ICT-Security. C.A. (Casper) Sneekes Sales Consultant. Tel:

Transcriptie

1 ICT-Security C.A. (Casper) Sneekes Sales Consultant Tel:

2 Hoffmann Bedrijfsrecherche Sinds 1962 Marktleider in bedrijfsrecherche > 1300 onderzoeken per jaar, 75 medewerkers Bedrijfsleven, (semi)overheid en gezondheidszorg Deskundig, gecertificeerd, gescreend, (inter-)nationale ervaring en veelal met een politie- en/of onderzoeksachtergrond ICT-Specialisten: digitaal forensisch onderzoek, malware onderzoek en ethical hackers

3 Hoffmann Bedrijfsrecherche Diefstalonderzoek Fraude-onderzoek Contra-expertise Concurrentiebeding Corruptie en Steekpenningen Lekken vertrouwelijke informatie Digitaal Forensisch onderzoek Malware onderzoek Ziektecontrole ICT Security test (Pentest) Pre-employment screening Risico analyse

4 Inhoud Cijfers & Actualiteit Wie zijn de hackers Hoe werkt het? Maatregelen

5 Cijfers Cybercrime Ruim slachtoffers identiteitsfraude in 2012 Toename phishing bij invoeren IBAN phishing aanvallen per maand 40% van de Nederlandse ondernemers zijn in 2012 geconfronteerd met cybercrime Ransomware gericht op bedrijven neemt sterk toe EU: Schade door cybercrime: 290 miljard per jaar McAfee: 8,8 miljard schade Nederlandse economie NCSC verwerkt 779 veiligheidsincidenten (Rijksoverheid en vitale sector 2013) Boete bij onvoldoende bescherming persoonsgegevens en niet melden data lekken tot ,-- (NL)

6 Actualiteit

7 Actualiteit

8 Risico s Cybercriminelen: Continuïteit bedrijfsvoering Imago schade Intellectuele eigendomen Industriële spionage Privacygevoelige informatie (wetgeving) Medewerkers: Lekken vertrouwelijke informatie Bedrijfsgegevens Derving Fraude

9 Cybercriminelen Gelegenheidshacker Gerichte aanval Trojans/virussen Lage loon landen Pakkans nog zeer laag Wetgeving onvoldoende Internationale samenwerking verbetert

10 Medewerkers Fraude mbv ICT middelen Het lekken van vertrouwelijke bedrijfsinformatie Stelen van bedrijfsgegevens Social Media Worden als middel ingezet

11 Middelen Hacken Phishing Spear-Phishing Datadragers Social Engineering Trojans/Virussen Botnets

12 Doel

13 Schade Reputatie Financieel Concurrentiepositie Wet/regelgeving

14 Cybercrime - Doelwitten Drive-by attacks: Kwetsbaarheid wordt bekend Geautomatiseerde scanners speuren internet af Ontdekken kwetsbare systemen Targetted attacks: Vooropgezet doel om target te hacken Combinatie van technieken: Systeem attack Social Engineering Physical attack

15 Hackers Aanval op systemen Aanval gericht op systemen: Standaard software / systemen Eigen webapplicaties / portals Op zoek naar bekende kwetsbaarheden: Geautomatiseerd, handmatig Zero-day exploits Op zoek naar slecht ontwikkelde code

16 Casus: Proletarisch webwinkelen Veilig internetverkeer tussen webwinkel en klant is meestal goed geregeld: Ideal; Keurmerk webwinkel; Gegevens zijn makkelijker te achterhalen nadat ze verstuurd zijn. Hoe staat het met de beveiliging van de achterliggende backend/database? Zijn klantgegevens veilig opgeslagen op systeem? Welke gegevens worden bewaard van klanten?

17 SQL injectie Een gangbare en effectieve methode om via de database van een webwinkel: Login gegevens te verkrijgen Klantgegevens te stelen/verwijderen/openbaar te maken Het achterliggende netwerk te compromitteren De techniek is gebaseerd op het manipuleren van invoer in de webwinkel. De hacker 'injecteert' database commando's (SQL) in een regulier invoerveld (bijv. zoek artikel ). Geen ingewikkelde tools, MS Internet Explorer is voldoende.

18 Structured Query Language (SQL) Vraagtaal voor databases sinds early 1970s Select prijs from artikel where omschrijving = hamer -> Select prijs from artikel where omschrijving = -> Syntax error Select prijs from artikel where omschrijving = union select password from users where username = admin -> S3cr3t ID Omschrijving Prijs ID username Password 1 Hamer Oscar Welkom01 2 Zaag Bosch klopboor Admin S3cr3t 23 Cms Test2222

19 Casus: Proletarisch webwinkelen Op de website van onze klant (groothandel) kan naar artikelen worden gezocht

20 Casus: Proletarisch webwinkelen Wat gebeurt er als we in plaats van een getal een quote ( ) invoeren? Een foutmelding (i.p.v. artikel niet gevonden ) geeft aan dat de site vatbaar is voor SQL injectie

21 Casus: Proletarisch webwinkelen Achter de schermen wordt invoer gebruiker verwerkt in query Rode tekst is invoer gebruiker. Uitvoer in de webpagina. select naam, prijs from artikel where artikelid = select naam, prijs from artikel where artikelid = select naam, prijs from artikel where artikelid = 0 union select login, wachtwoord from klanten where 1 = 1

22 Casus: Proletarisch webwinkelen

23 Casus: Proletarisch webwinkelen Binnen een paar uur: Het beheer account en wachtwoord gestolen Afleveradressen gewijzigd De gehele klantendatabase gedownload: Gestolen gegevens gaven toegang tot het gehele achterliggende bedrijfsnetwerk Slechts één wachtwoord voor alle beheertaken

24 Typische kwetsbaarheden (1) Browsable folders ( Open dirs ): Verstopte functionaliteit: Clientside validatie: Browser valideert invoer gebruiker Eenvoudig te omzeilen

25 Typische kwetsbaarheden (2) SQL injectie union select passwd from users Remote command execution curl intranet.bedrijf.nl Path traversal

26 Misbruik kwetsbaarheden Uploaden backdoor/tools Aanvallen systemen achter firewall Netwerkverkeer afluisteren/tunnelen Open shares zoeken, (IT) documenten stelen Wachtwoorden kraken Bij iedere stap komt de hacker in een comfortabeler positie Uiteindelijk een (externe) systeembeheerder

27 Wat ziet de hacker? Wat u achter uw bureau ook ziet..

28 Ransomware - Screenlock

29 Ransomware - Crypto

30 Hackers Social Engineering Zwakste schakel Onwetend Welwillend Naïef (Spear)phishing aanvallen USB Device dropping/sending Telefonisch informatie onttrekken Mystery guesting / inlooptest

31 Casus: Spearphishing

32 Casus: Spearphishing

33 Casus: Spearphishing

34 Casus: Spearphishing

35 Casus: Spearphishing

36 Casus: Spearphishing

37 Casus 2: Social engineering, phishing Uit open bronnen (website, LinkedIn) lijst namen samengesteld van onze klant. Deze namen geverifieerd op de mailserver van klant. Phishing verstuurd vanuit gespoofd account

38 Casus 2: Social engineering, phishing verstuurd met een link naar een gekopieerde Citrix login pagina op onze eigen server. Beste medewerker, De afdeling GIGA is afgelopen maanden zeer druk bezig geweest om de migratie van XP naar Windows 7 en de SAP-implementatie voor de gebruikers zo soepel mogelijk te laten verlopen. Dit is vrijwel voor een ieder vrij vlekkeloos verlopen. Echter verloopt de accountsynchronisatie tussen de Active Directory/Citrix en Windows 7 enerzijds en SAP anderzijds nog niet vlekkeloos. Dit in combinatie met het thuiswerken noodzaakt ons jullie te vragen om te controleren of jullie hier op de Citrix Portal ook hinder van ondervinden. Kortom, gaarne inloggen op : Alvast dank, Hoofd ICT GIGA Dit bericht en enige bijlage is uitsluitend bestemd voor de geadresseerde(n) en strikt vertrouwelijk of anderszins wettelijk beschermd. In dit bericht vervatte opvattingen of meningen zijn uitsluitend die van de schrijver en niet per definitie die van. Indien u niet de geadresseerde bent, verzoeken wij u dit bericht en enige bijlage daarbij aan de afzender terug te sturen en alle kopieën ervan te wissen en te vernietigen. is niet aansprakelijk voor virussen in dit bericht en/of enige bijlage..kan op geen enkele wijze verantwoordelijk of aansprakelijk worden gehouden voor en/of in verband met de gevolgen van en/of schade ontstaan door het onjuist, onvolledig en/of niet-tijdig versturen en ontvangen van de inhoud van dit bericht. Handelsregister: 02008

39 Social engineering: phishing

40 Social engineering: phishing Binnen 30 seconden resultaat: - Gebruikersnaam: dgeve1 - Wachtwoord: H0nda4 Binnen enkele uren nog 2 inlogcodes Vervolgens inloggen op webmail van de gebruikers

41 Social engineering: phishing Inloggen op de webmail van dgeve1 :

42 Cybercrime > Cybersecurity Zorg voor voldoende beveiliging: Periodiek testen Security Awareness Personeel Classificatie informatie Compartimentering systemen Forensic Readiness: Backups Logging Procedures

43 AON / Hoffmann: Cyber Risk Quick Scan Analyseren: Inzicht en overzicht van uw Cyberrisico s Security Risico s binnen uw huidige dekking Beheersen: Het in kaart brengen, beheersen en bestrijden van cyberrisico s Bestrijden: Toetsen van uw informatiebeveiliging van uw website dmv Hoffmann Pentest

44 Vragen? Casper Sneekes Sales Consultant