en wat voor- en nadelen zijn ten opzicht van PGP.

Aan het einde van de presentatie was er nog een momentje voor een zogenaamde Keysigning. Hierbij kunnen mensen elkaars identiteit en public key verifieren om zo het web of trust te vergroten.

Category: IT Beveiliging
October 29, 2015

Alert Online: Windows 10 security

By Jeroen Egmond

Vandaag hebben we een interessante presentatie van Emile en Ruud mogen beluisteren. Ze hebben in een vogelvlucht een aantal instellingen en mogelijkheden laten zien van Windows 10 en hoe verschillende instellingen aangepast kunnen worden.

De presentatie heeft zich vooral gericht op de thuisgebruiker, in een enterprise omgeving worden zaken namelijk vaak op een andere manier oplost of zijn er andere randvoorwaarden om rekening mee te houden. Zo is het voor thuisgebruikers beter om de software automatisch te laten updaten over het algemeen. In een bedrijfsomgeving is dat niet altijd mogelijk in verband met de compatibiliteit met de bedrijfssoftware.

Een van de tools die gebruikt kunnen worden is bijvoorbeeld O&O ShutUp10 . Deze tool bevat in een handig scherm een groot aantal van instellingen op het gebied van privacy settings. Normaal gesproken zou je deze via de instellingen of via het register ook kunnen wijzigen maar dit is natuurlijk handiger.

Windows10 heeft een aantal mooie features maar niet van alle features is duidelijk wat precies de privacy impact is. Zo kan je met Cortana met windows ‘praten’ maar daarvoor wordt wel informatie met de fabrikant gedeeld. Wil je dat niet is het uit te zetten maar dan kan je de functionaliteit ook niet meer gebruiken.

Als tip wordt ook meegegeven om voor iedereen die je (thuis)computer gebruikt een eigen account te maken. Veel van de instellingen zullen namelijk in ‘de cloud’ worden opgeslagen en je wilt natuurlijk niet dat anderen bij die informatie kunnen. In voorkomende gevallen wil je misschien ook liever geen Microsoft account gebruiken maar een lokaal account aanmaken. Die optie is natuurlijk redelijk verstopt want de Cloud-optie is veel makkelijker.

Door het scheiden van accounts kan je ook bijvoorbeeld restricties instellen op het gebruik van windows voor de kinderen. Zo kan je bijvoorbeeld tijdrestricties aanbrengen. Door het accounttype voor andere accounts in te stellen op ‘gewone gebruiker’ kan je ook voorkomen dat er te gemakkelijk software, of malware, geinstalleerd kan worden.

Naast het installeren van een virusscanner is het ook verstandig om te kijken naar een malware scanner. Deze zijn vaak commercieel en rond de feestdagen zijn er vaak goede aanbiedingen. Het lijkt misschien duur, maar het verlies van data als gevolg van malware kan veel duurder uitpakken.

Het is belangrijk om backups te maken. We kunnen dit niet vaak genoeg zeggen, MAAK BACKUPS. We zullen het nog eens herhalen: BACKUPS ZIJN BELANGRIJK.

Een externe harddisk is tegenwoordig helemaal niet meer zo duur en het is een goed idee om regelmatig een backup te maken van je belangrijke bestanden zoals bijvoorbeeld foto’s van de kinderen. Als je op veilig wilt spelen dan kan je Bitlocker gebruiken om de harddisk te beveiligen. Deze versleutelt alle bestanden zodat anderen geen toegang hebben. Uiteraard moet je opletten dat je het wachtwoord niet vergeet. Microsoft stelt je in staat om een zogenaamde Recovery Key te maken. Deze kan ook in ‘de cloud’ worden opgeslagen. Die Recovery Key maakt het mogelijk toch nog bij je bestanden te kunnen als je je wachtwoord vergeet. Raak je beiden kwijt dan ben je ook al je bestanden kwijt.

Het was een leerzame presentatie, de slides zijn verkrijgbaar bij Emile en/of Ruud

October 28, 2015

Alert Online: allemaal, veilig digitaal

By Jeroen Egmond

Momenteel is de Alert Online week in volle gang. Ook Tilburg University doet mee en heeft een aantal presentaties geplanned staan.

Zie voor het volledige programma https://www.tilburguniversity.edu/alertonline

Morgen staat een presentatie over Windows 10 security op het programma waarin Emile en Ruud het woord voeren. Vrijdag de 30e zullen Casper en Joost ingaan op het gebruik van Pretty Good Privacy.

Ook volgende week zullen nog een aantal presentaties voorbij komen. Zo zal Menno van Zaanen maandag een workshop over Security Awareness en passwords houden. Maarten van Alem zal op woensdag de 4e November iets vertellen over de verbetering van de beveiliging van smartphones en op donderdag sluit Sebastiaan Vermeulen de week af met een presentatie over Big Brother behind Big Data.

Alle presentaties vinden plaats tussen 12:00 en 13:30 en zijn gratis te bezoeken. Aanmelding is niet nodig.

Category: IT Beveiliging
August 31, 2015

Geef je wachtwoord maar even!

By Jeffeny Hoogervorst (NOC/SO/UvT-CERT/SURFcert)

Geef je wachtwoord maar even! password
Dus niet!

Elke medewerker en student van onze Universiteit heeft beschikking over ICT faciliteiten. Misschien wel de bekendste faciliteit is de persoonlijke mailbox.

Door de komst van Single Sign On (SSO) is het mogelijk met je
UvT-gebruikersnaam en wachtwoord toegang te krijgen tot verschillende
services en diensten van de Universiteit. Doordat dit account je op
meerdere plaatsen toegang verleent moet je hier extra zorgvuldig mee om
gaan.

In de  “Gedragscode e-mail-, internet- en telefoonfaciliteiten UvT” staat
dan ook dat deze ter beschikking gestelde accounts strikt persoonlijk
zijn en niet aan derden verstrekt mogen worden. Dit geldt overigens ook
voor andere ICT faciliteiten dan het UvT-account, denk hierbij
bijvoorbeeld aan aparte accounts in speciale administratieve systemen.

UvT-CERT is het Computer Emergency Response Team van de Universiteit.
CERT teams houden zich bezig met de veiligheid van de ICT.

Wanneer de Universiteit van Tilburg is betrokken bij een ICT gerelateerd incident, als doelwit of alsverdachte, zal het UvT-CERT team dit incident proberen op te lossen.

Wanneer een student of medewerker zijn of haar accountgegevens heeft
“uitgeleend” en er doet zich een ICT incident voor, bewust of onbewust,
dan zal UvT-CERT ook in beginsel uitsluitend aankloppen bij de eigenaar
van dit account. Bij een melding of constatering van een uitgeleend
UvT-account zal dit dan ook worden behandeld als een gecompromitteerd
account en UvT-CERT zal dan ingrijpen.

Leen je wachtwoord dus nooit uit!

Vanuit een bepaalde cultuur die op een afdeling kan heersen, of doordat
een gebruikelijke werkwijze het haast noodzakelijk maakt om hieraan mee
te werken, kunt u in de situatie komen dat er druk op u wordt gelegd om
uw accountgegevens te delen met bijvoorbeeld uw collega’s.

Denk bij dit soort situaties vooral aan de vakantieperiode,
werken met tijdelijke arbeidskrachten, invallen voor een collega
wegens ziekte e.d.

Mocht u in zo’n situatie komen meld dit dan en bespreek dit met
uw leidinggevende. Vaak vloeien hieruit al verbetermaatregelen voort.

Als u er niet uitkomt kunt u altijd nog contact opnemen met UvT-CERT
en/of de ICT Security Officer van de Universiteit. Deze kunnen zo nodig
hiervan melding maken bij de desbetreffende directeur en/of CvB.

Category: IT Beveiliging
July 10, 2015

Kun je dat password ff appen?

By Jeffeny Hoogervorst (NOC/SO/UvT-CERT/SURFcert)

messageHebben ze Internet? 

Ouders met kinderen horen dit maar al te vaak.

Bij het boeken van de vakantie heeft de wens van de glijbaan plaats gemaakt voor de zwaarwegende wens van Free Wifi. Enigszins ook logisch, sms kost geld en via messengers als WhatsApp kun je via Internet gratis text berichten versturen.

Nu zie je dat ook steeds meer in het bedrijfsleven prive telefoons gebruikt worden en daarmee ook de communicatie tussen de collega’s onderling. Maar hoe veilig is dat nu eigenlijk? En als ik een wachtwoord via sms verstuur, kan mijn provider dit dan lezen?

Encryptie (versleuteling) van de berichten tussen de smartphone en de dienst is een, maar de opslag van je berichten is weer iets anders. En als je berichten ergens opgeslagen worden, waar staat dit dan en wie kunnen er allemaal bij? Wanneer je een dienst afneemt van een bedrijf dat gevestigd is in de Verenigde Staten dan zal het je niet verbazen als inlichtingen- en veiligheidsdiensten kunnen meelezen.

Toch wordt de burger zich steeds meer bewust van zijn/haar privacy en is het goed om eens in te zoemen op dit fenomeen. Wanneer je je bezig houdt met de vraag welke messengers nu veiliger zijn dan de andere, dan biedt het EFF uitkomst.

Het Electronic Frontier Foundation (EFF) houdt een Secure Messaging Scorecard bij en dit geeft een aardig overzicht van een aantal privacy gerelateerde onderwerpen per messenger.

Zo kun je na het lezen van bovenstaande link besluiten om bijvoorbeeld TextSecure, Pidgin of CryptoCat te gaan gebruiken.

Het is niet de bedoeling om een bepaalde messenger te promoten, maar wel de bewustwording over privacy en beveiliging van messengers.

June 19, 2015

Opbouwen 3Dlab dag 3

By Maarten van Alem (Servicedesk/UvT-CERT)

Ze zijn weer flink opgeschoten gisterenavond, alle beamers hangen nu precies op hun plaats.

Alles is gelabeld, de camera’s, beamers en netwerkkabels hebben allemaal hetzelfde nummer.
Het beeld wordt precies op de wand geplaatst.
Ietsje van de grond af zodat dingen als (stofzuig)schade of vuil onderaan de muur niet in beeld komt.

Hoger is sowieso wel beter, toch weer iets meer beeld lijkt het.
Er moeten wat dingetjes zwart geverfd worden, want de zwarte kleur op het plafond in de grot wordt
verder doorgetrokken op de muren. Van tevoren wisten we niet exact waar de beamers zouden komen.

Vandaag werd ook het plafond erin gelegd. Beetje kissebissen over wie, welke steiger gebruikt.
De computers gaan aan, deze zijn vooraf geinstalleerd.
De software heeft mijn hart gestolen, de Warp functie zet je aan via de button: engage.

Wat het is en doet hoor ik volgende week …

Eén van de wanden (niet schermen) wil maar niet op 120Hz, blijft eigenwijs op 60Hz staan via de Nvidia driver.
Eigenlijk vind ik het er nu al supercool uitzien.
Het heeft wel iets om met een los keyboardje midden in een ruimte te staan en daarmee 4 computers
te bedienen zijn, op elke wand één.

 

Dag3

Category: Innovatie
June 18, 2015

Opbouwen 3Dlab dag 2

By Maarten van Alem (Servicedesk/UvT-CERT)

Gisteren zijn de twee van WorldViz tot 20.00u doorgegaan.

Felix heeft een slimme oplossing gevonden om de beamers op te hangen.
Nu zijn ze ook meteen nog flexibeler qua precieze lokatie. Als je bij WorldViz werkt is het handig als je overweg kunt met een slijptol blijkt.
Het is heel druk, want de het luchtsysteem wordt nog aangepast en de airco wordt geplaatst en aangesloten.

Veel mensen dus.

dag2

Alle apparatuur bij elkaar produceert wel nogal wat warmte. Zo’n 7 a 8Kw. En de lichaamswarmte van de aanwezige personen is daar nog niet bij opgeteld.
Maar de airco werkt nu voel ik, het wordt fris in de grot.
De netwerkkabels zijn afgewerkt, volgens Fred van van Croon en zijn nu ook nog gecertificeerd ook!

Ineens werkt er omheen alles, en hangt beamer nummer 6 van 8.
Felix begint met het uitrichten van het beeld van de beamers, dit gebeurt heel nauwkeurig en is een heel gedoe.

 

Komt vast wel goed, het beeld van 2 beamers, 1 wand dus, staat nu haarscherp half door elkaar.

 

Dag2-2

Category: Innovatie
June 17, 2015

Opbouwen 3D lab in DZ12

By Maarten van Alem (Servicedesk/UvT-CERT)

Vandaag 17-06-2015 begonnen, het staat helemaal vol dozen!

De verpakking valt tegen, beetje neutraal, maar het lijkt wel sinterklaas! Sommige dingen zijn heel goed ingepakt.

dag1

Grid wordt aangepast en er wordt besloten om de beamers beter op hun plaats te krijgen Er moet een stroomgroep bijkomen en er moeten dus pijpen bijkomen voor de grid. Laatste hand aan het alarmsysteem.

De eerste beamer hangt, HDMI en netwerkkabels zijn gelegd en hangen naar beneden.

Dag1-2

 

Category: Innovatie
June 5, 2015

WordPress blog op de Campus

By Jeffeny Hoogervorst (NOC/SO/UvT-CERT/SURFcert)

Weer een artikel over WordPress en beveiliging!wordpress-logo

Niet het eerste en helaas niet het laatste.

WordPress is een platform dat al enige tijd wereldwijd op grote schaal gebruikt wordt voor het bloggen (online logboek).

Naast de blog functie wordt WordPress ook vaak gebruikt als Content Management System (CMS) voor het maken van Internetpagina’s. De gebruiksvriendelijkheid verklaart wellicht de populariteit.

Naast de standaard mogelijkheden van het softwarepakket biedt het ook de mogelijkheid om zelfgemaakte plugins en themes te gebruiken.

Simpel gezegd wordt een theme gebruikt voor de layout en een plugin wordt voor een toepassing zoals een fotoalbum of een e-mailformulier.

Lang geleden bevatte de basis van de WordPress software nog wel eens kwetsbaarheden maar tegenwoordig valt dit eigenlijk wel mee. Het probleem zit hem al enige tijd meer in de kwetsbaarheid van de plugins, themes en code snippets (stukjes code die handig zijn).

Diegene die de security nieuwsberichten in de gaten houden weten dat kwetsbaarheden in WordPress regelmatig de revue passeren. Dit gaat dan wel met name over de plugins. Wanneer een plugin of theme van wordpress.org gedownload wordt is er nog enigszins sprake van software managment en er verschijnt tevens een melding in het dashboard van WordPress wanneer er een update beschikbaar is. Deze moet dan natuurlijk nog wel geïnstalleerd worden.

Je blijft wel afhankelijk van het feit of de maker van de plugin de kwetsbaarheid verholpen heeft en of hij of zij hier überhaupt wel op de hoogte is van de kwetsbaarheid van zijn stukje software. Soms gebruikt de maker een stuk code van iemand anders en wordt de ontdekking nog lastiger. Het gebruik van code van wordpress.org is echter nog altijd beter dan zomaar een theme of plugin installeren die gevonden is in Google. Dan ben je namelijk waarschijnlijk het onderhoud geheel kwijt.

Nog beter is het controleren van kwetsbaarheden vanaf de buitenkant aan de hand van bekende kwetsbaarheden. Tools als WPScan of VANE (GPL fork) kunnen daarbij helpen. Het is belangrijk om voordat je die tools gebruikt eerst toestemming te vragen aan je hoster want deze tools vergen resources van de webserver en het zou gezien kunnen worden als hacken.

Library and IT Services biedt medewerkers van de Universiteit de mogelijkheid om een blog (https://weblog.uvt.nl/…) te maken en deze op de centrale infrastructuur te hosten. UvT-CERT controleert de WordPress installaties op kwetsbaarheden en deze worden door LIS gerepareerd. Mocht je nu om wat voor reden dan ook op de UvT een WordPress blog hosten buiten de centrale oplossing om, dan kun je of de blog centraal gaan hosten zodat deze qua beveiliging mee gaat in de controle of de interne url aan UvT-CERT (cert-audits@lists.uvt.nl) doorgeven zodat wij deze mee kunnen nemen in de periodieke beveiligingsscans.

Recent Posts

Recent Comments

Archives

Categories

Meta