ICT-Security C.A. (Casper) Sneekes Sales Consultant Tel: 06-11 39 35 80 c.sneekes@hoffmannbv.nl
Hoffmann Bedrijfsrecherche Sinds 1962 Marktleider in bedrijfsrecherche > 1300 onderzoeken per jaar, 75 medewerkers Bedrijfsleven, (semi)overheid en gezondheidszorg Deskundig, gecertificeerd, gescreend, (inter-)nationale ervaring en veelal met een politie- en/of onderzoeksachtergrond ICT-Specialisten: digitaal forensisch onderzoek, malware onderzoek en ethical hackers
Hoffmann Bedrijfsrecherche Diefstalonderzoek Fraude-onderzoek Contra-expertise Concurrentiebeding Corruptie en Steekpenningen Lekken vertrouwelijke informatie Digitaal Forensisch onderzoek Malware onderzoek Ziektecontrole ICT Security test (Pentest) Pre-employment screening Risico analyse
Inhoud Cijfers & Actualiteit Wie zijn de hackers Hoe werkt het? Maatregelen
Cijfers Cybercrime Ruim 200.000 slachtoffers identiteitsfraude in 2012 Toename phishing bij invoeren IBAN 37.000 phishing aanvallen per maand 40% van de Nederlandse ondernemers zijn in 2012 geconfronteerd met cybercrime Ransomware gericht op bedrijven neemt sterk toe EU: Schade door cybercrime: 290 miljard per jaar McAfee: 8,8 miljard schade Nederlandse economie NCSC verwerkt 779 veiligheidsincidenten (Rijksoverheid en vitale sector 2013) Boete bij onvoldoende bescherming persoonsgegevens en niet melden data lekken tot 450.000,-- (NL)
Actualiteit
Actualiteit
Risico s Cybercriminelen: Continuïteit bedrijfsvoering Imago schade Intellectuele eigendomen Industriële spionage Privacygevoelige informatie (wetgeving) Medewerkers: Lekken vertrouwelijke informatie Bedrijfsgegevens Derving Fraude
Cybercriminelen Gelegenheidshacker Gerichte aanval Trojans/virussen Lage loon landen Pakkans nog zeer laag Wetgeving onvoldoende Internationale samenwerking verbetert
Medewerkers Fraude mbv ICT middelen Het lekken van vertrouwelijke bedrijfsinformatie Stelen van bedrijfsgegevens Social Media Worden als middel ingezet
Middelen Hacken Phishing Spear-Phishing Datadragers Social Engineering Trojans/Virussen Botnets
Doel
Schade Reputatie Financieel Concurrentiepositie Wet/regelgeving
Cybercrime - Doelwitten Drive-by attacks: Kwetsbaarheid wordt bekend Geautomatiseerde scanners speuren internet af Ontdekken kwetsbare systemen Targetted attacks: Vooropgezet doel om target te hacken Combinatie van technieken: Systeem attack Social Engineering Physical attack
Hackers Aanval op systemen Aanval gericht op systemen: Standaard software / systemen Eigen webapplicaties / portals Op zoek naar bekende kwetsbaarheden: Geautomatiseerd, handmatig Zero-day exploits Op zoek naar slecht ontwikkelde code
Casus: Proletarisch webwinkelen Veilig internetverkeer tussen webwinkel en klant is meestal goed geregeld: Ideal; Keurmerk webwinkel; Gegevens zijn makkelijker te achterhalen nadat ze verstuurd zijn. Hoe staat het met de beveiliging van de achterliggende backend/database? Zijn klantgegevens veilig opgeslagen op systeem? Welke gegevens worden bewaard van klanten?
SQL injectie Een gangbare en effectieve methode om via de database van een webwinkel: Login gegevens te verkrijgen Klantgegevens te stelen/verwijderen/openbaar te maken Het achterliggende netwerk te compromitteren De techniek is gebaseerd op het manipuleren van invoer in de webwinkel. De hacker 'injecteert' database commando's (SQL) in een regulier invoerveld (bijv. zoek artikel ). Geen ingewikkelde tools, MS Internet Explorer is voldoende.
Structured Query Language (SQL) Vraagtaal voor databases sinds early 1970s Select prijs from artikel where omschrijving = hamer -> 15.95 Select prijs from artikel where omschrijving = -> Syntax error Select prijs from artikel where omschrijving = union select password from users where username = admin -> S3cr3t ID Omschrijving Prijs ID username Password 1 Hamer 15.95 12 Oscar Welkom01 2 Zaag 19.99 3 Bosch klopboor 125.00 21 Admin S3cr3t 23 Cms Test2222
Casus: Proletarisch webwinkelen Op de website van onze klant (groothandel) kan naar artikelen worden gezocht
Casus: Proletarisch webwinkelen Wat gebeurt er als we in plaats van een getal een quote ( ) invoeren? Een foutmelding (i.p.v. artikel niet gevonden ) geeft aan dat de site vatbaar is voor SQL injectie
Casus: Proletarisch webwinkelen Achter de schermen wordt invoer gebruiker verwerkt in query Rode tekst is invoer gebruiker. Uitvoer in de webpagina. select naam, prijs from artikel where artikelid = 366278 select naam, prijs from artikel where artikelid = select naam, prijs from artikel where artikelid = 0 union select login, wachtwoord from klanten where 1 = 1
Casus: Proletarisch webwinkelen
Casus: Proletarisch webwinkelen Binnen een paar uur: Het beheer account en wachtwoord gestolen Afleveradressen gewijzigd De gehele klantendatabase gedownload: Gestolen gegevens gaven toegang tot het gehele achterliggende bedrijfsnetwerk Slechts één wachtwoord voor alle beheertaken
Typische kwetsbaarheden (1) Browsable folders ( Open dirs ): www.bedrijf.nl/download/dbbackup020613.txt Verstopte functionaliteit: www.bedrijf.nl/beheer/files/upload.asp Clientside validatie: Browser valideert invoer gebruiker Eenvoudig te omzeilen
Typische kwetsbaarheden (2) SQL injectie www.bedrijf.nl/artikel?id=10 union select passwd from users Remote command execution www.bedrijf.nl/showfile?f=readme.txt; curl intranet.bedrijf.nl Path traversal www.bedrijf.nl/download?f=..\..\..\..\..\boot.ini www.bedrijf.nl/download?f=...\.\...\.\...\.\...\.\boot.ini
Misbruik kwetsbaarheden Uploaden backdoor/tools Aanvallen systemen achter firewall Netwerkverkeer afluisteren/tunnelen Open shares zoeken, (IT) documenten stelen Wachtwoorden kraken Bij iedere stap komt de hacker in een comfortabeler positie Uiteindelijk een (externe) systeembeheerder
Wat ziet de hacker? Wat u achter uw bureau ook ziet..
Ransomware - Screenlock
Ransomware - Crypto
Hackers Social Engineering Zwakste schakel Onwetend Welwillend Naïef (Spear)phishing aanvallen USB Device dropping/sending Telefonisch informatie onttrekken Mystery guesting / inlooptest
Casus: Spearphishing
Casus: Spearphishing
Casus: Spearphishing
Casus: Spearphishing
Casus: Spearphishing
Casus: Spearphishing
Casus 2: Social engineering, phishing Uit open bronnen (website, LinkedIn) lijst namen samengesteld van onze klant. Deze namen geverifieerd op de mailserver van klant. Phishing e-mail verstuurd vanuit gespoofd e-mail account
Casus 2: Social engineering, phishing E-mail verstuurd met een link naar een gekopieerde Citrix login pagina op onze eigen server. Beste medewerker, De afdeling GIGA is afgelopen maanden zeer druk bezig geweest om de migratie van XP naar Windows 7 en de SAP-implementatie voor de gebruikers zo soepel mogelijk te laten verlopen. Dit is vrijwel voor een ieder vrij vlekkeloos verlopen. Echter verloopt de accountsynchronisatie tussen de Active Directory/Citrix en Windows 7 enerzijds en SAP anderzijds nog niet vlekkeloos. Dit in combinatie met het thuiswerken noodzaakt ons jullie te vragen om te controleren of jullie hier op de Citrix Portal ook hinder van ondervinden. Kortom, gaarne inloggen op :https://start.giga-abcd.nl Alvast dank, Hoofd ICT GIGA ------------------------------------------------------------------------------------------ Dit e-mailbericht en enige bijlage is uitsluitend bestemd voor de geadresseerde(n) en strikt vertrouwelijk of anderszins wettelijk beschermd. In dit bericht vervatte opvattingen of meningen zijn uitsluitend die van de schrijver en niet per definitie die van. Indien u niet de geadresseerde bent, verzoeken wij u dit bericht en enige bijlage daarbij aan de afzender terug te sturen en alle kopieën ervan te wissen en te vernietigen. is niet aansprakelijk voor virussen in dit e-mailbericht en/of enige bijlage..kan op geen enkele wijze verantwoordelijk of aansprakelijk worden gehouden voor en/of in verband met de gevolgen van en/of schade ontstaan door het onjuist, onvolledig en/of niet-tijdig versturen en ontvangen van de inhoud van dit bericht. Handelsregister: 02008
Social engineering: phishing
Social engineering: phishing Binnen 30 seconden resultaat: - Gebruikersnaam: dgeve1 - Wachtwoord: H0nda4 Binnen enkele uren nog 2 inlogcodes Vervolgens inloggen op webmail van de gebruikers
Social engineering: phishing Inloggen op de webmail van dgeve1 : https://webmail.giga-...nl
Cybercrime > Cybersecurity Zorg voor voldoende beveiliging: Periodiek testen Security Awareness Personeel Classificatie informatie Compartimentering systemen Forensic Readiness: Backups Logging Procedures
AON / Hoffmann: Cyber Risk Quick Scan Analyseren: Inzicht en overzicht van uw Cyberrisico s Security Risico s binnen uw huidige dekking Beheersen: Het in kaart brengen, beheersen en bestrijden van cyberrisico s Bestrijden: Toetsen van uw informatiebeveiliging van uw website dmv Hoffmann Pentest
Vragen? Casper Sneekes Sales Consultant c.sneekes@hoffmannbv.nl 036 52 33 000