These notes arent complete
These notes are uncompleted and can miss certain key information. Because the presentation wont be published i am not able to fill those gaps.
“Think like an attacker” For gosh sake LOCK YOUR MACHINE WHEN YOU STEP AWAY
This lecture will quite possibly have overlap with lecture 22.02 - Cyber warfare
Intro
Elke dag worden er mensen gehacked. Hoe zorg ik ervoor dat ik geen voorbeeld ben?
Lector
Een white hat hacker bij het bedrijf secura Tester voor dingen zoals ziekenhuizen en kernreactoren
About secura
bestaat sinds 2000 digitale beveiligings specialist 100 security experts
Agenda
- intro about hacking
- how we look at you
- Layers of the attacker
- including examples and demos
- pentesting, what is it?
- real world cases that were very bad
- developers to the rescue
- putting it all in practice (skipped)
- wrap up
What is hacking?
Hacken is kijken hoe je iets zoals een site kan breken. Kan je code in een tekst veld zetten?
Een hardware hack voorbeeld is garages hacken. Is het mogelijk om die van mijn buurman te openen met die van mij. hacken is kijken of dingen werkt terwijl je het niet weet of het werkt.
Een beeld van een hacker is anders dan in media, het is geen shady persoon of iets.
Soorten hackers
Er zijn verschillende soorten hackers:
- black hat hacker
- Een “slechte” hacker, die zie je meestal in het nieuws
- white hack hacker
- hackt preventief, om te voorkomen dat dingen niet misbruikt worden. zorgen voor bescherming
- gray hat hackers
- een mix van allebei, je krijgt regels als je dingen test bij een bedrijf. deze dingen breken doen gray hat hackers.
Who are these hackers?
- script kiddies
- zijn vaak onderschat, testen scripts en kijken of ze werken
- hacktivist
- hacken uit een overtuiging, ideologisch
- cybercriminal
- black hat
- state sponsored
- hackers van de staat, zoals de CIA
motives
- geld
- hacktivism (ideologies)
- bragging rights / satisfaction
- responsible disclosures and hacker ethic
- curiosity / thrill seeking
- revenge / angry at the target for various reasons
- and there is “cyber warfare” and state actors or espionage
Threats all over
De volgende dingen zijn vormen van hacken:
- hacking
- ransomware
- social engineering
- phising
- theft
Why hack an university?
- data theft and exploitation
- je cijfers verbeteren, of persoonlijke data jatten
- ransomware / disruption
- zorg ervoor dat toetsen niet werken
- bragging rights
- “Ik heb gewoon mijn school gehacked, cool hè?”
Layers of the attacker
De lagen van aanval bestaan uit de volgende:
- Public sources(osint)
- internet facing
- web servers
- internal network
- intranet
- Real life example
- cloud
- crm
- local access
- programs and files
Public sources (osint)
wat gebeurt er in zon fase: het is voro het grootste deel informatie verzamelen
email addressen formateren: kijken of je voor kan doen als een baas
kijken naar wachtwoorden die zijn gelekt :kijken voor een backdoor door een oud wachtwoord te gebruken
mapping off external and internal attack service
3rd party relationships sensitive information in documents
Social media is een perfect entry point, maar die wroden vaak niet door white hats gebruikt
What can you do(public sources)?
follow internal policy or create procedures for information disclosure houd je digitale footprint zo klein mogelijk. deel bestanden via email en geen linkjes die de bestanden zelf disclosen geen gevoelige data versturen via een onbetrouwbare file transfer encrypt geboelige data met een wachtwoord
Classificeer documenten en emails door de volgende lijst: public, internal, confidential, trade secrets.
Deel niet je vakantieplannen op social media.
Publicly available tools
“what information can be found without touching the servers?“
crt.sh
Door een certificaat kan je zien dat een website betrouwbaar is. deze zijn bekend en openbaar bij uitgevers. met deze website kan je kijken welke certificaten openbaar zijn en de onderliggende websites.
dnsdumpster
vul in een webstie en het laat zien welke dns ips onder de websites staan. hierdoor kan je kwetsbaarheden vinden en de informatie over deze websites.
hunter.io
voor phising campagnes Het geeft een lijst van emailadressen onder een website domein. nu kan je kijken of deze emailadressen gelekt zijn voor wachtwoorden
have i been pwned
Op deze website kan je kijken of je email adres gelekt is over de jaren heen. Bedrijfsnaam + seizoen + jaar kan je goed een lek vinden
shodan.io
De google voor hackers. Kan je zoeken op publieke data die op het internet staat. Als er iets op het internet staat kan je hier hiermee vinden. Bijvoorbeeld: screenshots, camera’s, webcamera nucleare reactors etc. Je kan filteren op landen door er bijvoorbeeld nl achter te zetten
“shreenshot.label:webcam” laat je leuke webcam plaatjes zien “country:nl” filtert op nederland “*.website.com/nl/net etc” kan je alles laten zien van een bepaald domein “screenshot.label:ics” kan je waterpompen etc zuidoost azie heeft veel default passwords
Wat belangrijk met deze website: wanneer ben je strafbaar? Zolang je rondkijkt naar openbare plaatjes is het prima. Maar als je naar het ip gaat en je klikt op knoppen of je probeert in te loggen dan ben je trafbaar.
Als ik het doe, ben ik dan traceerbaar? Ja, je ip adres word gelogd in de website. Dit ip is niet direct naar je huis te tracken. Deze gaat naar je internet provider (isp). Deze kan zeggen waar het vandaan komt. Een vpn kan je direct masken. Maar een provider kan je ip nogsteeds geven. GEBRUIK TOR OM JE IP TE MASKEN, dat maat het veel moeilijker.
Overige
whois (cmd utility) Google
real time threat map (urls)
https://threadmap.checkpoint.com Laat je zien van waar naar waar aanvallen worden gedaan
https://horizon.netscout.com) Laat DDoS aanvallen zien van over over de wereld (deze laat erg veel zien)
In Nederland
In Nederland zijn er duizende ip adressen openbaar die kunnen worden gebruikt in een botnet.
Een botnet
Een botnet is een systeem van geĂŻnfecteerde machines die kunnen worden gebruikt voor een gegroepeerde aanval (Ddos)
Attacks on internet facing systems
Als je website openbaar is kan het 24/7 aangevalt worden door requests. Dit kan google zijn die je website indext, of mensen die handmatig je website proberen te kraken.
Question
Kaspersky heeft een honeypot ingesteld. Honeypots zijn systemen die gemaakt zijn om hackers te pakken door voor te doen als een machine. Hoe vaak word zon honeypot op 1 dag aangevallen? 8.000.000 keer per dag word zon honeypot aangevallen (320,000 keer per uur)
What can you do?
Wat kan jij doen om je te beschermen tegen internet aanvallen?
- Catalogiseer alle apparaten → complete CMDB
- kijk wat in je thuisneterk hangt en kijk hoe je dit systeem kan beschermen
- Restrict communication between internet-facing servers and the internal work
Een paar low hanging fruit opties:
- do not disclose versions of services
- ensure that all servies are running on the latest security patches
- minimize the number of internet-exposing services (open ports)
- multi factor authentication / single sign on
- robots.txt
Robots.txt
een website heeft meestal een bestand genaamt robots.txt Webcrawlers kijken hier naar wat er niet gecrawld moet worden. Maar als een persoon hier naar kijkt kan die zien wat hij misschien kan aanvallen (admin dingen)
Attack from the internal netwrok
After the “initial access phase”
Je kan toegang krijgen tot een intern netwerk door bijvoorbeeld:
- Door een zwakheid in een internet-facing apparaat
- Phising
- Connecting on a companies wi-fi
- Breek physiek in en verbind met het internal network
Example: internal network access
no information received from customer only indemnification is present Alles wat je doet mag wel Black blox/ only true hacker perspective
Ze gingen de parkeerplaats binnen en verbinden met het wifi netwerk (met de naam internal). Ze keken of ze het wachtwoord konden krakan (staat, seizoen, naam van het bedrijf + nummers, geboorte datums) binnen een half uur waren ze binnen het eerste wat ze deden was een port scan draaien. In dit netwerk gingen ze het netwerkverkeer afluisteren. Kijken voor wachtwoorden. Een ding wat ze voorbij zagen komen was er een authenitcatie van microsoft. Ze deden zich voor als printer en spamde zichzelf zodat de printer werd gekozen waardoor ze een versleuteld wachtwoord kregen.
Hoe lang duurt het om een versleuteld wachtwoord te kraken van een hash? Met de grote computers van hun bedrijf kunnen ze 100.000.000 wachtworden per seconde proberen.
een ! of 01 aan het eind toevoegen maakt niet veel uit voor zon apparaat, op het internet werkt het wel.
How long did it take to crack it?
Het duurde 5 minuten om het wachtwoord te kraken.
Dit is een lijst van hoe lang het duurde een paar jaar terug om een wachtwoord te kraken
In 2 jaar tijd is deze lijst 48 keer sneller geworden. Dit is natuurlijk afhankelijk van wat je rekenkracht is.
Menselijke wachtwoorden zijn erg makkelijk om te kraken door menselijke patronen. Een wachtwoord is net zo sterk als zijn zwaktste account.
Aws kan je gebruiken om wachtworoden te kraken op een snelle snelheid voor €30/uur
What can you do?
Een wachtwoord voor je password manager moet lang en sterk zijn, anders kunnen hackers bij je wachtwoord. JE hoeft het niet te onthouden, sla het ergens veilig op. What is a safe password? long names
Netwerk segmentatie
Deel het op zodat je niet gelijk toegang krijgt tot alle delen door het te compartmentalisen
Hardening of individual components
os, network, endpoints, servers, databases.
Honeypots for detection
slide skipped too quickly
Low hanging fruit
slide skipped too quickly
Attacks from the cloud
- Access control or misconfigured permissions
- vaak worden er nog wachtworden in plaintext ergens opgeslagen. Als je dit krijgt kan je misschien raden wat een wachtwoord voor iets anders is.
- vulnerable virtual machines
- CI/CD exposure (krijgen we nog vaak op school)
- Insecure API
- Unintentional storage exposure
- Often limited monitoring or logging
- Als er een datalek is en zijn alle sporen niet opgeslagen is dat zeer vervelend, maak voldoende logging voor alles
What can you do?
- Keep IAM simple and easily verifyable
- USe the principle of least privilege.
- USe cloud naitive tools
- for monitoring traffic, updating vms and vm EDR
- scan your environment for credentials using public tools
- create long lasting immutatble backups
Attacks from the local system
Als je een keer naar de wc gaat en je locked je laptop niet, dan kunnen mensen bij je pc gelijk.
Een stroper zijn pc was gepakt, hij had het afgesloten en volledig gewiped. zijn computer had een cache van de bestanden nog wel. Hierin stond een thumbnail van de images
-
reading files or cached information on the system can give many useful information.
-
Do ram dumps of specific processes
- In je ram staat je geheugen, als je inlogt op een website word het opgeslagen in je ram. Dit kan je uitlezen met software.
De politie bevriest de ram kaart, letterlijk onder 0 graden. Voor 5 minuten staan de bits hetzelfde(doordat het zo koud is) en zo kan je het uitlezen voor een korte tijd
- USe apps for malicous purposes
- powershell kan je gebruiken om slechte commandos uit te voeren als je toegang hebt
- abuse apps for malicious purposes
- extract password databases for offline cracking
- browsers slaan je wachtwoorden op in plaintext
What can you do?
- run apps and services with lowest privileges
- scripts shouldn’t be running as administrator
- Harden applications and other software on the system
- Use endpoint detection and response
- log security-based activities
- USE LOGGING USE LOGGING MAKE LOGGING EVERYWHERE LOG EVERYTHING
- AppLocker
- store credentials in password manager.
- Do NOT store credentials in plaintext on a system.
Physical access
Even more opportunities:
- Bluetooth/wi-fi
- USB
- Rubber ducky: er zit een microSD in die zodra je het in een laptop zet word de script uitgevoerd. Het word niet als usb gezien maar als toetsenbord. USB’s worden niet automatisch uitgevoerd, maar toetsenborden wel.
Hoeveel tijd je hebt om te reageren verschilt per rubber ducky. Maar ga er van uit als je een rubber ducky in je systeem hebt gestoken dan moet je ervan uit gaan dat je machine is gecomprimeerd.
Een rubber ducky kan 20 euro kopen.
Bonus: https://hackertyper.net
- Rubber ducky: er zit een microSD in die zodra je het in een laptop zet word de script uitgevoerd. Het word niet als usb gezien maar als toetsenbord. USB’s worden niet automatisch uitgevoerd, maar toetsenborden wel.
Hoeveel tijd je hebt om te reageren verschilt per rubber ducky. Maar ga er van uit als je een rubber ducky in je systeem hebt gestoken dan moet je ervan uit gaan dat je machine is gecomprimeerd.
Een rubber ducky kan 20 euro kopen.
- BUS on motherboard
- Remove hard disk
- Direct RAM attacks
- BIOS
- start eerst de usb stick op dan de harde schijf. Bescherm je schijf door je bios te locken
DoS met fysieke toegang is natuurlijk ook mogelijk.
What can you do?
- Limit physical access
- + L to lock your device
- Do not leave devices in cars or insecure locations, leave it in a locked place
- do not plug in random usbs
- USe system settings to disable certain interfaces whitelist certain usb devices
- BIOS hardening, use passwords
- Encrypt the hard disk
- OS Configuration to prevent DRAM attacks
The human that interacts with the system (social engineering)
Een aantal angle of attacks binnen social engineering zijn onder andere:
- phishing attacks
- tegenwoordig worden qr-codes vaak gebruikt om de url te masken
- social engineering physically or digitally
- malicious usb sticks (keyloggers)
- weak password abuse
- typical “oh oops” mistakes you can abuse (e.g. password in an e-mail)
- “whoops, i sent the contracts of all my employees to everyone!1!!!!”
- shoulder surfing
- meekijken wat de gene naast je doet, bijvoorbeeld in de trein.
ik kijk naast me en iemand was bezig met een cryptobeurs met bepaalde financiële zaken, kijken naar outlook, mails van collegas etc. ik kijk naast me en iemand was bezig met zijn email. Zijn positie was verwerken van gegevens van het ministerie van defensie. Hij was bezig met betrouwbare informatie versturen naar de koninklijke marrichusse.
- meekijken wat de gene naast je doet, bijvoorbeeld in de trein.
Example: the human factor
“Thank you for your assistance”
Do you check who is tailgating you?
- Wie loopt er met jou mee een deur in, houd je de deur open?
- groepje mensen rookt. ga erbij staan en loop mee terug naar binnen. (niet aangeraden als je niet rookt)
What did secura achieve in the past?
In een ziekenhuis hadden ze een medisch apparaat. Bij de receptie gaven ze aan dat ze een software update van hun apparaat uitvoeren bij hun auto. (lol) Ze liepen ergens binnen zonder pak, iemand hield hun tegen en zei “je hebt geen pak aan, hier kan je een pak vinden en je mag verder”. Een printer, tussen de printer en de netwerk kabel kan je een raspberry pi ophangen. Dit doet zicht voor als printer en luistert rustig die printer af voor wachtwoorden etc. De vrijwaarding: als je op locatie bent kun je tonen dat je dit doet voor een onderzoek. laat een brief zien dat je toestemming hebt met een telefoon nummer zodat die het kan vertellen. soms checken ze niet wie er aan de andere kant van lijn zit, zo kan iemand van jouw team zich voordoen als iemand met autoriteit.
In een bibliotheek hebben ze medewerkers pasjes. Deuren gaan automatisch open en dicht binnen 8 seconden. Ze lazen een boek, hielden de deur open met hun voet, en liepen binnen in de medewerkers ruimte. Ze liepen in de it afdeling en maakten foto’s van hun mail als proof. Ze zagen een unlocked laptop en namen hem mee naar iemand die er van af wist. Het duurde 20 minuten voordat iemand er naar kwam vragen. Archiefkasten kunnen makkelijk open met een loper. Een bak waar vertrouwde info in word gegooit om vernietigt te worden open te lockpicken.
could you let me in please?
-
What are typical reasons for strangers to present themselves to your company? Could i fake any one of them? i only need one after all where to get information
-
What if im wearing a corporate invisibility cloak?
- Verkleed als politie
- pasjes van het internet jatten, voor fotos.
What can you do?
- create “wanted” human behavious
- no pasword notes
- have a good password policy
- LOCK YOUR PC LOCK YOUR PC LOCK YOUR PC
- make security user friendly!
- dont rotate your password again too frequently, it leads to unoriginal passwords
Ransomware
Actors
Een ransomware team bestaat uit een groep mensen die soms een gebouw afhuren.
it consists of the following team:
- Any orginisation (the target)
- E.G. a shcool
- initial access brokers
- look for vulnerabilities within the target
- Ransomware affilitates
- Know how the ransomware works and create it using the initial acces brokers
- Ransomware operators (developers)
- they make the ransomware and develop it
The targets pay the operators Access brokers sell information to affiliates. The operators pay the affiliates a cut The affiliates are the “customer support”
Pentesting
PEntesten is het hacken van iets en een report erover schrijven voor je bedreif HEt bestaat uit de volgende stappen
- Reconnaissance
- kijk of je binnen kan komen
- Scanning
- scan de systeem
- Exploitation
- kijk of je exploits kan vinden
- Post exploitation
What hackers do
- think outside the box
- dont limit yourself to the designed application flwo
- insert unexpected input (invalid input, null byte)
- Send Http requests directly to the webserver instead of the expected buttons/fields
The case of NOTPETYA (“ransomware without a key”)
One of the most devastating attack ever
Mensen in oekraïne werden wakker met het bericht dat hun computers waren gelocked en moesten betalen. De belastingsysteem van oekraine was geinfecteerd een programma genaamd “M.E. Doc” was geinfecteerd bij de developer De automatische update functie stopde de update op iedereens computer
Damages
Total: 10 miljard (10.000.000.000.000) dollar
How could this happen
- The supplier was vulnerable
- the software performed automatic updates
- stolen credentials were reused on other systems
- systems were not patched for “eternalBlue”
- march 14 2017 - Paches made available by microsfot
- june 27 2017 NotPetya outbreak (105 days later…)
How to prevent yourself?
Don’t reuse login credentials (also no minor changes please)
DONT BE THE LOW HANGING FRUIT
HAck bij de gemeente hof van twente veroorzaakt door te timpel wachtwoord Twente had betaald in bitcoin, ze kregen hun geld terug maar de waarde was gestegen (lol, goeie investering)
One bad certificate lead to disaster
Digistore certificate
The vault
- Climate controlled (cold)
- secure
- multiple doors, card system
- it was a hassle, so a network connection was made
- een van de webservers was compromised waardoor een hacker toegang kreeg
One small connection cant be that bad?
- hacker compromised a webserver which led to a compromised database servers, wich lead to office network access.
- Open firewall connection between databaseserver and work station in the vault
- Workstation compromised due to shared credentials on multiple (compromised) machines
Developers to the rescue
Heel veel bedrijven vinden security belangrijk. maar 15% doen maar tests…
Bedrijven moeten dit beter doen, door bijvoorbeeld programmeurs die betere beveiliging implementeren
Question
Why would programmers (un)intentionally develop vulnerable software?
- lazy prorammers
- backdoors placed by them
- ignorance
- speed to market
- not a (legal?) requirement
- overestimating user’s knowledge(ignorance)
- criminal intent
Security as a process
as security threads come and go, security should be a process within an organization. risk management is at the core of the process
this involves:
- think like a hacker
CIA triad
- confidentiality
- is de data vertrouwd?
- integrity
- is het zo dat de data die ik zie dat het niet getampered is
- availability
- is de data beschikbaar?
Defence in depth
- multiple layers of defence
- coconut
- if one layer breaks, there are more
- reduces chance of successful attack
- delays attackers ease of access
Do not grant users more than they need to!!!
Fail securely
if something goes wrong make sure security is not violated. Example: if the power fails for an electronic lock, should it be open or closed?
- not always easy!
- safe defaults
Keep it simple
more complexity means more risk aka: kiss
Zero trust
never trust, always verity
- minimal 2fa
- “secure internal network” does not exist
- organisation divided into multiple system
Create your own threat model
- what is the worst thing that can happen and how might that happen?
Wrap up
- think like an hacker while working!
- interested, there’s much more material!
- up front security is better and cheaper than afterthought security
Practice without getting arrested
Reading material
