20121201 security 101 - vincent olsthoorn
Post on 29-Jun-2015
414 Views
Preview:
DESCRIPTION
Transcript
Security 101
1
9 januari 2013Vincent Olsthoorn
Inhoud
• Security Dreigingen
• Hoe gaat een hacker te werk?
• Wat je moet weten over passwords
• Video: hacking (6 minuten)
2
Begrippen
Malware: kwaadaardige software (virus, worm, spyware, adware)
3
Zero-day: Exploit waarvan nog geen patch is uitgebracht
Vulnerability: zwakheid in software / security lek
Exploit: stuk software dat misbruik maakt van een vulnerability
Baiting: Geïnfecteerde data dragers doelbewust achterlaten
Phishing: Hacker die de identiteit van een organisatie misbruikt.
Social engineering: Misbruik van de grootste vulnerability: de mens
motivatie hackers
4
• Fun! (problem solving)
• Geld ( phishing, creditcardgegevens en Paypal accounts stelen )
• Contributie aan software/diensten
• Mensen die Politieke/religieuze meningen willen verspreiden (b.v.: misbruik van exploits uit Wordpress, Joomla, enz.)
• Geheime informatie stelen
• Concurentie uitschakelen
Security | Digitale dienst
5
software systeem netwerkinfrastructuur
Hacking methodiek
6
Informatie vergaringInformatie vergaring scannenscannen Vulnerability(s)
vindenVulnerability(s)
vinden ExploitatieExploitatie Sporen verwijderen
Sporen verwijderen
• Google!• website• vacatures• WHOIS • Social engineering
helpdesk bellen
Interviews Fishing baiting
• Netwerk in kaart brengen
• Tcp/udp Port scans (systeem)
• Versie detectie (applicaties)
• Load balacing testing
• Logs opschonen• History verwijderen• Exploit tmp bestanden
verwijderen
• Verouderde webservers?• Webapplicatie
XXS SQL injection
• Applicaties/diensten: Nessus:
vulnerability scanner
• Exploit toolbox!• Man in the middle• Packet sniffing• Webapplicatie
XXS SQL injection
OWASP• A1 – Injection • A2 – Cross Site Scripting /XSS • A3 – Broken Authentication / Session Management • A4 – Insecure Direct Object References • A5 – Cross Site Request Forgery • A6 – Security Misconfiguration • A7 – Insecure Cryptographic Storage • A8 – Failure to Restrict URL Access • A9 – Insufficient Transport Layer Protection • A10 – Invalidated Redirects and Forwards
7
password verzameling
• 2012: Yahoo: 400 duizend
8
• 2012: eHarmony: 1,5 miljoen
• 2012: Linked-in: 6,6 miljoen
• 2009: RockYou: 32 miljoen
Voorstel password
0l1F@nt VS olifantbradwurst
9
72^7 = 10^13 | 26^16 = 10^22
10^9 pogingen per seconde (desktop met high-end GPU)
10
Hacking video
http://www.deloitte.com/view/en_GB/uk/services/audit/enterprise-risk-services/aaeeeb6f047b3310VgnVCM2000001b56f00aRCRD.htm
11
Maatregels tegen hackers
• Beveiligen
12
• Detecteren• Reactie plan
top related