Week 1 – Introductie
Cybercrime
Cybercrime: wat zijn manieren waarop hackers te werk gaan.
Wat zijn belangrijke begrippen:
- Authentication: je kunt bewijzen dat je bent wie je zegt dat je bent. Niet alleen
personen maar ook apparaten en software.
- Confidentiality: het geheim houden van data (encryptie).
- Assurance (integrity): zorgt ervoor dat informatie niet gewijzigd wordt zonder
toestemming. Dit voorkomt dat de data wordt gemanipuleerd en waarborgt dat
correcte data correct blijft.
Layers
Security is op elke laag belangrijk. Hoe hoger in de laag, hoe complexer de beveiliging.
- Autorisatie: Wie heeft welke rechten?
- Accounting: De mogelijkheid om achteraf te achterhalen wat er precies gebeurd
is (bijv. via logbestanden).
Bij beveiliging moet je altijd afwegen wat zijn de risico's? Hoeveel geld moet je
investeren? Voor wat voor doeleinden doe je dat?
Outside threats
Aan wat voor aanvallen moet je denken? Linker gedeelte kun je zien als bedrijfje wat je
wil beveiligen. Je hebt een firewall die bepaalde aanvallen van buiten tegenhouden. Wat
zit er binnen de firewall? Alle systemen die je beveiligd wilt hebben. Wat zijn typische
aanvallen die van buiten kunnen komen? De mensen die de data willen stelen, externe
hackers, DoS (denial-of-service) attack, worms/virussen, fraudeurs, terroristen.
1
,Ongeveer 70% van organisaties heeft te maken gehad met een cyberaanval, bij 60%
kwamen deze vanaf binnen (bijvoorbeeld een medewerker die data lekt of meehelpt).
Hoe moet je netwerk dan georganiseerd zijn?
Het interne netwerk moet je op een of andere manier beveiligen. Een manier om dat te
doen is om allerlei log bestanden bij te houden. Een webserver voegt bijvoorbeeld een
regel toe met informatie over wie een actie uitvoerde, inclusief IP-adres en tijdstip.
Achteraf kan je dan in die logs kijken wie heeft het gedaan.
Event detection: automatische meldingen wanneer verdachte activiteiten worden
gedetecteerd. Om te weten wanneer zo’n event gaat triggeren, moet je eerst bepalen wat
voor regels wil je implementeren en dat leg je vast in een document: Security Policy. De
Security Policy is een document met regels voor de beveiliging, zoals triggercondities
voor events, bijvoorbeeld ongebruikelijke e-mailactiviteit. Om zo’n event te detecteren
moet je continu het netwerk scannen op alles wat er gebeurt (network sensors). Aan de
hand van het event + de logs op dat tijdstip kan er bepaald worden of het inderdaad
nodig is om onderzoek te doen.
Fundementals
Wat kan allemaal misgaan op een systeem?
Fake purchaser: gebruiken van valse creditcardgegevens voor aankopen.
Affiliate scammer: vraagt of die je website kan verkopen via zijn websites, met 15%
commissie.
Botnet
Veel aanvallen worden niet rechtstreeks door een hacker uitgevoerd, maar via
geïnfecteerde computers. De aanvaller infecteert vele computers met malware. Deze
computers vormen samen een botnet. Op een later tijdstip gebruikt de hacker dit botnet
voor een aanval. Voordelen voor de hacker:
1. IP-adressen van het botnet maskeren zijn identiteit.
2. Aanvallen kunnen vanuit meerdere locaties plaatsvinden.
Soorten aanvallen
Er zijn verschillende soorten aanvallen:
2
,Visual spying: de attacker kijkt fysiek of via een camera mee.
Misrepresentation: doen alsof je een andere functie hebt dan dat je daadwerkelijk hebt.
Het misleiden van gebruikers en system operators.
Eavesdropping: afluisteren van geluid en dataverkeer.
Logical scavenging: apparatuur moet vervangen worden, oude laptops worden dan
afgevoerd maar er zitten nog wel harde schijven en dergelijke in. Als je die bij het oud vuil
neerzet dan kan een dief makkelijk kijken welke data daarop staat.
Interference: Netwerken verstoren, denk vooral aan stoorzenders waardoor het
telefoonverkeer platligt. Het interfereren van communicatie.
Physical attacks: het stelen van apparatuur.
Impersonation: Zich voordoen als een ander persoon. Je zegt dat je iemand bent die je
niet bent.
Spoofing: een apparaat of software doet zich voor als iets anders. Bijvoorbeeld een mail
wordt verstuurd vanuit een mailadres dat niet echt van de afzender is.
Piggy back attack: schadelijke software meeliften met normale internetpakketjes,
bijvoorbeeld een virus dat meelift met een mailtje. Er iets meegestuurd op geldige
datapakketten.
Network weaving: trucs om IP-adressen of routes te verbergen. Als je probeert om je IP-
adres niet traceerbaar te maken kan je allerlei trucs uithalen om niet direct vanaf jouw
IP-adres iets te doen maar via via. Je wilt het systeem verwarren.
Trojan horse: schadelijke software vermomd als een legitiem programma. Een
programma dat normaal lijkt, maar eigenlijk een extra stukje software heeft dat
narigheid bevat. Valt binnen die piggy back attack.
Logic bombs: Malware die op een later moment geactiveerd wordt. Een van de dingen
die een logic bomb gaan initiëren is een denial of services attack. Vanuit al die bots
tegelijkertijd iets aanvallen. Ook binnen een piggy back attack
Virus vs Worm
Virus: heeft een menselijke actie nodig om zich te verspreiden, iemand moet
bijvoorbeeld eerst op een link klikken.
Worm: verspreidt zich automatisch door zwakke plekken in netwerken uit te buiten.
(distribute) Denail of Service attack (DoS)
Bij een DoS attack wordt een server overspoeld met aanvragen totdat deze crasht. DoS
attack werkt eigenlijk alleen maar op het moment dat je met veel verschillende
3
, computers tegelijkertijd iets doet, dus via een botnet zodat je daar een logic bomb op
kan neerzetten die vervolgens op een bepaald tijdstip gaat triggeren.
Covert channel
Een covert channel is een techniek om informatie verborgen te verzenden. Een channel
is een internetkanaal, je stopt data aan de ene kant erin en die komt er aan de andere
kant weer uit.
Covert channel: de data die over die lijn gaat misbruiken. Je stuurt meer data over de
lijn dan je van de lijn zou kunnen verwachten. Het verbergen van gegevens in een geldig
netwerkverkeer.
Timing channel: er wordt informatie verstuurt via de tijdsintervallen tussen twee
pakketjes.
Storage channel: er wordt informatie verborgen in headers van netwerkpakketten.
Exploit attack
Exploit attack: een zwakke plek in de software wordt misbruikt voor een aanval.
Bijvoorbeeld dat je die input die je geeft (search bar google) dat je die zodanig raar
invoert dat er iets misgaat als google zijn zaakjes niet voor elkaar heeft. Eerst reserveren
hoeveel bites geheugen je gebruikt, als je meer dan dat typt dan heb je kans dat je een
overloop hebt waarbij je een stukje kan overschrijven waar een security note staat (C-
code).
Authorisation attack
Authorisation attack: een aanvaller probeert meer rechten te verkrijgen dan
toegestaan.
Trap door impersonation
Trap door impersonation: een valstrik waarbij een gebruiker misleid wordt om gevoelige
informatieprijs te geven. Trapdoor wordt vaak geïnitieerd door spam mailtjes. “From”
adres is erg zwak, dus makkelijk aanpasbaar door kwaadaardige gebruikers.
Controleer links vóór het klikken door met de muis over de hyperlink te gaan. Wat doen?
IP-adres opzoeken bij welke domeinnaam die hoort. Je kan het ook nog zien aan als je
naar de source van de email kijkt. Veel headers kan je veranderen. Je moet kijken naar de
received headers. Een email kan niet direct van A naar B, maar gaat via allerlei andere
servers. Bij elke tussen liggende emailserver wordt zo’n received header toevoegend,
wat vaak niet te faken is.
Risk analysis
Hoe ga je nou bepalen wat het risico precies is? Niet elk risico hoeft aangepakt te
worden; de kosten moeten in verhouding staan tot het risico. Je gaat altijd kijken van
hoeveel kost het mij om de beveiliging op orde te krijgen, en hoe groot is de kans dat het
daadwerkelijk plaatsvindt
4
Cybercrime
Cybercrime: wat zijn manieren waarop hackers te werk gaan.
Wat zijn belangrijke begrippen:
- Authentication: je kunt bewijzen dat je bent wie je zegt dat je bent. Niet alleen
personen maar ook apparaten en software.
- Confidentiality: het geheim houden van data (encryptie).
- Assurance (integrity): zorgt ervoor dat informatie niet gewijzigd wordt zonder
toestemming. Dit voorkomt dat de data wordt gemanipuleerd en waarborgt dat
correcte data correct blijft.
Layers
Security is op elke laag belangrijk. Hoe hoger in de laag, hoe complexer de beveiliging.
- Autorisatie: Wie heeft welke rechten?
- Accounting: De mogelijkheid om achteraf te achterhalen wat er precies gebeurd
is (bijv. via logbestanden).
Bij beveiliging moet je altijd afwegen wat zijn de risico's? Hoeveel geld moet je
investeren? Voor wat voor doeleinden doe je dat?
Outside threats
Aan wat voor aanvallen moet je denken? Linker gedeelte kun je zien als bedrijfje wat je
wil beveiligen. Je hebt een firewall die bepaalde aanvallen van buiten tegenhouden. Wat
zit er binnen de firewall? Alle systemen die je beveiligd wilt hebben. Wat zijn typische
aanvallen die van buiten kunnen komen? De mensen die de data willen stelen, externe
hackers, DoS (denial-of-service) attack, worms/virussen, fraudeurs, terroristen.
1
,Ongeveer 70% van organisaties heeft te maken gehad met een cyberaanval, bij 60%
kwamen deze vanaf binnen (bijvoorbeeld een medewerker die data lekt of meehelpt).
Hoe moet je netwerk dan georganiseerd zijn?
Het interne netwerk moet je op een of andere manier beveiligen. Een manier om dat te
doen is om allerlei log bestanden bij te houden. Een webserver voegt bijvoorbeeld een
regel toe met informatie over wie een actie uitvoerde, inclusief IP-adres en tijdstip.
Achteraf kan je dan in die logs kijken wie heeft het gedaan.
Event detection: automatische meldingen wanneer verdachte activiteiten worden
gedetecteerd. Om te weten wanneer zo’n event gaat triggeren, moet je eerst bepalen wat
voor regels wil je implementeren en dat leg je vast in een document: Security Policy. De
Security Policy is een document met regels voor de beveiliging, zoals triggercondities
voor events, bijvoorbeeld ongebruikelijke e-mailactiviteit. Om zo’n event te detecteren
moet je continu het netwerk scannen op alles wat er gebeurt (network sensors). Aan de
hand van het event + de logs op dat tijdstip kan er bepaald worden of het inderdaad
nodig is om onderzoek te doen.
Fundementals
Wat kan allemaal misgaan op een systeem?
Fake purchaser: gebruiken van valse creditcardgegevens voor aankopen.
Affiliate scammer: vraagt of die je website kan verkopen via zijn websites, met 15%
commissie.
Botnet
Veel aanvallen worden niet rechtstreeks door een hacker uitgevoerd, maar via
geïnfecteerde computers. De aanvaller infecteert vele computers met malware. Deze
computers vormen samen een botnet. Op een later tijdstip gebruikt de hacker dit botnet
voor een aanval. Voordelen voor de hacker:
1. IP-adressen van het botnet maskeren zijn identiteit.
2. Aanvallen kunnen vanuit meerdere locaties plaatsvinden.
Soorten aanvallen
Er zijn verschillende soorten aanvallen:
2
,Visual spying: de attacker kijkt fysiek of via een camera mee.
Misrepresentation: doen alsof je een andere functie hebt dan dat je daadwerkelijk hebt.
Het misleiden van gebruikers en system operators.
Eavesdropping: afluisteren van geluid en dataverkeer.
Logical scavenging: apparatuur moet vervangen worden, oude laptops worden dan
afgevoerd maar er zitten nog wel harde schijven en dergelijke in. Als je die bij het oud vuil
neerzet dan kan een dief makkelijk kijken welke data daarop staat.
Interference: Netwerken verstoren, denk vooral aan stoorzenders waardoor het
telefoonverkeer platligt. Het interfereren van communicatie.
Physical attacks: het stelen van apparatuur.
Impersonation: Zich voordoen als een ander persoon. Je zegt dat je iemand bent die je
niet bent.
Spoofing: een apparaat of software doet zich voor als iets anders. Bijvoorbeeld een mail
wordt verstuurd vanuit een mailadres dat niet echt van de afzender is.
Piggy back attack: schadelijke software meeliften met normale internetpakketjes,
bijvoorbeeld een virus dat meelift met een mailtje. Er iets meegestuurd op geldige
datapakketten.
Network weaving: trucs om IP-adressen of routes te verbergen. Als je probeert om je IP-
adres niet traceerbaar te maken kan je allerlei trucs uithalen om niet direct vanaf jouw
IP-adres iets te doen maar via via. Je wilt het systeem verwarren.
Trojan horse: schadelijke software vermomd als een legitiem programma. Een
programma dat normaal lijkt, maar eigenlijk een extra stukje software heeft dat
narigheid bevat. Valt binnen die piggy back attack.
Logic bombs: Malware die op een later moment geactiveerd wordt. Een van de dingen
die een logic bomb gaan initiëren is een denial of services attack. Vanuit al die bots
tegelijkertijd iets aanvallen. Ook binnen een piggy back attack
Virus vs Worm
Virus: heeft een menselijke actie nodig om zich te verspreiden, iemand moet
bijvoorbeeld eerst op een link klikken.
Worm: verspreidt zich automatisch door zwakke plekken in netwerken uit te buiten.
(distribute) Denail of Service attack (DoS)
Bij een DoS attack wordt een server overspoeld met aanvragen totdat deze crasht. DoS
attack werkt eigenlijk alleen maar op het moment dat je met veel verschillende
3
, computers tegelijkertijd iets doet, dus via een botnet zodat je daar een logic bomb op
kan neerzetten die vervolgens op een bepaald tijdstip gaat triggeren.
Covert channel
Een covert channel is een techniek om informatie verborgen te verzenden. Een channel
is een internetkanaal, je stopt data aan de ene kant erin en die komt er aan de andere
kant weer uit.
Covert channel: de data die over die lijn gaat misbruiken. Je stuurt meer data over de
lijn dan je van de lijn zou kunnen verwachten. Het verbergen van gegevens in een geldig
netwerkverkeer.
Timing channel: er wordt informatie verstuurt via de tijdsintervallen tussen twee
pakketjes.
Storage channel: er wordt informatie verborgen in headers van netwerkpakketten.
Exploit attack
Exploit attack: een zwakke plek in de software wordt misbruikt voor een aanval.
Bijvoorbeeld dat je die input die je geeft (search bar google) dat je die zodanig raar
invoert dat er iets misgaat als google zijn zaakjes niet voor elkaar heeft. Eerst reserveren
hoeveel bites geheugen je gebruikt, als je meer dan dat typt dan heb je kans dat je een
overloop hebt waarbij je een stukje kan overschrijven waar een security note staat (C-
code).
Authorisation attack
Authorisation attack: een aanvaller probeert meer rechten te verkrijgen dan
toegestaan.
Trap door impersonation
Trap door impersonation: een valstrik waarbij een gebruiker misleid wordt om gevoelige
informatieprijs te geven. Trapdoor wordt vaak geïnitieerd door spam mailtjes. “From”
adres is erg zwak, dus makkelijk aanpasbaar door kwaadaardige gebruikers.
Controleer links vóór het klikken door met de muis over de hyperlink te gaan. Wat doen?
IP-adres opzoeken bij welke domeinnaam die hoort. Je kan het ook nog zien aan als je
naar de source van de email kijkt. Veel headers kan je veranderen. Je moet kijken naar de
received headers. Een email kan niet direct van A naar B, maar gaat via allerlei andere
servers. Bij elke tussen liggende emailserver wordt zo’n received header toevoegend,
wat vaak niet te faken is.
Risk analysis
Hoe ga je nou bepalen wat het risico precies is? Niet elk risico hoeft aangepakt te
worden; de kosten moeten in verhouding staan tot het risico. Je gaat altijd kijken van
hoeveel kost het mij om de beveiliging op orde te krijgen, en hoe groot is de kans dat het
daadwerkelijk plaatsvindt
4
