Programma overzicht

Cryptographic hash functions are an essential building block of applications like electronic signatures and e-Government. They are also used in more traditional security modules like the Unix login, file integrity protection mechanisms etc.

The design of the hash functions in use now is based on intuition and gut feelings of "experienced people" rather than on firm mathematics. The risks of such an approach were demonstrated in 2004, when improvements in cryptanalysis led to a demonstration of weaknesses in the hash functions MD5 and SHA-1.

Now, 4 years later, there are still many questions: What is the impact of these weaknesses on practice? Can we mend the resulting security problems, or should we learn to live with them? The upcoming NIST competition will definitely focus the attention of the world's top cryptographers on these and related problems. Perhaps we'll find solutions.

This presentation will survey developments in DNS security and look at the threats faced by DNS infrastructure today, including the recently reported open recursors and WPAD vulnerabilities.

For each threat, I'll discuss methods of mitigation. Finally, I'll introduce the solution for this and describe how companies can address their DNS security needs.

Many countries have started issuing electronic passports, or e-passposrts, with embedded RFID smartcards that carry digitally signed biometric information.

EU e-passports use so-called Basic Access Control to prevent reading of the e-passport content without the owner's consent: to access the smartcard one must visually read some information printed in the passport. Subsequent communication between passport and reader is encrypted to prevent eavesdropping.

Weaknesses in this encryption mechanism have already been reported: for passports from several countries brute force attacks are feasible. Root cause of this problem is that passport serial numbers are handed out in sequence.

We report on a different issue: the possibility to detect e-passports and determine their nationality. This turns out to be surprisingly easy to do. Although e-passports all implement the same standard, there are differences that can be detected, especially by sending malformed requests.

While not an immediate security threat to the e-passport itself, it could be a concern to the passport holder: this functionality is clearly useful for passport thieves. It strengthens the case for metal shielding in the passport to prevent any communication with the RFID smartcard when the passport is closed. More generally, it is another example of problems associated with making communication wireless.

Iedereen die wel eens met de Open Source vulnerability scanner Nessus heeft gewerkt, kent het probleem. Nessus is een waardevolle tool, maar helaas ook eenn die de gebruiker overlaadt met, niet altijd even relevante, data. De tijd die nodig is voor het uitwerken van eenn enkele scan is vaak het drievoudige van de scantijd zelf.

Om de uitkomst van deze herhaaldelijk uitgevoerde Nessus-scans effectiever te kunnen analyseren, heeft de spreker het programma 'AutoNessus' geschreven. Dit programma voert de Nessus-scan uit en vergelijkt daarna de uitkomst van die scan met die van de vorige. Via een web-interface zijn de uitkomsten beschikbaar.

De Security Officer/Engineer kan zich, door gebruik te maken van de uitkomsten van AutoNessus, alleen op de veel kleinere delta concentreren in plaats van op het gehele scanresultaat. Daarnaast kan hij bijvoorbeeld zijn bevindingen 'taggen' met'non-issue', 'fixed' of 'hard-masked'. De non-issue findings behoeven geen aandacht totdat zij veranderen, fixed findings alleen wanneer zij opnieuw worden aangetroffen en hard-masked findings worden volledig genegeerd.

In deze presentatie wil de spreker:

• Laten zien hoe AutoNessus is ontstaan
• Inzicht geven in AutoNessus, door middel van een 'live' demonstratie
• Laten zien hoe Schuberg Philis AutoNessus gebruikt
• AutoNessus als open source software releasen

Naast een overzicht van bekende anti-spam maatregelen zoals :

• source IP adres gebaseerd (RBLs)
• afzender gebaseerd (domeinnamen)
• inhoud gebaseerd (bijvoorbeeld SpamAssasin)

wordt een gedetailleerd verslag gegeven van mijn zoektocht in 2007 naar het stoppen van bepaalde spammers :

• logmeldingen
• opsporen sources
• testen en blokkeren van bepaalde DNS servers

en volgt tenslotte nog een beperkt overzicht van mogelijke nieuwe afweermaatregelen zoals bijvoorbeeld blokken op whois informatie.

Security is arguably one of the most critical and controversial aspects of any software project. Most software is designed and implemented with the main focus on Time-To-Market (TTM) and its required features. As a result, the majority of software solutions lack the security features necessary to protect against attacks. This phenomenon is not limited to applications; many operating systems, protocols, application frameworks, and programming languages alike all suffer from this deficiency. The traditional methods of dealing with such shortcomings, such as system hardening, are reactive and tend to only patch the security holes in an ad-hoc manner; they hardly address the root-cause of the problem.

This session gives an overview of the "Preemptive Security" concept as a means to address the above-mentioned fundamental problem. Concrete Methods to establish a verifiable trust with the computing environment will be proposed. The use of modern computer science concepts such as secure programming languages, secure protocols, and strong authentication frameworks to assist in implementing "Preemptive Security" will also be discussed.

Het testen van de beveiliging van infrastructuur en (web-) applicaties heeft ondertussen een redelijke historie. In de afgelopen 40+ jaar is het uitgegroeid van een "hobby" tot een volledige bedrijfstak met een specifieke dienstverlening.

In deze presentatie zal een historisch overzicht gegeven worden van het testen van systemen op beveiligingsaspecten. Het verhaal begint met het testen van de beveiliging voor plezier (ook wel "Hacking for fun" genoemd). Hierbij moet ondermeer gedacht worden aan het eenvoudig omzeilen van relatief eenvoudige beveiligingen om kennis te verzamelen en uiteindelijk te delen met anderen. Natuurlijk is dit plezier nooit echt verdwenen, want ook nu nog blijft het een geweldige ervaring om aanzienlijk complexere beveiligingen te doorbreken. ;-)

Via het testen voor toegang (veelal tot het opkomende internet) komen we uiteindelijk bij de huidige business. Hier zien we aan de ene kant criminelen die de technische kennis misbruiken voor hun criminele activiteiten en aan de andere kant beveiligers die diezelfde kennis toepassen om systemen te beveiligen tegen dit soort misbruik. De standaard opbouw van een dergelijke penetratietest en de hulpmiddelen die hiervoor beschikbaar zijn zullen hier ook behandeld worden.

In veel gevallen zijn deze hulpmiddelen nog beschikbaar als open source. Ik hoop dat deze presentatie voor de oplettende toehoorder resulteert in een goed overzicht van de beschikbare tools voor de verschillende onderdelen van een dergelijk onderzoek.

Recentelijke aanpassingen in de wetgeving van de landen rondom Nederland heeft al verschillende ontwikkelaars laten uitwijken naar andere landen voor de publicatie ervan. Of dergelijke wetgeving positief of juist negatief werkt is het afsluitende onderdeel van deze presentatie.

What you don't know, you don't have to protect. This rule is becoming increasingly more relevant with security threats changing ever faster. Nonetheless, this rule is easily overlooked when traditional data security is combined with obscuring personally identifying information. In current pseudo anonymous data sharing systems, often, a Trusted Third Party (TTP) is introduced to broker pseudo anonymous data exchange between parties. The TTP becomes an attractive target and securing it can be expensive. Worse still, a TTP can be ordered to give up collected data without consent of the original data sources. In this paper we will introduce a novel method for pseudo anonymized data exchange without a TTP. We consider a virtual data-table (T), and n sources (B1..Bn) each holding a part of T, consisting of a number of incomplete rows of T. The challenge now is to select a number of rows from the virtual table T according to some selection criteria with a minimum knowledge gain for all parties involved. Clearly in reducing a TTP to construct T is the opposite of minimum knowledge gain. This paper introduces a method to combine well known security principles to meet the challenge differently.

Het gebruik van VoIP kent veel voordelen. Ten opzichte van traditionele telefonie speelt er echter een aantal nieuwe beveiligingsissues. Bovendien zijn niet alle beveiligingsmaatregelen die we doorgaans gebruiken voor de beveiliging van data-netwerken ook geschikt voor de beveiliging van spraak-netwerken. In deze presentatie behandelen we een aantal nieuwe risico's en bekijken we met welke maatregelen we deze risico's kunnen inperken.

Allerlei bedrijven en instanties verzamelen momenteel gegevens over ons, soms met het idee dat het goed is voor hun eigen bedrijfsvoering, soms met het idee dat het goed voor ons is (zoals geldt in de argumentatie voor het elektronisch patienten en/of kinddossier). Waar we tegelijkertijd nog amper van doordrongen zijn is dat 'gegevens verzamelen' op zich zelden een antwoord vormen:

• Deels niet omdat we onvoldoende geequipeerd zijn om daadwerkelijk iets zinnigs met die gegevens te doen;
• deels niet omdat elke manier van gegevensverzameling haar eigen fouten genereert, wat zeker als het om gevoelige gegevens gaat ernstige gevolgen kan hebben;
• deels niet omdat bedrijven en instanties niet of buitengewoon slecht nadenken over de beveiliging en integriteit van die gegevens.

We zien de laatste jaren steeds vaker dat allerlei buitengewoon gevoelige informatie makkelijk op straat ligt. Zelf kon ik met een team binnen een paar dagen beschikken over 1,2 miljoen patientgegevens die ik kon kopieren, wissen en wijzigen. Andere zg. 'data breaches' hou ik sinds kort bij op http://www.spaink.net/data_breaches.html

De SELinux-infrastructuur is opgezet om beveiliging af te dwingen aan de hand van een vastgelegde policy. Met name voor de diverse kwetsbare daemons bestaan er policy's die restricties opleggen aan wat deze mogen doen. Zo bieden deze policy's een extra beschermlaag aan het systeem tegen de software die er op draait.

Vaak zijn deze restricties wenselijk en kunnen ze daadwerkelijk problemen voorkomen. Maar soms wil je toch bepaalde zaken toestaan die volgens de policy's niet mogen.

In deze lezing zullen we aan de hand van een voorbeeldscript "cgips" (een cgi script dat "ps -ef" uitvoerd) laten zien hoe SELinux je beschermt. Vervolgens zullen we de policy uitbreiden met een module die er voor zorgt dat de ps wel normaal getoond wordt.

Daarna zullen we kort laten zien:

• wat de problemen van deze module zijn
• welke bescherming SELinux je niet kan bieden
• wat de problemen zijn met embedded script talen binnen Apache

Systems like Tor, MorphMix and I2P employ Chaumian mixnets to provide anonymity of communication. Mixes are either cascaded or used in a free-route P2P-like topology, and different cryptographic schemes are used to provide different anonymity properties. The degree of anonymity provided depends on the usage and adversary models, and on the architectural decisions that are made in such systems. Measuring this degree is non-trivial, but several attempts have been made. This lecture aims to provide an in-depth overview of systems that provide anonymity of communication, and to discuss what anonymity they (don't) provide.

Nu SIP langzamerhand op steeds meer plekken in ons dagelijks leven doordringt, en zelfs ENUM van de grond begint te komen, lijkt het eindelijk zo ver te komen dat we ons kunnen losmaken van de beperkingen van analoge telefonie.

Met het online gaan van telefonie komen standaardtechnieken voor het omleiden of misbruiken van dataverkeer echter ook binnen handbereik -- met als gevolg dat er een roep is voor de veilige variant op SIP, het SIPS protocol.

In deze voordracht leggen we uit dat dit nogal wat meer voeten in aarde heeft dan bijvoorbeeld een veilige webserver, en waar op moet worden gelet.

Implementing data security inside a database tends to make life more difficult for users, requiring them to do such things as remembering and specifying encryption keys or passphrases. This presentation will look into the mechanisms employed by Sybase ASE 15.0 to achieve high levels of data protecting inside the database without placing any such additional burden on end-users or application developers. As a relational DBMS, Sybase Adaptive Server Enterprise (ASE) is used in mission-critical systems in many areas where data security is of utmost importance. Sybase ASE 15.0 supports transparent encryption of individual database columns with a unique set of properties not available by other database vendors:

• schema-level encryption, thus making encryption fully transparent to applications
• access to encrypted data is governed by granting 'decrypt' permission
• 'decrypt default' to make data-level encryption invisible to users without decrypt permission
• no performance loss; searches and joins are performed on ciphertext
• protect data from the all-powerful DBA, without the need for authorised users to know any encryption passwords or -keys
• protecting database backups without the need to encrypt the full backup file
• industry-strength encryption: 256-bit AES thout the need to encrypt the full backup file

We weten allemaal dat wireless netwerken een extra security risico vormen, omdat het niet noodzakelijk is om een fysieke verbinding met het netwerk te hebben om er gebruik van te maken, terwijl de gebruiker er steeds meer om vraagt vanwege het toepassen van mobiele apparatuur.

De IEEE 802.11 standaard voorziet in een aantal mogelijkheden tot encryptie van de data. Naast WEP, dat eigenlijk niet gebruikt moet worden vanwege de ontwerpfouten waardoor de veiligheid eigenlijk alleen maar schijn is, zijn er een aantal nieuwe encryptie technologieen (WPA, WPA2) ontwikkeld voor gebruik in 802.11 netwerken.

Het gebruik van deze technieken, samen met fysieke bescherming, alsmede authenticatie en autorisatie volgens 802.1x kan, mits (overal) goed geimplementeerd een draadloos netwerk beter beveiligen tegen het afluisteren en ongeoorloofd gebruik.

In deze lezing wordt kort de historie van 802.11 beveiliging geschetst en wordt uit de doeken gedaan Waarom geen WEP te gebruiken en wat de nieuwe standaarden (WPA en WPA2) technisch brengen en hoe ze (goed) te gebruiken.

Daarnaast wordt een kort praktisch recept gegeven voor het toepassen van WPA2 in de enterprise omgeving middels koppeling aan de bestaande authenticatie realm(s) en het gebruik van certificaten. Ook wordt stil gestaan bij de fysieke aspecten van het gebruik van draadloze netwerken en de veiligheids risico's op dit gebied.

Most spam nowadays is being sent by groups who operate very similar to 'offline' organised crime groups. And they have a similar need for security. Spammers have to protect themselves and their data against ISPs, security researchers and law enforcement. Hence their need for security and a good infrastructure has grown too. This paper looks at some of the recent developments in this area.

Voor het filteren van spam zijn diverse methoden ingezet. Populair zijn de lerende spam-filters, die zich kunnen aanpassen aan zichzelf veranderende spam. Met name de zogenaamde Bayesian learning filters, zoals die in spamassassin, worden veelvuldig ingezet. Deze filters zijn niet zonder nadelen: er wordt bijvoorbeeld verwacht dat deze regelmatig opnieuw getraind worden om effectief te blijven.

Een ander soort spamfilters zijn de zogenaamde nearest neighbour classifiers. In deze presentatie wordt de implementatie van een dergelijke classifier beschreven, de effectiviteit en performance wordt gemeten en er wordt een vergelijking gemaakt met andere spamfilters.

Mifare Classic is arguably the most widely deployed type of 'secure' RFID tags. However, it's security thus far been mostly based on security by obscurity. This presentation will give some results on the factual security of Mifare Classic that were obtained by hardware reverse engineering on the chip, combined with protocol analysis on the radio transmissions.

Online distribution of movies, music, and other media is every so often hailed as the Next Big Thing in the digital world. In order to prevent uncontrolled copying, companies look towards digital rights management (DRM). However, as evidenced in the past, DRM systems can and will be broken.

In this presentation, we first shortly discuss copyright law and its impact on the digital era. Then, we analyse drawbacks and security weaknesses inherent in DRM systems. Finally, we will highlight some examples of weaknesses being exploited in existing systems.