Implementing a Remote Access Trojan Infrastructure

Maat: px
Weergave met pagina beginnen:

Download "Implementing a Remote Access Trojan Infrastructure"

Transcriptie

1 Scriptie ingediend tot het behalen van de graad van PROFESSIONELE BACHELOR IN DE ELEKTRONICA-ICT Implementing a Remote Access Trojan Infrastructure Elvira Poiters Departement Wetenschappen en Techniek Opleiding Elektronica-ICT Academiejaar Interne promotor: Tim Dams Externe promotor: Dieter Vandenbroeck & Peter Van Overschelde Versie: 12 juni 2015

2 Dankwoord Allereerst bedank ik EY, en in het bijzonder Dieter Vandenbroeck, om mij de kans te geven stage te lopen in one of the big four. EY is een impressionant bedrijf en een grote speler; de ervaring die ik hier heb mogen opdoen is ongetwijfeld een voordeel naar komende jaren toe. Tim Dams mag ik ook niet vergeten te vermelden. As far as promoters go, is Tim wat mij betreft de beste keuze. Hij stond steeds klaar met advies en hulp. Bovendien is hij begaan met zijn studenten en kunnen wij op hem rekenen. Hij heeft in de loop der jaren menig crisis bezworen en peptalks gehouden. Tim, bedankt. Enkel andere namen die ik wil vermelden zijn Jens Pelgrims, Virginie Mathieu, Dorien Raspoet, en Peter Van Overschelde; nieuwe collega s en vrienden die mijn stage beduidend aangenamer hebben gemaakt, zij het door hun sympathie, humor, honeybadgers, of cake. In meer huiselijke sfeer wil ik tot slot Bram De Haes bedanken. Voor de aanmoediging die hij heeft gegeven, de ondersteuning op moeilijkere momenten en de lof bij overwinningen. De mogelijkheid om deze opleiding te starten heb ik aan hem te danken. Last but not least, verdient Ward Gubbi een uitzonderlijke vermelding. Niet alleen is hij een geweldige vriend, maar zonder diens hulp was ik nooit tot hier geraakt. Antwerpen, 12 juni 2015 Elvira Poiters i

3 Abstract EY (Ernst & Young) is one of the big four in België, één van de grote multinationals. Een bedrijf, van oorsprong audit gericht, dat zich ontwikkelt op verschillende vlakken. Advisory is één van de vier grote takken. Het is in deze tak dat de afdeling ITRA zich bevindt, welk staat voor Information Technology and Risk Advisory. Een onderdeel hiervan is Information Security, dewelke zich toespitst op de beveiliging van digitale informatie. Dit houdt in dat er ook actieve pentesting wordt gedaan om een assessment te kunnen opstellen van het beveiligingsniveau van de infrastructuur of applicatie van een klant. De huidige bachelorproef is ontwikkelt in deze context. In het kader van EY s security pentesting mogelijkheden, is er nood aan een C&C-server om een reeds bestaande Remote Access Trojan (RAT) te implementeren. De RAT-payload wordt geleverd aan het doelsysteem via social engineering technieken zoals het lost usb ploy, phising, of een andere creatieve input. Het doel van deze trojan is om de aanvaller (EY) toegang te verlenen tot een doelsysteem en op deze manier informatie kan ontfutselen. Om de communicatie met de RAT te onderhouden en de gevonden informatie te verwerken is er nood aan een gestructureerde serverside applicatie. D Deze applicatie werd in dit project gerealiseerd in PHP gekoppeld met een MySQL database. De communicatie tussen server en zombie verloopt via HTTP-requests, met de data in parameters binnen een form. Buiten het verwerken van input vanuit de geïnfecteerde systemen, geeft de applicatie ook controle aan de gebruiker. Deze kan de gegevens opvragen van alle zombies, samen met welke commando s reeds zijn uitgevoerd en uiteraard de resultaten hiervan. Eveneens belangrijk is uiteraard dat de gebruiker ook nieuwe commando s kan sturen naar de doelsystemen. Dit kan zowel naar allemaal tegelijk, of de gebruiker kan een keuze maken. Het project is goed verlopen en er kunnen positieve resultaten worden aangetoond. De doelstellingen zijn behaald en de gewenste functionaliteit is aanwezig. Twee aspecten die echter onbreken zijn de encryptie van de communicatie, en de beveiliging tegen SQL-injectie. Keywords : IT, Security Pentesting, Social Engineering, C&C ii

4 Inhoudsopgave Dankwoord Abstract i ii 1 Inleiding Onderwerp Situering Doelstellingen Relevantie binnen EY Bespreking C&C Server Botnets Componenten Database Model-View-Controller Ontwikkeling Tools Opbouw Functionaliteit Viewstate Resultaten Visuele Resultaten Application Flow Problematiek Conclusie Algemeen Besluit Beperkingen En Verder? iii

5 INHOUDSOPGAVE iv A Social Engineering Toolkit 26 A.1 Promotiemateriaal - Placemat & Flyer

6 Lijst van figuren 2.1 Relationeel database diagram Model-View-Controller Interactie Diagram Verbinding tussen zombie en server De overzichtspagina De resultatenpagina De resultatenpagina Application flow v

7 Hoofdstuk1 Inleiding Een van de vele services die EY aanbiedt is Advisory. Deze tak bevat een breed scala aan consultancy gerichte diensten. Een subservice binnen deze afdeling is ITRA (Information Technologie and Risk Advisory). Binnen ITRA vinden we dan ook de IT-gerelateerde consultancy terug. De werknemers in deze subservice houden zich bezig met het testen en controleren van de cyberbeveiliging in externe bedrijven. Dit kan o.a. bestaan uit het nakijken van broncode, pentesting, social engineering attacks, zero-day exploits monitoren, en alle andere mogelijk gradaties en varianten. Het is binnen deze context dat de huidige bachelorproef plaatsvind. In dit hoofdstuk komt als eerste het onderwerp van de bachelorproef aan bod. Er wordt uitgelegd wat de precieze doelstellingen zijn en kort vermeld in hoeverre deze zijn behaald. Verder wordt kort de inhoud geschetst van het stageonderwerp. Tot slot wordt toegelicht op welke manier de bachelorproef een bijdrage kan betekenen voor EY. In het tweede hoofdstuk wordt er dan dieper ingegaan op het werkproces. Er wordt besproken welke technieken aan bod zijn gekomen om het eindresultaat te bereiken. Ook de minder succesvolle onderdelen zullen worden toegelicht, inclusief eventuele problemen en hun oplossingen. Verder wordt de architectuur van de applicatie besproken en de algemene werking globaal toegelicht. Het derde hoofdstuk bevat de bekomen resultaten. Dit deel zal hoofdzakelijk bestaan uit de visuele aspecten van de applicatie. Voort zal de werking van de applicatie in detail worden besproken. Het laatste hoofdstuk beschrijft de algemene conclusie van de bachelorproef. Hierin worden de behaalde resultaten vergeleken met de vooropgestelde doelstellingen. Eventuele toekomstige projecten waarbij de applicatie van toepassing is kunnen toegelicht worden. Als afsluiter worden mogelijke verbeterpunten of uitbreidingsmogelijkheden in kaart gebracht. 1

8 HOOFDSTUK 1. INLEIDING Onderwerp Om te starten is het nodig te vermelden dat het onderwerp van deze bachelorproef twee weken na aanvang van de stage is veranderd. De oorspronkelijke doelstellingen uit het projectplan zijn dan ook niet meer van toepassing. Deze eerste opdracht omvatte het uitbouwen van een Social Engineering Toolkit en deze in de vorm van een webapplicatie gieten. In week twee kwam er echter een voorstel voor een ander onderwerp van een collega. Dit voorstel betrof het schrijven van een C&C serverapplicatie. De argumentatie was dit meer nut zou hebben binnen de organisatie dan de social engineering toolkit. Bovendien bleek dat de psycho-sociale aspecten van social engineering bitter weinig onderzocht zijn. Digitale bronnen zoals wetenschappelijke tijdschriften of simpel google academic leverde weinig tot geen resultaten op. Ik heb ook kennissen binnen de psychologische academische wereld gecontacteerd, maar ook dat bracht geen soelaas. Indien dit een stage zou zijn in het kader van een psychologisch gerelateerde opleiding was het ongetwijfeld heel interessant geweest om hierover een verkennend onderzoek op te stellen. Helaas is dit niet het geval. Er is dan ook besloten om het stageonderwerp te veranderen. Er is echter een klein onderdeel van de oorspronkelijke opdracht behouden geweest. Meer informatie hierover en bijhorende resultaten zijn terug te vinden achteraan in appendix A (zie A) Situering Zoals reeds eerder gezegd ontstaat dit project in het kader van een Red Team pentesting aanval. Een veel voorkomende opstelling is het gebruik van social engineering technieken in combinatie met meer technische methodes om een aanval op te starten. Een bekend social engineering methode is het lost USB-scenario. Aansluitend bij dit type aanval is er nood aan een C&C serverstructuur. Het Lost USB Scenario Een goede social engineer maakt gebruik van typische menselijke zwakheden. Nieuwsgierigheid is daar een goed voorbeeld van. De lost USB methode maakt hier handig gebruik van door USB-sticks verloren te leggen in ruimtes waar werknemers van het doelbedrijf makkelijk komen. Doeltreffende ruimtes hiervoor zijn de lobby, het restaurant, en bij uitstek de parking; deze laatste is immers vaak publiekelijk toegankelijk, wat de taak van de social engineer vergemakkelijkt. Op de achtergelaten USB-sticks staat dan een (verborgen) malware programma. Liefst worden de USB s nog gelabeld met iets dat de nieuwsgierigheid prikkelt zoals bijvoorbeeld Salarissen Het idee is dat een argeloze werknemer verleid wordt om de USB mee te nemen en in te pluggen in zijn of haar workstation. Op dat moment schiet de

9 HOOFDSTUK 1. INLEIDING 3 malware in actie en lanceert zijn payload. Deze paylaod (takenpakket) zal vaak bestaan uit het verzamelen van informatie en dit doorsturen naar de server. Ook via andere social engineering methodes zoals phising kan dezelfde malware worden toegepast uiteraard. Command & Control Server Een Command & Control server heeft als kerntaak het aansturen en beheren van verscheidende geïnfecteerde doelsystemen (zombies). Deze doelsystemen worden geïnfecteerd met een malware programma (de RAT) en communiceren daarna met deze C&C server. De malware vermeld in voorgaande paragraaf is reeds aanwezig binnen de EY security toolkit. Wat echter nog ontbrak was een georganiseerde manier om binnenkomende informatie te verwerken. Hiervoor wordt dan de C&C applicatie geschreven. Door gebruikers een interface te geven om de zombies te beheren en informatie op te vragen faciliteert het project zowel de gebruiksvriendelijkheid van de malware tool, als ook de mogelijke functionaliteiten. Peter, de directe stagementor, werkt parallel mee aan het project. Hij maakt gaandeweg ook aanpassingen aan de malware zodat mijn serverfunctionaliteit compatibel blijft met de payload Doelstellingen Onderstaande opsomming geeft weer wat de doelstellingen zijn voor dit project. De geïnfecteerde zombie kan zich registreren. De gebruiker kan een commando sturen naar de geselecteerde zombie(s). De teruggestuurde resultaten kunnen worden weggeschreven naar de database. De gebruiker kan een overzicht opvragen per zombie en per commando. Een belangrijk punt om in gedachten te houden bij dit project is dat de communicatie tussen zombie en server zo onopvallend mogelijk moet verlopen. Zodra de malware gedetecteerd wordt door het doelsysteem is de opzet van de aanval natuurlijk verloren gegaan. 1.2 Relevantie binnen EY Dit project kan zeker een bijdrage leveren voor het pentesting team van EY. Het is een handige aanvulling op een bestaande techniek en bovendien kan het in verscheidene situaties ingezet worden. De applicatie is ook verder uitbreidbaar indien gewenst en kan worden aangepast naar toekomstige projecten toe.

10 Hoofdstuk2 Bespreking C&C Server 2.1 Botnets Een botnet heeft traditiegetrouw een negatieve connotatie met illegale activiteiten [1]. Een botnet bestaat uit verschillende hosts die doorgaans niet bewust zijn van het feit dat ze deel uitmaken van een botnet. Een botnet wordt beheerd door een persoon genaamd herder via een Command & Control server. Deze kan gecentraliseerd of gedistribueerd zijn. Traditioneel verloopt de communicatie van botnets via IRC (Internet Chat Relay) maar dit hoeft niet altijd zo te zijn, zoals verder zal worden aangetoond. Een botnet kan voor allerhande doelen worden ingezet, zoals de herder het wil. toepassingen zijn spammen en DOS-aanvallen. Typische 2.2 Componenten Voor dit stage project is er gebruik gemaakt van twee grote componenten. Enerzijds de PHP scripts die de webinterface vormen en de achterliggende functionaliteit en anderzijds de database waarin alle informatie wordt opgeslagen Database Er wordt in deze applicatie gewerkt met een MySQL database. Dit is opensourcesoftware en daarom geschikt voor een stage project. Bovendien is MySQL snel, met toch lage hardware vereisten. Voorts is dit een van de bekendste databases en heeft daardoor een ruime ondersteuning vanuit de gemeenschap. MySQL is ook een heel flexibel platform, geschikt voor zowel Windows als Linux. Deze relationele database is ook al aan bod gekomen tijdens de 4

11 HOOFDSTUK 2. BESPREKING C&C SERVER 5 opleiding; de materie was dus al vertrouwd. Bovendien is de drempel laag; het is makkelijk te hanteren software met een duidelijke grafische interface. Tot slot biedt MySQL ook drivers en connectors voor een waaier aan applicaties, inclusief PHP. Relationeel Database Diagram In onderstaand diagram is de database structuur terug te vinden. Figuur 2.1: Relationeel database diagram Clients De tabel Clients bevat alle info per geregistreerde zombie. Dit is de eerste tabel die opvult wanneer de applicatie zal worden gestart. Wanneer een nieuwe zombie zich aanmeldt stuurt deze een parameter mee met het merendeel van de info. Intern IP-adres Een unieke serialnummer

12 HOOFDSTUK 2. BESPREKING C&C SERVER 6 Username Hostname Is de gebruiker een admin? Ja/nee De Windows versie en patches Locatie Het extern IP-adres kan worden afgeleid uit de request zelf. De status wordt bij een succesvolle registratie automatisch ingesteld op registered. De kolom Timestamp duidt aan wanneer de zombie geregistreerd werd (gegenereerd door MySQL). Results Wanneer een commando wordt uitgestuurd naar een of meerdere zombies wordt dit geregistreerd in de tabel results. Per zombie die dan het commando zal ontvangen wordt er een rij aangemaakt. Onderstaande zaken worden opgeslagen. De serialnummer van de zombie Het commando zelf vb. ipconfig /all Het type commando. Dit is in de vorm 0x00 en laat de malware weten wat voor soort commando het moet uitvoeren. De beschrijving van het commando (optioneel) De status wordt verandert in waiting. Hier geeft de timestamp aan wanneer het commando is uitgestuurd. De kolom results wordt aangevuld wanneer een zombie het resultaat terugstuurt van het ontvangen commando. Commands Deze tabel is voorlopig nog niet in gebruik. De bedoeling is dat hier prefab commando s zullen in worden gezet waaruit de gebruiker dan een keuze kan maken. Extra hierbij is de naam die aan het commando gegeven kan worden. Bijvoorbeeld portscan of IP configuratie. Wanneer de gebruiker in de webinterface de mogelijk commando s opvraagt kunnen deze dan overzichtelijk worden weergegeven door middel van een duidelijke, descriptieve naam Model-View-Controller Voor het coördineren van de PHP scripts is gewerkt met het MVC model. Dit is een gestructureerde aanpak waarbij de drie componenten - Model, View, Controller - netjes gescheiden blijven. Ik heb specifiek voor een dergelijke methode gekozen om te vermijden dat uiteindelijk alle code in één pagina wordt gegoten en zo een onoverzichtelijke cluster creëert.

13 HOOFDSTUK 2. BESPREKING C&C SERVER 7 Figuur 2.2: Model-View-Controller Bovenstaande afbeelding geeft goed weer hoe de huidige applicatie gebruik maakt van een MVC structuur. Elke actie begint met een HTTP request, geïnitieerd door ofwel user-input in de browser ofwel door de zombie. De controller verwerkt deze input en bepaalt welke actie dient te worden uitgevoerd. Het geeft de benodigde parameters door aan het model. Het model bevat alle functionaliteit en correspondentie met de database. Hierin zijn dus alle database statements zoals select, ïnsert, e.a. terug te vinden. Het model is zich niet bewust van de controller en kent de view niet. Dit onderdeel connect slechts met de database en geeft de gevonden resultaten terug aan de controller. De resultaten worden dan door de controller doorgegeven aan de correcte view. De controller kent de view dus wel. Indien er meerdere views zijn is het de controller s taak om de juiste view te laden. De view is dan uiteindelijk de HTML pagina die getoond word in de browser of een HTTP response terugstuurt naar de zombie. De view bevat geen functionaliteit, enkele pure HTML layout. De view is zich niet bewust van de controller noch van het model.

14 HOOFDSTUK 2. BESPREKING C&C SERVER Ontwikkeling Tools Er is gebruik gemaakt van het EasyPHP framework. Dit bevatte de MySQL software, een Apache server, en PHP ondersteuning. Het was dus een ideaal startpakket. Verder heeft ook Burpsuite zijn nut bewezen. Dit programma heeft uitstekende netwerk security features dewelke heel handig zijn voor het bekijken van o.a. HTTP traffic. Door Burpsuite te laten werken als proxy-server kunnen alle browser requests en responses worden geanalyseerd, wat fouten opsporen makkelijker maakt. Ook handig is de mogelijkheid om een HTTP request te simuleren. Op die manier kan de payload functionaliteit worden gesimuleerd in kleinere stappen. Verder is er eveneens een base64 encoder-decoder inbegrepen Opbouw Voorbereiding De eerste stap was het researchen van botnets en C&C server applicaties. Er is gezocht naar algemene werking, de technische aspecten, en de typische functionaliteit. Om de scope van de opdracht in kaart te brengen is er een interactiediagram opgesteld. Dit moest de nodige functionaliteit weergeven, alsook de layout van de applicatie. Belangrijk hierbij was aangeven welke parameters verwacht werden bij elke feature. In figuur 2.3. is dit diagram te zien. Dit geeft dus een ruwe schets weer van welke functies in welk deel van de applicatie verwacht werden. Dit was slechts een eerste idee aan het begin van het project en geeft dus niet alles volledig weer. De ClientControl kant is bijvoorbeeld veel uitgebreider. De dashboard functionaliteit is dan wel betrekkelijk volledig.

15 HOOFDSTUK 2. BESPREKING C&C SERVER 9 Figuur 2.3: Interactie Diagram Er is besloten de applicatie in PHP te schrijven. Dit staat voor Hypertext Preprocessor en is een serverside scripttaal. De taal is ontwikkeld met het oogpunt op het creëren van dynamische webapplicaties. Database Connectie Een tweede stap was het ontwerpen en aanmaken van de database. Aangezien de applicatie geen extensieve structuur vereist was dit snel afgerond. Voor de connectie met de database te maken waren twee methodes beschikbaar om uit te kiezen : ˆ MySQLi extension ˆ PHP Data Objects (PDO) MySQLi extension was de oudere methode. PDO is een recentere techniek. Deze nieuwe methode biedt twee belangrijke voordelen. [3] Ten eerste is er de database driver compatibiliteit waarmee de PDO manier scoort. Momenteel ondersteunt PDO twaalf verschillende drivers waarmee verbinding met verschillende database types mogelijk is, waaronder uiteraard MySQL. Echter ook Cubrid, IBM, Oracle, MS SQL Server, Firebird, Informix, ODBC, PostgreSQL, SQLite, en 4D. Dit in tegenstelling tot de

16 HOOFDSTUK 2. BESPREKING C&C SERVER 10 MySQLi extension, welk enkel geschikt is voor mysql. Een gevolg hiervan is dat een applicatie met PDO veel flexiber is. Indien er ooit gemigreerd wordt naar een ander database type moet enkel de connectie string worden aangepast en eventueel enkele query-methoden. Indien gebruik wordt gemaakt van de MySQLi extension moet elk stukje code volledig worden herschreven. Het gebruik van named parameters is een tweede grote voordeel. Dit maakt het veel eenvoudiger om parameters te binden in een query. Onderstaan is een codesnippet dat de connectie met de database toont. 1 <? php 2 3 $ d b I n f o = mysql : h o s t = ; dbname=z o m b i e c o n t r o l ; 4 $dbuser = r o o t ; 5 $dbpassword = ; 6 t r y { 7 $db = new PDO( $dbinfo, $dbuser, $dbpassword ) ; 8 $db >s e t A t t r i b u t e (PDO : : ATTR ERRMODE, PDO : : ERRMODE EXCEPTION ) ; 9 $pagedata >c o n t e n t = <h1>we r e connected!</h1> ; 10 } catch ( E x c e p t i o n $e ){ 11 $pagedata >c o n t e n t= <h1> Connection f a i l e d because : </h1> $e ; 12 } Listing 2.1: Connectie met database via PDO Zoals gezien kan worden draait de database voorlopig lokaal. Bij default staan foutmeldingen uitgeschakeld. Op lijn 8 worden deze manueel aangezet en getoond. MVC Layout De applicatie is opgesplitst in twee onderdelen, die beide onafhankelijk met de database communiceren. Enerzijds is er het dashboard: hier kan de gebruiker de zombies aansturen en bekijken. Dit is het werkelijke Command&Control gedeelte. Anderzijds is er ook de toegangspagina voor de zombies zelf. Dit is een neppe, nietszeggende pagina dewelke enkel dient als front om de zombie toegang te verlenen tot de database. Voor het dashboard gedeelte worden er volgende PHP pagina s gebruikt : View ˆ page.php : Dit is de backbone van alle andere HTML pagina s. Dit bevat enkel het HTML skelet. ˆ home html.php : De welkomstpagina. Hier kan een welkomstboodschap of instructies worden getoond. ˆ navigation html.php : De navigatiebalk en banner worden op elke pagina opnieuw getoond. ˆ zombiecontrol html.php : Op deze pagina kan de gebruiker een overzicht opvragen van alle geregistreerde zombies. Deze gegevens worden eerst algemeen getoond.

17 HOOFDSTUK 2. BESPREKING C&C SERVER 11 Door op een zombie te klikken kunnen dan de details worden weergegeven. Per zombie kunnen ook alle commando s worden opgevraagd die reeds zijn uitgevoerd door desbetreffende zombie. ˆ resultoverview html.php : Wanneer er op een commando wordt geklikt, verschijnt deze pagina. Hierop ziet men een overzicht van het commando, de eigenschappen, en uiteraard het resultaat. ˆ sendcommand html.php : Tot slot moeten er ook nieuwe commando s gestuurd kunnen worden. Dit kan zowel naar allemaal tegelijkertijd, of enkel naar geselecteerde zombies. Controller De zombiecontroller.php pagina verwerkt alle gebruikers input en geeft de correcte View terug om weer te geven. Model Het zombiemodel.php bevat een klasse Zombie waarvan de constructor de connectie met de database maakt. Verder bevat deze alle functionaliteit in verband met database query s. Het front gedeelte volgt dezelfde layout maar de Views zijn hier veel beperkter. Dit is tenslotte maar een façade om alerte netwerk administrators te omzeilen. View ˆ page.php ˆ Search html.php : Dit is de valse pagina. De zombies bezoeken deze pagina en verzenden hier de viewstate parameter met data of halen een nieuwe commando op. Om geen argwaan te tonen is hierop een eenvoudige zoekbar te zien, met de melding dat de gewenste zoekterm niet gevonden is. Dit is geëncapsuleerd in een form. Dit om de argwaan van een netwerkadmin niet te wekken wanneer hij of zij een viewstate ziet staan in de html van de pagina. Controller De frontcontroller.php heeft een gelijkaardige functie als in het voorgaande gedeelte; het regelt alle input van de zombie en geeft hierop response, weergegeven via de viewstate paramater. Model Ook frontmodel.php heeft eenzelfde functie, namelijk het bewaren van alle nodige functionaliteit Functionaliteit De doelwitten van een aanval zijn doorgaans, om niet te zeggen altijd, computers van werknemers binnen een groot bedrijf. Het is dan ook te verwachten dat deze computers zich in een beveiligd netwerk bevinden. Een firewall of proxy beveiliging is dan ook geen verrassing. Om detectie te vermijden gebruikt de payload dan ook normale HTTP-requests. Dit type verkeer is zeer gebruikelijk en zal geen argwaan wekken.

18 HOOFDSTUK 2. BESPREKING C&C SERVER 12 Verder wordt er gebruik gemaakt van de legitieme viewstate parameter. Dit is een HTTP parameter die de informatie uit de HTML tag form bevat, standaard geëncodeerd in base64. Door de informatie gelijkaardig te encoderen en in deze parameter te plaatsen, wordt detectie van onze activiteiten iets moeilijker gemaakt. Figuur 2.4: Verbinding tussen zombie en server De werking van de applicatie begint bij een PC die geïnfecteerd word door de payload, geleverd via USB of een phising attack. Zodra de payload geïnstalleerd is op deze PC, wordt deze aangeduid als een zombie. De zombie start eerst met het verzamelen van bepaalde gegevens van het gastsysteem o.a. hostname en systeem info. Er word eveneens een unieke serialnummer samengesteld en opgeslagen als cookie. Deze informatie wordt gebundeld in een vast formaat, geëncodeerd met base64, en geplaatst in voorgenoemde viewstate parameter. Er wordt ook nog gebruik gemaakt van een tweede parameter namelijk de viewstategenerator. Deze parameter geeft aan of de zombie een nieuw commando komt aanvragen of een resultaat komt terugbrengen. Van dit alles wordt een POST-request gemaakt. Daarna maakt de zombie verbinding met de valse pagina van de server, en post hierop de informatie. De algemene flow van de communicatie tussen zombie en server gaat als volgt : Hieronder worden de verschillende functionaliteiten verder in detail besproken.

19 HOOFDSTUK 2. BESPREKING C&C SERVER 13 Algorithm 1 Application Flow 1: check VIEWSTATE 2: $ COOKIE = serialnummer 3: if serialnummer staat niet in tabel clients then 4: zombie registreren 5: else if serialnummer staat in tabel clients then 6: check VIEWSTATEGENERATOR 7: if VIEWSTATEGENERATOR = 0 then 8: return nieuw commando 9: insert commando in VIEWSTATE parameter 10: else VIEWSTATE is result 11: insert result in database 12: end if 13: end if Registratie Wanneer de server een Viewstate ontdekt, decodeert het eerst terug de data. Deze data is een string met verschillende parameters erin. Een voorbeeld hiervan is : BE W1 NO Windows 6.1 Build 7601 Revision C://.../payload.exe Deze data moet eerst opgesplitst worden zoals te zien is in tabel 2.1. Dit is de opsplitsing die de database verwacht. Intern IP Hostname Username Admin Systeminfo Path to location BE W1 NO Windows 6.1 C://.../payload.exe Build 7601 Revision Tabel 2.1: Voorbeeld VIEWSTATE De server kent het formaat van deze data en kan deze opsplitsen in overeenstemming met de verschillende kolommen in de databasetabel clients. Deze splitsing gebeurd door de explode() functie, gebaseerd op het karakter. Via de PHP globale functies $ COOKIE en $ SERVER[ REMOTE ADDR ] kunnen respectievelijk de serialnummer en het extern IP adres van de zombie worden gevonden. Al deze gegevens samen creëren dan een nieuwe rij in de database tabel clients. Dit is de registratie van de zombie.

20 HOOFDSTUK 2. BESPREKING C&C SERVER 14 Commando sturen Invoer De gebruiker kan op het dashboard een nieuw commando invoeren. Hierbij is er een een inputvenster voorzien voor zowel het type als het commando zelf. Het type maakt duidelijk aan de payload hoe het commando verwerkt moeten worden. De verschillende types die initieel beschikbaar zijn worden hieronder op gelijst. 0x00 : Gebruik het Diagnostisch Process om het commando uit te voeren. 0x01 : Gebruik Powershell om het commando uit te voeren. 0x02 : Vraag een bestand op. 0x03 : Download een bestand van een externe URL. 0x04 : Download een bestand van een externe URL en voer het meteen uit. 0x10 : Zoek achter credentials. 0x99 : Verander runtime instellingen. Deze types worden gedefinieerd aan de payload zijde. De reden voor de hiaat tussen de opeenvolging is om voldoende plaats te laten voor potentieel toekomstige aanvullingen. In het inputvenster voor het commando zelf komt dan het werkelijk commando te staan. Een voorbeeld hiervan is ïpconfig /all. De gebruiker kan eveneens kiezen om het commando naar alle geregistreerde zombies te sturen (via de knop Send To All ) of naar enkele geselecteerde zombies (via de knop Send To Selected ). Bij deze laatste optie moet er wel uit het lijstje met beschikbare zombies minstens één ervan worden aangeduid. Nadat op één van beide knoppen is geklikt, wordt het commando weggeschreven naar de database. De server zoekt in de tabel clients naar de geselecteerde zombies op basis van hun serialnummer. In het geval dat het commando naar allemaal moet worden gestuurd, haalt de applicatie dus alle serialnummers op. Per nummer wordt er dan een nieuwe rij aangemaakt in de tabel results waar het nieuwe commando wordt opgeslagen. In de kolom status komt automatisch waiting te staan. Dit geeft aan dat het commando nog moet worden uitgevoerd. Uitlezen Wanneer een zombie verbinding maakt met de server en de viewstategeneratorparameter staat op nul, wilt dit zeggen dat er een nieuw commando kan uitgevoerd worden. Zodra de server deze connectie opmerkt gaat het in de database opzoek naar commando s met de status waiting. De uitgevoerde query haalt het eerste resultaat op en plaatst het nieuwe commando in de viewstate-parameter. Het commando ID dat hierbij hoort wordt toegewezen aan de viewstategenerator-parameter. Dit is nodig om op een later punt het juiste resultaat aan een uitgevoerd commando te kunnen koppelen. De twee parameters worden opnieuw verborgen in een form-tag in de HTML.

21 HOOFDSTUK 2. BESPREKING C&C SERVER 15 Resultaat verwerken Uiteraard is heel de aanval pas nuttig als er ook resultaten te zien zijn. Nadat de payload het nodige werk heeft verricht, gebruikt het opnieuw de POST-methode om de verzamelde informatie weer te geven. De informatie wordt ook nu gecommuniceerd via de viewstate. Deze keer vindt de server de gebruikte serialnummer wel terug in de database. Bovendien heeft de viewstategenerator-parameter de waarde van het command-id dat is uitgevoerd. Op die manier weet de applicatie waar de inhoud van de viewstate moet worden opgeslagen. Tijdens het opslaan van nieuwe informatie wordt de status verandert naar command complete. De volgende keer dat de zombie een nieuw commando komt opvragen, weet de server dat dit commando niet meer moet worden gegeven. Beheer Tot slot is het nodig dat de gebruiker toegang heeft tot de resultaten van de applicatie. Er kan een overzicht worden opgevraagd van alle zombies die geregistreerd staan. Per entree kunnen dan alle details worden bekeken. Bovendien kan per zombie worden nagekeken welke commando s deze reeds heeft uitgevoerd en welke nog in de wachtrij staan. Uiteraard kunnen ook de resultaten van een afgerond commando worden bekeken Viewstate Hoewel de term Viewstate al enkele malen vermeld is, verdient deze mogelijks toch zijn eigen paragraaf. De Viewstate is een belangrijke parameter in deze applicatie omdat het juist dit onderdeel is dat de malware activiteit verbergt. De Viewstate is een parameter behorend tot de.aspx extensie en dus tot het.net framework. Hierbij wordt de viewstate van een pagina standaard opgeslagen in een verborgen veld van een form genaamd VIEWSTATE. Dit veld kan enorm groot worden en is altijd geëncodeerd met base64. [4] Door deze omstandigheden te imiteren in deze applicatie proberen we een netwerkadmin wijs te maken dat onze communicatie legit is. Wanneer de applicatie gebruikt zal worden door EY, zal er dan ook voor gezorgd worden dat de extensie van de pagina waarnaar de malware verbindt, getoond wordt als.aspx.

22 Hoofdstuk3 Resultaten 3.1 Visuele Resultaten Aangezien de meest tastbare resultaten van dit project vervat zijn in een webinterface volgen hier enkele screenshots om de applicatie te illustreren. Zoals eerder gezegd kan de welkom pagina eventueel instructies bevatten over de werking van de server. Eveneens mogelijk is om hier statistieken weer te geven in verband met de server activiteiten. Dit is echter nog niet verder uitgewerkt (en hier dus ook niet getoond). 16

23 HOOFDSTUK 3. RESULTATEN 17 Figuur 3.1: De overzichtspagina Er wordt op deze pagina een tabel gegenereerd met enkele eigenschappen van elke zombie, namelijk het IP-adres (zowel intern als extern), de hostname, en het tijdstip waarop de zombie geregistreerd is. In dit voorbeeld is er slechts één zombie verbonden (de test PC). De details blijven leeg totdat er een zombie is aangeduid (zoals in dit geval). Zodra de tweede tabel met alle gegevens is gevuld, kan er op de onderste knop worden geklikt.

24 HOOFDSTUK 3. RESULTATEN 18 Figuur 3.2: De resultatenpagina Via dit interface kan de gebruiker nieuwe commando s doorsturen naar de zombie(s). De bovenste dropdown input bepaalt welk type commando er gestuurd zal worden. Als default instelling staat het type CMD-command aangeduid. In het tweede kader dient het commando zelf dan worden ingevoerd. Als voorbeeld staat er ipconfig /all. Dit kader wordt bij het verzenden van het formulier nagekeken op input. M.a.w. dit is geen optionele invoer. Het derde tekstvak is echter wel optioneel. Hierin kan de gebruiker een korte beschrijving meegeven van het commando, als geheugensteun voor zichzelf op een later tijdstip. Tot slot kan er gekozen worden welke zombies het commando moeten ontvangen. Ofwel is dit allemaal, ofwel kan er aan de rechterkant van de pagina een selectie worden gemaakt.

25 HOOFDSTUK 3. RESULTATEN 19 Figuur 3.3: De resultatenpagina Hier ziet men een overzicht van de commando s die naar een zombie zijn gestuurd. In dit geval heeft de eenzaam verbonden zombie reeds twee commando s gekregen. Het eerste is al uitgevoerd en heeft dan ook als status command complete. Het tweede wacht nog om uitgevoerd te worden, zoals ook geïndiceerd door de status. Door op View result te klikken kan de uitvoer van het commando bekeken worden. Als het uiteindelijke resultaat dan wordt getoond is er de mogelijkheid om dit te downloaden en lokaal op te slaan.

26 HOOFDSTUK 3. RESULTATEN Application Flow Om de werking van de applicatie beter te begrijpen is hieronder een flowchart toegevoegd. Figuur 3.4. geeft de communicatie weer tussen server en zombie. Met andere woorden, het toont wat er achter de schermen van de valse façade pagina gebeurd. De afbeelding geeft dus de cyclus weer die de het serverscript volgt, beginnend bij het identificeren van een viewstate parameter. Figuur 3.4: Application flow

27 HOOFDSTUK 3. RESULTATEN 21 Bij een nieuwe HTTP-request, wordt er als eerste de viewstate gecheckt. Om dit te kunnen doen moet deze eerst gedecodeerd worden (base64). Bij communcatie tussen server en zombie wordt een unieke serialnummer verborgen in de cookie van een HTTP-request. Via de global variable $ Cookie kan deze nummer geëxtraheerd worden. Deze serialnummer is een unieke identificatiemethode voor de host waarop de malware draait. 1 <?php 2 3 i f ( i s s e t ( $ POST [ VIEWSTATE ] ) ) { 4 $data =base64 decode ( $ POST [ VIEWSTATE ] ) ; 5 6 $ c o o k i e = $ COOKIE [ c o o k i e ] ; 7 $ s e r i a l N R = $ c o o k i e ; Listing 3.1: Stap 1 - Viewstate & Cookie De volgende stap is om de desbetreffende nummer op te zoeken in de database. Indien de nummer niet wordt teruggevonden, weet de server dat deze nummer geregistreerd moet worden. 1 <?php 2 i f ( $ i s R e g i s t e r e d == 0 ) { 3 $ I P e x t = $ SERVER [ REMOTE ADDR ] ; 4 $ s p l i t t e d D a t a = $zombie >s p l i t D a t a ( $data ) ; 5 6 $ s t a t u s = r e g i s t e r e d ; 7 $zombie >i n s e r t D B ( $ s p l i t t e d D a t a, $ I P e x t, $ s e r i a l N R, $ s t a t u s ) ; 8 $ p a r a m e t e r s = <i n p u t type= hidden name= VIEWSTATE i d= VIEWSTATE v a l u e= MHhGRg== /> ; 9 } 10 11?> Listing 3.2: Stap 2 - Registratie In bovenstaand stuk code wordt eerst het IP adres van de zombie uit de request gehaald. Vervolgens wordt de ontvangen data opgesplitst. Dit kan omdat de informatie om te registreren steeds hetzelfde stramien volgt (zie 2.1). Eens de data is opgesplitst kan deze in de database worden geüpload. De variabele parameters vertelt aan de zombie dat er momenteel niets meer te doen valt.

28 HOOFDSTUK 3. RESULTATEN 22 Indien het serialnummer wel wordt teruggevonden in de database, wilt dit zeggen dat de zombie reeds geregistreerd is. Op dat moment moet er gekeken worden naar de informatie bevat in de tweede parameter: de viewstategenerator. 1 <?php 2 e l s e i f ( $ i s R e g i s t e r e d == 1 ) { 3 4 i f ( i s s e t ( $ POST [ VIEWSTATEGENERATOR ] ) ) { 5 $zombieaction = $ POST [ VIEWSTATEGENERATOR ] ; 6 7 i f ( $zombieaction == 0 ) { 8 $temp ; 9 $commandid ; 10 $newcommand = $zombie >givenewcommand ( $ s e r i a l N R ) ; 11 $commandid = ; i f ( $newcommand == 0xFF ) { 14 $temp = 0xFF ; 15 } 16 e l s e { 17 $temp = $newcommand [ command type ]. #. $newcommand [ command txt ] ; 18 $commandid = $newcommand [ r e s u l t i d ] ; 19 } $newcommand = base64 encode ( $temp ) ; 22 $ p a r a m e t e r s = <i n p u t type= hidden name= VIEWSTATE i d = VIEWSTATE v a l u e=. $newcommand. /> 23 <i n p u t type= hidden name= VIEWSTATEGENERATOR i d= VIEWSTATEGENERATOR v a l u e=. $commandid 24 } 25 } 26?>. /> ; Listing 3.3: Stap 3 - Commando opvragen Wanneer de viewstategenerator een 0 geeft, wilt dit zeggen dat de zombie komt kijken of er een nieuw commando beschikbaar is. Er gebeurd dan een nieuwe opzoeking in de database. Indien de gebruiker ondertussen een commando heeft ingevoerd kan dit worden opgehaald. Het commando type en het commando zelf worden dan gecombineerd tot een geheel, geëncodeerd, en vervolgens wederom in de variabele parameters geplaatst. De viewstategenerator krijgt nu de waarde van de command ID uit de database. Zo kan de malware na het uitvoeren van dit nieuwe commando, de juiste resultaten bij het bijhorende command ID plaatsen.

29 HOOFDSTUK 3. RESULTATEN 23 Stap 4 toont wat er gebeurt indien de viewstategenerator iets anders dan 0 is. Dit wilt zeggen dat er resultaten van een vorig commando worden teruggebracht. Deze nieuwe informatie wordt dan geüpload naar de database en de viewstategenerator wordt gereset naar 0. De viewstate parameter geeft hier opnieuw aan dat er geen actie meer moet worden ondernomen (voorlopig). 1 <?php 2 e l s e { 3 $zombie >i n s e r t R e s u l t ( $data, $ s e r i a l N R, $zombieaction ) ; 4 $ p a r a m e t e r s = <i n p u t type= hidden name= VIEWSTATE i d = VIEWSTATE v a l u e= MHhGRg== /> 5 <i n p u t type= hidden name= VIEWSTATEGENERATOR i d= VIEWSTATEGENERATOR v a l u e=. 0. /> ; 6 } 7?> Listing 3.4: Stap 4 - Resultaat opslaan Deze stappen herhalen zich zolang de malware in werking is. 3.3 Problematiek Over het algemeen is het project vlot verlopen, zonder grote obstakels. Er is wel veel opzoekwerk verricht omtrent code syntax en kleine debug problemen. Eén van de grotere issues die hierbij zijn voorgevallen is bijvoorbeeld het gebruik van backslashes in de registratie data. Deze backslashes veroorzaakten een foutmelding in MySQL en konden dus niet worden verwerkt.de oplossing hiervoor was het toevoegen van een geïntegreerde PHP functie namelijk addslahes(). Een ander probleem zat in de eerste versie van de applicatie. Deze was niet mooi gesplitst in frontend en backend. Wanneer er gekeken werd naar de frontend, kon men in de achterliggende code ook stukken terugvinden van de backend. Dit is uiteraard niet ideaal aangezien er zo duidelijk te zien is wat de werkelijke bedoeling is van de verbinding met de pagina. Dit probleem is op een simpele manier verholpen door de applicatie te splitsen in twee volledig aparte applicaties. Deze werken beide dus op hun beurt onafhankelijk van elkaar met de database.

30 Hoofdstuk4 Conclusie 4.1 Algemeen Besluit Wanneer gekeken wordt naar de vooropgestelde doelstellingen (zie 1.1.1) kunnen we concluderen dat het project succesvol is afgerond. De behaalde doelstellingen staan ter herhaling hieronder. De geïnfecteerde zombie kan registreren. De gebruiker kan een commando sturen naar de geselecteerde zombie(s). De teruggestuurde resultaten kunnen worden weggeschreven naar de database. De gebruiker kan een overzicht opvragen per zombie en per commando. Als extra feature kunnen de resultaten ook gedownload worden om lokaal op te slaan. Om de acties van de malware low-profile te houden is er gebruik gemaakt van HTTP-requests als communicatiekanaal. Bovendien zorgt het gebruik van de viewstate-parameter voor discrete bij het verzenden van de data. Tot slot is de tweeledigheid van de applicatie een troef; de malware verbindt naar een onschuldig ogende pagina, waardoor het werkelijk doel verborgen blijft. De applicatie is zeker bruikbaar binnen de context van het EY red team, mits enige verdere aanpassingen. 4.2 Beperkingen Er zijn uiteraard ook enkele aspecten die beter hadden kunnen zijn. Zo is er bijvoorbeeld geen check op de input van een nieuw commando. Dit wil zeggen dat als de gebruiker een typefout 24

31 HOOFDSTUK 4. CONCLUSIE 25 maakt of een ongeldig commando indient, hier geen controle op is. Dit foutief commando wordt volgens de procedure weggeschreven naar de database en aangeboden aan de desbetreffende zombie. Dit zorgt onder meer voor onnodige opvulling in de database. Bovendien wilt dit eveneens zeggen dat er extra overhead gecreëerd word in de communicatie tussen server en zombie. Het foutief commando uit de database wordt immers ook doorgegeven aan de malware, en deze gaat dat op zijn beurt proberen uitvoeren. Dus er wordt tweemaal een HTTP-request gestuurd (het foute commando en de terugkerende foutmelding) die niets opleveren. Aangezien de malware in de praktijk pas om de twintig minuten (of mogelijk langer) een nieuw commando komt opvragen is dit een verspilling van resources. 4.3 En Verder? Twee belangrijke zaken die ik graag had willen implementeren maar die zijn overgeschoten. De applicatie is niet ontwikkeld met het oogpunt op veiligheid. Het is dus zeer vatbaar voor SQL-injectie. Hoewel de applicatie enkel intern gebruikt zal worden, zou het idealiter toch beter beveiligd moeten zijn. De communicatie tussen zombie en server is niet geëncrypteerd. Het is weliswaar base64 geëncodeerd om het in overeenstemming te brengen met de viewstate kenmerken. Dit is uiteraard echter simpel te decoderen. Als de communicatie onderschept zou worden, kan de malware dan ook zeer gemakkelijk als schadelijk worden geïdentificeerd. Met encryptie wel geïmplementeerd zou niemand iets wijzer zijn.

32 BijlageA Social Engineering Toolkit De originele stageopdracht omvatte een literatuurstudie rond social engineering met als doel een social engineering toolkit op te stellen. Hierin kwamen enkele aspecten aan bod : Succesverhalen Enkele recente cautionary tales omtrent succesvolle social engineering aanvallen; deze zijn bedoeld om potentiële klanten over de streep te trekken en EY in dienst te nemen. Methoden Er bestaan verschillende categorieën van social engineering zoals information gathering, phising, vishing, en impersonatie. Elk van deze categorieën bevat verscheidene methodes om een aanval uit te voeren. De bedoeling was om hier een overzicht van te maken met voor- en nadelen van elk type. Scenario Door verschillende methodes te bundelen kan een toolkit worden gecreërd. Een scenario specificeert de methodes geschikt voor een bepaalde situatie en werkt deze uit met voorbeelden en richtlijnen. Bijvoorbeeld een scenario om een badge-only area binnen te geraken zal andere richtlijnen hanteren dan een lost-usb scenario. Training Om het nieuwe medewerkers makkelijker te maken zich in te werken in het materiaal, werd er ook een gedeelte educatieve informatie voorzien. Hierin komt de meer theoretische grondlaag van social engineering: methodologie, fasen, ethische bedenkingen,... Psycho-sociale concepten Het idee hierbij was om vanuit een psycho-sociaal standpunt social engineering te bekijken. Zowel de slachtoffers komen aan bod : waarom lopen mensen in de val, welke type personen zijn een gemakkelijk doelwit, voor welke technieken zijn mensen het meest ontvankelijk; alsook de social engineers zelf : wat maakt een goede social engineer, welke persoonlijkheidseigenschappen dragen hier bij toe, en zijn deze eigenschappen aan te leren. Deze onderwerpen worden uitgeschreven en gebundeld. Het technisch luik dat hierbij is voorgesteld behelst het migreren van de informatie naar een database, met als interface een PHP 26

33 BIJLAGE A. SOCIAL ENGINEERING TOOLKIT 27 webapplicatie. Deze webapplicatie dient dan zowel als handleiding voor nieuwe medewerkers en als naslagwerk ter voorbereiding of uitvoering van projecten. De gebruiker moet niet alleen documenten kunnen raadplegen, maar ook nieuwe content kunnen uploaden. Deze opdracht is, zoals eerder vermeld (zie 1.1), niet volledig doorgegaan. Enerzijds omdat er een nieuw voorstel van een EY medewerker kwam en anderzijds omdat er weinig informatie te vinden was omtrent psycho-sociale aspecten van social engineering. A.1 Promotiemateriaal - Placemat & Flyer De uiteindelijke opdracht in verband met social engineering is neergekomen op het schrijven van een flyer en een placemat. Beide zullen gebruikt worden in toekomstige campagnes en zijn gelijkaardig van inhoud, de flyer is enkel iets beknopter. Inhoudelijk bevat dit materiaal argumentatie om de (potentiële) klant te overtuigen van het belang van social engineering preventie. Er worden enkele waarschuwende verhalen aangehaald, alsook de methodologie en aanpak van EY uitgelegd. Het eindresultaat hiervan is samengesteld uit reeds aanwezig materiaal binnen EY en aanvullingen uit andere bronnen zoals Kevin Mitnick s [5] en zoekmachines van de AP hogeschool en Thomas More hogeschool. Zowel de flyer als de placemat zijn hieronder terug te vinden.

34 BIJLAGE A. SOCIAL ENGINEERING TOOLKIT 28 Objectives of this service presentation Present EY s Social Engineering service Reflect on how this services will benefit you Allow you to dive into what we have to offer, and tailor this to your specific needs The next big security breach is already present Even the most secure business can not fully cover the weakest link in their defenses: their employees. No matter how many firewalls and authentication methods you put up, it only takes one employee to get tricked into breaking protocol. Malicious attackers know this as well, resulting in 66% of cyber security attacks that target confidential information incorporating social engineering tools. Cautionary Tales The confident CEO : By simple information gathering on social media, a hired red team discovered the CEO s affiliation with cancer fundraisers and research. Posing as an organizer of such a fundraiser, the red team tester asked for donations and lured him by offering gift certificates to his favorite restaurant and sports game. The CEO agreed to open a PDF through mail with further information. And just like that, a top level entry point was made into his company. Another example tells us how a major bank was conned by a malicious social engineer. The attacker found a signature of the CEO online and simply mailed transfer requests to the bank. The bank employee was tricked by the forged signature and approved the transfers, resulting in a 2.1 million dollar loss. Despite the significant amount of money spent in IT security controls by organizations, social engineering still works like a charm and it s one of the preferred attack vectors in target attack. To address the issue you need to make your employees security aware and consider them an essential part of your information security framework. Stefano Ciminelli, Executive Director at EY In a recent engagement, the EY red team managed to obtain access to a workstation and a server hosted in the datacenter. This was accomplished by using a combination of different methods such as phishing and applying a rogue device. If this would have been executed by a hostile individual, the damage could be substantial. Tools of the Trade Phishing is one of the most widespread type of attacks. No account has been spared of this phenomena, also knows as spam. However, on a more sophisticated level this may pose a very real threat. EY has a framework at its disposal, intended to create realistic phishing mails or websites. Vishing is similar to phishing but is done over the phone. A talented social engineer might need nothing more than a phone call to illicit confidential information from unsuspecting employees. A typical approach here is to act as a customer service representative. It is in people s nature to help you, and even more so for helpdesk staff, receptionists or client-facing personnel. A social engineer uses this natural instinct against you, and often you do not even realize you have been compromised. Marijke Vinck, Manager at EY Information gathering can include two different types; both are aimed at obtaining knowledge to facilitate a social engineering attack By snooping around on social media and the web in general, data can be found to serve as a starting point. For example, names of employees. Information found can also be applied to spear phishing : a phishing attack specifically tailored to an individual. Information can also be gathered on site. By surveying the building, we can learn routines of employees, discover unguarded entrance, or check out the local smokers habitat. Another popular approach is dumpster diving. Companies who might throw out old templates, correspondence, or invoices, create a very easily exploited vulnerability. Baiting involves an triggering an employee s curiosity or offering a reward, and tricking them in executing an action. A good example of this is the lost USB scenario. This is a ploy that really exploits human nature. The idea is to leave several usb sticks, loaded with a malicious payload, scattered around the compound. All it takes is one curious George to insert the usb in his or her workstation to infect a whole network. Physical intrusion requires the social engineer to gain physical access in the building. This can be done by attempting to obtain a badge, or trying to sneak a peak when an employee enters an access code. A very common but simple technique is tailgating; most people will be kind enough to hold the door for you. Protection against social engineering In today's information era, it is important to ensure your IT assets are protected as they often are vital components for supporting your core business. EY helps you by offering several services to help identify security threats and issues which may affect your IT environment. We have multiple tools and techniques to engage in a social engineering attack. This means our services can be tailored to your specific needs. That scalability allows us to create a personalized approach, making sure our clients receive exactly what they require. By not only raising awareness amongst your employees but also actively exposing them to simulated threats, you can arm them with the required knowledge to repel an actual (future) attack and thus guarantying the integrity and confidentiality of your data. Our red team has the necessary experience and skills to implement a thorough review of your security measures and specifically the human factor. By exposing possible vulnerabilities in time, you can prevent unauthorized individuals from accessing your assets and wrecking havoc. EY knows the industry EY Framework EY has insightful knowledge on advanced social engineering attacks, exploiting human weakness, and current attacks in the field. Our professionals execute attack and vulnerability tests that expose security flaws (partially) caused by employees. Significant track record in these domains globally and in Belgium confirms the benefits of our multi-disciplinary approach supported by a network of talented professionals A structured approach is key to a successful battle-plan. That is why our consultants maintain a 7-step methodology as guideline in all our engagements. The first step is to create an assessment plan in collaboration with you. De core task in this phase is to establish the scope of the project and to decide which type of attack will be executed. In the research phase we focus on information gathering. We scourge social media, the company website, and any other source we can find for information. This information is often seen as trivial but may be the underlying reason for a successful attack. A more active approach is reserved for the next phase. During reconnaissance our team goes dumpster diving, wardriving, attempts portscans, telephones with your employees, or merely surveys your building. Armed with sufficient knowledge, the actual attack can commence. First order of business is trying to establish a foothold. This could include tagging along with an employee, obtaining a badge, viewing the door access code, or plugging a USB in an unguarded outlet. Once physical access is obtained, we can advance our attack by desktop snooping, installing malware, or gaining entry to a secure area like the server room. During the takeover we try to obtain certain trophies (flags), proving the attack was successful. The last step we take is to clean up after ourselves. We close any backdoors or liabilities and notify you of our findings. A Global Service Every client has a dedicated contact person to onboard into our Social Engineering services. We always work with people in your own region and environment, as these individuals will understand you best. The service is executed centrally in one of our EMEIA Advanced Security Centers and is subject to EY s strict quality assurance principles. $22,9 bn revenue 150 countries 167,000 professionals Americas EMEIA (Europe, Middle East, India and Africa) Asia-Pacific Japan

35 Social Engineering Toolkit The next big security breach is already present in your business Even the most secure business can not fully cover the weakest link in their defenses: their employees. No matter how many firewalls and authentication methods you put up, it only takes one employee to get tricked into breaking protocol. Malicious attackers know this as well, resulting in 66% of cyber security attacks that target confidential information incorporating social engineering tools. The EY Framework It s easier than you think Is your social media secure? If not, the information on there can be enough to launch a successful spear-phishing attack. So goes the story of a confident CEO, hiring a team to steal his secrets. Some quick and easy research on social media gave the attacker enough personal information to launch a spear-phishing attack. Believing the to be personal, the CEO fell for it. We, as a Red Team attacker, work with a structured approach as seen on the right. This 7-step methodology serves as the backbone for several different type of attacks. Phising and vishing are common tactics used by social engineers. They try to elicit confidential information from your employees either by or telephone respectively. Spear-phishing takes it to the next level by targeting a specific victim and tailoring the attack to the individual. This can be accomplished by gathering sufficient information, especially on social media. These attacks are highly successful. Information can also be gathered on site. By surveying the building, we can learn routines of employees, discover unguarded entrance, or check out the local smokers habitat. An easy method to gain physical access to the building is tailgating: most people will be kind enough to hold the door for you. Impersonation is also a valuable technique. A widely used impersonation is that of IT-guy; this is a good cover story to gain entry to IT-related areas or to ask for employee s login information. Another popular approach is dumpster diving. Companies who might throw out old templates, correspondence, or invoices, create a very easily exploited vulnerability. Becoming aware of social engineering attacks By raising awareness and training your employees on best practices, you can protect both them and your confidential data from falling victim to the persuasive techniques of a talented social engineer. Protecting your IT assets is critical to ensure the integrity of your data and the continuity of the business. Our EY Red Team can help assess your defenses against these specific attacks and assist in implementing improvements. We offer a wide range of services such as, but not limited to, Incident Response, Vulnerability Watch, and Information Security Transformation. Your Belgian Contacts Stefano Ciminelli Marijke Vinck FSO ITRA FSO ITRA Director Senior Consultant

Firewall van de Speedtouch 789wl volledig uitschakelen?

Firewall van de Speedtouch 789wl volledig uitschakelen? Firewall van de Speedtouch 789wl volledig uitschakelen? De firewall van de Speedtouch 789 (wl) kan niet volledig uitgeschakeld worden via de Web interface: De firewall blijft namelijk op stateful staan

Nadere informatie

Taco Schallenberg Acorel

Taco Schallenberg Acorel Taco Schallenberg Acorel Inhoudsopgave Introductie Kies een Platform Get to Know the Jargon Strategie Bedrijfsproces Concurrenten User Experience Marketing Over Acorel Introductie THE JARGON THE JARGON

Nadere informatie

Settings for the C100BRS4 MAC Address Spoofing with cable Internet.

Settings for the C100BRS4 MAC Address Spoofing with cable Internet. Settings for the C100BRS4 MAC Address Spoofing with cable Internet. General: Please use the latest firmware for the router. The firmware is available on http://www.conceptronic.net! Use Firmware version

Nadere informatie

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur Security Les 1 Leerling: Klas: Docent: Marno Brink 41B Meneer Vagevuur Voorwoord: In dit document gaan we beginnen met de eerste security les we moeten via http://www.politiebronnen.nl moeten we de IP

Nadere informatie

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14 QUICK GUIDE C Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14 Version 0.9 (June 2014) Per May 2014 OB10 has changed its name to Tungsten Network

Nadere informatie

ICARUS Illumina E653BK on Windows 8 (upgraded) how to install USB drivers

ICARUS Illumina E653BK on Windows 8 (upgraded) how to install USB drivers ICARUS Illumina E653BK on Windows 8 (upgraded) how to install USB drivers English Instructions Windows 8 out-of-the-box supports the ICARUS Illumina (E653) e-reader. However, when users upgrade their Windows

Nadere informatie

ETS 4.1 Beveiliging & ETS app concept

ETS 4.1 Beveiliging & ETS app concept ETS 4.1 Beveiliging & ETS app concept 7 juni 2012 KNX Professionals bijeenkomst Nieuwegein Annemieke van Dorland KNX trainingscentrum ABB Ede (in collaboration with KNX Association) 12/06/12 Folie 1 ETS

Nadere informatie

Registratie- en activeringsproces voor de Factuurstatus Service NL 1 Registration and activation process for the Invoice Status Service EN 11

Registratie- en activeringsproces voor de Factuurstatus Service NL 1 Registration and activation process for the Invoice Status Service EN 11 QUICK GUIDE B Registratie- en activeringsproces voor de Factuurstatus Service NL 1 Registration and activation process for the Invoice Status Service EN 11 Version 0.14 (July 2015) Per May 2014 OB10 has

Nadere informatie

Handleiding Installatie ADS

Handleiding Installatie ADS Handleiding Installatie ADS Versie: 1.0 Versiedatum: 19-03-2014 Inleiding Deze handleiding helpt u met de installatie van Advantage Database Server. Zorg ervoor dat u bij de aanvang van de installatie

Nadere informatie

Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO

Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO Handleiding/Manual Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO Inhoudsopgave / Table of Contents 1 Verbinden met het gebruik van

Nadere informatie

WWW.EMINENT-ONLINE.COM

WWW.EMINENT-ONLINE.COM WWW.EMINENT-OINE.COM HNDLEIDING USERS MNUL EM1016 HNDLEIDING EM1016 USB NR SERIEEL CONVERTER INHOUDSOPGVE: PGIN 1.0 Introductie.... 2 1.1 Functies en kenmerken.... 2 1.2 Inhoud van de verpakking.... 2

Nadere informatie

Ervaringen met begeleiding FTA cursus Deployment of Free Software Systems

Ervaringen met begeleiding FTA cursus Deployment of Free Software Systems Ervaringen met begeleiding FTA cursus Deployment of Free Software Systems Frans Mofers Nederland cursusmateriaal & CAA's alle cursusmateriaal vrij downloadbaar als PDF betalen voor volgen cursus cursussite

Nadere informatie

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014 Process Mining and audit support within financial services KPMG IT Advisory 18 June 2014 Agenda INTRODUCTION APPROACH 3 CASE STUDIES LEASONS LEARNED 1 APPROACH Process Mining Approach Five step program

Nadere informatie

Multi user Setup. Firebird database op een windows (server)

Multi user Setup. Firebird database op een windows (server) Multi user Setup Firebird database op een windows (server) Inhoudsopgave osfinancials multi user setup...3 Installeeren van de firebird database...3 Testing van de connectie met FlameRobin...5 Instellen

Nadere informatie

Bijlage 2: Informatie met betrekking tot goede praktijkvoorbeelden in Londen, het Verenigd Koninkrijk en Queensland

Bijlage 2: Informatie met betrekking tot goede praktijkvoorbeelden in Londen, het Verenigd Koninkrijk en Queensland Bijlage 2: Informatie met betrekking tot goede praktijkvoorbeelden in Londen, het Verenigd Koninkrijk en Queensland 1. Londen In Londen kunnen gebruikers van een scootmobiel contact opnemen met een dienst

Nadere informatie

Leeftijdcheck (NL) Age Check (EN)

Leeftijdcheck (NL) Age Check (EN) Leeftijdcheck (NL) Age Check (EN) [Type text] NL: Verkoopt u producten die niet aan jonge bezoekers verkocht mogen worden of heeft uw webwinkel andere (wettige) toelatingscriteria? De Webshophelpers.nl

Nadere informatie

Ius Commune Training Programme 2015-2016 Amsterdam Masterclass 16 June 2016

Ius Commune Training Programme 2015-2016 Amsterdam Masterclass 16 June 2016 www.iuscommune.eu Dear Ius Commune PhD researchers, You are kindly invited to attend the Ius Commune Amsterdam Masterclass for PhD researchers, which will take place on Thursday 16 June 2016. During this

Nadere informatie

S e v e n P h o t o s f o r O A S E. K r i j n d e K o n i n g

S e v e n P h o t o s f o r O A S E. K r i j n d e K o n i n g S e v e n P h o t o s f o r O A S E K r i j n d e K o n i n g Even with the most fundamental of truths, we can have big questions. And especially truths that at first sight are concrete, tangible and proven

Nadere informatie

MobiDM App Handleiding voor Windows Mobile Standard en Pro

MobiDM App Handleiding voor Windows Mobile Standard en Pro MobiDM App Handleiding voor Windows Mobile Standard en Pro Deze handleiding beschrijft de installatie en gebruik van de MobiDM App voor Windows Mobile Version: x.x Pagina 1 Index 1. WELKOM IN MOBIDM...

Nadere informatie

Stap 1: Registreer via de link op de G-schijf beschikbaar na inloggen met de teken-account, verzend via Submit. Nadien krijg je een bevestiging op

Stap 1: Registreer via de link op de G-schijf beschikbaar na inloggen met de teken-account, verzend via Submit. Nadien krijg je een bevestiging op Stap 1: Registreer via de link op de G-schijf beschikbaar na inloggen met de teken-account, verzend via Submit. Nadien krijg je een bevestiging op het scherm met de melding dat de registratie compleet

Nadere informatie

Understanding and being understood begins with speaking Dutch

Understanding and being understood begins with speaking Dutch Understanding and being understood begins with speaking Dutch Begrijpen en begrepen worden begint met het spreken van de Nederlandse taal The Dutch language links us all Wat leest u in deze folder? 1.

Nadere informatie

Media en creativiteit. Winter jaar vier Werkcollege 7

Media en creativiteit. Winter jaar vier Werkcollege 7 Media en creativiteit Winter jaar vier Werkcollege 7 Kwartaaloverzicht winter Les 1 Les 2 Les 3 Les 4 Les 5 Les 6 Les 7 Les 8 Opbouw scriptie Keuze onderwerp Onderzoeksvraag en deelvragen Bespreken onderzoeksvragen

Nadere informatie

DrICTVoip.dll v 2.1 Informatie en handleiding

DrICTVoip.dll v 2.1 Informatie en handleiding DrICTVoip.dll v 2.1 Informatie en handleiding Nieuw in deze versie : Koppeling voor web gebaseerde toepassingen (DrICTVoIPwebClient.exe) (zie hoofdstuk 8) 1. Inleiding Met de DrICTVoIP.DLL maakt u uw software

Nadere informatie

1 Inleiding. 3 Handmatig... invoeren zaken basis 4 Verwerken... zaken 5 Afhandelen... van zaken. 7 Uitgebreidere... zaak opties

1 Inleiding. 3 Handmatig... invoeren zaken basis 4 Verwerken... zaken 5 Afhandelen... van zaken. 7 Uitgebreidere... zaak opties 2 Supportdesk Pro Introductie Inhoudsopgave I Supportdesk Pro 3 1 Inleiding... 3 2 Werkwijze... 3 II Zaken 4 1 Introductie... 4 2 Zaken beheren... 4 3 Handmatig... invoeren zaken basis 4 4 Verwerken...

Nadere informatie

Een website maken met databasetoegang.

Een website maken met databasetoegang. Hoofdstuk 5 Een website maken met databasetoegang. In dit hoofdstuk gaan we het weblog dat je in hoofdstuk 4 hebt gemaakt verder uitbreiden. Een belangrijk onderdeel wordt toegevoegd aan de applicatie,

Nadere informatie

Intermax backup exclusion files

Intermax backup exclusion files Intermax backup exclusion files Document type: Referentienummer: Versienummer : Documentatie 1.0 Datum publicatie: Datum laatste wijziging: Auteur: 24-2-2011 24-2-2011 Anton van der Linden Onderwerp: Documentclassificatie:

Nadere informatie

ALL-CRM Gebruikershandleiding AC-DataCumulator

ALL-CRM Gebruikershandleiding AC-DataCumulator ALL-CRM Gebruikershandleiding AC-DataCumulator Author: Bas Dijk Date: 23-04-2013 Version: v1.2 Reference: 2013, All-CRM 1 Inhoudsopgave 1 Inhoudsopgave 2 2 Inleiding 3 3 Gebruikershandleiding Windows Forms

Nadere informatie

Gebruikershandleiding / User manual. Klappers bestellen in de webshop Ordering readers from the webshop

Gebruikershandleiding / User manual. Klappers bestellen in de webshop Ordering readers from the webshop Gebruikershandleiding / User manual Klappers bestellen in de webshop Ordering readers from the webshop Gebruikershandleiding klappers bestellen Voor het bestellen van klappers via de webshop moeten de

Nadere informatie

Hieronder volgt een overzicht van relevante contactpersonen binnen KPN Telecom.

Hieronder volgt een overzicht van relevante contactpersonen binnen KPN Telecom. 1. Contact personen 2. Rent-a-Switch service 3. Validaties 4. Afhandeling Rent-a-Switch orders 5. Foutmeldingen 1. Contact personen Hieronder volgt een overzicht van relevante contactpersonen binnen KPN

Nadere informatie

TECHNICAL DESIGN DOCUMENT

TECHNICAL DESIGN DOCUMENT TECHNICAL DESIGN DOCUMENT BACHELORPROJECT IN3405 John Ciocoiu 1358227 Elwin Dokter 1275909 TECHNISCHE UNIVERSITEIT DELFT FACULTEIT EWI WOENSDAG 28 APRIL 2010 VERSIE 1 COMMISSIE: Ing. D.J. van Roest (opdrachtgever)

Nadere informatie

TaskCentre Web Service Connector: Creëren van requests in Synergy Enterprise

TaskCentre Web Service Connector: Creëren van requests in Synergy Enterprise TaskCentre Web Service Connector: Creëren van requests in Synergy Enterprise Inhoudsopgave 1. Voorbereiding... 4 2. Web Service Connector tool configuratie... 5 3. TaskCentre taak voor het aanmaken van

Nadere informatie

Installatie SQL: Server 2008R2

Installatie SQL: Server 2008R2 Installatie SQL: Server 2008R2 Download de SQL Server 2008.exe van onze site: www.2work.nl Ga naar het tabblad: Downloads en meld aan met: klant2work en als wachtwoord: xs4customer Let op! Indien u een

Nadere informatie

Relationele Databases 2002/2003

Relationele Databases 2002/2003 1 Relationele Databases 2002/2003 Hoorcollege 4 8 mei 2003 Jaap Kamps & Maarten de Rijke April Juli 2003 Plan voor Vandaag Praktische dingen 3.1, 3.2, 3.3, 3.4, 3.5. SQL Aantekeningen 2 Tabellen. Theorie

Nadere informatie

LDA Topic Modeling. Informa5ekunde als hulpwetenschap. 9 maart 2015

LDA Topic Modeling. Informa5ekunde als hulpwetenschap. 9 maart 2015 LDA Topic Modeling Informa5ekunde als hulpwetenschap 9 maart 2015 LDA Voor de pauze: Wat is LDA? Wat kan je er mee? Hoe werkt het (Gibbs sampling)? Na de pauze Achterliggende concepten à Dirichlet distribu5e

Nadere informatie

Relationele Databases 2002/2003

Relationele Databases 2002/2003 Relationele Databases 2002/2003 Hoorcollege 4 8 mei 2003 Jaap Kamps & Maarten de Rijke April Juli 2003 1 Plan voor Vandaag Praktische dingen Huiswerk 3.1, 3.2, 3.3, 3.4, 3.5. SQL Aantekeningen 2 Tabellen.

Nadere informatie

Secure Toetsen met Maple T.A.8

Secure Toetsen met Maple T.A.8 Secure Toetsen met Maple T.A.8 Copyright Metha Kamminga juli 2012 Secure Toetsen met Maple T.A.8 Contents 1 Beveiligd toetsen met Maple T.A.8 Nieuwe mogelijkheid om toetsen af te nemen in een beschermde

Nadere informatie

Beveiliging in Industriële netwerken. Waarom monitoring een goed idee is

Beveiliging in Industriële netwerken. Waarom monitoring een goed idee is Beveiliging in Industriële netwerken Waarom monitoring een goed idee is Korte introductie / voorstellen: - Sinds 1951, Benelux - Monitoring, groeit naar security - ICT omgevingen, groeit naar Industrie

Nadere informatie

Siemens workpoints en DHCP options

Siemens workpoints en DHCP options Siemens workpoints en DHCP options Dit document beschrijft de configuratie en werking van een Windows 2003 DHCP server in combinatie met Siemens optipoint en Siemens OpenStage toestellen (aangemeld op

Nadere informatie

Tim Akkerman - Head of Mobile

Tim Akkerman - Head of Mobile Tim Akkerman - Head of Mobile Emesa is the largest e-commerce company for searching, comparing and booking travel and leisure packages in the following categories: Holidays - Other accommodations - Hotels

Nadere informatie

CENTEXBEL CLIENT WEB

CENTEXBEL CLIENT WEB CENTEXBEL CLIENT WEB Table of Contents Wat is de Centexbel Client web?... 2 Hoe een account activeren in het programma?... 2 Schermen... 4 Log in... 4 Wat als er een personeelslid met de account gegevens

Nadere informatie

icafe Project Joeri Verdeyen Stefaan De Spiegeleer Ben Naim Tanfous

icafe Project Joeri Verdeyen Stefaan De Spiegeleer Ben Naim Tanfous icafe Project Joeri Verdeyen Stefaan De Spiegeleer Ben Naim Tanfous 2006-2007 Inhoudsopgave 1 2 1.1 Programmeertaal PHP5..................... 2 1.2 MySQL database......................... 3 1.3 Adobe Flash...........................

Nadere informatie

Handleiding Sportlink Club

Handleiding Sportlink Club Handleiding Sportlink Club Dit document is automatisch gegenereerd. We raden u aan de handleiding online te raadplegen via www.sportlinkclub.nl/support. 1. Installatiehandleiding.........................................................................................

Nadere informatie

Windows Server 2003 EoS. GGZ Nederland

Windows Server 2003 EoS. GGZ Nederland Windows Server 2003 EoS GGZ Nederland Inleiding Inleiding Op 14 juli 2015 gaat Windows Server 2003 uit Extended Support. Dat betekent dat er geen nieuwe updates, patches of security releases worden uitgebracht.

Nadere informatie

VPN verbinding maken HCCnet (Windows XP)

VPN verbinding maken HCCnet (Windows XP) VPN verbinding maken HCCnet (Windows XP) Deze beknopte handleiding geeft uitleg hoe via het Wireless Leiden netwerk een VPN (PPTP) verbinding kan worden opgezet naar het HCC internet. We gaan er voor het

Nadere informatie

Korte uitleg gebruik Jira als bevindingregistratie systeem

Korte uitleg gebruik Jira als bevindingregistratie systeem MEMO Korte uitleg gebruik Jira als bevindingregistratie systeem Aan : Jira gebruikers Datum : 26 juli 2010 Van : Sogeti Jira beheer Versie : 1.1 INLEIDING Deze verkorte uitleg van het gebruik van Jira

Nadere informatie

Thinking of development

Thinking of development Thinking of development Databases Arjan Scherpenisse HKU / Miraclethings Agenda voor vandaag Opdracht tussenstand State diagram / Observer pattern Bret Victor Databases 2/42 Opdracht tussenstand Slides

Nadere informatie

Software Requirements Specification

Software Requirements Specification Software Requirements Specification PEN: Paper Exchange Network Software Engineering groep 1 (se1-1415) Academiejaar 2014-2015 Jens Nevens - Sander Lenaerts - Nassim Versbraegen Jo De Neve - Jasper Bevernage

Nadere informatie

Datum 15 juni 2006 Versie 1.0.6. Exchange Online. Handleiding voor gebruiker Release 1.0

Datum 15 juni 2006 Versie 1.0.6. Exchange Online. Handleiding voor gebruiker Release 1.0 Datum 1.0.6 Exchange Online Handleiding voor gebruiker Release 1.0 1.0.6 Inhoudsopgave 1 Instellingen e-mail clients 2 1.1 Gebruik via Outlook 2003 2 1.2 Gebruik via ActiveSync 15 1.3 Gebruik via andere

Nadere informatie

Is Big Data analytics the next step for SOC's and large companies?

Is Big Data analytics the next step for SOC's and large companies? Is Big Data analytics the next step for SOC's and large companies? Peter van den Heuvel SecureLink Security BootCamp Cyber Risk Cybersecurity specialists claim that almost every company is already hacked,

Nadere informatie

LES 11: VAN LOKAAL NAAR ONLINE. Lesoverzicht: Aan de slag Domeinnaam Web hosting FTP gegevens FTP programma s Database exporteren Samenvatting

LES 11: VAN LOKAAL NAAR ONLINE. Lesoverzicht: Aan de slag Domeinnaam Web hosting FTP gegevens FTP programma s Database exporteren Samenvatting LES 11: VAN LOKAAL NAAR ONLINE Lesoverzicht: Aan de slag Domeinnaam Web hosting FTP gegevens FTP programma s Database exporteren Samenvatting Tijd: 10 minuten Doel: Aan het einde van de les kun je de lokale

Nadere informatie

Enterprise Portfolio Management

Enterprise Portfolio Management Enterprise Portfolio Management Strategische besluitvorming vanuit integraal overzicht op alle portfolio s 22 Mei 2014 Jan-Willem Boere Vind goud in uw organisatie met Enterprise Portfolio Management 2

Nadere informatie

Technische nota AbiFire5 Rapporten maken via ODBC

Technische nota AbiFire5 Rapporten maken via ODBC Technische nota AbiFire5 Rapporten maken via ODBC Laatste revisie: 29 juli 2009 Inhoudsopgave Inleiding... 2 1 Installatie ODBC driver... 2 2 Systeeminstellingen in AbiFire5... 3 2.1 Aanmaken extern profiel...

Nadere informatie

Comics FILE 4 COMICS BK 2

Comics FILE 4 COMICS BK 2 Comics FILE 4 COMICS BK 2 The funny characters in comic books or animation films can put smiles on people s faces all over the world. Wouldn t it be great to create your own funny character that will give

Nadere informatie

XAMPP Web Development omgeving opzetten onder Windows.

XAMPP Web Development omgeving opzetten onder Windows. XAMPP Web Development omgeving opzetten onder Windows. Inhoudsopgave 1. Lees dit eerst... 2 2. Inleiding... 2 1 Xampp downloaden... 2 2 Installatie Xampp 1.7.4 op externe harddisk... 3 3 XAMPP herconfiguren...

Nadere informatie

Technisch ontwerp. Projectteam 6. Project "Web Essentials" 02 april 2009. Versie 2.1.0

Technisch ontwerp. Projectteam 6. Project Web Essentials 02 april 2009. Versie 2.1.0 Projectteam 6 Faculteit Natuur en Techniek Hogeschool Utrecht Projectleider: Hans Allis, hans.allis@student.hu.nl Technisch ontwerp Project "Web Essentials" 02 april 2009 Versie 2.1.0 Teamleden: Armin

Nadere informatie

Handleiding NL pagina 2. Manual UK page 6. Network Settings

Handleiding NL pagina 2. Manual UK page 6. Network Settings Handleiding NL pagina 2 Manual UK page 6 Network Settings 2 NEDERLANDS Netwerkinstellingen Inhoudsopgave Netwerkinstellingen voor Windows 98 en ME... 2 Netwerkinstellingen voor Windows 2000 en XP... 3

Nadere informatie

Find Neighbor Polygons in a Layer

Find Neighbor Polygons in a Layer Find Neighbor Polygons in a Layer QGIS Tutorials and Tips Author Ujaval Gandhi http://google.com/+ujavalgandhi Translations by Dick Groskamp This work is licensed under a Creative Commons Attribution 4.0

Nadere informatie

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente? Enterprise Architectuur een duur begrip, maar wat kan het betekenen voor mijn gemeente? Wie zijn we? > Frederik Baert Director Professional Services ICT @frederikbaert feb@ferranti.be Werkt aan een Master

Nadere informatie

Software Design Document

Software Design Document Software Design Document PEN: Paper Exchange Network Software Engineering groep 1 (se1-1415) Academiejaar 2014-2015 Jens Nevens - Sander Lenaerts - Nassim Versbraegen Jo De Neve - Jasper Bevernage Versie

Nadere informatie

Onder de motorkap van Microsoft Azure Web Sites. Eelco Koster Software architect ORDINA

Onder de motorkap van Microsoft Azure Web Sites. Eelco Koster Software architect ORDINA Onder de motorkap van Microsoft Azure Web Sites Eelco Koster Software architect ORDINA Agenda Introductie Architectuur Project Kudu Azure Resource Manager Doel Dieper inzicht geven in de werking van Azure

Nadere informatie

ECHTE MANNEN ETEN GEEN KAAS PDF

ECHTE MANNEN ETEN GEEN KAAS PDF ECHTE MANNEN ETEN GEEN KAAS PDF ==> Download: ECHTE MANNEN ETEN GEEN KAAS PDF ECHTE MANNEN ETEN GEEN KAAS PDF - Are you searching for Echte Mannen Eten Geen Kaas Books? Now, you will be happy that at this

Nadere informatie

Appendix A: List of variables with corresponding questionnaire items (in English) used in chapter 2

Appendix A: List of variables with corresponding questionnaire items (in English) used in chapter 2 167 Appendix A: List of variables with corresponding questionnaire items (in English) used in chapter 2 Task clarity 1. I understand exactly what the task is 2. I understand exactly what is required of

Nadere informatie

Om de toegang te krijgen tot de. download het programma. http://retroshare.sourceforge.net/downloads.html

Om de toegang te krijgen tot de. download het programma. http://retroshare.sourceforge.net/downloads.html www.vhn-online.nl Om de toegang te krijgen tot de download het programma http://retroshare.sourceforge.net/downloads.html Na het downloaden installeer en open het programma. Aan u wordt gevraagd: Create

Nadere informatie

Veel gestelde vragen nieuwe webloginpagina

Veel gestelde vragen nieuwe webloginpagina Veel gestelde vragen nieuwe webloginpagina Op deze pagina treft u een aantal veel gestelde vragen aan over het opstarten van de nieuwe webloginpagina http://weblogin.tudelft.nl: 1. Ik krijg de melding

Nadere informatie

How to install and use dictionaries on the ICARUS Illumina HD (E652BK)

How to install and use dictionaries on the ICARUS Illumina HD (E652BK) (for Dutch go to page 4) How to install and use dictionaries on the ICARUS Illumina HD (E652BK) The Illumina HD offers dictionary support for StarDict dictionaries.this is a (free) open source dictionary

Nadere informatie

Iedereen gebruikt het..

Iedereen gebruikt het.. , wat is het, wat kun je er mee? Iedereen gebruikt het.. Presentatie JongMKB-KAN, 6-11-2012 Cor Nouws Nou&Off since 2004 leading OpenOffice / LibreOffice professional Nl earlier Microsoft Office sr. consultant

Nadere informatie

SECURITY UITDAGINGEN 2015

SECURITY UITDAGINGEN 2015 SECURITY UITDAGINGEN 2015 Hoe uw IT-infrastructuur beschermen? Robby Cauwerts Security Engineer 2015 Check Point Software Technologies Ltd. 1 CHECK POINT NAMED A LEADER IN THE GARTNER MAGIC QUADRANTS FOR

Nadere informatie

ODS: Open Directory service. Wat is ODS?

ODS: Open Directory service. Wat is ODS? Wat is ODS? Wat is ODS? Geïntegreerde Meta-directorie voor OpenScape Office LX/MX/HX voor het zoeken van contacten in verschillende databasen en directories. Toegang verlenen naar verschillende directories.

Nadere informatie

Talentmanagement in tijden van crisis

Talentmanagement in tijden van crisis Talentmanagement in tijden van crisis Drs. Bas Puts Page 1 Copyright Siemens 2009. All rights reserved Mission: Achieving the perfect fit Organisatie Finance Sales Customer Engineering Project management

Nadere informatie

Inhoudsopgave. versie 0.8

Inhoudsopgave. versie 0.8 JOOMLA! INSTALLATIE HANDLEIDING versie 0.8 Inhoudsopgave Stappenplan...3 Inrichten database...4 Configuratiecentrum cpanel...4 Aanmaken van een database gebruiker...5 Aanmaken van een database...6 Gebruiker

Nadere informatie

Beschrijving functioneel en technisch design van de website

Beschrijving functioneel en technisch design van de website Bespreking Punten: Beschrijving functioneel en technisch design van de website Nr. Punt 1 Student 2 Bedrijf 3 Algemene lay out 4 Technologieën 5 Webruimte en datatrafiek 1. Student Registratie Bij de registratie

Nadere informatie

Workflow en screenshots Status4Sure

Workflow en screenshots Status4Sure Workflow en screenshots Status4Sure Inleiding Het Status4Sure systeem is een ICT oplossing waarmee de transportopdrachten papierloos door het gehele proces gaan. De status kan gevolgd worden door de logistieke

Nadere informatie

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop 1 Agenda Injection Cross Site Scripting Session Hijacking Cross Site Request Forgery #1 OWASP #2 top 10 #3 #5 Bezoek www.owasp.org

Nadere informatie

Handleiding installatie Rental Dynamics

Handleiding installatie Rental Dynamics Handleiding installatie Rental Dynamics Versie: 1.1 Datum: 9 januari 2015 1. Inleiding Deze handleiding beschrijft de procedure voor de installatie van Rental Dynamics en de benodigde software. In hoofdstuk

Nadere informatie

Account Information Services

Account Information Services Account Information Services Gebruikershandleiding webapplicatie Account Information Services (gebruikershandleiding) 13 January 2014 Classification: Open Version 7.0 Copyright Equens SE and/or its subsidiaries.

Nadere informatie

Over PHP. PHP en MySQL. 1.1 Inleiding. In dit hoofdstuk maak je kennis met PHP. Hoe werkt deze

Over PHP. PHP en MySQL. 1.1 Inleiding. In dit hoofdstuk maak je kennis met PHP. Hoe werkt deze Over PHP 1.1 Inleiding In dit hoofdstuk maak je kennis met PHP. Hoe werkt deze programmeertaal? En hoe is het ontstaan? Ook leer je welke editors je kunt gebruiken om PHP-scripts te maken en hoe je eenvoudig

Nadere informatie

Meet your mentor and coach

Meet your mentor and coach Young Professional Program The importance of having a mentor in business Meet your mentor and coach What do Larry Page, and Steve Jobs have in common? They ve all received guidance from mentors. Yes even

Nadere informatie

Kies File>New>Blank Page>PHP. Je kunt eventueel nog een stylesheet koppelen. Definieer nu eerst een site! Dat betekent: Site>New Site

Kies File>New>Blank Page>PHP. Je kunt eventueel nog een stylesheet koppelen. Definieer nu eerst een site! Dat betekent: Site>New Site Kies File>New>Blank Page>PHP Je kunt eventueel nog een stylesheet koppelen. Definieer nu eerst een site! Dat betekent: Site>New Site Geef de site een passende naam. Kies ook de juiste map voor de webdocumenten.

Nadere informatie

Mach3Framework 5.0 / Website

Mach3Framework 5.0 / Website Mach3Framework 5.0 / Website Handleiding Mach3Builders Inhoudsopgave 1 Inloggen...5 1.1 Ingelogd blijven...6 1.2 Wachtwoord vergeten...7 2 Applicatie keuzescherm...8 2.1 De beheeromgeving openen...9 3

Nadere informatie

Handleiding beheer lijst.hva.nl. See page 11 for Instruction in English

Handleiding beheer lijst.hva.nl. See page 11 for Instruction in English Handleiding beheer lijst.hva.nl See page 11 for Instruction in English Maillijsten voor medewerkers van de Hogeschool van Amsterdam Iedereen met een HvA-ID kan maillijsten aanmaken bij lijst.hva.nl. Het

Nadere informatie

EU keurt nieuw Programma veiliger internet goed: 55 miljoen euro om het internet veiliger te maken voor kinderen

EU keurt nieuw Programma veiliger internet goed: 55 miljoen euro om het internet veiliger te maken voor kinderen IP/8/899 Brussel, 9 december 8 EU keurt nieuw Programma veiliger internet goed: miljoen euro om het internet veiliger te maken voor kinderen Vanaf januari 9 zal de EU een nieuw programma voor een veiliger

Nadere informatie

Technologieverkenning

Technologieverkenning Technologieverkenning Videocontent in the cloud door de koppeling van MediaMosa installaties Versie 1.0 14 oktober 2010 Auteur: Herman van Dompseler SURFnet/Kennisnet Innovatieprogramma Het SURFnet/ Kennisnet

Nadere informatie

MCA Gemini Groep & Healthy Data Vault on budget

MCA Gemini Groep & Healthy Data Vault on budget MCA Gemini Groep & Healthy Data Vault on budget Introduction BI Team Koen Schutten, BI Specialist Jos Kee, BI Specialist + 4 other team members + Barbara Peruskovic, Consulting DW Architect A story about

Nadere informatie

CREATING VALUE THROUGH AN INNOVATIVE HRM DESIGN CONFERENCE 20 NOVEMBER 2012 DE ORGANISATIE VAN DE HRM AFDELING IN WOELIGE TIJDEN

CREATING VALUE THROUGH AN INNOVATIVE HRM DESIGN CONFERENCE 20 NOVEMBER 2012 DE ORGANISATIE VAN DE HRM AFDELING IN WOELIGE TIJDEN CREATING VALUE THROUGH AN INNOVATIVE HRM DESIGN CONFERENCE 20 NOVEMBER 2012 DE ORGANISATIE VAN DE HRM AFDELING IN WOELIGE TIJDEN Mieke Audenaert 2010-2011 1 HISTORY The HRM department or manager was born

Nadere informatie

Identity & Access Management & Cloud Computing

Identity & Access Management & Cloud Computing Identity & Access Management & Cloud Computing Emanuël van der Hulst Edwin Sturrus KPMG IT Advisory 11 juni 2015 Cloud Architect Alliance Introductie Emanuël van der Hulst RE CRISC KPMG IT Advisory Information

Nadere informatie

HANDLEIDING DMS Plugin Installatie, configuratie & werking

HANDLEIDING DMS Plugin Installatie, configuratie & werking HANDLEIDING DMS Plugin Installatie, configuratie & werking Dit document is de handleiding voor de installatie, configuratie en werking van de DMS Plugin. Versie 1-12/09/2005 Inhoudstafel 1 Installatie...

Nadere informatie

Net2WebServer. Installatie handleiding

Net2WebServer. Installatie handleiding Net2WebServer Installatie handleiding Versie: 1.0 Datum 19-10-2011 Copyright: CRC Value B.V. 2011-1- Inhoudsopgave Installatie en configuratie van de Net2WebServer...3 Installatie...3 Configuratie...6

Nadere informatie

Business Architectuur vanuit de Business

Business Architectuur vanuit de Business Business Architectuur vanuit de Business CGI GROUP INC. All rights reserved Jaap Schekkerman _experience the commitment TM Organization Facilities Processes Business & Informatie Architectuur, kun je vanuit

Nadere informatie

Les 15 : updaten van gegevens in de database (deel2).

Les 15 : updaten van gegevens in de database (deel2). Les 15 : updaten van gegevens in de database (deel2). In de volgende reeks lessen zal alle vorige leerstof uitgebreid aan het bod komen. Zie ook de vorige lessen en documenten om informatie op te zoeken

Nadere informatie

H AN D L E I DI N G FORM U LI E RM AK E R

H AN D L E I DI N G FORM U LI E RM AK E R FORMULIERMAKER H AN D L E I DI N G FORM U LI E RM AK E R Versie 1.3 gepubliceerd op 21 februari 2012 D e onderdelen van een f ormul i er Met de formuliermaker (formbuilder) kunt u binnen uw website op

Nadere informatie

LCA, wat kan je er mee. Sustainability consultant gaasbeek@pre sustainability.com

LCA, wat kan je er mee. Sustainability consultant gaasbeek@pre sustainability.com LCA, wat kan je er mee Anne Gaasbeek Anne Gaasbeek Sustainability consultant gaasbeek@pre sustainability.com PRé Consultants PRé is pionier i van LCA sinds 1990; ontwikkelaar van Ecoindicator and ReCiPe

Nadere informatie

Webservice voor data-uitwisseling tussen FysioRoadmap en MRS Software

Webservice voor data-uitwisseling tussen FysioRoadmap en MRS Software Webservice voor data-uitwisseling tussen FysioRoadmap en MRS Software Contents Inleiding...1 Wanneer is het gebruik van de webservice nodig?...2 Welke stappen dienen uitgevoerd te worden om de webservice

Nadere informatie

RUCKUS GUEST ACCESS. Technote. Alcadis Vleugelboot 8 3991 CL Houten www.alcadis.nl 030 65 85 125. Versie: 1.0 Auteur: Thomas Snijder Datum: 20-01-2013

RUCKUS GUEST ACCESS. Technote. Alcadis Vleugelboot 8 3991 CL Houten www.alcadis.nl 030 65 85 125. Versie: 1.0 Auteur: Thomas Snijder Datum: 20-01-2013 RUCKUS GUEST ACCESS Technote Versie: 1.0 Auteur: Thomas Snijder Datum: 20-01-2013 Alcadis Vleugelboot 8 3991 CL Houten www.alcadis.nl 030 65 85 125 Inhoud 1 Inleiding... 2 2 Configuratie... 3 2.1 GUEST

Nadere informatie

1 van 8 22-2-2012 20:43

1 van 8 22-2-2012 20:43 1 van 8 22-2-2012 20:43 Garmin Basecamp is een gratis software programma van Garmin. Het vergelijkbaar met mapsource, echter met de nieuwe toestellen (oregon, dakota en gpsmap 62) heeft het een aantal

Nadere informatie

Temperatuur logger synchronisatie

Temperatuur logger synchronisatie Temperatuur logger synchronisatie Juni 10, 2010 1 / 7 Temperatuur logger synchronisatie Introductie Twee of meerdere ontvangers van het Multilogger systeem kunnen met de temperature logger synchronisatie

Nadere informatie

Standard Parts Installatie Solid Edge ST3

Standard Parts Installatie Solid Edge ST3 Hamersveldseweg 65-1b 3833 GL LEUSDEN 033-457 33 22 033-457 33 25 info@caap.nl www.caap.nl Bank (Rabo): 10.54.52.173 KvK Utrecht: 32075127 BTW: 8081.46.543.B.01 Standard Parts Installatie Solid Edge ST3

Nadere informatie

Session Educa-on. 14-15 October 2013

Session Educa-on. 14-15 October 2013 Session Educa-on 14-15 October 2013 FIRE facilities in education: Networking courses (fixed and wireless) IP fixed networks ComNet Labs Build your own network [Lab router] Calculate IP ranges According

Nadere informatie

9 daagse Mindful-leSs 3 stappen plan training

9 daagse Mindful-leSs 3 stappen plan training 9 daagse Mindful-leSs 3 stappen plan training In 9 dagen jezelf volledig op de kaart zetten Je energie aangevuld en in staat om die batterij op peil te houden. Aan het eind heb jij Een goed gevoel in je

Nadere informatie