“HACKEN” Net zo gemakkelijk als koken
Rudy Baving 08-10-2013 PLEIT 2013
Onderwerpen • Hacken • Social Engineering • Cloud Security • Hacking voor iedereen • Wachtwoorden (demo) • WiFi (demo)
Hacken Hacken is het vinden van toepassingen die niet door de maker van het middel bedoeld zijn, speciaal met betrekking tot computers. Complexiteit speelt hierbij geen rol, integendeel, gemakkelijke en snelle alternatieve oplossingen hebben de voorkeur. Ook het gebruik van een wasknijper om te voorkomen dat je broekspijp tussen je fietsketting komt is in principe een hack. "Gewone" uitvindingen en verbeteringen zijn dus geen hacks, zolang ze gebruikt worden waarvoor ze gemaakt zijn.
Bron: Wikipedia
Hacken Eén van de meest belangrijke aspecten van hacken is informatie! Net als in uw beroepsgroep is informatie de “key to succes”. Hoe meer informatie een hacker heeft, des te meer hij kan doen.
Social Engineering Social engineering is een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. De aanval is erop gericht om vertrouwelijke of geheime informatie los te krijgen, waarmee de hacker dichter bij het aan te vallen object kan komen. Bron: Wikipedia
Social Engineering Voor een hacker is social media DE plek om informatie over zijn / haar “target” te verzamelen. Bedrijfspagina’s van Facebook, Twitter, LinkedIn en dergelijke zijn een zeer belangrijke bron van informatie http://www.dnamc.nl/profiles/blogs/nederland-internetkampioen?xg_source=activity
Social Engineering Voorbeeld: Piet Janssen heeft een LinkedIn pagina. Op deze pagina staat vermeld dat Piet bij advocatenkantoor “Lawyers R Us” werkt. Piet heeft ook een persoonlijke Facebookpagina met wat meer persoonlijke gegevens. Tevens heeft Piet een account op Schoolbank. De hacker kan nu bellen, en zich voordoen als een oud studiegenoot. De informatie die de hacker heeft gevonden gebruikt hij / zij om het vertrouwen van Piet te winnen. Doel is om meer informatie te verzamelen over Piet zijn bedrijf “Lawyers R Us”.
Cloud Security De 'cloud' maakt gebruik van internet voor toegang tot gedeelde resources. Hierdoor verandert de wijze waarop we digitale informatie tot ons nemen, delen en gebruiken, omdat de toegang tot informatie en rekenvermogen gemakkelijker, sneller en betaalbaarder wordt en, onder de juiste omstandigheden, veiliger.
Cloud Security “oude situatie” DATA
Prive / Intern
Cloud Security “nieuwe situatie”
DATA
Cloud / Extern
“nieuwe bedreigingen”
Hacken voor iedereen Hacken is niet moeilijk, het enige wat je moet weten is de techniek die achter computers schuilgaat. Koken is evenmin moeilijk…. Ow, je weet niets van koken? Geen probleem, vraag het Google! https://www.google.nl/#q=hoe+leer+ik+koken Vraag Google eens hoe je moet leren hacken….. https://www.google.nl/#q=hoe+leer+ik+hacken
Hacken voor iedereen Maakt het doorlezen van al die Google resultaten je nou de volgende Gordon Ramsey? Nee, maar je kunt allicht een goed (lees eetbaar) maal bereiden! En word ik door Google een volleerd hacker? Nee, maar je hebt wel een mooi begin, en kunt al dingen stukmaken! Dat stukmaken noem je dan DDOS, en je bent gelijk “1337”.
Hacken voor iedereen - Wachtwoorden Wachtwoorden in RAM • Voordat je je aanmeldt op je computer, toets je je inloggegevens in. Dit gaat van je keyboard naar het RAM, naar je processor, en vandaaruit wordt het versleuteld….. • Alle wachtwoorden die je ingetikt hebt, staan dus UNENCRYPTED in je RAM….. • Dus ook alle inloggegevens met betrekking tot internetbankieren etc.
Hacken voor iedereen - Wachtwoorden Wachtwoorden in RAM DEMO Mimikatz, een tool om logon wachtwoorden te achterhalen Benodigdheden:
Mimikatz tool
Commando’s:
Mimikatz # privilege::debug Mimikatz # inject::process lsass.exe sekurlsa.dll Mimikatz # sekurlsa::logonPasswords full
Bron: Google
Hacken voor iedereen - Wachtwoorden Mimikatz in de praktijk! U download en leest een PDF bestand, welke geïnfecteerd is met Mimikatz. Mimikatz wordt op de achtergrond uitgevoerd, en gaat op zoek naar alle wachtwoorden in RAM. De wachtwoorden worden verzameld en doorgemaild naar de hacker…. Tijd nodig voor een volleerd hacker: < 10 minuten Tijd nodig voor de volgende Gordon Ramsey: 60 minuten…..
Hacken voor iedereen - Wachtwoorden Hoe dit te voorkomen? Laat nooit je computer onbeheerd achter Gebruik adequate antivirus en firewalloplossingen Sluit je computer na gebruik af, dit wist het RAM En bij afsluiten bedoelen we dan ook: • AFSLUITEN • POWEROFF • SHUTDOWN
Hacken voor iedereen - WiFi WiFi Makkelijk verbinden, sterk wachtwoord erop en niemand die mijn info kan “sniffen”! Wachtwoord niet nodig, alleen de naam van je netwerk is voldoende…..
Hacken voor iedereen - WiFi Uw laptop en / of smartphone scant (probing) of het bekende netwerken kan vinden. Een hacker scant de lucht, op zoek naar deze zogenaamde “probes”. Hij kiest een netwerknaam, en noemt zijn eigen draadloze router exact hetzelfde. Geen wachtwoord nodig om op zijn valse draadloze router te komen. Laptop en / of smartphone “kent” de naam, en wil connecten.
-> Man In The Middle!
Hacken voor iedereen - WiFi Man In The Middle
Hacken voor iedereen - WiFi DEMO WiFi router naam ontdekken Benodigdheden:
KALI linux (gratis) Een goede WiFi adapter (circa 10 euro) Een goedkoop draadloos routertje (circa 20 euro)
Commando’s:
iwconfig iw reg set BO airmon-ng start wlanX airodump-ng mon0
Hacken voor iedereen - WiFi Hoe dit te voorkomen? Wanneer je een verbinding maakt naar een “onbekend netwerk” zorg er dan voor dat je na de sessie het netwerk “vergeet”. Zo roept je laptop en / of smartphone niet de hele tijd al die netwerknamen.
Vragen?
Bedankt! Bedankt voor uw aandacht! TSTC wenst u een prettige en vooral leerzame voortzetting van PLEIT 2013!
Tshukudu Technology College (TSTC) – Plesmanstraat 62 – 3905 KZ – VEENENDAAL T: (+31)(0)318 58 14 80 - F. (+31)(0)318 55 22 03 - W. www.tstc.nl