Security 101

1

9 januari 2013Vincent Olsthoorn

Inhoud

• Security Dreigingen

• Hoe gaat een hacker te werk?

• Wat je moet weten over passwords

• Video: hacking (6 minuten)

2

Begrippen

Malware: kwaadaardige software (virus, worm, spyware, adware)

3

Zero-day: Exploit waarvan nog geen patch is uitgebracht

Vulnerability: zwakheid in software / security lek

Exploit: stuk software dat misbruik maakt van een vulnerability

Baiting: Geïnfecteerde data dragers doelbewust achterlaten

Phishing: Hacker die de identiteit van een organisatie misbruikt.

Social engineering: Misbruik van de grootste vulnerability: de mens

motivatie hackers

4

• Fun! (problem solving)

• Geld ( phishing, creditcardgegevens en Paypal accounts stelen )

• Contributie aan software/diensten

• Mensen die Politieke/religieuze meningen willen verspreiden (b.v.: misbruik van exploits uit Wordpress, Joomla, enz.)

• Geheime informatie stelen

• Concurentie uitschakelen

Security | Digitale dienst

5

software systeem netwerkinfrastructuur

Hacking methodiek

6

Informatie vergaringInformatie vergaring scannenscannen Vulnerability(s)

vindenVulnerability(s)

vinden ExploitatieExploitatie Sporen verwijderen

Sporen verwijderen

• Google!• website• vacatures• WHOIS • Social engineering

helpdesk bellen

Interviews Fishing baiting

• Netwerk in kaart brengen

• Tcp/udp Port scans (systeem)

• Versie detectie (applicaties)

• Load balacing testing

• Logs opschonen• History verwijderen• Exploit tmp bestanden

verwijderen

• Verouderde webservers?• Webapplicatie

XXS SQL injection

• Applicaties/diensten: Nessus:

vulnerability scanner

• Exploit toolbox!• Man in the middle• Packet sniffing• Webapplicatie

XXS SQL injection

OWASP• A1 – Injection • A2 – Cross Site Scripting /XSS • A3 – Broken Authentication / Session Management • A4 – Insecure Direct Object References • A5 – Cross Site Request Forgery • A6 – Security Misconfiguration • A7 – Insecure Cryptographic Storage • A8 – Failure to Restrict URL Access • A9 – Insufficient Transport Layer Protection • A10 – Invalidated Redirects and Forwards

7

password verzameling

• 2012: Yahoo: 400 duizend

8

• 2012: eHarmony: 1,5 miljoen

• 2012: Linked-in: 6,6 miljoen

• 2009: RockYou: 32 miljoen

Voorstel password

0l1F@nt VS olifantbradwurst

9

72^7 = 10^13 | 26^16 = 10^22

10^9 pogingen per seconde (desktop met high-end GPU)

10

Hacking video

http://www.deloitte.com/view/en_GB/uk/services/audit/enterprise-risk-services/aaeeeb6f047b3310VgnVCM2000001b56f00aRCRD.htm

11

Maatregels tegen hackers

• Beveiligen

12

• Detecteren• Reactie plan