Risicogerichte controle van authenticatie

(1)

Naam: Stef Duteweert

Studentnummer: 10907092

Telefoon: 06-20475345

E-mail: stefduteweert@hotmail.com

Versie: 1.0 d.d. 08-08-2018

Begeleider: Pieter van Houten

Opleiding: AITAP (v.a. september 2018 EPDA) –

(2)

Voorwoord

Beste lezer,

U heeft mijn scriptie geopend met als onderwerp ‘Risicogerichte audit van authenticatie’. Allereerst bedankt voor uw interesse.

Deze scriptie is geschreven in het kader van de AITAP (vanaf september 2018 hernoemd naar EPDA) opleiding aan de Universiteit van Amsterdam en vormt de afsluiting van deze opleiding. De eerste beginselen van het onderzoek zijn bedacht en geschreven in begin 2016 en het onderzoek is afgerond in augustus 2018.

Het onderwerp van mijn onderzoek is ontstaan doordat vraagstukken rondom beveiliging van systemen en de rol van authenticatie hierin een belangrijk onderdeel vormen van mijn dagelijkse werkzaamheden als IT-auditor. Ook is dit een uitdagend deel, doordat veel factoren invloed hebben op de inschatting waar een organisatie risico’s loopt ten aanzien van systeembeveiliging. Soms is bij wijze van spreken de voordeur goed afgesloten (bijvoorbeeld door authenticatie voor het systeem met een vingerafdruk), maar staat een achterdeur wagenwijd open (bijvoorbeeld doordat gebruikers de werkstations waarop het systeem draait ingelogd en onbeheerd achterlaten tijdens de koffiepauze). De uitdaging in dit onderzoek was om een model te ontwikkelen, dat een inschatting van het risico op doorbreken van authenticaties weergeeft voor alle

spreekwoordelijke voor- en achterdeuren.

Tijdens dit onderzoek ben ik enorm geholpen door mijn begeleider Pieter van Houten. Met een combinatie van praktijkkennis, ervaring als docent aan de AITAP opleiding en een stevige dosis geduld had hij met niet beter kunnen ondersteunen. Verder wil ik Annelies Vethman erg bedanken voor haar rol bij cruciale momenten als het

onderzoeksvoorstel, tussentijdse bespreking van het onderzoek en het uitvoeren van een tweede review op het onderzoek.

Ik wens u als lezer veel plezier toe. Mocht u interesse hebben in het ontwikkelde model en de toepassingen hiervan, schroom dan zeker niet om contact met mij op te nemen. Stef Duteweert MSc.

(3)

Samenvatting

Het beveiligen van systemen wordt steeds belangrijker, doordat organisaties in toenemende mate digitaliseren en hierdoor meer en waardevollere informatie in

systemen bewaren. Een gevolg hiervan is dat het voor aanvallers interessanter wordt om toegang te krijgen tot systemen. Een systeem gebruikt authenticatie om vast te stellen of een entiteit (persoon of ander systeem) toegang mag krijgen tot het systeem. Aanvallers trachten deze authenticatie te doorbreken of omzeilen.

Aangezien het beschermen van systemen onderdeel uitmaakt van wetgeving

(bijvoorbeeld als onderdeel van de jaarrekeningcontrole of in het kader van de Algemene Verordening Gegevensbescherming), dienen auditors zich een oordeel te vormen over het risico dat een authenticatiemechanisme doorbroken of omzeild wordt. Naar mijn mening ontbreekt een adequaat model voor risico inschatting hierbij. In dit onderzoek is daarom de volgende probleemstelling gehanteerd: “Kan voor de audit van authenticatie een risicogerichte aanpak gehanteerd worden en hoe zou deze aanpak ingericht kunnen worden?”. Deze probleemstelling heeft geleid tot de ontwikkeling van een model

waarmee het risico op doorbreken van authenticatie kan worden ingeschat.

In het onderzoek is eerst op basis van literatuur een theoretisch model ontwikkeld. De start van het onderzoek was om vast te stellen welke authenticatiemethoden er zijn en welke sterke en zwakke punten inherent zijn aan deze methoden. Deze

authenticatiemethoden zijn gekoppeld aan verschillende soorten aanvallen die uitgevoerd kunnen worden op de authenticatiemethoden. Bepaalde aanvallen hebben een directe relatie met een specifieke authenticatiemethode. Zo kan een aanval op basis van raden wel uitgevoerd worden bij authenticatie met gebruikersnaam en wachtwoord, maar niet bij authenticatie middels een biometrisch gegeven.

Aanvallen op authenticatie zijn gerelateerd aan de authenticatiemethode zelf, maar de kans op slagen is ook afhankelijk van de inrichting van beveiligingsmaatregelen. Deze maatregelen kunnen in het systeem zelf zijn opgenomen (logische toegangsbeveiliging), maar ook onderliggend zijn aan het systeem (gekoppeld aan systeembeveiliging,

netwerkbeveiliging, fysieke toegangsbeveiliging en awareness). Uit het onderzoek is gebleken dat tussen beveiligingsmaatregelen en soorten aanvallen een directe relatie bestaat. Hiermee kan een organisatie door haar beveiligingsmaatregelen bepaalde aanvallen verhinderen, maar tegelijk geheel open staan voor andere aanvallen.

Tot slot is de kans van slagen afhankelijk van de kennis van heeft de organisatie die de aanvaller en de technologische kennis die de aanvaller moet hebben voor het uitvoeren van de aanval.

Op basis van de bovenstaande stappen en de verbanden hiertussen, is een theoretisch model ontwikkeld. Dit theoretisch model is gevalideerd, door het in een drietal

kwaliteitsinterviews te bespreken met deskundigen. Hierbij is gekozen voor deskundigen met verschillende relevante invalshoeken op het onderwerp (ethical hacker, interne security specialist en IT-auditor). Vervolgens is het model in de praktijk getoetst op basis van een case studie.

Het definitieve model geeft aan een specialist in het uitvoeren van IT-audits een methode om het risico op aanvallen op verschillende (niveaus van) systeeminrichting vast te stellen. Dit kan deze functionaris gebruiken in een audit van authenticaties, maar ook voor een adviesopdracht waarbij risico’s in authenticatiemethoden worden geanalyseerd. Het model levert een specifieke en volledige inschatting van risico’s op aanvallen op en daarnaast een koppeling naar beveiligingsmaatregelen die het risico op deze aanvallen veroorzaken. De output van het model kan door de auditor gebruikt worden om concrete risico gebaseerde bevindingen en aanbevelingen op te stellen.

(4)

Inhoudsopgave

1. Inleiding ... 6 1.1 Aanleiding en doelstelling ... 6 1.2 Probleemstelling ... 7 1.3 Onderzoeksvragen ... 7 1.4 Conceptueel model ... 7

1.5 Scoping van het onderzoek ... 8

2. Authenticatie en doorbreking hiervan ...10

2.1 Wat is authenticatie en waarom wordt dit ingericht ...10

2.2 Authenticatiemethoden ...10

2.2.1 Algemeen ...10

2.2.2 Authenticatie met wachtwoord ...11

2.2.3 Authenticatie met token of smartcard ...12

2.2.4 Authenticatie met biometrisch gegeven ...12

2.2.5 Multifactor authenticatie ...12

2.3 Welke sterke en zwakke punten hebben authenticatiemethoden ...13

2.3.1 Algemeen ...13

2.3.2 Authenticatie met wachtwoord ...13

2.3.3 Authenticatie met token of smartcard ...15

2.3.4 Authenticatie met biometrisch gegeven ...15

2.4 Op welke wijze worden authenticatie doorbroken ...16

2.4.1 Algemeen ...16 2.4.2 Raden ...17 2.4.3 Social Engineering ...20 2.4.4 Meeluisteren en scannen ...21 2.4.5 Inbraak en diefstal ...22 2.4.6 Insider aanvallen ...23

2.5 Welke invloed heeft inrichting van beveiligingsmaatregelen op het risico op doorbreken van authenticatie ...24

2.5.1 Algemeen ...24 2.5.2 Logische toegangsbeveiliging ...26 2.5.3 Systeembeveiliging ...26 2.5.4 Netwerkbeveiliging ...27 2.5.5 Fysieke toegangsbeveiliging ...28 2.5.6 Awareness...29

(5)

3. Op welke wijze kan de kans op doorbreken van authenticatie risicogericht geanalyseerd worden ...32 3.1 Algemeen ...32 3.2 Risicomodel STRIDE ...32 3.3 Risicomodel DREAD ...33 3.4 Risicomodel Trike ...33

3.5 Risicomodel AS/NZS 4360:2004 Risk Management ...34

3.6 Risicomodel CVSS ...35

3.7 Risicomodel OCTAVE ...36

3.8 Selectie relevant risicomodel ...37

4. Model risicogerichte audit van authenticatie op basis van theorie...39

5. Methodologie validatie en praktijktoets ...41

5.1 Algemeen ...41

5.2 Doel validatie ...41

5.3 Methode validatie ...41

5.4 Doel praktijktoets ...43

5.5 Methode praktijktoets ...43

6. Resultaten validatie en praktijkonderzoek ...44

6.1 Onderzoeksresultaten validatie middels kwaliteitsinterviews ...44

6.2 Onderzoeksresultaten praktijktoets middels casestudie ...49

7. Conclusies op basis van probleemstelling en onderzoeksvragen ...53

8. Reflectie onderzoek ...56

8.1 Beperkingen onderzoek ...56

8.2 Implicaties van het ontwikkelde model voor de auditor ...57

8.3 Aanvullend onderzoek ...57

9. Literatuurlijst ...58

10. Bijlagen ...62

10.1 Bijlage 1: Threat catalog BSI ...62

10.2 Bijlage 2: Vastlegging interviews ...66

10.2.1 Interview Ethical hacker ...66

10.2.2 Interview interne security specialist ...69

10.2.3 Interview IT auditor ...71

10.3 Bijlage 3: Model op basis van theorie ...74

10.4 Bijlage 4: Aangepast model op basis van validatie ...77

10.5 Bijlage 5: Resultaten praktijktoets ...80

10.6 Bijlage 6: Rapportage kwetsbaarheidsscan ...83

10.7 Bijlage 7: Systeeminrichtingen gekoppeld aan aanvallen ...84

(6)

1. Inleiding

1.1 Aanleiding en doelstelling

Sinds 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) gehandhaafd in Europa. Deze wetgeving is gericht op het verzorgen van meer en sterkere privacy rechten voor burgers. Bedrijven mogen niet zomaar persoonsgegeven opvragen en, belangrijker voor dit onderzoek, dienen de persoonsgegevens die ze

verkrijgen adequaat te beschermen. Onbevoegde partijen (verder: actoren) mogen geen toegang tot persoonsgegevens krijgen. Indien persoonsgegevens zich in systemen bevinden, wordt toegang door bevoegde actoren geregeld op basis van authenticatie (een mechanisme om vast te stellen of een entiteit, andere computer of andere applicatie daadwerkelijk is wie deze beweert te zijn). Door strengere regelgeving op basis van de AVG, maar ook door andere factoren zoals de verdere digitalisering van bedrijven, wordt een sterke authenticatie van steeds groter belang.

De meeste gebruikte authenticatiemethode is momenteel het inloggen middels een gebruikersnaam en wachtwoord combinatie. Het achterhalen van wachtwoorden wordt echter steeds eenvoudiger, doordat de rekenkracht van computers sterk toeneemt in afgelopen jaren. Sprengers en Smeets (2011) stellen dat iedereen tegenwoordig een supercomputer heeft, mede door steeds verder ontwikkelde grafische kaarten. Deze “zorgen niet alleen voor mooie spelletjes, maar hebben ook nog een effect waaraan wellicht niet iedereen denkt. Ze blijken ook uitermate geschikt om wachtwoorden mee te kraken”. Een gevolg is dat ten tijde van het schrijven van het artikel door Sprengers en Smeets reeds met een reguliere pc “alle wachtwoorden van acht karakters, versleuteld met een Windows (NTLM) wachtwoordschema, binnen vijf dagen gekraakt kunnen worden”. Sinds het uitbrengen van dit artikel is de rekenkracht van Pc’s enkel

toegenomen. Programmatuur voor het kraken van wachtwoorden is beschikbaar voor iedereen, waardoor personen die wachtwoorden willen kraken geen specialistische partij meer hoeven te zijn.

Of een systeem volgens wettelijke vereisten en voor het voortbestaan van de onderneming adequaat beveiligd is, wordt in een groot aantal gevallen door een accountant of een IT-auditor gecontroleerd. Echter krijgen deze partijen forse kritiek waar het gaat om de controle van IT-beveiliging. Zo schrijven Bobbert en Zethof (2014) in een artikel van ICT-Magazine: “Het motto lijkt ‘Alles voor de handtekening op de jaarrekening’. Steeds meer wordt duidelijk dat de kennis van de accountant, zelfs van zijn IT-auditafdeling, tekortschiet als het gaat om diepgaande kennis van IT-systemen en de adequate af- en bescherming ervan. De kennis en focus richt zich bij de controle meer op de methode en het proces dan op de inhoud van de materie en de context van het te auditteren object”.

Mede op basis van genoemde ontwikkelingen blijkt dat het belang van een sterke authenticatie steeds groter wordt, er verschillende risico’s aanwezig zijn rondom authenticatie en dat de controle hierop niet aan de verwachtingen voldoet.

Vanuit een audit perspectief zijn verschillende standaarden (zoals ISO 27001 en PCI DSS) beschikbaar waarin normen voor authenticatie staan, maar deze standaarden houden naar mijn mening niet voldoende rekening met een risico inschatting bij een organisatie en geven hiernaast vaak enkel een uitwerking op hoofdlijnen. Als gevolg hiervan zijn standaarden vaag of geven deze een 'one size fits all' oplossing. Dit kan leiden tot een niet goed uitgevoerde audit van authenticatie en hiermee veiligheidsrisico’s die niet gezien en hierdoor niet beheerst worden. In dit onderzoek wordt vastgesteld of het mogelijk is een risicogerichte aanpak voor de controle van authenticatie te hanteren en hoe deze aanpak ingericht zou kunnen worden:

(7)

1.2 Probleemstelling

Het doel van het onderzoek leidt tot de volgende probleemstelling: Kan voor de audit van authenticatie een risicogerichte aanpak gehanteerd worden en hoe zou deze aanpak ingericht kunnen worden?

1.3 Onderzoeksvragen

1. Wat is authenticatie en wat zijn de eigenschappen hiervan?

a. Welke authenticatiemethoden zijn veel voorkomend bij een organisatie? b. Welke sterke en zwakke punten hebben deze authenticatiemethoden

gerelateerd aan het doorbreken hiervan? 2. Op welke wijze wordt authenticatie doorbroken?

a. Welke aanvallen worden gepleegd om authenticatie te doorbreken? b. Welke relatie bestaat er tussen authenticatiemethoden en aanvallen die

gebruikt worden om deze authenticatiemethoden te doorbreken? 3. Welke invloed heeft systeeminrichting op het risico dat authenticatie wordt

doorbroken?

a. Welke systeeminrichtingen verkleinen of vergroten het risico dat authenticatie doorbroken wordt?

b. Welke relatie bestaat er tussen soorten aanvallen op authenticatie en systeeminrichting?

4. Welke invloed hebben actoren op het risico dat authenticatie wordt doorbroken? a. Door welke actoren wordt authenticatie doorbroken?

b. Welke relatie bestaat er tussen aanvallen op authenticatiemethoden en de actoren die authenticatie doorbreken?

5. Is een model voor risicogerichte controle van authenticatie bruikbaar in de auditpraktijk?

a. Op welke wijze worden risico’s ingeschat bij een risicogerichte audit? b. Welke modellen zijn beschikbaar voor het inschatten van risico’s? c. Welke modellen zijn toepasbaar voor het inschatten van risico’s op het

doorbreken van authenticatie?

1.4 Conceptueel model

Dit onderzoek is ingedeeld in drie fasen. Deze drie fasen en de invulling hiervan worden weergegeven in figuur 1. In onderstaande paragrafen wordt hierop een toelichting gegeven.

De eerste fase in het onderzoek betreft een analyse van verschillende vormen van authenticatie die bij een organisatie gebruikt worden en de sterke en zwakke punten hierin. Hierop volgt de wijze waarop deze authenticatie doorbroken kunnen worden, door welke actoren authenticatie wordt doorbroken en welke invloed systeeminrichting hierop heeft (hoofdstuk 2). Inzicht in gebruikte vormen van authenticatie en wijzen waarop authenticatie doorbroken worden vormen de basis voor een verdere risicogerichte analyse. In hoofdstuk 3 worden modellen voor risicogerichte audit van authenticatie besproken. De eerste fase van het onderzoek beantwoord hiermee onderzoeksvragen 1 tot en met 4 op basis van theorie.

Op basis van de eerste fase van het onderzoek wordt in de tweede fase een op theorie-onderzoek gebaseerd model voor risicogerichte audit van authenticatie opgesteld. Dit model wordt weergegeven in hoofdstuk 4 en op basis van het model wordt de

(8)

In de derde fase van het onderzoek wordt het ontwikkelde model gevalideerd en getoetst door dit te laten analyseren door deskundigen en door casestudie uit te voeren. De deskundigen dienen uit verschillende geïdentificeerde belanghebbende partijen omtrent authenticatie verkregen te worden, zodat het ontwikkelde model uit verschillende invalshoeken gevalideerd wordt. De casestudie dient te worden uitgevoerd voor een casus die representatief is voor het ontwikkelde model. De methodologie voor de validatie en praktijktoets van het model wordt weergegeven in hoofdstuk 5 en in hoofdstuk 6 worden resultaten van de validatie en praktijktoets weergegeven. Middels het validatie- en praktijkgedeelte wordt het ontwikkelde theoriemodel gevalideerd, getoetst en eventueel aangevuld/aangepast. Het doel van de validatie is om vast te stellen of het ontwikkelde model logisch, goed onderbouwd en praktisch bruikbaar is en of het ontwikkelde model tot relevante resultaten leidt. Tot slot wordt in hoofdstuk 7 een reflectie gegeven en antwoord gegeven op de probleemstelling en onderzoeksvragen.

Figuur 1 – Conceptueel model onderzoek (op basis van Verschuren & Doorewaard, 2004)

1.5 Scoping van het onderzoek

Het toegangscontroleproces bestaat uit drie stappen, namelijk identificatie, authenticatie en autorisatie (Fijneman et al., 2011). Identificatie is het proces dat het herkennen van een entiteit (persoon of systeem) mogelijk maakt, bijvoorbeeld een gebruikersnaam. Het authentiseren is het vaststellen of deze entiteit daadwerkelijk degene is waarvoor deze zich uitgeeft (bijvoorbeeld een wachtwoord) en het autoriseren is het uitgeven van rechten op het benaderen van een object voor de betreffende entiteit.

(9)

Een identiteit op zichzelf heeft in een audit geen toegevoegde waarde, indien hiervan de authenticiteit niet wordt vastgesteld. Op basis van de authenticiteit wordt aan een entiteit immers toegang verleend of toegang geblokkeerd. Authenticiteit kan enkel worden vastgesteld voor een identiteit en is dus ook geen op zichzelf staand proces. Identificatie en authenticatie hangen derhalve sterk samen.

Autorisatie is tevens een onderwerp wat gerelateerd is aan (risico gerichte) audit. Dit onderwerp is gericht op het beheren van gebruikersrechten en mogelijk het bereiken van controle technische functiescheidingen in een systeem (Ferraiolo, Cugini, & Kuhn, 2015). Autorisatie is een proces dat plaatsvindt nadat de authenticatie van een identiteit heeft plaatsgevonden. Dit is hierdoor een losstaand (deel)proces.

Dit onderzoek wordt enkel gericht op identificatie en authenticatie, dus niet op autorisatie (het daadwerkelijk toekennen van rechten). De reden hiervoor is het specifiek richten van het onderzoek, waarmee wordt voorkomen dat een te breed onderwerp met

onvoldoende diepgang wordt belicht. Aangezien identificatie/authenticatie en autorisatie opvolgende deelprocessen zijn, waarbij geen overlap plaatsvindt, wordt het specifiek selecteren van het identificatie en authenticatie proces mogelijk gemaakt. Indien in opvolgende paragrafen authenticatie wordt benoemd, wordt feitelijk het proces van identificatie en authenticatie bedoeld.

Het verrichten van IT-audit wordt in het onderzoek beschouwd als een audit binnen de Nederlandse weten regelgeving. Hiernaast zullen internationale standaarden en modellen, die algemeen aanvaard zijn in de Nederlandse audit praktijk, worden meegenomen in het onderzoek. Specifieke, bijvoorbeeld aan bedrijfstak gerelateerde, standaarden en modellen worden in dit onderzoek niet opgenomen. Het doel van dit onderzoek is om vast te stellen of een algemeen model te ontwikkelen is, dat binnen de audit praktijk gehanteerd kan worden voor de risicogericht audit van authenticatie.

(10)

2. Authenticatie en doorbreking hiervan

2.1 Wat is authenticatie en waarom wordt dit ingericht

Authenticatie wordt door Tanenbaum en Wetherall (2012) beschreven als de techniek waarmee een proces controleert of degene met wie het communiceert werkelijk degene is die hij zegt te zijn, en geen bedrieger. Door NOREA (2015) wordt authenticatie beschreven als het aantonen dat de entiteit (de persoon of het systeem) ook daadwerkelijk degene is die zich identificeert. In beide definities is sprake van een entiteit, die volgens NOREA (2015) een persoon of systeem kan zijn. Hiernaast is sprake van een controle of deze entiteit degene is voor wie deze zich uitgeeft.

Authenticatie wordt door NOREA (2002) gekoppeld aan drie kwaliteitsaspecten van de IT-organisatie, waaraan NOREA (2015) een aantal bedreigingen relateert:

1. Beschikbaarheid. Dit betreft de mate waarin een object (gegevens, dienst of IT-middel) continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben. Bedreigingen gerelateerd aan beschikbaarheid zijn:

a. Extra kosten door herstel van de bedrijfsprocessen; b. Verlies van omzet, winst en imago.

2. Integriteit. De mate waarin het object overeenstemming is met de beoogde werkelijkheid.

a. Onjuiste besluitvorming;

b. Onjuiste externe verantwoording.

3. Exclusiviteit. De mate waarin uitsluitend geautoriseerde personen of systemen via geautoriseerde procedures en beperkte bevoegdheden gebruikmaken van een object of toegang hebben tot het object (voor het creëren, wijzigen, verwijderen of lezen van gegevens).

a. Manipulatie van gegevens al dan niet met frauduleuze bedoelingen; b. Verlies van gegevens door kwaadaardige virussen;

c. Misbruik van IT-faciliteiten.

Authenticatie wordt ingericht om bedreigingen van een organisatie voor de

kwaliteitsaspecten beschikbaarheid, integriteit en exclusiviteit te mitigeren en hiermee informatie te beveiligen. Deze conclusie wordt onderschreven door Fijneman et al. (2011), waardoor wordt gesteld dat de doelstelling een adequate bescherming van informatie betreft. Adequaat dient hierbij te worden gezien in het licht van het relatieve belang van informatie. Door Fijneman et al. (2011) wordt derhalve een koppeling gelegd tussen het belang van informatie en de mate van bescherming hiervan.

Dit onderzoek richt zich op risico’s van het doorbreken van authenticatie en derhalve op het aspect exclusiviteit en hiermee samenhangende risico’s. De aspecten integriteit en beschikbaarheid zijn hieraan indirect gerelateerd. Indien een aanvaller toegang heeft tot een systeem, kan deze gegevens aanpassen (waardoor deze niet meer integer zijn) en kan deze gegevens verwijderen of de infrastructuur beïnvloeden met als gevolg

downtime (waardoor beschikbaarheid wordt aangetast).

2.2 Authenticatiemethoden

2.2.1 Algemeen

Het authentiseren van een entiteit maakt deel uit van het proces van toegang verlenen tot een systeem. Hierbij gaat het in de context van dit onderzoek om een

bedrijfssysteem. Authentiseren kan volgens Braz (2007), van Houten, Spruit & Wolters (2015), Drasar (2009) en O’Gorman (2003) plaatsvinden middels de volgende vormen: - Iets wat een entiteit weet (bijvoorbeeld een pincode of wachtwoord);

- Iets wat een entiteit bezit (bijvoorbeeld een smartcard, token, sleutel of certificaat); - Iets wat deel uitmaakt van de entiteit (een biometrisch gegeven zoals bijvoorbeeld

(11)

In de genoemde onderzoeken worden de meest gebruikte authenticatiemethoden verder uiteengezet. De volgende authenticatiemethoden worden in alle onderzoeken benoemd:

- Authenticatie met gebruikersnaam en wachtwoord;

- Authenticatie met gebruikersnaam en token of smartcard;

- Authenticatie met gebruikersnaam en biometrisch gegeven.

Authenticatiemethoden worden niet enkel separaat gebruikt, maar kunnen tevens worden gecombineerd. Het combineren van authenticatiemethoden wordt multifactor authenticatie genoemd (Pirayesh Sabzevar & Stavrou, 2008).

De benoemde authenticatiemethoden zullen in de volgende paragrafen verder worden beschreven. Elke vorm van authenticatie heeft eigen sterke en zwakke punten, die behandeld worden in paragraaf 2.3.

2.2.2 Authenticatie met wachtwoord

Het wachtwoord is de meest gebruikte authenticatiemethode (Drasar, 2009). Een wachtwoord wordt gekenmerkt door een unieke combinatie van tekens, die door een entiteit is bedacht of ontvangen en die wordt gebruikt om met een bepaald user-ID in te loggen op een systeem.

Een wachtwoord dient op twee plaatsen bewaard te worden, namelijk bij de entiteit en in een tabel die deel uitmaakt van de database van een systeem. De entiteit dient het wachtwoord te onthouden of kan dit buiten de database van het systeem opslaan. Het wachtwoord dat wordt opgeslagen in de database van een systeem kan op verschillende wijzen bewaard en gecommuniceerd worden (Drasar, 2009):

- Plaintext wachtwoorden. In deze vorm zijn wachtwoorden leesbaar voor elke actor die toegang heeft tot de tabel waarin het wachtwoord is opgeslagen. Tevens zijn

wachtwoorden zichtbaar voor elke actor die toegang weet te krijgen tot een bericht als dit verzonden wordt.

- Encrypted wachtwoorden. Wachtwoorden worden versleuteld op basis van een

algoritme als deze worden verzonden en ontgrendeld als deze worden ontvangen. De wachtwoorden zijn nog steeds leesbaar voor een actor die toegang heeft tot de tabel waarin deze zijn opgeslagen, maar zijn tijdens communicatie niet direct leesbaar. Hiervoor dient een actor de sleutel te verkrijgen of de wachtwoorden zonder sleutel te decoderen (waarbij deze alle mogelijke sleutels dient te proberen). Encryptie kan symmetrisch en asymmetrisch plaatsvinden. Bij een symmetrische encryptie wordt gebruik gemaakt van eenzelfde sleutel om wachtwoorden te versleutelen en te ontgrendelen. Dit heeft snelheid als voordeel, maar vereist dat beide actoren in bezit zijn van de sleutel voordat een verbinding tot stand kan worden gebracht, met als gevolg een verhoogd risico dat de sleutel uitlekt. Asymmetrische encryptie werkt met twee sleutels, namelijk één om gegevens te versleutelen en één om gegevens te ontgrendelen. Het voordeel van deze wijze van versleuteling is dat uitwisseling van de benodigde sleutels kan plaatsvinden via een onveilig kanaal.

- Hashed wachtwoorden. Hashing is een techniek eenrichting vercijferen plaatsvindt. Hierbij wordt invoer omgezet in een ander (meestal kleiner) bereik en meestal een deelverzameling van de gehele getallen. Hashing is een vorm van pseudonimiseren. Door zowel een ingevoerd wachtwoord als een in een database opgeslagen

wachtwoord op eenzelfde wijze te hashen, kunnen deze onderling vergeleken worden. Door hashen is het voor een actor niet mogelijk om een wachtwoord direct te lezen uit een database.

(12)

- Salted wachtwoorden. Dit betreft een manier om gehashte wachtwoorden te compliceren door hieraan willekeurige bits toe te voegen. De salt bits worden in de database van een systeem opgeslagen en worden opnieuw gegenereerd indien een wachtwoord ingevoerd wordt door een actor. Een actor die gegevens leest in een database, leest hierbij tevens de willekeurige salt gegevens, die niet behoren ingegeven te worden voor het authentiseren van een entiteit. Het lezen van een wachtwoord wordt hierdoor bemoeilijkt.

2.2.3 Authenticatie met token of smartcard

Een token is een uniek software- of hardware object, waarmee een entiteit zijn of haar identiteit bewijst (Venkat Narayana Rao & Vedavathi, 2011). Tokens kunnen worden onderverdeeld in twee categorieën:

- Non-contact tokens;

- Contact tokens/smartcards.

Een non-contact token heeft geen fysiek contact met een verificatie systeem nodig. Dit zijn bijvoorbeeld tokens die een eenmalig wachtwoord genereren. In deze tokens is een microprocessor opgenomen en deze tokens genereren een reeks die (gedurende een periode) ingevoerd kan worden in een verificatie systeem. De token en het verificatie systeem zijn gesynchroniseerd, zodat deze altijd gelijktijdig bij dezelfde verificatiereeks zijn. Hiervoor wordt meestal een brongetal gebruikt, dat op basis van een teller of op basis van specifieke tijdsintervallen gewijzigd wordt. Zonder kennis van het brongetal en/of het aantal keren dat dit gewijzigd is, kan een entiteit niet weten welk getal gegenereerd zal worden.

Een tweede vorm van een non-contact token is een challenge respons token. Hierbij genereert het verificatie systeem een challenge in de vorm van een aantal karakters, waarbij de entiteit de juiste antwoordcode (respons) dient te geven. Bij een juiste respons wordt een nieuw wachtwoord gegenereerd, dat wordt verzonden aan het verificatie systeem. Indien het verificatiesysteem hetzelfde wachtwoord kan genereren uit de challenge die het heeft verzonden, is de entiteit geauthentiseerd.

Contact tokens dienen fysiek contact te maken met een verificatiesysteem. Een contact token, ook smartcard genoemd, kan bijvoorbeeld een magneetstrip op een kaart (zoals op een bankpas) of een USB-stick zijn.

2.2.4 Authenticatie met biometrisch gegeven

Hierbij wordt een gedrags- of lichaamskenmerk dat uniek is voor de entiteit gebruikt voor authenticatie (van Houten et al., 2015). Voorbeelden van lichaamskenmerken zijn een vingerafdruk, stemafdruk, handpalmvorm en irispatroon. Gedragskenmerken kunnen bijvoorbeeld handtekenherkenning en toetsaanslagherkenning zijn (waarbij snelheid, druk en timing gemeten worden). Voor biometrische authenticatie wordt middels

bijvoorbeeld een foto of geluidsopname biometrische data verzameld. Vervolgens wordt bij een authenticatiepoging een nieuwe opname gemaakt, die vergeleken wordt met de initiële data. Indien de biometrische data afdoende overeenkomt, wordt toegang

verleend.

2.2.5 Multifactor authenticatie

Bij multifactor authenticatie worden twee of meer verschillende authenticatiemethoden gebruikt om een entiteit te authentiseren (Pirayesh Sabzevar & Stavrou, 2008). Een veel gebruikte methode is het combineren van een wachtwoord met een tweede methode, zoals een smartcard of token met eenmalig wachtwoord. De meest gebruikte multifactor authenticatie is de pinpas, waarbij de fysieke pas (iets wat je hebt) en een pincode (iets wat je weet) benodigd is. Het gebruiken van multifactor authenticatie versterkt de

(13)

2.3 Welke sterke en zwakke punten hebben authenticatiemethoden

2.3.1 Algemeen

Elke authenticatiemethode is (zoals beschreven in paragraaf 2.2) gebaseerd op iets wat een entiteit weet, bezit of wat deel uitmaakt van de entiteit. In deze paragraaf wordt voor elke authenticatiemethode omschreven welke sterke en zwakke punten inherent zijn aan het gebruik van de authenticatiemethode.

Algeheel kunnen zwakke punten in een authenticatiemethode bestaan uit twee hoofdoorzaken (Zulkarnain Syed Idrus et al., 2013):

- Algemene beveiliging. Dit is de mate waarin de authenticatiemethode voorkomt dat een andere entiteit, dan degene die geauthentiseerd dient te worden, de

authenticatie kan doorbreken.

- Gebruikersgemak. Gebruikersgemak is de eenvoud waarmee de entiteit zich kan

authentiseren. Hoe moeilijker het gebruik, hoe eerder een entiteit zichzelf niet kan authentiseren en/of aanvullende maatregelen zal nemen om de authenticatie te vereenvoudigen of te omzeilen. Dit kan bijvoorbeeld leiden tot het opschrijven van wachtwoorden, het delen van smartcards of het regelmatig moeten resetten van gebruikersaccounts van de entiteit.

In een onderzoek door Zulkarnain Syed Idrus et al. (2013) wordt voor algemene beveiliging en gebruikersgemak de volgende indeling gemaakt inzake te verschillende authenticatiemethoden:

Authenticatiemethode Algemene beveiliging Gebruikersgemak

Zwak wachtwoord 1 4 Sterk wachtwoord 2 2 Non-contact token 4 4 Contact token 4 4 Biometrisch gegeven 5 5 Multifactor authenticatie* 5 1/3**

Tabel 1 – Algemene indeling authenticatiemethoden (schaal van 1 tot 5 met 1 is zwakke beveiliging/laag gebruikersgemak en 5 is zeer sterke beveiliging/hoog gebruikersgemak)

* Hiermee wordt in dit geval een combinatie tussen wachtwoord en token (contact of non-contact) bedoeld ** Afhankelijk van combinatie met sterk wachtwoord (gebruikersgemak: 1) of zwak wachtwoord

(gebruikersgemak: 3)

2.3.2 Authenticatie met wachtwoord

Zoals in paragraaf 2.2.2 benoemd is het wachtwoord de meest gebruikte

authenticatiemethode. De redenen hiervoor zijn dat wachtwoordauthenticatie bij

entiteiten bekend is als methode en eenvoudig te beheren is (Drasar, 2009, O’Gorman, 2003 en Chung, 2001). Een wachtwoord kan periodiek aangepast worden en een entiteit kan een eindeloos aantal wachtwoorden bedenken of ontvangen. Hiernaast is

wachtwoordauthenticatie algeheel goedkoop om te implementeren en onderhouden. Een laatste voordeel van wachtwoorden is dat deze authenticatiemethode geheel kan worden opgenomen in de software, waardoor geen aanvullende hardware benodigd is (met als gevolg beheer van hardware en mogelijkheid tot verlies/diefstal van de hardware).

(14)

Wachtwoordauthenticatie hangt samen met iets wat een entiteit weet. Hierdoor wordt authenticatie middels een wachtwoord beschermd door geheimhouding (Drasar, 2009 en Chung, 2001). Een wachtwoord wordt minder veilig bij elke keer dat het gebruikt wordt, aangezien een andere entiteit middels observatie het wachtwoord kan achterhalen of de entiteit het wachtwoord bewust of onbewust aan een andere entiteit kan afgeven

(bijvoorbeeld overdragen tijdens een vakantieperiode). Het bekend worden van een wachtwoord bij een andere entiteit hoeft niet direct op te vallen bij de entiteit die het wachtwoord gebruikt. Een wachtwoord kan, doordat het iets is wat een entiteit bedenkt, tevens geraden worden door een andere entiteit.

Het geheim houden van wachtwoorden wordt beïnvloed worden door de wijze waarop deze gecommuniceerd en bewaard wordt in een systeem. Zoals in paragraaf 2.2.2 beschreven kunnen encryptie, hashing en salting gebruikt worden om wachtwoorden op een minder eenvoudige wijze leesbaar te maken.

De sterkte van wachtwoorden is in grote mate afhankelijk van twee entiteiten (Chung, 2001):

- De entiteit die het wachtwoord bedenkt of ontvangt en vervolgens bewaart. Deze entiteit dient het wachtwoord geheim te houden en moeilijk te raden te maken. - De entiteit die het wachtwoordbeleid instelt en beheert. Deze entiteit kan eisen

stellen aan lengte, complexiteit en patronen in wachtwoorden (zie onderstaand). Hiernaast kan deze entiteit wachtwoorden resetten en hiermee de ingestelde wachtwoorden (laten) omzeilen.

De tekortkoming dat een wachtwoord kan worden geraden kan op verschillende

manieren verminderd worden (Heijningen, 2014). Deze methoden bestaan met name uit de volgende manieren om meer variaties mogelijk te maken:

- Het langer maken van wachtwoorden;

- Het complexer maken van wachtwoorden (bijvoorbeeld middels hoofdletters, cijfers en speciale tekens te gebruiken);

- Het voorkomen van patronen in wachtwoorden (veel gebruikte patronen zoals een

woord met alleen kleine letters of kleine letters gevolgd door een hoofdletter), waardoor bekende patronen niet gebruikt kunnen worden om variaties te beperken. Door Drasar (2009) wordt gerefereerd naar het feit dat een wachtwoord minder veilig wordt bij elke keer dat dit gebruikt wordt. In een studie door Florencio, Herley &

Oorschot (2015) wordt hier dieper op ingegaan en worden nog twee manieren benoemd om het geheim houden van wachtwoorden te bevorderen, namelijk:

- Het periodiek wijzigen van wachtwoorden, om de kans dat deze bekend wordt door

herhaald gebruik te verkleinen;

- Het beperken van hergebruik van wachtwoorden, zowel bij verschillende systemen als

gedurende een periode voor hetzelfde systeem.

Single-Sign-On is een methode, waarbij een entiteit zich eenmalig dient te authentiseren gedurende een sessie en daarna niet meer (ook al maakt de entiteit hierna van

verschillende systemen of applicaties gebruik). Ten opzichte van het voor meerdere systemen of applicaties bedenken en onthouden van wachtwoorden biedt Single-Sign-On gebruikersgemak (Kelly, 2000-2002). Een risico van het gebruik van Single-Sign-On is echter dat, indien het wachtwoord bekend wordt bij een andere entiteit, deze toegang heeft tot alle systemen en applicaties die verbonden zijn in de Single-Sign-On methodiek.

(15)

2.3.3 Authenticatie met token of smartcard

Een token of smartcard is iets wat een entiteit bezit. De exclusiviteit van dit bezit staat derhalve centraal in het authentiseren van de entiteit (Drasar, 2009). Twee voordelen die hieruit voortvloeien zijn het feit dat een token of smartcard niet op eenvoudige wijze te kopiëren is en dat verlies of diefstal snel opvalt. Bij het gebruik van meerdere systemen kan het gebruik van een token of smartcard voordelen opleveren ten opzichte van wachtwoorden, doordat een enkele token toegang kan geven tot meerdere systemen (gelijk principe als Single-Sign-On, zoals benoemd in paragraaf 2.3.2). Een entiteit hoeft dan geen verschillende wachtwoorden te onthouden, waardoor het gebruikersgemak wordt vergroot.

Het voornaamste nadeel van gebruik van een token of smartcard, wat voortvloeit uit het feit dat de token of smartcard fysiek is, betreft het feit dat deze ontvreemd of verloren kan worden. Bij niet fysieke authenticatiemethode, zoals een wachtwoord, is dit niet mogelijk. Een hieruit volgend nadeel van het gebruik van tokens en smartcards is het feit dat een defect, verlies of diefstal, en hierbij het vervangen van een token of smartcard, tijd in beslag neemt. Dit kan ertoe leiden dat voor het gebruikersgemak uitzonderingen worden gemaakt op de authenticatiemethode. Tevens is, ten opzichte van authenticatie met wachtwoorden, aanvullend beheer benodigd om te zorgen dat hardware tijdig aan de juiste entiteit wordt verstrekt en ontnomen wordt. Het beheer is wel transparant, doordat sprake is van iets materieels.

Zoals in paragraaf 2.2.3 beschreven kan authenticatie middels token of smartcard onderscheiden worden in de categorieën non-contact tokens en contact

token/smartcards. De sterke en zwakke punten van deze categorieën verschillen enigszins, waardoor deze verder separaat beschreven worden.

Een non-contact token genereert een eenmalige reeks of een eenmalige challenge. Door het eenmalige gebruik hiervan is het niet eenvoudig te raden of te observeren voor later gebruik. Een entiteit hoeft geen wachtwoord te bedenken en te onthouden, waardoor geen rekening gehouden hoeft te worden met de ‘beperking’ van de entiteit om een wachtwoord te onthouden en patronen die de entiteit hierbij gebruikt. Wel is nog sprake van een beleid op basis waarvan het eenmalige wachtwoord of de eenmalige challenge wordt gegenereerd. Door dit beleid ontstaat een patroon in lengte en complexiteit. Indien het patroon van het eenmalige wachtwoord of de challenge gezamenlijk met het

achterliggende algoritme achterhaald wordt, kan voor elke token de juiste reeks worden gegenereerd door een entiteit die zelf geen token heeft.

Bij een contact token heeft een entiteit geheel geen wachtwoord nodig om in te loggen. Enkel middels fysieke invoer van de token kan authenticatie plaatsvinden. Het raden of observeren van een wachtwoord is hierdoor niet mogelijk. Enkel door het verkrijgen van de token of het reproduceren van de token is het voor een andere entiteit om te

authentiseren. Doordat een entiteit enkel de contact token hoeft in te voeren, is het gebruikersgemak hoog.

2.3.4 Authenticatie met biometrisch gegeven

Biometrie is iets wat deel uitmaakt van een entiteit zelf. Dit leidt tot de voordelen dat deze authenticatiemethode moeilijk te vervalsen en altijd beschikbaar is (Drasar, 2009). Hiernaast is een biometrisch gegeven gebruiksvriendelijk, aangezien een entiteit geen materieel hoeft mee te nemen en niets hoeft te bedenken en onthouden.

(16)

Een biometrisch gegeven is door de aard hiervan niet bewust aan te passen. De gevolgen bij het uitlekken van een biometrisch gegeven zijn hierdoor groot. Aangezien een

biometrisch gegeven niet (eenvoudig) is aan te passen, kan een entiteit die een

biometrisch gegeven is verloren niet zomaar een vervangende biometrische authenticatie instellen. Hiernaast veranderen biometrische gegevens van entiteiten in zekere mate gedurende de tijd. Voorbeelden zijn een schorre stem, een ander kapsel, een wond aan een vinger of een ander humeur dan tijdens het moment dat deze gemeten zijn voor de authenticatie. Deze feiten kunnen ertoe leiden dat relevante biometrische gegevens voor authenticatie (tijdelijk) veranderen, waardoor ten onrechte afwijzing kan ontstaan. Hierdoor is in een biometrisch systeem een bepaalde foutmarge opgenomen, welke ertoe kan leiden dat ten onrechte een vergelijkbaar biometrisch gegeven als correct kan

worden gezien.

2.4 Op welke wijze worden authenticatie doorbroken

2.4.1 Algemeen

Aanvallers kunnen op vele wijzen proberen een authenticatiemethode te doorbreken of te omzeilen. Door de German Federal Office for Security in Information Technology (BSI) is een IT-baseline inventarisatie uitgevoerd, die een compleet beeld geeft van cyber

security risico’s die organisaties kunnen lopen. Deze baseline is opgenomen in bijlage 1. De IT-baseline van BSI is gehanteerd om aanvallen te categoriseren naar verschillende gelijksoortige groepen. Voordat deze indeling is gemaakt, is eerst op basis van de definitie van exclusiviteit (zie paragraaf 2.1) vastgesteld welke risico’s relevant zijn voor het onderzoek.

De relevante maatregelen zijn verdeeld naar de volgende categorieën aanvallen, die bedoeld zijn om authenticatiemechanismen te doorbreken of te omzeilen:

- Raden;

- Social engineering;

- Meeluisteren en scannen;

- Inbraak en diefstal; - Insider aanvallen.

In de opvolgende paragrafen wordt beschreven wat deze groepen aanvallen inhouden, van welke zwakheden in authenticatiemethoden deze gebruik maken en bij welke authenticatiemethode de aanvallen hierdoor passend zijn.

(17)

Authenticatiemechanisme Aanval Gevoelig voor aanval

Wachtwoord Raden Ja

Social engineering Ja Meeluisteren en scannen Ja Inbraak en diefstal Indirect

Insider aanvallen Ja

Token of smartcard Raden Ja/nee*

Social engineering Ja Meeluisteren en scannen Indirect Inbraak en diefstal Ja

Biometrisch gegeven Raden Nee

Social engineering Ja Meeluisteren en scannen Indirect Inbraak en diefstal Ja

Tabel 2 – Gevoeligheid authenticatiemechanismen voor aanvallen Legenda gevoeligheid voor aanval:

Ja = Directe relatie tussen aanval en het authenticatiemechanisme

Indirect = Aanval kan voorstadium zijn voor een andere aanval ter doorbreken authenticatiemechanisme of vertrouwelijkheid doorbreken zonder dat de authenticatie zelf doorbroken wordt (bijvoorbeeld door dataverkeer te onderscheppen)

Nee = Geen relatie tussen de aanval en het authenticatiemechanisme

* Een aanval middels raden kan onder voorwaarden gebruikt worden bij non-contact tokens of smartcards waarbij een code wordt gegenereerd die ingevoerd wordt door de entiteit (zie paragraaf 2.4.2 voor toelichting). Bij een contacttoken is geen sprake van een relatie tussen een aanval middels raden en het

authenticatiemechanisme.

2.4.2 Raden

De aanvaller tracht de authenticatie van een entiteit te raden. Dit raden kan gericht zijn op basis van kennis van de entiteit of (de inrichting van) het authenticatiemechanisme of niet gericht door alle mogelijke combinaties voor een authenticatiemechanisme te

proberen (Yiannis, 2003).

Aanvallen middels raden kunnen online of offline plaatsvinden:

- Online aanvallen worden door aanvaller een verricht op een actieve host of actief systeem. Deze aanval kan worden geblokkeerd, indien authenticatiemechanismen bijvoorbeeld Captcha image of een maximumaantal inlogpogingen hanteren. Indien deze mechanismen niet actief zijn of omzeild kunnen worden en er voldoende bandbreedte beschikbaar is, kan een onlineaanval gehanteerd worden.

- Offlineaanvallen worden uitgevoerd zonder interactie met een actieve host of actief systeem. Met deze aanval worden authenticatiegegevens eerst geëxtraheerd en worden wachtwoorden geraden op een externe locatie.

Aanvallen middels raden worden onderverdeeld in de volgende vormen (Yiannis, 2003): 1. Brute-force aanval. Hierbij worden alle mogelijke combinaties geprobeerd voor een

authenticatie hash, zonder gebruik te maken van een algoritme. Indien sprake is van 8 kleine letters wordt een string van “aaaaaaaaa” tot en met “zzzzzzzz” geraden. Het voordeel van een brute force aanval is dat uiteindelijk elk wachtwoord achterhaald kan worden. Het nadeel is dat de methode zeer inefficiënt is, doordat geheel geen richting wordt aangegeven. Bij het gebruik van meer verschillende karakters en

(18)

Het aantal seconden dat benodigd is om een wachtwoord te raden kan als volgt berekend worden:

Seconden = karaktersposities_{/ rekenkracht in aantal wachtwoorden per seconde}

Ter illustratie: Indien alleen letters en cijfers gehanteerd worden zijn er 36 mogelijke karakters. Bij een wachtwoord van maximaal 6 posities lang en een rekenkracht van 3 miljoen wachtwoorden per seconde duurt het maximaal 726 seconden (366_{/ 3}

miljoen) om een wachtwoord te raden. Indien de enkel de mogelijke karakters gewijzigd worden naar alle toetsen op het toetsenbord (95 karakters), duurt het maximaal 245.031 seconden (956_{/ 3 miljoen) om een wachtwoord te raden. Indien}

enkel het maximumaantal posities wordt gewijzigd naar 8, duurt het maximaal 940.370 seconden (368_{/ 3 miljoen) om een wachtwoord te raden.}

De doeltreffendheid van een brute force aanval is op basis van de formule voor het maximumaantal seconden om een wachtwoord te raden, afhankelijk van de volgende variabelen:

• Rekenkracht. Een hogere rekenkracht betekend hogere kosten (doordat deze

rekenkracht ingekocht of ingehuurd dient te worden), waardoor deze gekoppeld kan worden aan meer vermogende, professionele actoren. Bij minder vermogende en minder professionele actoren wordt verwacht dat deze een lagere rekenkracht tot hun beschikking hebben.

• Mogelijke karakters. Dit is afhankelijk van het door een organisatie ingestelde wachtwoordbeleid en mogelijkheden van systemen en applicaties die door de organisatie gebruikt worden.

• Minimum- en maximumaantal posities. Dit is afhankelijk van het door een

organisatie ingestelde wachtwoordbeleid en mogelijkheden van systemen en applicaties die door de organisatie gebruikt worden.

2. Dictionary aanval. Dictionaires zijn documenten, die bestaan uit opsomming van woorden en/of uitdrukkingen. Een dictionaire omvat alle wachtwoorden die een aanvaller verwacht aan te treffen bij een organisatie. Elke regel in de dictionaire wordt gehashed en vergeleken met de hash van het te kraken wachtwoord. In een dictionaire staan bijvoorbeeld:

• Woorden in verschillende talen

• Namen van mensen

• Plaatsen

• Vaak gebruikte of reeds eerder gekraakte of gelekte wachtwoorden

• Standaardwachtwoorden zoals ze door leveranciers van systemen worden

geïnstalleerd

Een dictionary aanval is gerichter dan een brute force aanval, waardoor een

aanvaller minder rekenkracht tot zijn beschikking hoeft te hebben om de aanval uit te voeren. De aanval is niet altijd effectief, doordat niet alle mogelijke combinaties in de dictionaire zijn opgenomen.

(19)

3. Rainbow table aanval. Deze aanval kan (in tegenstelling tot de 2 bovengenoemde aanvallen) over het algemeen enkel offline uitgevoerd worden. Bij een brute force aanval of dictionary aanval wordt een aantal tekens ingegeven in een onlinesysteem of wordt dit offline middels een algoritme omgezet. In een rainbow table aanval wordt de aanval op een hash van een wachtwoord uitgevoerd in plaats van op het

wachtwoord zelf. Een aanvaller matcht elke mogelijke output met elke mogelijke input. De lijst met input kan gebaseerd zijn op de 2 eerdergenoemde aanvallen. Het voordeel van de rainbow table is dat gedurende de aanval een mapping ontstaat tussen bekende input gematcht met bekende output. Met elke input die geraden wordt, komt meer informatie beschikbaar over mogelijke output en wordt het raden van opvolgende input eenvoudiger. Indien alle mogelijke input geraden is, kan op eenvoudige wijze vanuit een hash een wachtwoord herleid worden.

Aangezien veel repeterend werk uit de brute force en dictionary aanval vermeden wordt, is in het totaal minder rekenkracht nodig voor de dictionary aanval. Een aanval middels raden is per definitie sterk passend bij een geheim en hiermee bij wachtwoorden. Deze aanval kan tevens onder voorwaarden gebruikt worden bij non-contact tokens of smartcards, waarbij een code wordt gegenereerd die wordt ingevoerd door een entiteit (Mueller, 2016). De aanval is echter enkel doeltreffend onder de volgende voorwaarden:

- Tijdsintervallen waarmee nieuwe eenmalige wachtwoorden of responses worden

gegeven dienen afdoende lang te zijn om een brute force of dictionary aanval uit te voeren.

- De lengte en complexiteit van het eenmalige wachtwoord of de response dienen

afdoende kort en eenvoudig te zijn om binnen het tijdinterval om de aanval met voldoende frequentie uit te voeren.

- De responstijd van het systeem op het eenmalige wachtwoord of de respons dient

afdoende kort te zijn om de aanval met voldoende frequentie uit te voeren binnen het tijdsinterval.

- Er dienen geen aanvullende maatregelen geïmplementeerd te zijn tegen het opvoeren

van meerdere foutieve eenmalige wachtwoorden of responses. Zo werkt de aanval waarschijnlijk niet indien het systeem blokkeert na 5 foutieve eenmalige

wachtwoorden of responses.

Een aanval die niet specifiek samenhangt met de bovengenoemde vormen van raden, maar wel onder deze categorie geschaard wordt in dit onderzoek, is een SQL-injectie. Bij deze aanval raadt een aanvaller niet een wachtwoord, maar tracht deze een (deel van een) SQL-statement in te voeren, dat door de database geaccepteerd wordt (Kiezun et al, 2009). Indien de database het SQL-statement uitvoert, kan dit de aanvaller toegang geven en kan deze gegevens ophalen en eventueel aanpassen. De aanvaller raadt dus niet een wachtwoord maar raadt een geaccepteerd statement. Deze aanval kan in uitvoering sterk lijken op een online brute force aanval, waarbij een groot aantal mogelijke statements worden uitgeprobeerd op een of meerdere SQL-databases. Een aanval middels raden is niet passend bij authenticatie middels een contacttoken of biometrisch gegeven, doordat deze authenticatiemechanismen algeheel van zodanig complexe en gerichte kenmerken gebruik maken, dat het raden hiervan niet haalbaar is. Raden is direct gerelateerd aan authenticatie middels wachtwoord, omdat raden direct samenhangt met iets wat iemand weet.

(20)

2.4.3 Social Engineering

Dit is het omzeilen van technische beveiligingsmaatregelen, door legitieme entiteiten van het systeem te manipuleren met behulp van fysieke of psychologische methoden. Bij deze methode richt de aanvaller zich derhalve niet op het doorbreken van het

authenticatiemechanisme zelf, maar op het niet legitiem verkrijgen van een toegang sleutel van een legitieme entiteit (Bakhshi & Papadaki, 2017).

Een bekende methode van social engineering is phishing. In een phishing aanval beweegt de aanvaller een entiteit tot het afgeven van informatie door deze middels een bericht (bijvoorbeeld een e-mail) op een link te laten klikken, naar een website te laten gaan of te reageren op het bericht. De entiteit installeert hierdoor software (meestal een

computervirus) of geeft informatie over authenticatie af, waarmee de authenticatie door de aanvaller op directe of indirecte wijze verkregen wordt. De aanval kan derhalve een methode zijn om authenticatiegegevens te verkrijgen of een voorstadium voor de aanvallen zoals beschreven in paragraaf 2.4.4 (meeluisteren en scannen). Phishing kan specifiek op een entiteit gericht zijn of algemeen op een groep entiteiten.

Een ondersteuning van social engineering en phishing vindt vaak plaats middels cross site scripting. Deze aanval maakt gebruik van een zwakte in de beveiliging van een (web)applicatie, die veroorzaakt dat de invoerdata die de webapplicatie ontvangt (zoals cookies, URL of request parameters) niet juist worden verwerkt, waardoor de uitvoer terechtkomt bij de eindgebruiker (Kiezun et al, 2009). Via een bug in de website kan hierdoor kwaadaardige code geïnjecteerd worden. Hiermee kunnen bijvoorbeeld

sessiecookies worden bekeken, kan de sessie van de entiteit worden overgenomen, kan functionaliteit van de website worden aangepast of kunnen onbedoelde acties voor een entiteit worden uitgevoerd. Cross site scripting wordt in combinatie met phishing gebruikt door de entiteit te bewegen op een cross site scripting geprepareerde link in een e-mail bericht te laten klikken middels phishing. Zodra een entiteit de link uitvoert, wordt de cross site scripting aanval uitgevoerd.

Andere manieren van social engineering kunnen bestaan uit het namaken van ID’s of het voordoen als iemand anders (bijvoorbeeld een medewerker, ondersteunende dienst of een bezoeker). Ook kan bijvoorbeeld gevraagd worden om een wachtwoord te resetten naar een (bekende) standaardwaarde. Zelfs als een aanval in eerste instantie niet succesvol is geweest, wordt inzicht verkregen in het authenticatiesysteem van een organisatie en maatregelen die hierin zijn opgenomen om aanvallen te voorkomen. Zo worden zwakheden blootgelegd die gebruikt kunnen worden voor een toekomstige aanval.

Doordat social engineering kan worden gebruikt om toegang tot een pand/ruimte te krijgen, kan dit een voorstadium zijn voor een aanval middels inbraak of diefstal (paragraaf 2.4.5).

De kans dat een social engineering aanval slaagt (naast ingerichte technische

beheersingsmaatregelen) is afhankelijk van twee factoren (Smith, Papadaki & Furnell, 2013):

- Awareness van entiteiten. Dit is de mate waarin entiteiten zich bewust zijn van de technieken die aanvallers gebruiken om hun authenticatiegegevens te achterhalen. - Professionaliteit van de aanvaller. De aanvaller bepaalt hoe overtuigend de social

engineering techniek is. Hiervoor dient een aanvaller gedegen onderzoek uit te

voeren naar een entiteit of een groep entiteiten. Zo wordt bijvoorbeeld de kans groter dat een entiteit een phishing mail opent, indien deze e-mail van een bekende actor lijkt te komen. De meest effectieve aanval is hierdoor bijvoorbeeld een spear phishing aanval, waarbij een aanval wordt uitgevoerd die specifiek op maat gemaakt is voor een bepaald doelwit.

(21)

Social engineering kan bij elke authenticatiemethode worden ingezet als aanval,

aangezien de aanvaller feitelijk geen poging doet om het authenticatiemechanisme zelf te doorbreken, maar om een entiteit of andere actor (zoals een beheerder) ertoe te

bewegen om de aanvaller toegang te geven.

2.4.4 Meeluisteren en scannen

Bij een meeluister- of scanaanval luistert een aanvaller passief mee met alle

communicatie (o.a. tussen een entiteit en het authenticatiemechanisme). Afzonderlijke applicaties en systemen communiceren onderling met netwerkprotocollen. Een voorbeeld is dat een webbrowser met een HTML-front-end applicatie een http-protocol gebruikt om te communiceren met een webserver. Op zijn beurt gebruikt de webserver een RMI of IIOP-protocol om met de applicatieserver te communiceren. De applicatieserver gebruikt een JDBC-protocol voor communicatie met de database. In al deze communicatie kan een aanvaller trachten mee te luisteren en daarmee relevante informatie uit de

communicatie ontlenen. Door verschillende systemen en applicaties worden verschillende protocollen gebruikt als communicatiemiddel, waardoor een aanvaller bij verschillende systemen en applicaties gebruik dient te maken van het passende protocol om te kunnen meeluisteren of scannen. Voor het uitvoeren van een meeluister- of scanaanval wordt over het algemeen een applicatie (computervirus) geïnstalleerd bij het doelwit, waarna deze gegevens verzamelt en doorstuurt naar de aanvaller.

Een sniffing aanval is een meeluister aanval gericht op het verkrijgen, decoderen en analyseren van netwerkpakketten en informatie-uitwisseling op een TCP/IP-netwerk (King, 2006). De aanval tracht informatie die niet encrypted is te stelen, zoals gebruikers-id’s, wachtwoorden, e-mailberichten, verstuurde bestanden,

creditcardgegevens, netwerkgegevens, etc. De aanvaller is niet direct zichtbaar, waardoor deze een lange tijd mee kan luisteren zonder ontdekt te worden. Er zijn verschillende soorten sniffer aanvallen (King, 2006):

- LAN sniffing. Hierbij is sniffer software geïnstalleerd op het interne LAN. De aanval verzamelt informatie over de servers, live hosts, open poorten, etc. Het doel van het verzamelen van deze informatie is het op basis hiervan uitvoeren van (bijvoorbeeld op een poort) gerichte aanvallen. Een voorwaarde voor de aanval is het (laten) installeren van de sniffing software op het LAN middels bijvoorbeeld een phishing aanval (onderdeel van paragraaf 2.4.3) of door een fysiek medium in te pluggen op locatie (aanval middels inbraak en diefstal, zie paragraaf 2.4.5).

- Protocol sniffing. Bij deze methode worden verschillende sniffers gebruikt voor verschillende netwerkprotocollen. De aanval is hiermee gerichter. Hiernaast is het principe van de aanval gelijk aan LAN sniffing.

- ARP sniffing. Aanvallers stelen alle relevante informatie over IP-adressen en hieraan gerelateerde MAC-adressen. Deze data wordt verder ingezet voor packet spoofing (genereren van IP (Internet Protocol) packets, waarbij de aanvaller zich voordoet als een ander systeem), ARP (Adress Resolution Protocol) spoofing of het uitbuiten van kwetsbaarheden in een netwerk router.

- TCP-sessie sniffing. Hierbij krijgt de aanvaller toegang tot verkeer tussen de bron en het IP-adres waarnaar verkeer gestuurd wordt. Het doel is om service types,

poortnummers en sequence nummers te verkrijgen om een gefabriceerde TCP-sessie op te zetten.

- Web-wachtwoord sniffing. De aanvaller verkrijgt hierbij toegang tot http-sessies die geen encryptie gebruiken. Middels deze aanval kan de aanvaller gebruikersnamen en wachtwoorden stelen.

Bij een meeluister aanval kan op basis van bovenstaande gebruik worden gemaakt van geïnstalleerde software (virus) op basis van social engineering (zie paragraaf 2.4.3) of op basis van onbeveiligde toegang. Hiernaast kan berichtenverkeer onderschept worden

(22)

Een actieve vorm van meeluisteren is een man-in-the-middle aanval. Bij deze aanval onderschept de aanvaller informatie tussen de entiteit en het authenticatiemechanisme. Het aanpassen en zelf verzenden van berichten door de aanvaller behoort ook tot deze aanval. De man-in-the-middle aanval onderscheidt zich van meeluisteren, doordat deze aanval actief gebeurt en de aanvaller in sommige gevallen berichten aanmaakt of

aanpast. Het onderscheid met een social engineering aanval (paragraaf 2.4.3) ligt in het feit dat geen informatie wordt gevraagd die een entiteit normaliter niet zou verstrekken. Zo wordt bij een social engineering aanval bijvoorbeeld gevraagd een wachtwoord af te geven, terwijl bij de man-in-the-middle aanval op basis van reguliere communicatie de authenticatie wordt getracht te verkrijgen.

Een meeluister aanval wordt ingezet om authenticatiemechanismen te omzeilen door direct data uit een gegevensuitwisseling te ontlenen of om een gegevensuitwisseling te manipuleren en zo data te verkrijgen. Hiernaast kan een meeluister aanval worden ingezet om bijvoorbeeld wachtwoorden aan een gegevensuitwisseling te ontlenen. Het verkrijgen van data kan worden ingezet bij alle authenticatiemethoden en het verkrijgen van wachtwoorden is specifiek gericht op de authenticatie met wachtwoord.

2.4.5 Inbraak en diefstal

Authenticatie voor systemen is geregeld middels software. Deze software is echter uiteindelijk geïnstalleerd op een fysieke machine. Een aanvaller kan gebruik maken van een fysieke machine om een authenticatiemechanisme te omzeilen of kan informatie verkrijgen om het authenticatiemechanisme te doorbreken. Aanvallen op fysieke machines kunnen volgens Houten, Spruit & Wolters (2015) en Beaver (2016) bestaan uit:

- Inbraak. Een aanvaller krijgt hierbij onrechtmatig toegang tot de ruimte waarin fysieke machines aanwezig zijn, waarbij deze toegang beveiligende maatregelen doorbreekt. De aanvaller kan overgaan tot diefstal (zie onderstaand) en/of kan toegang trachten te verkrijgen tot een machine en hiermee een systeem. - Diefstal. Diefstal kan volgen op inbraak of ontstaan uit een andere gelegenheid.

Hierbij ontvreemdt de aanvaller een fysieke machine. Deze fysieke machine kan bestaan uit vaste IT-infrastructuur, mobiele apparatuur en onderdelen hieruit. Specifiek gevoelig voor deze methode van aanval is de authenticatiemethode met token of smartcard. Aangezien deze authenticatiemethode steunt op iets wat een entiteit heeft, is diefstal van hetgeen de entiteit heeft een zwakte (zie tevens paragraaf 2.3.3).

De aanvaller kan middels een inbraak of diefstal op de volgende manieren authenticatie doorbreken volgens Beaver (2016):

- Toegang krijgen tot het netwerk en kwaadaardige berichten/e-mails versturen. Hiervoor kan de aanvaller bijvoorbeeld een niet gelocked werkstation of directe toegang tot een niet beveiligde server gebruiken. De aanvaller kan vervolgens meeluisteren/scannen (paragraaf 2.4.4) of middels social engineering

authenticatiegegevens krijgen (paragraaf 2.4.3)

- Raden van wachtwoorden door hiervoor software op een server te installeren. De aanvaller kan hierbij de ingerichte intrusion detection systems omzeilen (zie paragraaf 2.4.2) en hierdoor aanvallen uitvoeren, die op het live systeem niet mogelijk zouden zijn.

- Ontvreemden van data, bijvoorbeeld met authenticatiegegevens, door data te

kopiëren op een extern medium. Dit kan een inleiding zijn tot een offlineaanval middels raden (paragraaf 2.4.2).

- Beïnvloeden van de werking van hardware m.b.t. servers, firewalls en routers, door een directe koppeling te maken met de machines. Dit kan aanvallen middels raden (paragraaf 2.4.2), social engineering (paragraaf 2.4.3) en meeluisteren/scannen (paragraaf 2.4.4) eenvoudiger maken.

(23)

- Inzicht verkrijgen in IT-architectuur door netwerk diagrammen, contactlijsten of bijvoorbeeld disaster recovery plannen in te zien en te ontvreemden. Hiermee kan een aanvaller informatie krijgen voor een uit te voeren aanval.

Inbraak en diefstal kan worden ingezet bij alle authenticatiemechanismen door het authenticatiemechanisme te omzeilen. Authenticatie middels token of smartcard is met name gevoelig voor diefstal, aangezien dit authenticatiemechanisme berust op

exclusiviteit van bezit (Drasar, 2009). Authenticatie middels biometrisch gegeven heeft tevens een gevoeligheid voor inbraak en diefstal. Bijvoorbeeld een vingerafdruk kan worden ontvreemd middels een object waarop een vingerafdruk is achtergelaten. Wegens de onvervangbaarheid van een biometrisch gegeven kan een dergelijke diefstal een hoge impact hebben.

2.4.6 Insider aanvallen

Een insider aanval wordt door Hanley & Montelibano (2011) omschreven als een huidige of voormalig medewerker, leverancier of zakelijke partner die:

- Geautoriseerde toegang heeft of had tot het netwerk, systeem of data van een organisatie;

- Deze toegang met opzet misbruikt;

- De exclusiviteit, integriteit of beschikbaarheid van informatie uit de organisatie negatief beïnvloedt.

Een insider is voor een organisatie een gevaarlijke groep aanvallers, omdat deze

aanvallers al toegang hebben tot een netwerk, (besturing)systeem of data en hiernaast een bepaalde mate van vertrouwen krijgen van de organisatie (aangezien deze bevoegd zijn om een bepaalde toegang hebben).

De insider onderscheidt zich van de social engineering aanvaller, doordat deze al

geautoriseerde toegang heeft (gehad) tot een netwerk, (besturing)systeem of data. Deze aanval komt derhalve van binnen een organisatie. Bij social engineering is sprake van een aanval van buiten een organisatie.

Kuwahara (2017) gaat uit van een bredere groep insiders, namelijk de kwaadaardige insider, onopzettelijke insider en de niet-kwaadaardige insider:

- Kwaadaardige insider. Deze groep wordt gedefinieerd doordat deze een organisatie bewust schade wil toebrengen, waarbij deze authenticatiemechanismen tracht te doorbreken of omzeilen. Deze groep is bewust op zoek naar gebreken in

authenticatiemechanismen en de inrichting hiervan. Beoogde doelen die deze groep kan hebben zijn:

o Diefstal van intellectueel eigendom

o IT-sabotage

o Fraude

o Spionage

- Onopzettelijke insider. Dit betreft een groep die de organisatie ook schade toebrengt, maar niet op een bewuste wijze. De meest voorkomende vormen zijn:

o Per ongeluk ontsluiten van informatie, zoals het verzenden van gegevens naar een verkeerd e-mailadres.

o Verlies van fysieke data en apparatuur, zoals usb-sticks, laptops, externe harde schijven of papieren.

o Het openen van een phishing mail.

- Niet-kwaadaardige insider. De niet-kwaadaardige doorbreekt/omzeilt wel bewust

authenticatiemechanismen, maar niet om deze schade toe te brengen. Voorbeelden hiervan zijn het delen van wachtwoorden (terwijl dit volgens interne procedures niet is toegestaan) of het op een niet toegestane wijze delen van informatie die door een authenticatiemechanisme beschermd wordt.

(24)

De drie groepen insiders, zoals beschreven door Kuwahara (2017) zijn allen relevant voor het onderzoek. Onopzettelijke insider en niet-kwaadaardige insider dragen bij aan een andere aanval (al dan niet insider) om deze gemakkelijker uit te voeren. De

kwaadaardige insider voert zelf een aanval uit. Bekende aanvallen die een kwaadaardige insider kan uitvoeren zijn volgens Kuwahara (2017), Hanley & Montelibano (2011) en Ja (2015):

- Shoulder surfing. Dit is het op enige wijze meekijken terwijl een entiteit zich authentiseert en hierdoor de authenticatiegegevens verkrijgen.

- Gebruik maken van niet gelockte systemen, om zo informatie te verkrijgen die niet meer beschermd wordt door een authenticatiemechanisme.

- Het laten resetten van wachtwoorden van reguliere entiteiten om zo in te loggen middels een standaard wachtwoord.

- Gebruik maken van generieke accounts of accounts voor systeemtaken met

standaard/simpele wachtwoorden om toegang te krijgen tot applicaties of systemen.

- Het (onder een andere naam) aanvragen van aanvullende rechten, om zo

mutaties uit te voeren of gegevens in te zien die op basis van de functie van de insider niet toegekend zijn.

- Doorzoeken van voor de aanvaller toegankelijke bestanden of fysieke vastleggingen, waarin authenticatiegegevens zijn genoteerd en hieruit authenticatiegegevens verkrijgen.

Een insider aanval kan gekoppeld zijn aan een aanval middels inbraak en diefstal (paragraaf 2.4.5). Inbraak kan door een insider voorbereid worden en diefstal wordt vereenvoudigd, doordat een aanvaller al toegang heeft tot de organisatie.

Insider aanvallen kunnen worden uitgevoerd om authenticatiemechanismen te omzeilen, om authenticatiegegevens (zoals wachtwoorden) te verkrijgen, om fysieke tokens of smartcards te ontvreemden en gegevens over biometrische gegevens te verkrijgen. Deze aanval is dus direct gerelateerd aan alle authenticatiemechanismen.

2.5 Welke invloed heeft inrichting van beveiligingsmaatregelen op het

risico op doorbreken van authenticatie

2.5.1 Algemeen

Voor het doorbreken van authenticatiemethoden gebruiken aanvallers zwakheden in een authenticatiemethode. Deze zwakheden zijn, zoals in paragraaf 2.4 naar voren komt, niet altijd een leemte in de authenticatiemethode zelf, maar zijn ook in hoge mate afhankelijk van de inrichting van systemen. Tegen de verschillende aanvallen kunnen

beschermingsmechanismen geïmplementeerd worden en het succes van een aanval is afhankelijk van de sterkte (of juist zwakte) van deze beschermingsmechanismen. Een organisatie kan op verschillende manieren reageren op het risico op een aanval (Claassen, 2009):

- Vermijden (activiteiten niet uitvoeren);

- Beheersen (maatregelen invoeren om risico te verminderen);

- Overdragen (activiteiten uitbesteden aan een andere actor om zo zelf geen risico te lopen of financiële gevolgen uitbesteden door verzekeren);

(25)

De organisatie kan deze reacties gebruiken om een inrichting te kiezen, die als gevolg heeft dat risico’s op het doorbreken van authenticatie vergroten of verkleinen (of misschien zelfs weg genomen worden). Op basis van paragraaf 2.4 worden in deze paragraaf verschillende systeeminrichtingen benoemd en hun impact op de verschillende aanvallen. Deze inrichtingen zijn manieren om risico’s te beheersen (of als de inrichting niet voldoende is, het accepteren van risico’s). Het vermijden en overdragen van

activiteiten worden niet meegenomen in dit onderzoek. Het vermijden van activiteiten maakt geen deel uit, aangezien van een situatie uitgegaan wordt, waarbij een aanvaller toegang wil verkrijgen tot een systeem door een authenticatiemechanisme te doorbreken of omzeilen. Indien gebruik van het systeem ‘vermeden’ wordt, is ook geen sprake van een authenticatiemechanisme en dit valt dus buiten scope. Het overdragen van een risico neemt het risico in feite niet weg. De overweging voor beheersen of accepteren van risico’s wordt hierbij enkel overgedragen aan een andere entiteit, die dan kiest om een inrichting te implementeren voor het beheersen van het risico. De inrichting blijft hierdoor wel relevant, maar vindt plaats bij een andere organisatie.

Het inrichten van beveiligingsmaatregelen voor het beheersen of authenticatie-mechanismen doorbroken of omzeild kunnen worden, kan op verschillende niveaus plaatsvinden. Er zijn vier niveaus aanwezig voor beveiliging van de IT-infrastructuur (Fijneman, Lindgreen, & Ho, 2011):

- Logische toegangsbeveiliging (beveiligingsmaatregelen zoals opgenomen in de programmatuur van applicaties om ongeautoriseerde handelingen te voorkomen);

- Systeembeveiliging (beveiliging van besturingssystemen en databases);

- Netwerkbeveiliging (beveiliging van communicatie via netwerken);

- Fysieke toegangsbeveiliging (beveiliging gericht op fysieke apparatuur en IT-infrastructuur).

Deze niveaus worden in het onderzoek als handvat gebruikt om de invloed van inrichting van beveiligingsmaatregelen op het risico op doorbreken van authenticatie te analyseren. Een inrichting die geen deel uitmaakt van de IT-infrastructuur, maar die wel impact heeft op het risico op doorbreking van alle authenticatie, is awareness (de mate waarin

entiteiten zich bewust zijn van de technieken die aanvallers gebruiken om hun

authenticatiegegevens te achterhalen). Door Lineberry (2007) wordt awareness als de meest belangrijke IT-inrichting beschouwd, omdat deze alle IT-infrastructuur

maatregelen teniet kan doen. Als gevolg van deze overweging wordt awareness als een separate IT-inrichting meegenomen in deze paragraaf.

(26)

2.5.2 Logische toegangsbeveiliging

Logische toegangsbeveiliging is het meest direct gekoppeld aan

authenticatiemechanismen, omdat dit het toegang verlenen tot een applicatie zelf inhoudt. Logische toegangsbeveiliging Rad en S o cia l E n g in ee rin g M ee lu is te re n e n s ca n n en In b ra ak e n d ie fs ta l In sid er a an va lle n 1 Wachtwoordbeleid X X

2 Tijdsinterval non-contact token X X 3 Foutmarge biometrisch gegeven X X X 4 Captcha image X

5 Procedure resetten login X X X X 6 Procedure uitgifte/inname login X X

Tabel 3 – aanvallen gekoppeld aan inrichting logische toegangsbeveiliging

Voor een toelichting op de opgenomen systeeminrichtingen en koppeling hiervan naar aanvallen wordt verwezen naar bijlage 7.

2.5.3 Systeembeveiliging

Onder systeembeveiliging wordt het besturingssysteem verstaan en hiernaast worden databases, die aanwezig zijn op het besturingssysteem, meegenomen in deze paragraaf. Het meest gebruikte besturingssysteem internationaal en nationaal is Microsoft Windows. Het marktaandeel voor desktops betrof per maart 2018 81,8% (Statcounter, 2018). De kwetsbaarheden die beschreven worden, zijn derhalve gericht op dit besturingssysteem. Over het algemeen zijn deze ook toepasbaar op overige, minder gebruikte

besturingssystemen (zoals MacOS en Unix). Kwetsbaarheden in besturingssystemen kunnen bijvoorbeeld de volgende risico’s veroorzaken (Beaver, 2016):

- Lekken van gevoelige informatie op netwerkmappen;

- Toegang krijgen tot netwerkaccounts en die gebruiken voor opvolgende

aanvallen;

- Systemen worden geheel offline gehaald door DoS aanvallen (buiten scope

onderzoek);

- Volledige controle op afstand wordt verkregen;