Onderzoeksmethoden 2/het werk/2010-11/Groep02

Uit Werkplaats
Ga naar: navigatie, zoeken

Group Members

Inleiding

Op 16-07-2010 introduceerde de Radboud Universiteit de pilot voor een nieuw printsysteem. Het doel hiervan was om een zelfde printsysteem te krijgen voor de gehele Radboud Universiteit. Tevens wordt de betaalmethodiek voor alle faculteiten gelijk getrokken bij de implementatie van dit project. Om dit alles in te laten werken zullen printers aangepast worden, opwaardeerpunten worden gecreeerd en zal onder andere de OV-chipkaart ingezet worden als betalingsmiddel.


De vermelding van de OV-chipkaart als betaalmiddel schudde ons wakker. Na de afgelopen jaren veelvuldig door docenten gewezen te zijn op de hack van de chip in deze kaart en dus de slechte beveiliging wordt deze kaart toch ingezet op de Radboud Universiteit. En nog wel om mee te betalen ook. Wij wilden graag meer weten over de keuze en de risico's die dit met zich meebrengt. Bij het uitvoeren van dit onderzoek hebben wij gelet op een aantal aspecten van het nieuwe systeem. Wij hoopten duidelijkheid te vinden met betrekking tot de beveiligingsmaatregelen, de security risico's van het project en even ontbrekende mogelijkheden. Kortom, is dit systeem voldoende voorbereidt op, aan security gerelateerde, aanvallen? Of is dit systeem, evenals de Mifare chip, zo lek als een mandje.


In dit verslag is te vinden hoe wij te werk zijn gegaan om het bovenstaande te bereiken. Allereerst is onze voorbereiding omschreven, daarnaast zijn de uitwerkingen en resultaten van de interviews om ten slotte af te sluiten met een conclusie die ons en u een duidelijk beeld moet geven over het nieuwe printsysteem en haar problemen.

Probleemstelling

Verspreid over de universiteit zijn er momenteel verschillende printfaciliteiten. Omdat steeds meer studenten vakken volgen over de gehele campus en vanwege kostenbesparing is er de behoefte aan één centraal printsysteem dat over de gehele universiteit gebruikt kan worden. Op het moment van ons onderzoek is een testproject gaande waarin de nieuwe opstelling getest wordt door een kleine groep studenten en medewerkers.


In het project wordt gecommuniceerd dat het systeem door middel van de OV-chipkaart werkt. Beter gezegd, het systeem werkt met de Mifare chip. Erg bekend is het beveiligingslek dat is gevonden door de Security Group van de Radboud Universiteit. Het gebruik van de OV-chipkaart is daarom ook opmerkelijk. Naast het mogelijke probleem met ov-chipkaart kun je vragen stellen bij de gebruikte technologie voor de printer-queues.

De hoofdvraag die wij naar aanleiding van het bovenstaande hebben opgesteld luidt:

  • Is het nieuwe printsysteem van de Radboud Universiteit goed voorbereid op mogelijke (security gerelateerde) aanvallen?

Om tot het antwoord op deze vraag te komen zijn onderstaande deelvragen opgesteld:

  • Hoe ziet het nieuwe printproces eruit, van digitaal document tot fysiek document?
  • Is de Mifare chip een specifiek risico in het nieuwe systeem?
  • Wat zijn de security issues van dit systeem?

Conceptueel model

Model

ORM OZ2.png

Download hier het ORM Model Norma (gemaakt met behulp van Visual Studio en de Norma tooling)

Concepten

In het model zijn de volgende concepten opgenomen.

  • Threats
  • Vulnerabilities
  • Measures
  • Probability
  • Impact
  • Users (groups)
  • Parts of the printing system (after short interview cncz?)
    • OV-chipkaart
    • Card reader
    • Printer
    • Computer
    • Server (back-end)

Methoden

Om de hoofd- en subvragen van dit onderzoek te kunnen beantwoorden maken wij gebruik van semisemi-gestructureerde interviews met personeel van de Digital Security groep. Voordat wij de juiste inhoudelijke vragen aan hen kunnen stellen dienen wij als interviewers ook op de hoogte te zijn van de precieze werking van het nieuwe systeem. Hiervoor zullen wij een initieel interview houden met het UCI, dat het systeem uitrolt en technisch zal beheren.

De keuze voor de personen binnen de Digital Security groep zal bewust gemaakt worden omdat wij in het onderzoek alle aspecten van de security willen belichten. Het is dus van belang dat er zowel specialisten op technisch alswel organisatorisch en ontwerp aan het woord komen. Deze personen kunnen vanuit hun eigen specialisatie een blik werpen op het nieuwe printsysteem.

Na het uitvoeren van de interviews zullen wij lijsten opstellen met genomen security maatregelen, security risico's in het systeem en missende (security gerelateerde) features. Hierna zullen wij een conclusie trekken op basis van de genoemde overzichten.

Aanpak

[Hoe gaan we de interviews aanpakken, hoe is het verband tussen de interviews]

Om antwoorden te kunnen vinden op de gestelde onderzoeksvragen zullen wij semi-gestructureerde interviews houden met 3 personen van de Security Department. Om alle aspecten van het nieuwe systeem te kunnen behandelen hebben wij er voor gekozen om de volgende 3 personen te interviewen:

  1. Bart Jacobs (technisch en proces)
  2. Gerhard de Koning Ganz (technisch)
  3. Theo v/d Weide (proces en ontwerp)

Omdat in deze interviews van ons wordt verwacht dat wij op de hoogte zijn van de werking van het systeem is informatie vanuit het UCI benodigd. Om deze reden zullen wij een initieel interview houden met een medewerker uit het projectteam van het Peage project. Met de informatie die wij daaruit zullen halen kunnen we dan een goede opzet maken voor de vervolg interviews met de medewerkers van de security afdeling van het instituut voor informatica en informatiekunde.

Oriënterend interview met UCI

Om voor een gedegen kennisbasis van het onderwerp voorzien te zijn hebben wij naast het bestuderen van de beschikbare wiki-pagina's ook een oriënterend interview gepland met een medewerker van UCI. Onderstaand hebben wij een aantal vragen opgesteld waarop wij een antwoord willen krijgen om verder te kunnen met ons onderzoek. Ook dit interview zal een semi-gestructureerd interview zijn en onderstaande vragen dienen dan ook als leidraad.

  • Procedure. Hoe loopt het printproces precies?
    • Wat is het verschil met de huidige methode?
  • Wat voor een kaarten zijn hiervoor geschikt? Alles met RFID?
    • Eventuele vervolgvraag: kan ik dus ook mijn identiteitsbewijs gebruiken?
  • Wat voor een gebruikersnaam en wachtwoord gebruiken jullie in de pilot? Zijn dat zelf-gegenereerde codes?
    • Eventueel: Na de pilot, gaat dat in de toekomst over naar s/u nummers?
  • Stel, ik wil een opdracht uitprinten. Hoe pak ik dat aan?
    • Gaat dat veranderen na de pilot?
  • Stel, ik wil de ontslag van Bart Jacbos printen. Maar die is prive. Hoe doe ik dat?
    • Gaat dat veranderen na de pilot?
  • Stel, ik ben ergens op de uni waar ik nooit eerder ben geweest. Hoe print ik op de printer die naast me staat?
    • Gaat dat veranderen na de pilot?
  • Hoe zit het precies met sessie afsluiten? Is dat nodig om te voorkomen dat anderen op mijn budget printen?
    • Waarom heb ik een sessie nodig om te scannen?


Het interview zal gehouden worden met Remco Derksen van het UCI. Hij is verantwoordelijk voor de technsiche middelen binnen het Peage testproject.

Interviews

Onderstaand is een overzicht van de opzet van de interviews met de leden van de Security Department.

Interviewopzet

  1. Korte introductie in onderwerp en de reden van onze keuze voor dit onderwerp
  2. Structuur van het interview aangeven (in tijden)
  3. Algemene vragen
  4. Proces doorlopen

Vragen

  • Wat is voor jou een veilig printsysteem? Waar moet dit aan voldoen?
  • Hoe zou jij printopdrachten willen beveiligen?
  • Beveilig je op dit moment je printopdrachten? en hoe?
  • Bij wat voor een documenten pas je deze beveiliging toe?

Algemene opmerkingen

Binnen de universiteit wordt gewerkt aan een printsysteem waarmee je kan printen door middel van een pas met draadloze chipkaart (bijvoorbeeld de OV-chipkaart). Op termijn wordt de studentenpas voorzien van een chip en kan deze gebruikt worden (naast het printen ook voor andere diensten (het CvB wil er geen betaalmiddel van maken).

Algemeen geldt dat het printsysteem op enkele punten zal veranderen. In het nieuwe systeem zijn er meer onderdelen, meer betaal/print methoden en ook meer onderdelen van het gehele systeem waar problemen kunnen ontstaan.

Dit is waar we het met u over willen hebben. Om dit te doen hebben wij het printproces in de nieuwe situatie uitgewerkt in een simpel model. Wij willen aan de hand van dit model met u door het proces heenlopen en kijken wat eventuele (security) problemen zouden kunnen zijn.

Hoe zit het met de BIV? (Beschikbaarheid, integriteit en vertrouwelijkheid)


Printproces

Bizagimodel.png

Vragen per onderdeel van het printproces

  • Zie je mogelijke obstakels voor de veiligheid bij dit onderdeel van het printproces?
  • Is dit een gemakkelijk op te lossen obstakel?
  • Wat zie je dan als mogelijke oplossing?
  • Wat is de invloed die dit obstakel kan hebben?
  • Vindt je dit een breekpunt voor dit project?

Planning

Voor dit onderzoek hebben wij de volgende globale planning opgesteld.

Planning
Activiteit Geplande tijd Geïnvesteerde tijd Afgerond?
Voorbereiding 6 Uur 6 Uur x
Vooronderzoek 15 Uur 21 Uur x
Data-verzameling 8 Uur 8 Uur x
Data-verwerking 36 Uur 33 Uur x
Analyse 24 Uur 30 Uur x
Rapportage 18 Uur 21 Uur x

Op 13 januari zal de presentatie plaatsvinden van ons onderzoek.

Data structurering

De data verkregen uit de interviews, ofwel de transcripts, zullen worden gestructureerd zodat het maken van een analyse gemakkelijker is en de informatie in de analyse gemakkelijk te herleiden is.

In 3 tabellen wordt de data gestructureerd.

  1. De tabel maatregelen bevat de maatregelen die in de interviews genoemd zijn. Bij deze maatregel wordt het doel en een korte omschrijving gegeven. Hiernaast wordt in de tabel aangekeken of de maatregel voldoende bescherming biedt en in welk interview deze maatregel genoemd is.
  2. In de tabel risico's worden de genoemde risico's opgenomen. Per risico wordt een kleine omschrijving, een impactcijfer en omschrijving en een mogelijke oplossing genoemd. Ook is aangegeven in welk interview het risico genoemd is.
  3. De tabel ontbrekende features bevat de functies die niet in het systeem zitten maar wel in de interviews naar boven kwamen. Van de feature is een korte omschrijving gegeven en een link met het gesprek

In een aparte tabel zijn alle quotes genoemd en voorzien van een nummer zodat de koppeling tussen de maatregel- risico- en feature tabel en de ruwe data gemakkelijk gemaakt kan worden.

Data analyse

De analyse van de interviews kan in twee fases verdeeld worden. Als eerste is het initiele interview met Remco Derksen van het UCI afgenomen. Het belangrijkste in dit interview was het verkrijgen van een duidelijk beeld over het gehele systeem en het verkrijgen van een overzicht van discussiepunten en mogelijke problemen die door het UCI en de pilotgroep zijn opgemerkt. Uit het interview met Remco hebben we een duidelijk beeld gekregen over de werking van het systeem en hebben tevens een aantal belangrijke punten in de werking van het systeem opgemerkt waar wij vraagtekens bij konden zetten. Het resultaat van dit initiele interview is gebruikt in de diepte-interviews. Dit gebruikte resultaat bestond uit een schematische weergave van het printproces en een serie vragen die als rode draad zouden gaan functioneren bij de vervolg interviews.

De data analyse van de vervolg interviews hebben we anders aangepakt. Het was hierbij belangrijk dat het duidelijk werd of het nieuwe printsysteem goed voorbereid is op, security gerelateerde, aanvallen op het systeem. Om hier een duidelijk beeld over te krijgen hebben wij tabellen gecreeerd waarin alle security maatregelen en risico's worden opgesomd en beschreven. Tevens is er als extra resultaat van het onderzoek een lijst opgesteld met (voorlopig) ontbrekende en mogelijk wenselijk features.

In de tabellen is met kleur aangegeven welke maatregelen, security issues en ontbrekende features meerdere malen voorkwamen in de interviews.

Data

Onderstaand zijn de transcripts te vinden van de afgenomen interviews. Deze transcripts helpen ons om een overzicht te krijgen van alle informatie. Op basis van deze uitwerkingen zullen wij een overzicht creeren van de risico's van het systeem (Hoofdstuk: Data analyse). Deze zullen worden gewaardeerd met een impactcijfer ( 1 tot en met 10). Hierna zullen wij de onderzoeksvraag kunnen beantwoorden.

Bij de qoutes worden regelnummers gebruikt. In WIKI kun je geen regelnummers aangeven, de genoemde regelnummers komen uit de PDF's.

Opnames
Gesprek Transcript Transcript incl regelnummers Opname
Remco Derksen (UCI) klik Bestand:GesrekUCIinclnummers.pdf Bestand:Gesprekremco.mp3
Gerhard de Koning (DS) klik Bestand:GesprekGerhardinclnummers.pdf Bestand:Gesprekgerhard.mp3
Theo van der Weide (DS) klik Bestand:GesprekTheoinclnummers.pdf Bestand:Gesprektheo.mp3
Bart Jacobs (DS) klik Bestand:GesprekBartinclnummers.pdf Bestand:Gesprekbart.mp3

Security Maatregelen

Onderstaand is het overzicht te vinden van de gevonden security maatregelen die genomen zijn in het nieuwe printsysteem. Enkel de maatregelen bedoeld ter bescherming van privacy en om misbruik te voorkomen zijn hierbij opgenomen.


Maatregel Omschrijving Doel? Voldoende bescherming? Quote
Authenticatie Alleen medewerkers en studenten van de RU, en geauthoriseerde gasten mogen printen Niet toegestaan gebruik van resources Ja 66
Authenticatie Voordat er geprint kan worden moet je eerst met 2 codes jezelf authenticeren Printen waar en wanneer je wil en voorkomen dat anderen jou prints kunnen pakken - -
Authenticatie Om te scannen moet je ook inloggen. Bescherming tegen het scannen van 'onwelvoegelijk materiaal' om dat door te sturen naar derden. Ja 34
Accountability Na het printen en/of scannen wordt je automatisch uitgelogd na een x aantal seconden/minuten Bescherming om misbruik van andermans account te voorkomen Nee, afhankelijk van tijdsbestek 86, 87
Identification De inloggegevens van Equitrac worden gemirrord met de Active Directory Een onbevoegde gebruiker binnen het Equitrac systeem zal toch niet kunnen printen Ja 77
Authorisatie De printer controleert je identficatie bij Equitrac Voorkomen van ongeauthoriseerd printen Ja 78
Accountability / Non-repudiation Je printopdracht is gekoppeld aan jouw equitrac / windows account traceren geldstroom / datastroom Ja 79
Confidentiality De eerste inlogcode die je ontvangt is relatief complex Blind inloggen op nieuwe accounts, welke er genoeg zullen zijn in het begin Ja 80
Confidentiality De PINcode wordt als hash opgeslagen waardoor terughalen onmogelijk is, slechts wijzigen Voorkomen van account-compromisatie bij database inbraak Ja 65, 81
Authorisation Een minimum lengte voor de pincode (wachtwoord) Voorkomen van makkelijk te raden / kraken wachtwoorden Nee, er is nu geen minimumlengte ingesteld 65, 82, 70
Identification De PIN1 is 'what you have' (OV-chipkaart), en de PIN2 is 'what you know' Voorkomen dat diefstal toegang geeft tot printsysteem Ja 83
Algemeen Beproefde software (Equitrac) gebruiken Voorkomen van lekken en gaten door fouten in software Nee, dit garandeert niets (zie Windows) 84, 71

Security risico's

Onderstaand een overzicht van de security risico's die wij hebben gevonden bij het doen van dit onderzoek.


Risico Omschrijving Impactcijfer (1-10) Impact omschrijving Mogelijke oplossing Quote
Buiten Equitrec om printen er is geen mogelijkheid voor het printen op groepsbudget. Om dit toch te faciliteren wordt (voorlopig) een aparte poort gecreeerd waarmee buiten Equitrec om geprint kan worden. Gratis dus, zonder registratie. 8 Gratis print mogelijkheden die redelijk gemakkelijk voor velen bereikbaar kunnen worden. Dus veel misbruik en veel gemiste inkomsten Mogelijkheid tot groepsbudget laten ontwikkelen in achterliggende systemen (zie systeem Huygensgebouw). 27
Printjes lezen Printjes die geprint zijn blijven bij de printer liggen, zijn vergeten cel cel cel 3
Pincode Weer een pincode wil vaak zeggen dat mensen voor de hand liggende zaken gaan gebruiken of dubbele wachtwoord 6 wachtwoord van 1 systeem = alle wachtwoorden weten  ?? 14, 16, 17, 48, 49
Authenticatie met Mifare kaartnummer Er zijn goedkope apparaten beschikbaar om een kaart (dus ook het kaartnummer) te emuleren. Mifareemulator.jpg 6 De pincode ontbreekt nog, maar is op diverse manieren redelijk gemakkelijk te verkrijgen. De combinatie zorgt ervoor dat je je ongemerkt als iemand anders kan voordoen en dus bij alle documenten van die persoon kan, ook bijv. tentamens en dergelijke. Het is wel een redelijk onbereikbare methode voor het overgrote deel van de studenten.  ?? 34, 35, 64
(Misbruik van) individuele enrollment bij de printer Iedereen moet om te printen eenmalig zichzelf 'inschrijven' bij een printer. 8 Iemand met kennis van het systeem kan vele unieke codes van de mifare chips gemakkelijk verkrijgen en door te helpen bij enrollment ook het wachtwoord verkrijgen of zelfs kiezen voor de gebruiker. Dus gratis printen op vele accounts en toegang tot vele documenten. Enrollment bij de helpdesk zou een oplossing zijn, echter levert dit waarschijnlijk problemen op voor de helpdesk door een te grote toestroom van studenten en medewerkers. Tevens is het veel extra werk wat niet wenselijk is om een print te kunnen maken. 38
Toekomstige vervangende chip in OV-chipkaart en medewerkerspas In de nabije toekomst vindt voor de OV-chipkaart een harde omschakeling plaats van de Mifare naar de SmartMX chip. Tevens is de Radboud Universiteit een nieuwe pas aan het ontwikkelen op basis van een DesFire chip. De Mifare heeft als zwak punt het gebruik van een vast UID (kaartnummer). Dit kaartnummer gaat gebruikt worden bij authenticatie op de printer. De SmartMX heeft dit UID niet meer vast, maar stuurt een random nummer naar een ontvanger. Hier is het nieuwe printsysteem niet opgemaakt... 10 Bij een harde omschakeling en geen voorbereiding in het printsysteem heeft dit als gevolg het niet kunnen gebruiken van het printsysteem. Dit kan grote gevolgen hebben voor gebruikers. Invoer van nieuwe studentenpas met chip met vast UID en verplichten van authenticatie met deze pas. 43, 44, 66
Uitloggen bij de printer Het bewust uitloggen of de tijd die verstrijkt voor het automatisch uitloggen is een risico. Iedereen is gewend de print te pakken en weg te lopen. Dit zal dus vaak gebeuren, een omstander kan dan snel naar de printer lopen en onder de ingelogde account documenten printen van die persoon.  ??  ?? Hernieuwde authenthicatie bij iedere print (pasje erlangs ophalen) of tegelijk met printen (met bijv. knipperend scherm) vragen of je meer wil printen of uit wil loggen. 51, 52, 53, 54
Overvolle/omvallen printpool Bij het verzenden van grote hoeveelheden grote documenten kan het zijn dat de printpool zeer traag wordt of zelfs om valt.  ??  ?? Beperken van aantal documenten in cue per gebruiker en beperking van formaat en extensie van documenten in de cue. Snel verwijderen van documenten uit cue. Ook dan kan het probleem echter blijven bestaan, maar wordt het lastiger om hier misbruik van te maken. 55, 57, 58, 59, 79, 84
Queue-limieten Elke queue moet één soort printer bevatten ivm drivers. 6 Dit beperkt de flexibiliteit en vermindert functionaliteit - 61
Bruteforce pincode raden Door bruteforce alle pincodes te proberen, kan je inloggen 8 Pincodes moeten fysiek ingevoerd worden - 68, 83
cel cel cel cel cel  ??
cel cel cel cel cel  ??
cel cel cel cel cel  ??

(Voorlopig) ontbrekende features

Onderstaand een overzicht van ontbrekende features die van invloed zijn op het veiligheidsgevoel.


Feature Omschrijving Quote
Teller aantal prints van document Om zeker te weten dat niemand op jou account jou documenten uitprint is het gemakkelijk een teller bij te laten houden hoevaak een document is geprint 62
Automatisch e-mail bericht naar account bij printen document Voorkomen dat anderen ongemerkt iets van jou printen. 33
Gradatie printopdrachten De menselijke maat wordt achterwegen gelaten door meer handelingen van de gebruiker te verwachten. Door printopdrachten te waarderen op gevoeligheid is het bijvoorbeeld gemakkelijk om enkel bij bijv. tentamens authenticatie te vereisen. 4, 31, 32
Enkelvoudige authenticatie bij scannen Bij het enkelvoudig authenticeren (pasje er langs op halen) al de mogelijkheid hebben tot scannen. Daar staat toch geen gevoelige info binnen bereik en hoeveelheid misbruik is te verwaarlozen. 76
printer reparatie Repareren van een printer omdat deze niet print moet via telefoon of via de computer, die niet binnen handbereik is als je bij de printer staat. 8, 19
terugkijken opdrachten Op de printer of computer terug kunnen zien wat je geprint hebt. 9,21
Universele driver Niet allemaal printerdrivers hoeven installeren maar universeel. Op de printer pas melding krijgen dat het niet in volle kwaliteit afgedrukt kan worden. 28, 29
Printen vanuit een groepsbudget Het is binnen de gebruikte software niet mogelijk om groepen te creeren waaruit meerdere personen van hetzelfde budget kunnen printen. 40
Printen met studentenkaart Studenten worden afhankelijk van de OV-chipkaart voor printdiensten. De studentenpas bevat geen chip. 45
Single sign-on Er is tijden lang geprobeerd om zoveel mogelijk systemen aan elkaar te koppelen om zo te voorkomen dat overal wachtwoorden worden gevraagd. Een enkele keer inloggen op je computer zou dan voldoende moeten zijn voor alle RU systemen. 49
E-mail bij automatisch verwijderen document uit cue Na een x aantal uren zal je document uit de printpool worden weggehaald. Om te voorkomen dat belangrijke documenten te vroeg weggaan is het wenselijk om een x aantal uren voor verwijdering en notificatie hiervan te ontvangen per mail. 56
Beperken van scannen en verzenden tot interne RU adressen. De scan functionaliteiten zijn bedoeld voor RU doeleinden. Een beperking voor interne RU adressen als ontvanger kan ervoor zorgen dat er minder prive gebruik plaats vindt van de functionaliteit. 60

Quotes

Nummer Gesprek Regelnummer Quote
1 Theo 16 wat ik denk dat er 1 bepaalde serever die stuurt direct naar die printer toe en je

kunt printopdrachten sturen naar die server en die server beoordeeld dan of dat wel of niet van toepassing is. en je als je gaat printen dan gebruik je gewoon een UNIX-account, want daarin zit gewoon een UNIX-account en daarmee ben ik intern bekend met wat voor rechten en privileges ik mag printen

2 Theo 19 Maar omdat we nu op een gescheiden domein zitten, maar

onderweg het oversturen en in hoeverre je daar tussen kunt komen dat weet ik niet zo goed. Maar ik kan me voorstellen dat daar voor iemand die toegang heeft tot je computer dat je bij een printcue kunt komen en daar net zo goed de cue kunt lezen net als vroeger.

3 Theo 25 Je ziet wel eens documenten waarvan ik denk, die zouden hier nooit mogen liggen.
4 Theo 29 nou ik denk dat er ik heb eigenlijk een paar categorieen van printwerk. ik heb

gewoon normale printwerk, dat maakt mij niet zoveel uit, maar je hebt ook printwerk zoals tentamens wat veilig moet zijn.

5 Theo 30 de enige beveiliging is er naartoe rennen

en je documentje eruit halen.

6 Theo 35 Als je zegt van, dat secretariaat kan overvallen worden
7 Theo 38 dus dan moet ik eigenlijk bij blijven staan want

als de printer dan weer gemaakt is dan komt dat veilige printje er weer uit.

8 Theo 49 ik vertrouw persoonlijk meer in die persoon omdat ik denk dat zo'n systeem dat gaat

gehackt worden en noem maar op. euhm, zo'n persoon kun je in de ogen kijken dat vind ik veiliger persoonlijk

9 Theo 60 ik kan dan op de printer zien wat ik heb geprint
10 Theo 63 wordt het niet lastig om die code in te gaan zitten tikke
11 Theo 77 ja en dat je fouten maakt.. (note: slaat terug op een opmerking van Sander in regel 73)
12 Theo 86 nou opzich vind ik dat wel mooi eigenlijk (Note: slaat terug op opmerking van Sander in regel 85)
13 Theo 91 ja, ja ik moet zeggen dat het nog niet zo gek is bedacht eigenlijk (Note: slaat terug op opmerkingen Sander in regels 83, 85 en 90)
14 Theo 107 wat nou het punt is wat in de praktijk speelt is je hebt een pincode hier, een

pincode daar, een pasje hier etc en

15 Theo 110 We hebben verschillende niveaus

wachtwoorden. (Note: slaat op alle radboud codes (regel 109))

16 Theo 111 hetzelfde wachtwoord gebruiken, maar dat is ook weer niet slim want als iemand je wachtwoord weet kan hij ook meteen alles doen
17 Theo 111 Als je vanuit informatiekunde kijkt dan vind ik er een heleboel maren aan zitten, want het is niet gewoon

gemakkelijk (Note: slaat op de vele wachtwoorden, om te onthouden. Uitgelegd in regel 110 en 111)

18 Theo 114 dus je ziet dat dat ene systeem erg mooi vind, maar dan

neem je de menselijke maat en dan denk ik die klopt niet

19 Theo 126 Je moet dus ook zorgen dat de bediening wanneer er iets mis gaat dat je dat zelf op kunt lossen.
20 Theo 133 of moet ik als je hier in de cue zit, moet ik hem dan laten afdrukken of hoef ik dat helemaal niet? (Note: Jodocus antwoord in regel 134 dat dit inderdaad niet hoeft.)
21 Theo 140 dat zijn van die dingen waar je het makkelijk voor moet maken. Je moet dus niet

iedere keer naar die printer hoeven lopen en je pincode ingeven en pasje aanmelden. Je zou het iets gemakkelijker willen doen. Dat je online je opdrachten kunt zien (Note: eerste zin slaat op opmerking van Sander in regel 138)

22 Theo 145 nu kun je gewoon scannen en kuch kuch. Dat vind ik wel heel erg makkelijk
23 Theo 146 als je bijvoorbeeld internationaal werkt en ik wil die partner in Ouganda een

kopietje sturen dan kan ik die net zo goed direct toevoegen. Als dat er gewoon in blijft zitten dan vind ik dat wel mooi

24 Theo 157 wat als je pasje niet goed meer is? Bijvoorbeeld als ik een kaartje koop op het

station en mn pinpas werkt dan niet.

25 Theo 168 ik vind het zo gek nog niet (note: slaat op opmerking van Jodocus in regel 166)
26 Theo 179 Je kunt natuurlijk zeggen, ik heb hier een betaling van 20

pagina's van die persoon en die moet groepsgewijs betaald worden. Het heeft het voordeel dat je je hebt nu 1 persoon die zorgt dat er voldoende geld opstaat en anders moet je voor iedere groep veel meer werk doen. Het komt er toch op neer dat het van een afdelingsbudget afgaat.

27 Theo 186 187 je kunt het hier gewoon goed opzetten, (Note: slaat terug op omzeilen van afrekensysteem, opgemerkt door Jodocus in regel 183 en 185)
28 Theo 199 Ik zou het pas echt mooi vinden dat er echt een generieke printerdriver is

en die moet nog bedacht worden waarin in principe alle functionaliteit zit en bij het feitelijke printen pas je het zo goed mogelijk aan. En dat vind ik goede oplossing.

29 Theo 204 En als je dan iets te ingewikkelds doet, wat die printer niet aankon, dat kun je dan

benadrukken of gewoon de opdracht weigeren.

30 Bart 43 En daarvoor zou het prettig zijn als je je op de printer kunt authenticeren en dat dan pas je document eruit komt. (Note: slaat terug op het printen van gevoelige documenten, opgemerkt door Koen in regel 40)
31 Bart 72 Ja dat zijn van die kleine gebruikersgemak dingetjes en wat je ook kwijt bent...ja soms heb ik een bulk die ik uit moet printen die totaal niet gevoelig is...dan stuur ik hem naar de printer en dan loop ik een kwartier later naar de printer.
32 Bart 74 Precies en nou moet ik 2 keer lopen met deze dinges.
33 Bart 78 Je zou kunnen overwegen om hierbij in te voeren dat mensen standaard een mailtje

krijgen ofzo als er iets van ze geprint wordt (Note: slaat terug op het gebrek aan overzicht over wat er al geprint is in je persoonlijke lijst en de misbruik mogelijkheden hiervan, opgemerkt door Gerhard tijdens zijn interview)

34 Bart 92 dat celletje in het gehuegen wordt toevallig niet gebruikt voor OV chip. Dus dat kun je gebruiken voor de kaart hier. Als het echt werk op het vaste nummer van de kaart, dan kan je niet daarvoor een andere kaart gebruiken.
35 Bart 94 Maar eh ...he...je hebt inmiddels ook gewoon goedkope apparaatjes die die kaart kunnen emuleren. Dus softwarematig gedragen die zich als zon kaart en die kunnen we dan dat nummer geven.
36 Bart 98 en eh...dan moet ik alleen even jou nummer zien te weten te komen. Nou dat is heel makkelijk want dan hou ik gewoon een lezertje een keer stiekem tegen jou portemonnee aan. En dan vertelt die kaart meteen dat nummer.
37 Bart 102 ik weet niet of ik eh...kijk ik denk dat dat hier wel meevalt...opzich kijk als je echt een print wil stelen is het nu makkelijker om bij de printer te gaan staan en dat er snel af te halen voordat iemand er komt. Hmm..dan weten we natuurlijk niet van wie dat precies komt. Ja ik weet niet of ik dit zou aanraden bij het college van bestuur. Om maar wat te noemen..of de afdeling personeelszaken ofzo.
38 Bart 112 Ja, dus je gaat de enrollment procedure aanvallen.
39 Bart 157 Oh dus je kunt via dat softwaresysteem en via het netwerk printen
40 Bart 165 dus dan wordt er iets uitgevoe...in....uitgerold en meteen al bedacht hoe je er omheen kan..
41 Bart 191 JA dat is wel verstandig als die mifare zo lek is als een.... (Note: Slaat terug op het op je account staan van je budget zoals dat bij FNWI gebeurd, opgemerkt door Sander in regel 190)
42 Bart 201 Interessant punt is ook nog...ik weet niet of jullie daarnaar gekeken hebben maar...theo <onvers> van translink systems...die de OV-chipkaart beheren. Is bezig met het invoeren van een opvolger kaart.
43 Bart 203 en dat wordt een SmartMX. En op een gegeven moment vind een harde omschakeling plaats van de Mifare naar de SmartMX. De SmartMX is backwards compatible met de mifare, maar het is de vraag of dit nog blijft werken.
44 Bart 218 Kijk, de universiteit is zelf ook bezig aan een opvolger kaart want die wil ook die Mifare eruit hebben. En eh kijk....mifare is toch een aflopende zaak. En de universiteit gaat geloof ik een DesFire gebruiken. Dat is een andere chip ook van NXP
45 Bart 225 eigenlijk zouden ze dat beter moeten doen he...als mensen toch die pas hebben dan kunnen ze dat beter inrichten. (Note: Slaat op het gebruik van een studentenkaart met chip en dus niet de OV-chipkaart, aangehaald door Sander in regel 224)
46 Bart 235 Bij wijze van spreken je kunt een vervallen Ov-chipkaart er ook voor gebruiken. Ik weet niet of je ze in moet leveren bij eh... (Note: slaat op het gebruik van een willekeurige kaart met Mifare chip, aangehaald door Bart in regel 233)
47 Bart 239 Maar als je een oude van je vriendin bij wijze van spreken dan je je daarmee registreert dan kun je die ook gebruiken dus in die zin is het vrij onafhankelijk van eh....maar de vraag is of ze dat accepteren hier. Dat je gewoon als je aankomt zetten met een blanco pasje ...wat dan de procedure is...(Note: slaat op het gebruik van een willekeurige kaart met Mifare chip, aangehaald door Bart in regel 233)
48 Bart 248 Ru wachtwoord wordt ook voor ongelofelijk veel dingen gebruikt, waar ik me af en toe ook zorgen over maak. Ik vind blackboard ook zon voorbeeld ervan. Het inloggen op blackboard, he, als je op de inlogpagina staat bovenaan gewoon HTTP pagina als je echt kijkt naar de module is die wel HTTPS maar...alleen het inloggedeelte. Heel verwarrend en slecht uitgevoerd. En hierdoor...een hoop mensen zeiden ja ik ga hier mijn wachtwoord niet intypen. Maar als je nou dus ook weer je ru wachtwoord op 1 of ander apparaatje op een printer in moet voeren is het beveiligd, is het verzenden van het wachtwoord beveiligd. (Note: Slaat op de enrollment procedure aangehaald door Sander in regel 249)
49 Bart 252 Ja ja....kijk want het is dat eh...eh...je op deze universiteit steeds meer gebruik wil maken van single sign on...je logt 1x in en kan dan van alle diensten gebruik maken maar....dit is hier geen voorbeeld van....Je moet toch weer op een apparaatje inloggen waarvan je niet weet of het betrouwbaar is.
50 Bart 262 jaja ja precies...het wordt een geleidende schaal inderdaad....ja het alternatief is biometrie maarja daar hebben het laatst ook al over gehad...
51 Bart 306 Nou die zou ik op 5 seconden zetten, of 10 seconden hooguit (Note: Slaat op de timer voor het automatisch uitloggen na het printen, aangehaald door Koen in regel 305)
52 Bart 308 Een minuut! Dat vind ik wel heel lang...
53 Bart 310 Nee een minuut is onacceptabel lang....ik zou...ja mijn eerste reactie is 5 seconden ja....
54 Bart 313 Ja, kijk en dat kan je op een scherm natuurlijk beinvloeden dat als ik een printopdracht geef en ja dan blijf je toch naar het scherm kijken of er een bevestiging komt en als daarna meteen een scherm komt een soort uitflitsen...5..4..3..2..1 he...van raak aan anders dan ben je eruit dat lijkt mij duidelijk genoeg.
55 Bart 321 Ja dan kan je de pool om laten vallen.
56 Bart 323 Ja, en krijg je een mailtje voordat het automatisch verwijderd wordt? (Note: Slaat op het automatisch verwijderen uit de pool na een x aantal uren)
57 Bart 325 Ik zou wel als policy daar gebruiken...snel verwijderen want dat ben je nou ook gewend
58 Bart 327 Enne het creeert alleen maar een centrale opslag die eh..
59 Bart 332 ja ja opzich daar kunnen mensen het inderdaad voor gaan gebruiken. (Note: Over het gebruik van de pool als 'tweede' hardeschijf, aangehaald door Sander in regel 331)
60 Bart 355 ik vind het ook wel redelijk om als je gaat scannen dat te beperken dat je alleen binnen de ru mag verzenden.
61 Gerhard 51 Dus het is wel het model wat je dan eh, alvast voorgeselecteerd hebt. je kan niet zeggen alle printers in het Huygens, want dan heb je verschillende types door elkaar.
62 Gerhard 58 Dat is ook weer een leuke (wijst met vinger), je kan verwijderen en je kan ook opslaan weer. En zie je dan een verschil als je de tweede keer print, of die andere keer opslagen is. (na negatief antwoord). Ja, hij blijft in je queue staan maar kan je zien of die al een keer afgedrukt is, en dat iemand hem heeft opgeslagen, en dan... Want als je dat niet kan zien dat verschil dan zou je zeg maar echt kunnen onderscheppen zonder dat iemand het door heeft
63 Gerhard 67 En anders heb je nog een bij effect dat iemand denkt van "printje weg" of "komt niet meer" maar als je, als je dan... kan zien van het is de tweede keer.
64 Gerhard 98 Inderdaad , maar dat is gewoon ook een beetje het probleem dat eh, iemand anders moet het echt niet kunnen en dus [..] achter hoe het met eh, ik denk al aan, van hoe gaan ze dat dan opvragen? Dat gaat dan met een myfare kaartje? En ik heb ookal een gevoel hoe dat dan gebruikt wordt, ik denk dat ie alleen het unieke nummer van die kaart gebruikt.
65 Gerhard 108 En die hoelang is die pincode?
66 Gerhard 134 Opgelost, opgelost, ze proberen een beetje extra beveiligingen in te bouwen om niet helemaal afhankelijk te zijn van die kaart
67 Gerhard 139 Ja, maar waar wordt die pincode opgeslagen is dat, is dat een database dus niet op die kaart? (bevestigend antwoord)
68 Gerhard 142 En dan eh, van eh, mag je, is het mogelijk om soort bruteforce te doen zeg maar? Dat je neemt een identifier en dan ga je al die codes af, eh, eigenlijk zou je willen dat ie wel weer vertraagt ofzo, na een heleboel, na een aantal aanvragen.
69 Gerhard 190 Ik zelf heb zo'n gevoel, maar ik zit er niet eh, ik heb niet zoveel heel naar gekeken toen, maar dat je dan als afdeling of als Raad van Bestuur wil je wel graag je eigen printer (queue) houden.
70 Gerhard 221 Gerhard: Ja, dus dan alleen als je daar op grote schaal een aanval tegen doet, dat je bij heel veel studenten zo'n fishing-aanval doet, dan zou het misschien heel veel geld op leveren maar...
Jodocus: Je hoeft dat geld niet op een rekening te hebben, dat de banktransactie moet goed gaan, maar dat daarna in het systeem op mijn account...
Gerhard: dat zou een interessante zijn om te bekijken ja
71 Gerhard 228 Maar dat was een tijdje terug zo met die aanval, ik weet niet goed wat de aanval was, was iets heel lulligs als je iets met, met budget ofzo, met negatieve pagina's. Dat dan je budget zelfs omhoog ging, meen ik me nog te herinneren, maar dat was voordat ik eh, me dr mee bemoeide.
72 Sander 256 En waar ik zat aan te denken, als we nou (dat bedenk ik me nou), stel er staan... Nou dat hele systeem wordt ingevoerd en iedereen staat in de rij bij de printer om dat te fixen, en wij gaan met onze Thalia-truien er naast staan, en we gaan mensen dat uitleggen. En we geven ze allemaal de pincode 1337.
Wordt bevestigd als aanval door Gerhard op regel 262
73 Gerhard 312 Nou eh, dan wil je liever niet met dit soort situaties: ho, we willen dit toch dit, achteraf ga je bedenken "we willen toch wel via groepen kunnen printen", dan ga je maar een omweg instellen. Het liefst zou je dan, ook gewoon als dat systeem ook voor je beveiliging garant staat, dan wil je niet nog ff een kanaal open, je wilt het eigenlijk zoveel mogelijk beperken tot we hebben een manier waarop het werkt. Nu maak je eigenlijk weer een point of attack waar mensen binnen kunnen komen.
74 Gerhard 344 Nou wat ik zelf, waar ik zelf [het scannen] dan wel voor gebruik [is] omdat ik thuis geen scanner heb, bijvoorbeeld mijn huurcontract of eh, gewoon dinegtjes die kan ik hier even digitaliseren. Zou ik niet heel leuk vinden als ze die ook opslaan. Het document zelf.
75 Gerhard 365 Ik zou het gewoon zien als een veredeld mailsysteem, misschien meer een heel elementair mailsysteem, een oud systeem, want als je nou gewoon een mailtje stuurt met pornografisch materiaal naar iemand dan kan het. Dan weet-ie ook niet waar het vandaan komt. Je richt een mailboxje enne...
76 Remco 231 Dus ik kan bijvoorbeeld dingen inscannen en naar iemand toemailen. Is het ook wel en eh...ja....kritische vraag dat daarbij komt is...krijg je dan straks niet dat er porno wordt ingescand en naar de directeur worden gestuurd bijvoorbeeld. heh ja...hartstikke leuke grap
77 Remco 41 [..] identificatie op AD niveau [..]
78 Remco 41 je hebt te maken met identificatie bij de printer, om je kenbaar te maken van wie ben je
79 Remco 56 Ja maar dat betekent dat jij je geld zelf hebt bij je, zeg maar, op dat pasje staan. En nu wordt jouw windows account, gebruikers account wordt gekoppeld aan Equitrac.
80 Remco 82 net als bij een forum ofzo waarbij je de eerste keer krijg je ook een hele

ingewikkelde code

81 Remco 84 En niet te [..] dat wordt ook versleuteld opgeslagen daar weten wij niks van dat is net zoals met een bank daar kan je ook de pincode niet ovragen. dat lukt gewoon niet
82 Remco 267 't Is volgens mij in te stellen ik heb m wel ergens langs zien komen maar wij hebben dat nu niet ingesteld.
83 Remco 289 Ja...punt is dat je PIN2 moet invoeren op het toetsenbord..moet iets zijn wat je weet en niet wat je hebt (over het instellen van een andere code als PIN2)
84 Remco 338 Het is een pakket dat wereldwijd wordt gebruikt dus het zullen niet ??? dat mensen dat soort dingen niet bedenken.
85 Remco 134 Daar euh, daar hebben we een x-aantal gastaccounts gaan we nu maken die pasjes die komen bij de administratie of bij een balie ofzo te liggen als mensen die als gast hier zijn en die willen toch kunnen printen kunnen ze met zon gastaccount kunnen ze printen.
86 Remco 305 Er komt op het scherm te staan uh... op het scherm heb je dan de mogelijkheid om uit eh...uit te loggen zeg maar, dus dan kan je uitloggen en meteen weglopen. Loop jij weg zonder dat jij jezelf afmeldt dan wordt ie op dit moment na 60 seconden wordt ie..
87 Bart vanaf 306 B: Nou die zou ik op 5 seconden zetten, of 10 seconden hooguit
K: Ze hadden het volgens mij toen over 1 minuut
B: Een minuut! Dat vind ik wel heel lang....
K: Dan heb je ook het risico dat een docent het tentamen uitprint, snel naar de zaal toe en...
B: Nee een minuut is onacceptabel lang....ik zou...ja mijn eerste reactie is 5 seconden ja....
K: Ja

Conclusie

Met de afronding van de dataverwerking en analyse kunnen wij concluderen dat we een vruchtbaar onderzoek hebben uitgevoerd. Wanneer we kijken naar het nieuwe printsysteem op basis van alle informatie verkregen uit de interviews dan zijn er een aantal punten waar niet alleen wij ons zorgen over maken, maar ook de geinterviewden zich zorgen over maken. Onderstaand zullen wij de belangrijkste punten toelichten. Alle 'kleine' risico's en maatregelen zijn te vinden bij de data-analyse.

Risico's

We hebben een aantal risico's gevonden binnen het nieuwe printsysteem. De belangrijkste risico's worden onderstaand toegelicht.

Mifare chip

De Mifare chip is in het verleden niet verkozen tot meest veilige chip. In tegendeel, volgens vele is de Mifare chip een aflopende zaak, ook Bart Jacobs en Gerhard de Koning Gans sluit zich aan bij deze mening (Zie quote 44, 66). Systemen die deze chip gebruiken maken gebruik van een vast zogenaamd UID, het kaartnummer.Er zijn tegenwoordig (redelijk gemakkelijk) goedkope apparaten te verkrijgen die zich voor kunnen doen als zijnde een willekeurige kaart met Mifare chip. Natuurlijk heb je dan ook nog te maken met de toegevoegde pincode voor dit project. Maar voor het verkrijgen van deze code kan iedereen wel een manier bedenken. Het gevolg bij het bezit van zowel de pincode als de code van de Mifare chip? Toegang tot de (print)accounts van de desbetreffende medewerker/student en dus ook toegang tot de persoonlijke printcue. Resultaat hiervan kan bijvoorbeeld zijn: het uitprinten van gevoelige documenten, bijvoorbeeld een tentamen.

Het gebruik van deze chip kan dan ook gezien worden als een groot security risico op het gebied van de identificatie binnen het printsysteem.


Gebruiksvriendelijkheid

De gebruiksvriendelijkheid van het nieuwe printsysteem ten opzichte van het oude systeem wijzigd. In het nieuwe systeem zal men op de FNWI faculteit een extra handeling moeten uitvoeren: het authenticeren bij de printer, dit wordt door Bart Jacobs genoemd als vermindering van het gebruiksgemak. Op andere faculteiten moet men al authenticeren bij de printer, voor hen veranderd er niets. Tevens is het niet mogelijk om een groot document uit te printen en 10-15 minuten later op te gaan halen. Een punt wat onder medewerkers van de FNWI faculteit waarschijnlijk niet als positief zal worden ervaren (Zie quote 31).

Met het nieuwe printsysteem wordt een extra beveiligingscode toegevoegd aan de vaak lange lijsten die medewerkers al hebben. Hiermee wordt het single-sign-on principe dat door de Radboud Universiteit als ambitie is gesteld verder weggedrukt. Hierdoor zal waarschijnlijk niet alleen een gemakkelijke code gebruikt gaan worden, omdat medewerkers al een groot aantal codes heeft. Ook zal het aantal gebruikers dat één code gebruikt voor meerdere systemen toenemen. Het gebruik van gemakkelijke codes zorgt voor een veiligheidsrisico omdat het gemakkelijk(er) wordt om als ander individu in te loggen en dus bij de gegevens van anderen te kunnen. (Zie quote 14, 16, 17, 48, 49)

Uitloggen

Het huidige printsysteem bij de FNWI print direct je documenten uit, mits je account is voorzien van voldoende tegoed, en heeft het bedrag direct van je account afgeschreven. In het nieuwe printsysteem zul je jezelf moeten inloggen bij/op de printer. Niet alleen om toegang te krijgen tot je eigen printcue, maar ook om de betaling van het printen te regelen. Wanneer je op je computer op afdrukken hebt geklikt ga je naar de printer, pak je je papier en loop je weer weg.

Op dezelfde manier omgaan met het nieuwe systeem zoals met het oude systeem is niet verstandig. Het hierboven beschreven automatisme kan tot gevolg hebben dat de volgende in de rij bij jouw gegevens kan en op jouw kosten kan printen. Het is namelijk de bedoeling dat de gebruiker aangeeft uit het systeem te willen, gebeurd dit niet? Dan zal het systeem je na een x aantal seconden/minuten uitloggen. Een groot risico aldus Bart Jacobs en Gerhard de Koning Gans. Het lijkt ons dan ook verstandig nog eens goed naar dit punt te kijken met als doel het vinden van een methode tot uitloggen die niet onbewust vergeten kan worden. Mogelijkheden zijn hierbij het bevestigen van je account door het telkens vragen naar authenticatie voordat een document daadwerkelijk wordt geprint, of een duidelijk uitlogscherm dat je niet over het hoofd kan zien. De eerste mogelijkheid gaat echter sterk ten koste van de gebruiksvriendelijkheid van het systeem en de tweede wordt dan ook door Bart Jacobs aangegeven als een voldoende maatregel.

Beschikbaarheid printpool

De printpools die zullen worden gecreeerd zullen voorbereid zijn op een grote documentenstroom. Dit moet ook wel op de dagen voor het verstrijken van deadlines. Toch plaatsen wij grote vraagtekens bij de beschikbaarheid van deze printpool wanneer deze grote hoeveelheden data moet verwerken. Wat als er Microsoft Word-documenten met een .BMP bestand van 50+ Mb worden verzonden naar de printpool en dat enkele honderden keren (vanaf verschillende accounts)? Er zal een limiet zijn voor de printpool en dus zullen er mogelijkheden zijn om een dergelijke pool overvol te laten raken en mogelijk om te laten vallen. Dit is op de meeste momenten slechts vervelend, maar een tentamen wat op het laatste moment niet uitgeprint kan worden of een scriptie die 5 minuten voor de deadline niet uitgeprint kan worden is ernstig vervelend en kan tot grote problemen leiden.

Voorbereiding op toekomst

Uit het interview met Bart Jacobs kwam naar voren dat er hard wordt gewerkt aan opvolger kaarten voor zowel de OV-chipkaart als de RU medewerkerspas. De verwachting is dat deze kaarten niet meer zullen werken met een vast "gebruikerscode" maar met een willekeurige identificatiecode. Het printsysteem zoals dat wordt ingevoerd werkt juist met de genoemde vaste gebruikerscode. Wij hebben dan ook grote vraagtekens bij de voorbereiding van het systeem op de toekomst. Bij de toekomstige harde omschakeling naar de nieuwe chips is het dus mogelijk dat het gehele systeem niet meer naar behoren werkt. Dit zou niet alleen zonde zijn van de investering, maar ook grote problemen brengen wat betreft de availability van het systeem. (Zie quote 42,43,44)

Maatregelen

Natuurlijk zijn er een aantal maatregelen genomen om de integriteit en beschikbaarheid van het systeem te waarborgen. Onderstaand bespreken we enkele van deze maatregelen.

Minimum lengte pincode

Voor de pincode ter ondersteuning van de Mifare chip wordt een minimum lengte ingesteld om zo bruteforce aanvallen te voorkomen/beperken. Wat de minimum lengte wordt was nog niet bekend ten tijde van het interview.

Beproefde software

Het software pakket wat wordt gebruikt voor dit project is een groot, commercieel en beproefd pakket genaamd Equitrac. Hiermee wordt voorkomen dat kinderziektes problemen opleveren bij de invoering op de Radboud Universiteit. Nadeel is echter wel dat het een commercieel pakket is wat dus ook niet aangepast is aan de specifieke eisen van de Radboud Universiteit en dat er misschien wel te veel vertrouwd wordt op de reputatie en ervaring van het pakket.

Ontbrekende (features)

Tijdens ons onderzoek zijn wij meerdere features tegengekomen die ontbreken in het nieuwe systeem. Hieruit blijkt dat er niet op alle punten goed gekeken is naar de wensen van gebruikers, of dat er onvoldoende waarde is gehecht aan sommige wensen. Onderstaand enkele belangrijke mispunten

Bijhouden aantal prints

Om persoonlijke controle op misbruik van je account te controleren werd door Gerhard aangedragen dat het misschien gemakkelijk is om bij te houden hoevaak een document geprint is. Door het eerder genoemde risico met het uitloggen bij de printer bestaan er mogelijkheden om documenten van een ander uit te printen. Het bijhouden van het aantal kopieen van een document is in ieder geval een mogelijkheid tot controle hierop.

Bart gaf op zijn beurt aan dat het ook een oplossing was om bij iedere print een printbevestiging te versturen naar de gebruiker. Ook dit is een mogelijke methode voor controle op misbruik.

Gradatie printopdrachten

De beperking in gebruiksgemak door het authenticeren bij de printer viel bij de meeste personen niet volledig in goede aarde. We hebben dan ook gevraagd wat eventuele andere mogelijkheden zijn om de overlast hiervan te beperken. De gradatie van printopdrachten kwam hierbij naar voren als een goede mogelijkheid. Het doel hiervan zou zijn dat het mogelijk is om aan te geven of een printopdracht direct geprint kan en mag worden of dat er authenticatie bij de printer moet worden gevraagd.

Universele drivers

Voorlopig zullen er meerdere printpools over de RU aangemaakt worden. Er is (voorlopig) een beperking met betrekking tot een universele driver voor alle printers. Dit heeft ervoor gezorgd dat de printers per merk (en mogelijk ook gebouw) in een printpool zullen worden geplaatst. Met deze beperking wordt eigenlijk het grootste pluspunt van het systeem gedeeltelijk teniet gedaan. Het is namelijk niet meer mogelijk om waar dan ook op de campus je document uit te printen. Een goed werkende universele printdriver kan dan ook worden gezien als een belangrijk gebrek.

Veilig of onveilig?

Het antwoord op de gestelde hoofdvraag is afhankelijk van de bril waarmee gekeken wordt naar het gehele systeem. De gemiddelde student van de Radboud Universiteit zal tevreden zijn met de genomen beveiligingsmaatregelen en hiervoor kunnen wij dan ook stellen dat het systeem als veilig kan worden beschouwd.

Ben je echter enigszins technisch onderbouwd of heb je er groot belang bij om misbruik te maken van het systeem en haar mogelijkheden dan luidt het antwoord simpelweg 'Nee'.

We hebben echter niet als doel om te kijken of het systeem voor studenten/medewerkers veilig (genoeg). Onderstaand is de hoofdvraag nogmaals genoemd ten behoeve van de beantwoording van deze vraag: Is het nieuwe printsysteem van de Radboud Universiteit goed voorbered op mogelijke (security gerelateerde) aanvallen?


Het antwoord wat wij hierop moeten geven luidt simpelweg 'Nee'. Het systeem is niet goed voorbereid op mogelijke security gerelateerde aanvallen. Niet alleen wordt er een onveilige chip gebruikt, maar ook is het mogelijk om buiten het systeem om te printen, is het redelijk gemakkelijk om je voor te doen als een ander individu en zijn er simpelweg te veel kleine risico's en beperkingen om volledig veilig te kunnen printen (en scannen).

Onderstaand zullen we tevens de opgestelde deelvragen beantwoorden aan de hand van het bovenstaande.


Hoe ziet het nieuwe printproces eruit, van digitaal document tot fysiek document?


Voor de beantwoording van deze vraag en tevens als hulpmiddel bij de interviews hebben wij een model gemaakt van het nieuwe printproces. Dit model is hier te vinden:Printproces


Is de Mifare chip een specifiek risico in het nieuwe systeem?


Ook hierop is gemakkelijk antwoord te geven. De Mifare chip is zeker een specifiek risico in het systeem. Het risico wordt echter wel beperkt door de toevoeging van een pincode bij de authenticatie. De chip blijft echter mogelijkheden bieden tot misbruik van het systeem.


Wat zijn de security issues van dit systeem?


Deze vraag hebben wij beantwoord met behulp van een tabel waarin alle security risico's zijn opgenomen deze tabel is hier te vinden: Risico's

Reflectie

Wij hebben veel geleerd van het uitvoeren van dit onderzoek. Er zijn een aantal belangrijke (leer)momenten die wij aan kunnen wijzen tijdens het proces. Onderstaand proberen wij deze momenten te verwoorden en onze gemaakte keuzes toe te lichten. Daarnaast hebben wij nog een aantal kleine tips voor groepen die in de toekomst gebruik willen maken van de onderzoekstechniek interviews.

OV-chipkaart als 'doelwit'

In de beschikbare informatie voor het nieuwe printsysteem wordt telkens gesproken over het printen met behulp van je OV-chipkaart. Zoals ondertussen algemeen bekend is betreft het hier een kaart met bijbehorende chip die nota bene door de Radboud Universiteit zelf is gekraakt. Om deze reden werden wij dan ook getriggerd eens dieper in dit onderwerp te duiken.


Uit het initiele interview bleek eigenlijk al snel dat het niet specifiek om de OV-chipkaart gaat, maar om kaarten die met behulp van een Mifare chip werken. Wij hebben dan ook een discussie gehad of wij ons onderzoek moeten vervolgen met een focus op de OV-chipkaart en hebben gezamenlijk besloten om het onderzoek wat breder te trekken en te gaan kijken naar de algemene security van het gehele nieuwe printsysteem.


De informatie verkregen uit het initiele interview was nog steeds van toepassing, de vragen voor de vervolginterviews en de hoofd-/subvragen van dit onderzoek hebben wij echter wel moeten wijzigen. Het resultaat is dat wij een onderzoeksresultaat boeken wat in onze ogen nuttig kan zijn bij het opzetten en uitrollen van het printsysteem. We hebben niet de bekende paden bewandeld door de zwakte van de OV-chipkaart als uitgangspunt (en resultaat) te gebruiken maar zijn verder gegaan dan enkel het authenticeren bij het nieuwe systeem.

Interview diepte

Na het afnemen van de interviews hebben wij een belangrijke leerpunt voor onszelf genoteerd en mogelijk ook voor anderen in de toekomst. Het onderwerp van ons onderzoek is redelijk nieuw en bij velen onbekend.De meeste mensen die wij over dit onderzoek hebben gesproken hebben wel vernomen dat er inderdaad met de OV-chipkaart geprint kan gaan worden. Maar dat dit ook met andere passen kan, en hoe dit systeem moet gaan werken is bij iedereen onbekend.

Om deze reden hebben wij meermaals gediscussieerd over het verstrekken van voorkennis aan de personen die wij een interview wilden afnemen. Nadeel hiervan is echter dat er mogelijk al te veel voorkennis wordt gegeven en de geinterviewden als voorbereiding al te diep in het systeem duiken en daarmee buiten de focus van dit onderzoek terecht komen. Daarom hebben wij de keuze gemaakt voor het meenemen van een processchema en dit bij het interview te geven als extra kennis over het nieuwe printproces. Op basis van dit schema is telkens bekeken wat eventuele risico's zouden zijn.


Tijdens de interviews bleek echter dat wij zelf soms (te) veel informatie moesten toespelen om de geinterviewden in de juiste richting voor ons onderzoek te krijgen.


Hoe we dit in de toekomst op proberen te lossen? Het is mogelijk om meer informatie te sturen voor aanvang van het interview en zo de geinterviewden wat extra kennis te geven. Het zal echter 'trial and error' zijn wat betreft de hoeveelheid toe te spelen informatie.

Bronnen


Presentatie

De presentatie is beschikbaar in PDF vorm: Bestand:Eindpresogroep2.pdf.

Overgenomen van "https://lab.cs.ru.nl/algemeen/index.php?title=Onderzoeksmethoden_2/het_werk/2010-11/Groep02&oldid=129733"