ICT-Security
C.A. (Casper) Sneekes Sales Consultant
Tel: 06-11 39 35 80
[email protected]
Hoffmann Bedrijfsrecherche • • • •
Sinds 1962 Marktleider in bedrijfsrecherche > 1300 onderzoeken per jaar, 75 medewerkers Bedrijfsleven, (semi)overheid en gezondheidszorg
• Deskundig, gecertificeerd, gescreend, (inter-)nationale ervaring en veelal met een politie- en/of onderzoeksachtergrond
• ICT-Specialisten: digitaal forensisch onderzoek, malware onderzoek en ethical hackers
Hoffmann Bedrijfsrecherche • • • • • • • • •
Diefstalonderzoek Fraude-onderzoek Contra-expertise Concurrentiebeding Corruptie en Steekpenningen Lekken vertrouwelijke informatie Digitaal Forensisch onderzoek Malware onderzoek Ziektecontrole
• ICT Security test (Pentest) • Pre-employment screening • Risico analyse
Inhoud • • • •
Cijfers & Actualiteit Wie zijn de hackers Hoe werkt het? Maatregelen
Cijfers Cybercrime • • • • • • • • •
Ruim 200.000 slachtoffers identiteitsfraude in 2012 Toename phishing bij invoeren IBAN 37.000 phishing aanvallen per maand 40% van de Nederlandse ondernemers zijn in 2012 geconfronteerd met cybercrime Ransomware gericht op bedrijven neemt sterk toe EU: Schade door cybercrime: € 290 miljard per jaar McAfee: € 8,8 miljard schade Nederlandse economie NCSC verwerkt 779 veiligheidsincidenten (Rijksoverheid en vitale sector 2013) Boete bij onvoldoende bescherming persoonsgegevens en niet melden data lekken tot € 450.000,-- (NL)
Actualiteit
Actualiteit
Risico’s Cybercriminelen: • Continuïteit bedrijfsvoering • Imago schade • Intellectuele eigendomen • Industriële spionage • Privacygevoelige informatie (wetgeving)
Medewerkers: • Lekken vertrouwelijke informatie • Bedrijfsgegevens • Derving • Fraude
Cybercriminelen • Gelegenheidshacker • Gerichte aanval • Trojans/virussen
• • • •
Lage loon landen Pakkans nog zeer laag Wetgeving onvoldoende Internationale samenwerking verbetert
Medewerkers • Fraude mbv ICT middelen • Het lekken van vertrouwelijke bedrijfsinformatie
• Stelen van bedrijfsgegevens • Social Media • Worden als middel ingezet
Middelen • • • • •
Hacken Phishing Spear-Phishing Datadragers Social Engineering
• Trojans/Virussen • Botnets
Doel
Schade • Reputatie • Financieel • Concurrentiepositie • Wet/regelgeving
Cybercrime - Doelwitten Drive-by attacks: • Kwetsbaarheid wordt bekend
• Geautomatiseerde scanners speuren internet af • Ontdekken kwetsbare systemen
Targetted attacks: • Vooropgezet doel om target te hacken • Combinatie van technieken: • Systeem attack • Social Engineering
• Physical attack
Hackers – Aanval op systemen Aanval gericht op systemen: • Standaard software / systemen • Eigen webapplicaties / portals
Op zoek naar bekende kwetsbaarheden: • Geautomatiseerd, handmatig
• Zero-day exploits
Op zoek naar slecht ontwikkelde code
Casus: Proletarisch webwinkelen Veilig internetverkeer tussen webwinkel en klant is meestal goed geregeld: • Ideal; • Keurmerk webwinkel; Gegevens zijn makkelijker te achterhalen nadat ze verstuurd zijn. Hoe staat het met de beveiliging van de achterliggende backend/database? • Zijn klantgegevens veilig opgeslagen op systeem? • Welke gegevens worden bewaard van klanten?
SQL injectie Een gangbare en effectieve methode om via de database van een webwinkel: • Login gegevens te verkrijgen • Klantgegevens te stelen/verwijderen/openbaar te maken • Het achterliggende netwerk te compromitteren
De techniek is gebaseerd op het manipuleren van invoer in de webwinkel.
• De hacker 'injecteert' database commando's (SQL) in een regulier invoerveld (bijv. “zoek artikel”). • Geen ingewikkelde tools, MS Internet Explorer is voldoende.
Structured Query Language (SQL)
Vraagtaal voor databases sinds “early 1970s” Select prijs from artikel where omschrijving = ‘hamer’ -> 15.95 Select prijs from artikel where omschrijving = ‘’’ -> Syntax error
Select prijs from artikel where omschrijving = ‘’ union select password from users where username = ‘admin’ -> S3cr3t ID
Omschrijving
Prijs
ID
username
Password
1
Hamer
15.95
12
Oscar
Welkom01
2
Zaag
19.99
21
Admin
S3cr3t
3
Bosch klopboor
125.00
23
Cms
Test2222
Casus: Proletarisch webwinkelen Op de website van onze klant (groothandel) kan naar artikelen worden gezocht
Casus: Proletarisch webwinkelen Wat gebeurt er als we in plaats van een getal een quote (‘) invoeren? Een foutmelding (i.p.v. “artikel niet gevonden”) geeft aan dat de site vatbaar is voor SQL injectie
Casus: Proletarisch webwinkelen Achter de schermen wordt invoer gebruiker verwerkt in query • Rode tekst is invoer gebruiker. • Uitvoer in de webpagina.
select naam, prijs from artikel where artikelid = ‘366278’ select naam, prijs from artikel where artikelid = ‘’’ select naam, prijs from artikel where artikelid = ‘0’ union select login, wachtwoord from klanten where ‘1’=‘1’
Casus: Proletarisch webwinkelen
Casus: Proletarisch webwinkelen
Binnen een paar uur: • Het beheer account en wachtwoord gestolen • Afleveradressen gewijzigd
De gehele klantendatabase gedownload: • Gestolen gegevens gaven toegang tot het gehele achterliggende bedrijfsnetwerk • Slechts één wachtwoord voor alle beheertaken
Typische kwetsbaarheden (1)
• Browsable folders (“Open dirs”): www.bedrijf.nl/download/dbbackup020613.txt
• “Verstopte” functionaliteit: www.bedrijf.nl/beheer/files/upload.asp
• Clientside validatie: • Browser valideert invoer gebruiker • Eenvoudig te omzeilen
Typische kwetsbaarheden (2)
SQL injectie • www.bedrijf.nl/artikel?id=10 union select passwd from users
Remote command execution • www.bedrijf.nl/showfile?f=readme.txt; curl intranet.bedrijf.nl
Path traversal • www.bedrijf.nl/download?f=..\..\..\..\..\boot.ini • www.bedrijf.nl/download?f=...\.\...\.\...\.\...\.\boot.ini
Misbruik kwetsbaarheden
Uploaden backdoor/tools • • • •
Aanvallen systemen achter firewall Netwerkverkeer afluisteren/tunnelen Open shares zoeken, (IT) documenten stelen Wachtwoorden kraken
Bij iedere stap komt de hacker in een comfortabeler positie • Uiteindelijk een (externe) systeembeheerder
Wat ziet de hacker?
Wat u achter uw bureau ook ziet ..
Ransomware - Screenlock
Ransomware - Crypto
Hackers – Social Engineering Zwakste schakel • Onwetend
• Welwillend • Naïef
•(Spear)phishing aanvallen
•USB Device dropping/sending •Telefonisch informatie onttrekken •Mystery guesting / inlooptest
Casus: Spearphishing
Casus: Spearphishing
Casus: Spearphishing
Casus: Spearphishing
Casus: Spearphishing
Casus: Spearphishing
Casus 2: Social engineering, phishing
• Uit open bronnen (website, LinkedIn) lijst namen samengesteld van onze klant. • Deze namen geverifieerd op de mailserver van klant. • Phishing e-mail verstuurd vanuit gespoofd e-mail account
Casus 2: Social engineering, phishing E-mail verstuurd met een link naar een gekopieerde Citrix login pagina op onze eigen server. Beste medewerker, De afdeling GIGA is afgelopen maanden zeer druk bezig geweest om de migratie van XP naar Windows 7 en de SAP-implementatie voor de gebruikers zo soepel mogelijk te laten verlopen. Dit is vrijwel voor een ieder vrij vlekkeloos verlopen. Echter verloopt de accountsynchronisatie tussen de Active Directory/Citrix en Windows 7 enerzijds en SAP anderzijds nog niet vlekkeloos. Dit in combinatie met het thuiswerken noodzaakt ons jullie te vragen om te controleren of jullie hier op de Citrix Portal ook hinder van ondervinden. Kortom, gaarne inloggen op :https://start.giga-abcd.nl Alvast dank, Hoofd ICT GIGA -----------------------------------------------------------------------------------------Dit e-mailbericht en enige bijlage is uitsluitend bestemd voor de geadresseerde(n) en strikt vertrouwelijk of anderszins wettelijk beschermd. In dit bericht vervatte opvattingen of meningen zijn uitsluitend die van de schrijver en niet per definitie die van ……. Indien u niet de geadresseerde bent, verzoeken wij u dit bericht en enige bijlage daarbij aan de afzender terug te sturen en alle kopieën ervan te wissen en te vernietigen. ………is niet aansprakelijk voor virussen in dit e-mailbericht en/of enige bijlage. …….kan op geen enkele wijze verantwoordelijk of aansprakelijk worden gehouden voor en/of in verband met de gevolgen van en/of schade ontstaan door het onjuist, onvolledig en/of niet-tijdig versturen en ontvangen van de inhoud van dit bericht. …… Handelsregister: 02008……
…
Social engineering: phishing
Social engineering: phishing • Binnen 30 seconden resultaat: - Gebruikersnaam: dgeve1 - Wachtwoord: H0nda4 • Binnen enkele uren nog 2 inlogcodes • Vervolgens inloggen op webmail van de gebruikers
Social engineering: phishing • Inloggen op de webmail van dgeve1 : • https://webmail.giga-....nl
Cybercrime > Cybersecurity Zorg voor voldoende beveiliging: •Periodiek testen
•Security Awareness Personeel •Classificatie informatie •Compartimentering systemen
Forensic Readiness:
• Backups • Logging • Procedures
AON / Hoffmann: Cyber Risk Quick Scan • Analyseren: Inzicht en overzicht van uw
Cyberrisico’s Security Risico’s binnen uw huidige dekking
• Beheersen:
• Bestrijden:
Het in kaart brengen, beheersen
Toetsen van uw informatiebeveiliging
en bestrijden van cyberrisico’s
van uw website dmv Hoffmann Pentest
Vragen?
Casper Sneekes Sales Consultant
[email protected] 036 – 52 33 000