Datalekken: praktijkvoorbeelden Security Bootcamp
Datalekken Verschillende oorzaken Technische kwetsbaarheden Missende patches, bugs, Gaan we vandaag niet op in Onkunde / missende procedures Onjuist redigeren Metadata niet verwijderen Niet-publieke gegevens publiek aanbieden 2
3
Google dorks Google dorks / Google Hacking Google indexeert alles Ook per ongeluk gepubliceerde gegevens Google Hacking Databases ( GHDB ) Specifieke zoeksleutels: Zoek alleen in sites die eindigen op.nl Zoek alleen in PDF s Vind spannende zoekwoorden 5
Google dorks, vervolgd Videocamera s: intitle: Live View / - AXIS 210 inurl:view/indexframe.shtml intitle:liveapplet inurl:lvappl intitle: i-catcher Console - Web Monitor 6
Google dorks, vervolgd Koopcontracten: filetype:pdf site:.nl negentienhonderd -statuten 7
8
Google dorks, vervolgd Backups van databases: filetype:sql "phpmyadmin SQL Dump" Waarom interessant? Dump van gebruikersnamen Waarom geen wachtwoorden? Dan wordt het wel heel makkelijk Waar kijken we dan naar? Z.g.n. wachtwoord-hashes Wachtwoord hash = makkelijk Hash wachtwoord = praktisch onmogelijk Toch kraken! 9
10
Google dorks, vervolgd Lekke websites opsporen: inurl:"id=" & intext:"warning: mysql_fetch_assoc() site:.nl Vervolgens tools de kwetsbaarheden uit laten buiten en je kunt: Mogelijk alle data stelen Mogelijk alle data wijzigen en verwijderen Mogelijk het systeem overnemen 11
Mobiele apps t Ultieme afluisterapparaat: 12
Mobiele apps, vervolgd Grindr, dating-app voor mannen Extra beveiligingslaag toegevoegd in 2012 AES-versleuteling ingevoerd na eerdere hack Sleutel wordt onversleuteld uitgewisseld Werkt op basis van GPS-coördinaten: Tokens van 24 dichtstbijzijnde gebruikers worden doorgegeven Token kan gebruikt worden om aan te melden Toegang privéprofiel Toegang chat-systeem: historie en nieuwe berichten versturen GPS-coordinaten te spoofen Matrix over Nederland / Alle gebruikers semi-realtime uit te peilen Plot op Google Maps https://www.os3.nl/_media/reports/grindr.pdf 13
Mobiele apps, vervolgd Grindr is niet uniek Blendr Tinder Goeie suggesties uit de zaal? :-) Als jouw GPS-locatie gebruikt wordt kan ie lekken Via kwetsbaarheden in de app Via onversleutelde diensten van derden Als apps GPS-locaties gebruiken kunnen ze gespoofd worden In het voordeel van derden 14
Peer-2-peer Software voor bestandsuitwisseling Zogenaamde peer-2-peer -applicaties (p2p) Even snel de laatste media binnenhalen Muziek, films, boeken, software,... Een gebruiker deelt zelf ook bestanden Vaak onbewust Wellicht privacygevoelige informatie 15
Peer-2-peer, vervolgd Server: index van alle bestanden 1.000.000+ clients / server 1 2 3 4 5 16
Peer-2-peer, vervolgd 2 3 zoek paspoort serverlijst? 1,2,3,4,etc,100 4 zoek paspoort 1 17
9 maart 2011 18 18
9 maart 2011 19 19
20
9 maart 2011 21 21
22
17 April 2009 23
Peer-2-peer, vervolgd Mogelijke gevolgen voor uw organisatie Paspoorten zijn slechts een voorbeeld DigID-wachtwoord Creditcardgegevens Belastingaangifte Mailbox Medische gegevens Ontwerptekeningen 24
25
26
27
28
29
Conclusie Denk goed na over welke data je aan wie en hoe ter beschikking stelt Denk goed na over de voor- en nadelen van een dienst Voor niets gaat de zon op Een ongeluk zit in een klein hoekje 30
Vragen? 31
Bedankt voor de aandacht! 32