IT Security in examineren Hacken en fraude in de digitale toetsomgeving. Jochen den Ouden - 2015 - NVE - Stenden Hogeschool - Veteris IT Services
Even voorstellen Jochen den Ouden Docent Informatica Ethical Hacking Secure Programming IT Security Veteris IT Services Eigenaar Hacking & IT Security Awareness
"Security is, I would say, our top priority because for all the exciting things you will be able to do with computers - organizing your lives, staying in touch with people, being creative - if we don't solve these security problems, then people will hold back." - Bill Gates
Wat gaan we doen? Stellingen De toetsomgeving Hacken van de toets Controle Wrap up
IT Security Awareness Quiz http://kahoot.it
Stellingen en tegenstellingen
Voor digitaal examineren moet een aparte ruimte worden gebruikt, anders dan een leslokaal. Eens Oneens
Worden uitwerkingen lokaal (op de toets computer) opgeslagen of juist centraal op een server? Op de toetscomputer Op een server Weet ik niet
Studenten kunnen eigen media (USB opslag, CD- ROMS, etc.) gebruiken op de toetscomputers. Ja, dat kan Nee, dat kan niet Dat weet ik niet
Smartwatches mogen gedragen worden tijdens het examen. Ja, dat mag Nee, dat mag niet Dat weet ik niet
De toetsomgeving is geïnstalleerd op: Microsoft Windows Linux Apple Mac OS X Anders Dat weet ik niet
Wat betekent dit nu? Dat gaan we nu bekijken.
De toetsomgeving.
Interne Externe Dreigingen
De toetsomgeving. De ruimte Opstelling van de computers Besturingssysteem en toetssoftware De afdeling ICT Reglementen Dreiging van buitenaf Surveillanten Stroomstoringen Hacks
Schermen tussen computers Handig! Niet meer afkijken! Niet handig! Dit werkt juist fraude in de hand.
Wiskunde doen met Photomath
Reglementen
Smartwatches Wikipedia op postzegelformaat Perfect communicatiemiddel Camera functie
Smartwatches Moeten ze dus af of mogen ze om blijven?
Software op toets computers
Het besturingssysteem Veel instellingen gebruiken Windows XP nog Veel toetssoftware werkt (nog) niet op nieuwere versies besturingssystemen Kosten zijn te hoog Toetssoftware is Windows of Internet Explorer only
Een nieuw besturingsysteem met oude software Dat is hetzelfde als een nieuw huis met rotte kozijnen: Het piept en kraakt en erger het tocht en zorgt voor deuren die niet sluiten Deuren die niet sluiten zorgen voor inbrekers
Echt hacken van de toets
Vertragen van het toetsmoment Een server of toetsomgeving ontoegankelijk maken Door een zgn. Distributed Denial of Service (DDOS)
Vertragen van het toetsmoment DDoS zorgt voor vertraging Gewoon netwerk verkeer kan niet meer bij de servers Toets moet worden aflast
Inkopen doen om je toetsmoment te vertragen Toetsen vertragen of zelfs kapot maken Distributed Denial of Service (DDOS) Kost tussen de 140 en 200 euro per maand voor 1000 servers Buitenlandse ( minder ethische) partijen
En oh ja, dit is ook te koop op de digitale zwarte markt: Creditcardgegevens $4 300 ip adressen $6 Persoonlijke informatie $0,16 per mb Inloggegevens voor e-mailaccounts $160 Reeks mobiele nummer $250
Social Engineering Het slim manipuleren van iemand om dat te doen wat iemand normaal gesproken niet zou doen.
Social Engineering De docent heeft gezegd dat het boek er wel bij mag. Na de toets wil ik graag mijn uitwerkingen meenemen naar huis op USB Ik gebruik thuis een andere muis/toetsenbord en deze vind ik prettiger werken.
USB Rubber Ducky
USB Rubber Ducky Geeft toegang tot een computer voor ongeautoriseerde gebruikers. Kan bestanden kopiëren die niet gekopieerd mogen worden.
USB Rubber Ducky Doet zich voor als een normaal toetsenbord En een toetsenbord mag _altijd_ aangesloten worden Kosten: 49,-
Pineapple Wifi
Pineapple Wifi Hackers apparaat dat: Wachtwoorden kan vinden op Wifi Gedrag van gebruikers volgt Wifi netwerken steelt en kopieert En nog veel, veel meer
Pineapple Wifi Man in the Middle aanval
Pineapple Wifi Kan dus: Toetscomputers kopiëren Toetsnetwerken kopiëren Extra verbindingen naar buiten maken Kosten: 99,-
Controle na het toetsen.
Controle na het toetsen. Cijfers invoeren in een digitaal cijfersysteem Vraag: vind er controle plaats na het invoeren door bijvoorbeeld een examencommissie?
Waar moeten we naar toe?
Is dit een oplossing?
Wellicht is dit een oplossing?
IT Security Awareness creëren
IT Security Awareness creëren Opleiding en training Weet wat er mis kan gaan Wees bewust van ICT gevaren Denk drie stappen vooruit Meten, weten, ontzorgen
Dank u wel! veteris.nl twitter.com/jochendenouden https://nl.linkedin.com/in/jochendenouden jochen.den.ouden@stenden.com