Datalekken: praktijkvoorbeelden

‘Datalekken: praktijkvoorbeelden’

Jeroen van Beek Security Bootcamp

12 maart 2014

Datalekken • Verschillende oorzaken  Technische kwetsbaarheden – Missende patches, bugs, … – Gaan we vandaag niet op in

 Onkunde / missende procedures – Onjuist redigeren – Metadata niet verwijderen – Niet-publieke gegevens publiek aanbieden

Jeroen van Beek www.dexlab.nl 12 maart 2014

2

Jeroen van Beek 12 maart 2014

3

Google dorks • “Google dorks” / “Google Hacking” • Google indexeert alles  Ook ‘per ongeluk’ gepubliceerde gegevens  Google Hacking Databases (‘GHDB’)  Specifieke zoeksleutels: – Zoek alleen in sites die eindigen op .nl – Zoek alleen in PDF’s – Vind spannende zoekwoorden


5

Google dorks, vervolgd • Videocamera’s:    


intitle:”Live View / - AXIS 210” inurl:view/indexFrame.shtml intitle:liveapplet inurl:LvAppl intitle:”i-Catcher Console - Web Monitor”

6

Google dorks, vervolgd • Koopcontracten:  filetype:pdf site:.nl negentienhonderd -statuten


7


8

Google dorks, vervolgd • Backups van databases:  filetype:sql "phpMyAdmin SQL Dump"

• Waarom interessant?  Dump van gebruikersnamen

• Waarom geen wachtwoorden?  Dan wordt het wel heel makkelijk

• Waar kijken we dan naar?


   

Z.g.n. wachtwoord-hashes Wachtwoord  hash = makkelijk Hash  wachtwoord = praktisch onmogelijk Toch kraken!

9

10

Google dorks, vervolgd • Lekke websites opsporen:  inurl:"id=" & intext:"Warning: mysql_fetch_assoc() site:.nl

• Vervolgens tools de kwetsbaarheden uit laten buiten en je kunt:  Mogelijk alle data stelen  Mogelijk alle data wijzigen en verwijderen  Mogelijk het systeem overnemen


11

Mobiele apps • ‘t Ultieme afluisterapparaat:


12

Mobiele apps, vervolgd • Grindr, dating-app voor mannen  Extra beveiligingslaag toegevoegd in 2012 – AES-versleuteling ingevoerd na eerdere hack – Sleutel wordt onversleuteld uitgewisseld

 Werkt op basis van GPS-coördinaten: – Tokens van 24 dichtstbijzijnde gebruikers worden doorgegeven – Token kan gebruikt worden om aan te melden • Toegang privéprofiel • Toegang chat-systeem: historie en nieuwe berichten versturen

– GPS-coordinaten te ‘spoofen’ • Matrix over Nederland / … • Alle gebruikers semi-realtime uit te peilen • Plot op Google Maps

 https://www.os3.nl/_media/reports/grindr.pdf Jeroen van Beek www.dexlab.nl 12 maart 2014

13

Mobiele apps, vervolgd • Grindr is niet uniek  Blendr  Tinder  Goeie suggesties uit de zaal? :-)

• Als jouw GPS-locatie gebruikt wordt kan ie lekken  Via kwetsbaarheden in de app  Via onversleutelde diensten van derden

• Als apps GPS-locaties gebruiken kunnen ze gespoofd worden Jeroen van Beek www.dexlab.nl 12 maart 2014

 In het voordeel van derden 14

Peer-2-peer • Software voor bestandsuitwisseling  Zogenaamde “peer-2-peer”-applicaties (p2p)

• “Even snel de laatste media binnenhalen”  Muziek, films, boeken, software, ...

• Een gebruiker deelt zelf ook bestanden  Vaak onbewust  Wellicht privacygevoelige informatie


15

Peer-2-peer, vervolgd • Server: index van alle bestanden • 1.000.000+ clients / server 2 1

3

4


5 16

Peer-2-peer, vervolgd 2

3

zoek paspoort serverlijst? 4

1,2,3,4,etc,100 Jeroen van Beek www.dexlab.nl 12 maart 2014

zoek paspoort

1

17

9 maart 2011

18

18

9 maart 2011

19

19


20

9 maart 2011

21

21


22

Jeroen van Beek 17 April 2009


23

Peer-2-peer, vervolgd • Mogelijke gevolgen voor uw organisatie  Paspoorten zijn slechts een voorbeeld – DigID-wachtwoord

– Creditcardgegevens – Belastingaangifte – Mailbox – Medische gegevens – Ontwerptekeningen – …


24


25


26


27

www.dexlab.nl 12 maart 2014

28


29

Conclusie • Denk goed na over welke data je aan wie en hoe ter beschikking stelt • Denk goed na over de voor- en nadelen van een dienst  Voor niets gaat de zon op…

• Een ongeluk zit in een klein hoekje


30

Vragen?


31

Bedankt voor de aandacht!


32

Datalekken: praktijkvoorbeelden

Recommend Documents