Lector

Sprekers:

  • Dion Koeze
  • Seyma Irilmazbilek
  • Jan Rooduijn

intro

De overheid is gehacked door COATHANGER, een stealthy chinese FortiGate RAT Dit is gedaan door een chinese groep

Apparatuur waar aan de rand van de netwerk zit (zoals een router) zijn zwaktepunten en zo heeft iemand remote access gekregen. Het hacken van buitenaf word heel veel gedaan.

Afpersingen

Ransom ware : Software dat je machine op slot legt, dat je moet betalen om het terug te krijgen. Daarnaast kan je afgeperst worden zodat je data niet gelekt word op het internet/dark web

Mensen betalen voor deze data rond de €1000. 42% van de mensen hebben maar een backup, de rest is afhankelijk van de afpersing. 18% van Nederland betaald de afpersingen. En als je betaald is het nog de vraag of je de data terug krijgt. De gemiddelde aanval kost ongeveer €5.000.000 aan schade.

Stellingen

Het is je eigen schuld als je gehacked word

Om jezelf te beschermen is het handig om meerdere lagen van inloggen te invoeren, zoals Two-factor authentication.

Het is dubbel of dat het je kleigen schuld is als je gehacked word, soms dan ben je afhankelijk van iets of iemand.

Door kennis en informatie met elkaar te delen wordt iedereen veiliger

Informatie over wat je weet over veiligheid en hoe je gechacked bent kan goed zijn om met anderen te delen om hun te helpen

Cyberveiligheid is een makkelijk probleem om op te lossen

Dit is nog een best ingewikkeld probleem.

Cybersecurity bij de rijksoverheid

Politie

Vangt boeven die afpersen om hun te arresteren.

OM (openbaar ministerie)

Die prosecuten de criminelen aan om hun een straf te geven

AIVD (algemene infightings veiligheids dienst)

Ze gaan tegen de stroom in (?????) houd op cyber niveau de wereld veilig.

NCSC (Nationaal cyber security Centrum)

Gebaseerd in den haag. Zitten aan de verdedigende kan van cyberveiligheid van nederland. Ze hebben als klant rijksoverheid en vitale infrastructuur(spoorwegen, dijken, nucleaire centra, watervoorzieningen)

Is zelfstandig geworden sinds 2019.

DTC (Digital trust center)

Verdedigt de niet vitale sectoren zoals ZZP’ers.

WBNI (wet)

DE NCSC mag alleen wat doen als er een wet is gemaakt. Verplicht om incidenten te vermelden.

Crisis response (warme fase) er word onderzocht als een crisis is door een aanval om te kijken hoe het kan worden voorkomen

Informeren (koude fase) Als iemand ontdekt dat er een kwetsbaarheid in een systeem is kan deze het delen met andere mensen die dit systeem gebruikt

Adviseren (koude fase) Advies geven hoe je je kan verdedigen tegen aanvallen

Bruikbare informatie

Wat deelt het NCSC

SOC (Security Operation Centre): een bureau die het netwerk kan monitoren op verdacht verkeer of gedrag (Indicators of Compromise (IoC’s))

Chief Information Security Officer (CISO): Degene die verantwoordelijk is voor welke veiligheidsmaatregelen er worden genomen.

Meldingen en advisories

Er is een centrum die constant meldingen in de gaten houd, die kan een normale burger bellen om dingen te melden. Deze is 24/7 werkzaam

cert@ncsc.nl kan je bereiken over mail voor meldingen

Dagelijks advisories over kwetsbaarheden soort van bug tracker maar dan op cyber niveau: https://advisories.ncsc.nl/advisories

Er is ook een API met kwetsbaarheden, die je systeem weet zodat hij automated alerts kan geven https://vulnerabilities.ncsc.nl

Avans is niet een vitale infrastructuur, maar het betekent niet dat je informatie over veiligheid kan delen. Samen werken is goed voor een betere veiligheid. Surf is een systeem waar scholen zoals avans op zitten om veiligheid te verbeteren.

Hoe word een aanval gedaan?

Een aantal termen

Een kwetsbaarheid of vulnerability is een bug/misconfiguratie/fout/zwakte waarmee een systeem te misbruiken is.

Een exploit of Proof of Concept (PoC) is een stukje code die succesvol gebruikt maakt van een kwetsbaarheid.

Een Zero-Day is een kwetsbaarheid die nog niet bekend was bij de producent, er is nog geen mitigatie (oplossing).

Om kwetsbaarheden te documenteren en makkelijk over te kunnen praten krijgt iedere bekende kwetsbaarheid een uniek nummer CVE-yyyy-nnnnn (Common Vulnerabilities and Exposures).

Cyber kill chain

Er word een heel stappen plan uitgevoerd om een aanval op te lossen.

  1. Reconnaisance: Kijken voor informatie over de aanvaller (machines, geboortedatum, woonplaats, social engineering)
  2. Weaponization: een exploit gebruiken in een backdoor
  3. Delivery: De exploit sturen via mail, web usb etc.
  4. Exploitation
  5. Installation
  6. Command & control
  7. Actions On Objectives

CVE

In 2021 waren er 20.161 kwetsbaarheden gemeld. In 2022 waren er 25.059 kwetsbaarheden gemeld. in 2023 waren er 28.161 kwetsbaarheden gemeld.

Dit is een uitdaging omdat het er steeds meer worden, dus hoe weet je welke maatregelen er moeten worden gemaakt Als microsoft bijvoorbeeld een vulnerability vind, publiceren ze het CVE nummer

NIST (National Institute of Standards and Technology) houd een database met alle CVE’s bij: https://nvd.nist.gov/vuln

Traffic Light Protocol(TLP)

Hoe ga je om met gevoelige informatie

TLP:CLear: mag op het openbare internet. TLP:Amber: Alleen need-to-know binnen eigen organisatie en klanten. TLP:Green: Deelbaar om awareness te verhogen in een community (bedrijf, etc), niet openbaar op het internet. TLP:Red: Alleen voor jouw ogen en oren, met niemand deelbaar.

ACtief misbruik van zeo-day kwetsbaarheden

TLP:Green

Authentecation bypass: CVE-2023-46805
SSRF-kwetsbaarheid: CVE-2024-21893
Willekeurige commandos code ROOT
  • Wat is ivanti connect secure?
  • actief misbruik van zero-day kwetsbaarheden
  • waarom is dit een kritieke casus?

Ivanti pulse connect vpn, is hele oude software die makkelijk was om inloggen te omzeilen.

Tijdlijn NCSC

TLP:Amber

Misbruik als zero-day NCSC genotificeert: 9-1-2024 Doelgroepbericht: 10-1-2024 Publicatie ivanti: 10-1-2024

Grootschalig misbruik Doelgroep bericht en HIGH/HIGH(score, betekent erg problematisch): 11-1-2024 Notificatie Gecomprimeerde systemen: 11-1-2024 Notificatie malware infecties: 11-1-2024

derde zero-day NCSC Genotificeerd: 30-1-2024 patches beschikbaar: 31-1-2024 Incident response: 31-1-2024

Hoe snel een response is hangt af van de situatie, wie het verteld. Het hele internet word niet in de gaten gehangen, dat mag niet. Binnen de rijksoverheid is dit anders, binnenin word iedereen gescand of dat ze kwetsbaar zijn.

Als je iets op tijd verteld kan je een beloning krijgen.

Trendanalyse

TLP-Green Ivanti word op ingehakt maar citrix en fortinet(niet fortnite) blijven onder de radar terwijl deze ook erg kwetsbaar zijn. het zijn allemaal uitgebreide oude systemen.

Beloningen

Coordinated Vulnerability Disclosure (CVD) zorgvulig omgaan met kwetsbaarheden zelf beleid voor opstellen en delen: https://www.ncsc.nl/security.txt

Stimuleer om kwetsbaarheden in de systemen die jij bouwt te melden.

Apple: Er was een keer €20.000.000 uitgereken Rijksoverheid: een t-shirt met de tekst: “i hacked the government and all i got was this lousy t-shirt”

Weerbaarheid

Gewoon geen bugs meer schrijven

Jouw code doet niet altijd wat je wilt… gewoon goed nadenken?

Weerbaarheid verg veel meer:

  • mensen zijn integraal onderdeel van je systeem (ontwikkelaar en gebruiker)
    • Phishing is een grootgebruikte manier om binnen te komen in systemen, en ontwikkelaars maken zwakheden in je systeem
  • Principes om veilige systemen te ontwikkelen
  • Weet wat je moet beschermen (Te beschermen belangen)
  • Weet hoe jou dreiging eruit ziet (dreiginsmodel)

Hoe beveilig je jouw huis/apartement/kamer

Voorbeeld waar geen technische details voor nodig zijn:

  1. bedenkt welke maatregelen je neemt om je huis veilig te houden.
    1. een slot op de deur
    2. wachtwoord op de wifi
    3. Alarmsysteem (detectie).
    4. Wifi traffic monitoren.
    5. een rookmelder/CO(carbon monoxide) melder
  2. Bespreek met je buren welke maatregelen je neemt

5 principes die belangrijk zijn:

  1. maak het simpel
    • je moet weten waar je aan werkt, simpele code is simpel op te lossen.
  2. least privilege
  3. defence in depth
    • maak iedere stap veilig, iedere laag moet even veilig zijn
  4. segmentering / compartmentalisation
    • toegang tot 1 systeem betekent niet toegang tot het andere systeem
  5. Faal veilig
    • zoals een brandmelder; als de stroom uit valt, heeft het een interne batterij

Publicaties

https://www.ncsc.nl/documenten

Maak jij het veilig?!

Belangrijk om informatie met elkaar te delen, om ons beter te beschermen Neem weerbaarheid vanaf het begin mee NCSC helpt bij deze veiligheid