20121201 security 101 - vincent olsthoorn
-
Upload
harold-kasperink -
Category
Technology
-
view
416 -
download
1
description
Transcript of 20121201 security 101 - vincent olsthoorn
![Page 1: 20121201 security 101 - vincent olsthoorn](https://reader035.fdocuments.nl/reader035/viewer/2022062313/559105ec1a28aba56f8b4641/html5/thumbnails/1.jpg)
Security 101
1
9 januari 2013Vincent Olsthoorn
![Page 2: 20121201 security 101 - vincent olsthoorn](https://reader035.fdocuments.nl/reader035/viewer/2022062313/559105ec1a28aba56f8b4641/html5/thumbnails/2.jpg)
Inhoud
• Security Dreigingen
• Hoe gaat een hacker te werk?
• Wat je moet weten over passwords
• Video: hacking (6 minuten)
2
![Page 3: 20121201 security 101 - vincent olsthoorn](https://reader035.fdocuments.nl/reader035/viewer/2022062313/559105ec1a28aba56f8b4641/html5/thumbnails/3.jpg)
Begrippen
Malware: kwaadaardige software (virus, worm, spyware, adware)
3
Zero-day: Exploit waarvan nog geen patch is uitgebracht
Vulnerability: zwakheid in software / security lek
Exploit: stuk software dat misbruik maakt van een vulnerability
Baiting: Geïnfecteerde data dragers doelbewust achterlaten
Phishing: Hacker die de identiteit van een organisatie misbruikt.
Social engineering: Misbruik van de grootste vulnerability: de mens
![Page 4: 20121201 security 101 - vincent olsthoorn](https://reader035.fdocuments.nl/reader035/viewer/2022062313/559105ec1a28aba56f8b4641/html5/thumbnails/4.jpg)
motivatie hackers
4
• Fun! (problem solving)
• Geld ( phishing, creditcardgegevens en Paypal accounts stelen )
• Contributie aan software/diensten
• Mensen die Politieke/religieuze meningen willen verspreiden (b.v.: misbruik van exploits uit Wordpress, Joomla, enz.)
• Geheime informatie stelen
• Concurentie uitschakelen
![Page 5: 20121201 security 101 - vincent olsthoorn](https://reader035.fdocuments.nl/reader035/viewer/2022062313/559105ec1a28aba56f8b4641/html5/thumbnails/5.jpg)
Security | Digitale dienst
5
software systeem netwerkinfrastructuur
![Page 6: 20121201 security 101 - vincent olsthoorn](https://reader035.fdocuments.nl/reader035/viewer/2022062313/559105ec1a28aba56f8b4641/html5/thumbnails/6.jpg)
Hacking methodiek
6
Informatie vergaringInformatie vergaring scannenscannen Vulnerability(s)
vindenVulnerability(s)
vinden ExploitatieExploitatie Sporen verwijderen
Sporen verwijderen
• Google!• website• vacatures• WHOIS • Social engineering
helpdesk bellen
Interviews Fishing baiting
• Netwerk in kaart brengen
• Tcp/udp Port scans (systeem)
• Versie detectie (applicaties)
• Load balacing testing
• Logs opschonen• History verwijderen• Exploit tmp bestanden
verwijderen
• Verouderde webservers?• Webapplicatie
XXS SQL injection
• Applicaties/diensten: Nessus:
vulnerability scanner
• Exploit toolbox!• Man in the middle• Packet sniffing• Webapplicatie
XXS SQL injection
![Page 7: 20121201 security 101 - vincent olsthoorn](https://reader035.fdocuments.nl/reader035/viewer/2022062313/559105ec1a28aba56f8b4641/html5/thumbnails/7.jpg)
OWASP• A1 – Injection • A2 – Cross Site Scripting /XSS • A3 – Broken Authentication / Session Management • A4 – Insecure Direct Object References • A5 – Cross Site Request Forgery • A6 – Security Misconfiguration • A7 – Insecure Cryptographic Storage • A8 – Failure to Restrict URL Access • A9 – Insufficient Transport Layer Protection • A10 – Invalidated Redirects and Forwards
7
![Page 8: 20121201 security 101 - vincent olsthoorn](https://reader035.fdocuments.nl/reader035/viewer/2022062313/559105ec1a28aba56f8b4641/html5/thumbnails/8.jpg)
password verzameling
• 2012: Yahoo: 400 duizend
8
• 2012: eHarmony: 1,5 miljoen
• 2012: Linked-in: 6,6 miljoen
• 2009: RockYou: 32 miljoen
![Page 9: 20121201 security 101 - vincent olsthoorn](https://reader035.fdocuments.nl/reader035/viewer/2022062313/559105ec1a28aba56f8b4641/html5/thumbnails/9.jpg)
Voorstel password
0l1F@nt VS olifantbradwurst
9
72^7 = 10^13 | 26^16 = 10^22
10^9 pogingen per seconde (desktop met high-end GPU)
![Page 10: 20121201 security 101 - vincent olsthoorn](https://reader035.fdocuments.nl/reader035/viewer/2022062313/559105ec1a28aba56f8b4641/html5/thumbnails/10.jpg)
10
![Page 11: 20121201 security 101 - vincent olsthoorn](https://reader035.fdocuments.nl/reader035/viewer/2022062313/559105ec1a28aba56f8b4641/html5/thumbnails/11.jpg)
Hacking video
http://www.deloitte.com/view/en_GB/uk/services/audit/enterprise-risk-services/aaeeeb6f047b3310VgnVCM2000001b56f00aRCRD.htm
11
![Page 12: 20121201 security 101 - vincent olsthoorn](https://reader035.fdocuments.nl/reader035/viewer/2022062313/559105ec1a28aba56f8b4641/html5/thumbnails/12.jpg)
Maatregels tegen hackers
• Beveiligen
12
• Detecteren• Reactie plan