Gerben Rosseel

P a g i n a 1 | 18

Theory Information Systems Security

• Geen cursus, slides zijn de rode draad. Extra content vind je op het internet en door notities te nemen in de les.

• Demo’s moeten ook goed gesnapt worden. • We gaan geen hackers worden door deze module te volgen • Er is ook een boek over de theorie van dit vak:

http://ptgmedia.pearsoncmg.com/images/9780132789462/samplepages/0132789469.pdf

• Vragen in fluo zijn examenvragen, deze moeten zeker gekend zijn, indien niet kan je niet slagen voor de module.

Week 1 Waarom security?

iedereen is onderhevig aan ICT tools, zelfs de bakker die een mail stuurt. Zelfs wanneer je geen computer hebt is ICT security belangrijk. Denk maar aan je geld op de bank (computersystemen).

Ook al heb je geen geheimen, je foto’s belangrijke documenten kunnen allemaal geleegd worden als er geen ICT security aanwezig is.

Theoretisch model

CIA – model:

• Confidentiality o = geheimhouding o Bepaalde informatie is niet publiek

beschikbaar • Integrity

o Bepaalde informatie moet beschermd worden tegen ongeoorloofd wijzigen. Bv: je bankrekening

• Availability o Je wil dat je geld op je rekening altijd beschikbaar is. Elk moment wil en

kan je geld afhalen.

Meestal als je 1 aspect heel goed wilt uitbouwen schiet je jezelf in je voet. Security is het verhaal van jezelf constant in je voeten te schieten.

Bedreiging / kwetsbaarheid

Wordt teveel en onterecht door elkaar gehaald.

• Threat / bedreiging o Iets dat iets anders bedreigd.

• Vulnerability / kwetsbaarheid o Een eigenschap van iets.

Gerben Rosseel

P a g i n a 2 | 18

o Bv: je hebt een virus, de mazelen = bedreiging naar de availability toe. Hoe kwetsbaar ben je? Hangt ervan af als je ze al gehad hebt of niet.

Risico

• De mate van bedreiging is niet beheersbaar • De kwetsbaarheid is te reduceren door de implementatie van tegenmaatregelen. • Risk = ( (vulnerability * threat) / ( counter measure score) ) *validation • Risk assessment zit fout in de mens geprogrammeerd (wetenschappelijk).

Bedrijfsimpact

• Bedrijfsimpact van het risico bepaalt de opportuniteit van de beveiliginsinvestering • Bepalen van de financiële impact van een incident is uitermate bedrijfsspecifiek.

Bedreigingen

• systeemfouten o voeding ligt plat

availability of integrity als je files corrupt zijn • gebeurtenissen

o brand o stroomuitval

• intern o diefstal o wraak o meer dan 80% van de problemen zijn interne problemen o …

• extern o hackers o spionage o minder dan 0.001% van de incidenten

industriële spionage is een zeer populaire manier om aan interne informative te komen. Dit is een vorm van interne bedreigingen aangezien de werknemer diegene is die de informatie opzoekt en uitlekt aan een derde partij of de pers of…

• Vallen een of meerdere doelen aan • Kunnen zijn

o Toevallig o Kwaadwillig beraamd

• Gaan uit van o Agenten (personen of organisaties) o Gebeurtenissen

Bedreigingen “agenten”

• Entiteiten waarvan de bedreiging uitgaat • Zijn intern of extern aan het bedrijf • Kwetsbaarheid voor een agent wordt bepaald door zijn

o Toegangsniveau o Kennis o Motivatie

Gerben Rosseel

P a g i n a 3 | 18

waarom zou iemand waarden veranderen (zoals els gobin de punten kan veranderen van alle studenten)? Dus de motivatie is belangrijk!

“de ontslagen werknemer”

• Heeft toegang (nog steeds?) tot de organisatie • Heeft kennis over de werking van de organisatie • Heeft een sterke negatieve motivatie iemand die ontslaan is heeft plots motivatie om dit alles dus te doen.

“de hacker”

de stereotype hacker

• de blueprint opgevoerd door de media • is gebaseerd op reële figuren • vormt een rolmodel voor een bepaalde subcultuur

anonymous zijn geen bende hackers, anonymous zijn een bende rukkers (woorden van ameel).

• “hacker” vs “hacker” • script kiddies / wannabee • l337 h4x0r 700l$

bedreiging hoog door grote aantallen • hacker met veel kennis • hacker “ethics” (?!)

“Hoofddeksels”

• black hat o Black-hat hackers, or simply “black hats,” are the type of hacker the

popular media seems to focus on. Black-hat hackers violate computer security for personal gain or for pure maliciousness.

o Bijvoorbeeld: credit cards hacken en deze doorverkopen op de zwarte markt of criminele organistaties.

• white hat o White-hat hackers are the opposite of the black-hat hackers. They’re

the “ethical hackers,” experts in compromising computer security systems who use their abilities for good, ethical, and legal purposes rather than bad, unethical, and criminal purposes.

o Bijvoorbeeld: velen worden ingehuurd door een organisatie om hun systeem te ‘hacken’ om fouten aan het daglicht te brengen.

• gray hat o Very few things in life are clear black-and-white categories. In reality,

there’s often a gray area. A gray-hat hacker falls somewhere between a black hat and a white hat. A gray hat doesn’t work for their own personal gain or to cause carnage, but they may technically commit crimes and do arguably unethical things.

o Bijvoorbeeld: A gray-hat hacker might attempt to compromise a computer system without permission, informing the organization after the fact and allowing them to fix the problem. While the gray-hat hacker didn’t use their access for bad purposes, they compromised a security system without permission, which is illegal.

Gerben Rosseel

P a g i n a 4 | 18

hackers zijn noodzakelijk om security op een hoger niveau te brengen. Indien er niemand de beveiliging test is er geen aanzet om de beveiliging van bedrijven te verbeteren.

de ‘ethcical’ hacker

• goed of slecht voor de security • vb:

o security vs obscurity reed vele malen slecht idee gebleken

• penetration testing o verificatie van beveiliging o maar ook ongevraagd

• meldingsplicht? • Limited/full disclosure • Wetgeving? Ook international? • Soms grijze zone • Steeds “a thin line”…

Week 2

AACS encryption key controversy https://www.wikiwand.com/en/AACS_encryption_key_controversy

De iPhone controversy is ook belangrijk. Toen de NSA Apple om de code beval om iPhone’s te unlocken (terroristen). Apple weigerde

Niemand kan zeggen ik ga iets beveiligen en zeggen dit is veilig, dit kan niet. Niets is veilig, alles kan worden gehackt.

Bedreigingen “gebeurtenissen”

• Brand • Stroomuitval • Overstromingen • Diefstal • Aanslag

Hoeveel aanvallen zijn er nu bezig?

Norse attack map http://map.norsecorp.com/

Het is interessant om jouw bedreiging te zien, vanwaar deze komt en enige informative erover te hebben om risico te bepalen om te weten als je je moet beveiligen en hoe tegen wat allemaal.

Kwetsbaarheden

• Software vulnerabilities o Geen updates / foutief patch management

• Interne toegang o Misbruik machtigingen o Wraak / ontslaan werkenemer

Gerben Rosseel

P a g i n a 5 | 18

• Extern bereikbare diensten • Phishing / spear phishing

o The human factor

Phishing

• Meest succesvol entrypoint • Spearfishing

o = in plaats van een brede phishing aanval, een heel specifiek gerichte phishing aanval.

Leg uit defence in depth = examenvraag https://www.wikiwand.com/en/Defense_in_depth_(computing)

• Layered security • Strategie bij incidenten • Plannen en documenteren

Boek over security Belgian Cyber Security Guide (gratuit) inhoud van dit boek is te kennen!!

Week 3 BYOD

• Potentieel gebruik door derden in thuisomgeving • Deverse apps worden binnengebracht (malware) • Compatibiliteitsproblemen • Problemen met ondersteuning

Cloud / SaaS

• Personal / private / public Cloud • Afhankelijk van aanbieder ’hosted service’ • CIA analyse blijft relevant ‘in the Cloud’

o Confidentialiteit: PRISM Programma (van NSA) dat wordt gebruikt om inlichtingen te

vergaren uit gegevens van grote Amerikaanse internetbedrijven. o Beschikbaarheid?: internet carriers / overheden o Integreiteit?: malware / synolocker

Web security

• Een belangrijke attack surface / point of entry • Belangrijk naar reputatie • Cms-systemen (wordpress drupal joomla) • Sql injection • Authentication / escalation

o Escalation: exploiting a bug design flaw or configuration to gain elevated acces to resources that are normally protected from an application or user. Bijvoorbeeld in windows 95 kon je inloggen zonder username en wachtwoord door gewoon de login te cancelen.

• Cross site scripting o Kwaadaardig code invoer, bijvoorbeeld javascript, in webapplicatie om

cookies, sessies, etc. te stelen.

Gerben Rosseel

P a g i n a 6 | 18

• OWASP (www.owasp.org)

Industrial security

• Stuxnet o Programma dat de werking van bepaalde Siemens apparatuur op

schadelijke wijze beïnvloedt. • Andere prioriteiten CIA AIC • Langere levensduur van systemen • Moeilijker patchmanagement (conformiteit) • SCADA interface op ICT network voor ERP

o Is het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines in grote industriële systemen.

IoT security

• Security vaak afwezig of slecht geïmplementeerd • Privacy? • Cloud interface / versleuteling communicatie • Firmware updates vaak niet beschikbaar

o Of worden niet geïmplementeerd

Week 4 High availability

• Op netwerkniveau • Systemen • Clusters • Redundante servers (redundant = in overvloed) • Redundante server ruimte • Virtualisatie

Back-up

• Essentieel voor het beschermen van data • Concrete back-up policy • Disaster recovery plan

o A disaster recovery plan (DRP) is a documented process or set of procedures to recover and protect a business IT infrastructure in the event of a disaster

• Offline? • Beveiligd tegen aanpassingen (integrity) • Betrouwbaar • Beschikbaar (available) • Veilig opgeslegen (confidential)

o CIA model

Back-up media

• tape? o Medium voor bulk data storage. Tape is a sequential acces mediumn dus

ook al zijn de acces times laag, he ttempo van het continue schrijven or lezen van data kan heel hoog liggen (soms snelelr dan moderne hard drives).

• Harddisk

Gerben Rosseel

P a g i n a 7 | 18

o Low acces time, availability, capacity and ease of use are advantages. • Usb stick? • Cloud backup

o RAID IS GEEN BACKUP

Cloud back-up

• Wat met aansprakelijkheid • Wat met beschikbaarheid • Wat met vertrouwelijkheid

o Wetgeving • Wel zeer eenvoudig en gemakkelijk

Week 5 Back-up policy

• Back-up van frequency • Back-up strategie • Type van back-up

o Full back-up Je neemt alle gegevens en kopieert ze Nadeel neemt heel veel plaats

o Differentiële back-up Zal enkel de wijzigingen tegenover de full implementeren

o Incrementiele back-up Zal enkel de wijzigingen bevatten tegenover de vorige back-up

Beste is een full te nemen en dan steeds een incrementele; zonder full is een incrementele nutteloos.

• Opslag van back-up o Dicht bij de server voor snelle toegang o Op een andere locatie voor veiligheid

• Controle van integriteit • Testen disaster room • Grootvader – vader – zoonsysteem • Back-up rotatie • Archivering • Back-up met zowel

o Actueel zijn o Alsook voldoende teruggaan in de tijd

Belangrijk

• CIA gaat over de gehele lijn • Moet worden getest • Moet effectief uitgevoerd worden

o Want met goede voornemens…

Week 6 Beveiliging van toegang

Gerben Rosseel

P a g i n a 8 | 18

• Op basis van weten (Wachtwoorden): o Hoofdfletters kleine letters en cijers o Speciale tekens o Min lengte o Geen betekenisvolle begrippen o Beperkte geldigheidsduur o Niet opschrijven

• Beveiliging op ‘hebben’ basis o Smartcards o Dongles o Transponder o Digipass o Google authenticator

Grotere investering

• Beveiliging op ‘zijn’-basis o Iris scanner o Vingerafdruk o Stem

• Combinatie van o Verhoogt de veiligheid o Bij voorkeur op verschillende werkingsbasis

Bv: password en iris scanner

Fysische toegang

• Onvergrendelde schermen • Toeganscontrole serverroom • Hardware aanpassingen of diefstal

o Asset management software • Toegang tot het netwerk • Introductie van vreemde software • Opstarten vanaf andere media

Waarom gaan we gebruikers authentiseren? Het belang van authenticatie?

Accountability uitvoeren: verantwoording afleggen bv. Je hebt bepaalde privileges misbruikt.

Authentiseren op systemen, bij voorkeur met accounts (en niet met wachtwoorden op systemen).

WPA Enterprise zal toegang verlenen per account.

Er zijn privileges gedefinieerd = rechten.

Het escaleren van je rechten = Privilege Escalation = SLECHT!

Er zijn gebruikers die meer mogen dan een ander (bv. Forum)

1. Horizontale escalatie Laag gewone gebruikers die escaleren onder elkaar. Techniek gebruiker om jezelf een ander gebruikersaccount te geven en als dat account iets fout te doen. Dit is dus op hetzelfde niveau.

Gerben Rosseel

P a g i n a 9 | 18

Vb. Session hijacking

2. Verticale escalatie Verschillende gebruikers en die hebben ook verschillende gebruikersniveau’s.

Uzelf meer rechten geven dan je eigenlijk wel hebt. Bv. Plot een administrator.

Zowel horizontaal als verticaal: Cookies! SystemId is sequentieel. id prediction.

Social Engineering

Soms gebeuren de grootste inbraken etc. niet door technische kennis

De mensen op zich zijn de zwakke schakel. Het is onmogelijk om u hier deftig tegen te beveiligen.

• “The art of deception” (cfr Mitnick) • De menselijke schakel in security • Misbruik van inherente psychologische kenmerken van mensen • Vertrouwen, hulpvaardigheid, empathie, … • Pretexting

o Pretexting = een verhaaltje creëren zodat bepaalde zaken achteraf als normaal worden gezien.

o bv. Je belt je slachtoffer op • Vertrouwen in uniform, impersonatie • Over telefoon, gebruik van interne lijn, … • Over email, spoofing, …

Belangrijk lek van informatie

• Afval met gevoelige inhoud vernietigen • Voorzichtig zijn met vertrouwelijke info • Geen kritische info op toestellen of prikborden

Remediering

• Opleiding en waakzaamheid • Strikte security policy

Week 7

Afluisteren

Mogelijk via volgende media:

• Draadloos network o Wifi is natuurlijk geencrypteerd is dit dus veilig? Indien je op een netwerk

bevind kan je iemand anders zijn trafiek bekijken. Wifi is beveiligd met PSK.

Gerben Rosseel

P a g i n a 10 | 18

o Via https moet je een certificaat geven. Voor er ook maar enige vorm van communicatie is tussen de webserver en browser word die handshake plaats gevonden.

• Kabel o Via wireshark kunnen we alle verkeer gaan bekijken en informatie die als

plain tekst wordt doorgestuurd worden bekeken. • Sniffing

o Switch stuurt naar het de jusite poort, een hub stuurt naar alle poorten. Hierdoor is snuffen bij een hub makkelijker, maar deze worden minder en minder gebruikt. Sniffen kan je ook bij switches. Switch moet gewoon weten naar welke poort hij moet sturen. Hij kan dat leren en onthouden in de count table. Vooraleer hij het geleerd heeft zal hij het eerst naar elke poort sturen (zoals hub). Wanneer je een hele hoop onbestaande MAC-adressen stuurt naar de switch (MAC-Flooding) zal de switch niet weten wat er gebeurt en memory capacity = vol. Hij zal failen en zich gedragen als een hub.

• Hubs versus switches o Hub verstuurd verkeer over alle poorten, switch niet. Switch stuurt naar de

poort waarvoor het bedoeld is.

Remediering:

• Intelligente switches met port-shutdown • Encryptie

End to end encryptie; alles geencrypteerd van het begin tot eindpunt.

Er is een tendens naar web applicaties, managed services waar de dingen in de cloud staan.

MITM: Man In The Middle (openbare hotspots!), is vrij simpel implementeerbaar. Een voorbeeld van een tool om dit te doen is de Pineapple. Het is common place geworden. Iedereen wil op het internet. Niets houd je ook tegen om eender wlke naam te gebruiken zoals telenet hotspot of free wifi.

Virussen en malware

Gerben Rosseel

P a g i n a 11 | 18

• Bestandsvirussen (exe file en .com) • Bootsectorvirussen

o Bijna volledig verdwenen. Op het moment dat je een pc opstart van een diskette met virus blijft het virus in het geheugen en elk ander diskete dat je insteekt wordt aangetast.

• Macrovirussen • Wormen

o Heeft niets nodig om zich aan te hechten. Gaat een systeem infecteren en is een apart exe op zichzelf. Dit kan je effectief verwijderen.

• Virustechnologie o Polymorphisme o Hybride o Multipart o Stealth o Droppers o …

• Trojans • Spyware • Adware

o Advertenties pushen • Scareware

o “We hebben 20.000 virussen gevonden, klik op OK om dit op te lossen.” • BATS

o Acces tools met bedoeling de pc overnemen. Manueel via telefoon & teamviewer

• Ransomware • Hardware virii • Chernobyl virus

o 1ste virus die BIOS wist • Mogelijkheden met UEFI?

o POC UEFI “Bootkit” voor Win8… o POC Rakshasa, prakitsche aanval theoretisch mogelijk

• Hardware backdoor in toestellen • Rubber ducky

o Een product met een scipting taal. Bijvoorbeeld usb stick die een script runt als je hem in je pc steekt en bijvoorbeeld naar een website gaat, iets download en runt, etc…

o Graffiti • BadUSB

o Usb stick die je laptop echt gwn kapot maakt. o Vandalisme

Misleidende informatie

Manipulatie van informatie.

• Messagebox o Iedereen kan zich uitgeven als publisher: Microsoft.

• URL o Welke url zit er werkelijk achter een link

Gerben Rosseel

P a g i n a 12 | 18

o <a href=”site.evil-haxsor.whataver”>www.disney.com</a>

Wireless communicatie

• WiFi o Vrijwel overall aanwezig o Laptop, tablet … o Maar stopt niet aan eigendomsgrens

• Nfc • Bleutooth • Wireless keyboards …

Externe network bedreigingen

• Dos (denial of service) o Email bommen

Een overvloed aan emails sturen naar een adres in de hoop de server of mailbox te doen crashen.

• Mass mailing o Meerdere dezelfde mails sturen naar eenzelfde adres

• List linking o Een email adress inschrijving op meerdere list

subsriptions, de gebruiker moet zich dan manueel uitschrijven uit al deze mailbrieven.

• Zip bombing o Doordat antivirus zip files begonnen scannen was er

een nieuwe manier nodig. Oplossing een gigantische ext file zodanig gecompressed in een klein archive maar bij unzipping zou het een veel processing vragen, wat kon laten tot DoS.

o Repetitive login o Syn-flood

Bij een SYN flood wordt een groot aantal verbindingsaanvragen met een fout bron-IP-adres naar een server gestuurd. Voor iedere aanvraag reserveert een server bronnen. Als de server vervolgens een bericht terugstuurt om aan te geven dat hij klaar is voor de verbinding, wordt dit bericht naar het verkeerde IP-adres gestuurd. De server krijgt vervolgens geen bericht terug en terwijl de server op antwoord wacht, blijven de gereserveerde bronnen in gebruik.

Gerben Rosseel

P a g i n a 13 | 18

o Udp-flooding by sending a large number of UDP packets to random ports on a

remote host. As a result, the distant host will: • Check for the application listening at that port; • See that no application listens at that port; • Reply with an ICMP Destination Unreachable packet.

Thus, for a large number of UDP packets, the victimized system will be forced into sending many ICMP packets, eventually leading it to be unreachable by other clients.

o Ping of death De aanval wordt bewerkstelligd door middel van fragmentatie;

een ICMP pakket dat groter is dan de toegestane 65535 bytes wordt (in gedeelten) verstuurd. Wanneer de ontvangen fragmenten bij ontvangst opnieuw samengevoegd worden ontstaat een bufferoverloop waardoor de TCP/IP-stack kan crashen.

• Ddos o Denial-of-service-aanvallen en distributed denial-of-service-aanvallen zijn

pogingen om een computer, computernetwerk of dienst onbeschikbaar te maken voor de bedoelde gebruiker. Het verschil tussen een 'gewone' dos-aanval en een distributed dos-aanval is dat meerdere computers tegelijk de aanval uitvoeren naar hun doelwit.

o Moeilijk tegen te houden o Meestal zijn de”drones” geïnfecteerde thuis-PC’s

• Portscanning o Os fingerprinting o Detectie van gebruikte software

• Sniffers • Man in the middle • Spoofing

o Is het vervalsen van kenmerken met als doel om tijdelijk een valse identiteit aan te nemen. Dit kan bijvoorbeeld gaan om e-mail, website, IP-adres en biometrische kenmerken.

o IP spoofing, MAC spoofing, Email spoofing, …

Week 8 - 10 Encryptie

• Geheimhouding • Authenticatie • Integriteit

Traditionele encryptie

• Substitutie • Transpositie • One-time pad

Symetrische encryptie

• Geheimhouding • GEEN authenticatie • Eenvoudig

Gerben Rosseel

P a g i n a 14 | 18

• Snel • voobeeld: DES

• Block cypher van 54 bit • 16 encryptiecycli met telkens andere subkey • Bitlengte van de sleutel is bepalend, 56bit is • Tegenwoordig te laag

Tripple DES 2 of 3 sleutels

• Verhoogde veiligheid • Kan in hardware • AES / Rijndael • IDEA • CAST-128 • Blowfish (variabele sleutellengte)

Asymetrische encryptie

• Public key encryptie; voorbeeld RSA • Geheimhouding • Authenticatie • Werkt met sleutelparen

o Private sleutel o Publieke sleutel

• Zeer berekeningsintensief

Hashing

• = is een functie in de informatica die invoer uit een breed domein van waarden omzet in een (meestal) kleiner bereik, meestal een deelverzameling van de gehele getallen. Het is een vorm van pseudonimiseren.

• Message digest (= output data); voorbeeld: MD5 o MD5 (Message Digest Algorithm 5) is een veelgebruikte cryptografische

hashfunctie met een 128 bit-hashwaarde. MD5 is als internetstandaard gebruikt in vele veiligheidstoepassingen en wordt ook gebruikt om de integriteit van bestanden te controleren.

• Variabele inputlengte • Vaste outputlengte • Kleine inputvariatie resulteert in grote outputvariatie • Not reversible

Gerben Rosseel

P a g i n a 15 | 18

Diffie-Hellman exhange

= uitwisselen van een shared secret key

Laat het ontwerpen van crypto over aan professionals ! schneier’s law.

Penetration testing = bewustwording van security testen van security.

Je moet je afvragen wat er echt gebeurt en wat kan de hacker nu eigenlijk allemaal doen?

Black box testing White box testing = software testen zonder te weten wat de internals zijn. Zolang de functionaliteiten van de software niet veranderen zouden de testen moeten slagen. Tester weet wat het programma doet, maar weet niet hoe hij het doet.

Tests met al enige kennis over de applicatie/software. Er is als het ware al onder de motorkap gekeken vooraleer deze wordt getest.

Voordeel: • Efficient voor grotere segmenten

code • Code acces is niet noodzakelijk • Scheiding tussen gebruiker en

developer perspectives.

Voordeel: • Efficient in het vinden van errors • Laat het vinden van ‘hidden’ errors

toe • Helpt de code te optimalizeren • …

Nadeel:

• Gelimiteerde coverage omdat slecht een deel van de test scenarios gedaan worden

• Inefficiente test door tester geluk van kennis over de software’s internals

• Blinde coverage doordat de tester een gelimiteerde kennis heeft van de applicatie

Nadeel: • Kan ook geen missing features

vinden • Vereist veel kennis van de internals

van de software • Vereist code acces

Wettelijke beperkingen

Waar het op neer komt is als je al dan niet (een geschreven) toestemming hebt van de eigenaar van het computer systeem of website.

De stappen van penetration testing

1. Reconaisance / informatie verzamelen a. Langste fase (weken tot maanden) b. Internet searches, social engineering, dumpster diving, spear phising, …

Gerben Rosseel

P a g i n a 16 | 18

c. Algemene info d. Tools & attack surfaces

i. Google ii. Dns

iii. Sociale netwerken iv. Bedrijfssite

2. (network) scanning a. De omgeving scannen b. Nmap, portscanners, snmp, wireshark/sniffing c. Het vinden van zwakheden

3. Gaining acces / vulnerability assessment a. Doel is om inormatie te verkrijgen. b. Identificatie uit cve database c. Nexpose, retina/iris

4. Maintaining acces a. Eenmaal je acces hebt, moet je er ook voor zorgen deze lang genoeg is om

de informatie op te halen die je wilt verkrijgen. b. Explot, acces, penetrate c. opgelet naar beschikbaarheid/confidentialiteit & legaliteit

5. Covering tracks a. De stappen van de inbreuk verbergen b. Geen sporen nalaten

Exploits • Onderzoek door code

Reverse engineering o Reversing o Decompilers o Debuggers

• Reverse engineering

= Reverse engineering is het onderzoeken van een product (meestal een stuk software of een communicatieprotocol) om daaruit af te leiden wat de eisen zijn waaraan het product probeert te voldoen, of om de precieze interne werking ervan te achterhalen.

o Obfuscation Express het schrijven van duistere/moeilijke code zodat het moeilijk

is voor mensen om deze te begrijpen. Meestal omkeerbaar

• Fuzzing o Fuzz-testen of fuzzing is een techniek die de software van een apparaat

test. De techniek dient om programmeerfouten of beveiligingsgaten te vinden door willekeurige data, genaamd fuzz, in het systeem te sturen in een poging om het te doen crashen. Wanneer een kwetsbaarheid is gevonden zal de Fuzz-test de mogelijke oorzaak weergeven.

Gerben Rosseel

P a g i n a 17 | 18

• Onderzoek in debugger

• Registers inspecteren op resultaat

• Shellcode

o Shellcode in memory krijgen o Execution *ptr naar shellcode o een klein programma of een relatief korte serie instructies die een aanvaller

probeert uit te voeren op een computer die gekraakt wordt.

Opgelet! Endiannes

Het probleem van endianness treedt onder andere op bij bestandsformaten, communicatieprotocollen en registers in computerapparatuur. Er zijn verschillende manieren om dit probleem op te lossen. De eenvoudigste is door simpelweg te kiezen voor een bepaalde endianness, en apparatuur die hiervan afwijkt, de conversie zelf laten doen. Het internet is bijvoorbeeld big-endian. Alle apparatuur dient hier te communiceren

Gerben Rosseel

P a g i n a 18 | 18

volgens deze afspraak, zelfs als beide kanten van een verbinding normaal gesproken little-endian zijn.

Big endian Little Endian

De meest significante byte 4A wordt hier dus eerst geplaatst. Dit noemt men big-endian (ezelsbruggetje: "big end first"). Dit wordt onder andere toegepast in Motorola 68000, SPARC en IBM mainframes.

Hier wordt de minst significante byte eerst gezet, en dit heet little-endian (ezelsbruggetje: "little end first"). Dit wordt toegepast in MOS Technology 6502, DEC VAX, en Intel x86.