Security - 23.05.2018

Leren hacken in de security masterclass

Security masterclass voor digital agencies bij True
Security masterclass voor digital agencies bij True
Home / Blog & Nieuws / Security / Leren hacken in de security masterclass

Op donderdag 17 mei 2018 vond The Art of Hacking plaats, een exclusieve masterclass voor digital agency partners van True. In deze sessie namen onze in-house ethical hackers Eddie en Patrick de ruim 21 deelnemers mee in de wonderbaarlijke wereld van “black hat hacking”. Veelvoorkomende kwetsbaarheden passeerden de revue en er werd uitgebreid stilgestaan hoe je ze kunt herkennen en op kunt lossen.

Bekijk onze Security Management diensten

“Mijn website is toch niet interessant?”

“Een van de grootste misvattingen die we tegenkomen, is dat mensen denken dat hun website of applicatie niet interessant is voor hackers. Well…think again”, vertelt Eddie Bijnen, security-engineer bij True, aan de 21 developers van diverse digital agencies.

Een hacker kan namelijk verschillende motieven hebben om een webomgeving over te nemen. Eddie: “Een trend die we de laatste tijd veel zien is cryptomining. Door verouderde WordPress of Joomla-versies wordt het voor hackers eenvoudiger om een omgeving over te nemen, omdat hier online talloze exploits voor te vinden zijn. Bij True hebben we dit snel in de gaten omdat we zien dat het CPU-verbruik dan omhoogschiet. Bij zulke uitschieters waarschuwen we de klant natuurlijk”. Desalniettemin groeit cryptomining wereldwijd in populariteit.

Security masterclass: mijn website is niet interessant, toch?

Reputatie en imagoschade

Financiële gevolgen (door downtime of inzet van forensische onderzoekers), een datalek, een mogelijke boete van de Autoriteit Persoonsgegevens: “Een hack kan een enorm grote impact hebben op de organisatie. Een van de grootste risico’s is reputatie en imago-schade”, vertelt Eddie.

In een van zijn slides laat Eddie zien dat veel aanvallen geautomatiseerd zijn. Hij laat een real-time kaart zien van aanvallen op een “honeypot” binnen een datacenter van True, een speciaal ingerichte omgeving met als doel om aanvallen uit te lokken zodat er van de nieuwste aanvallen geleerd kan worden.

“Vandaag alleen al zien we meer dan 6.000 geautomatiseerde aanvallen vanuit Amerika. Dit overkomt iedereen: op het internet worden omgevingen constant gescand om te kijken waar eventuele kwetsbaarheden zitten. Waarschijnlijk heb je dit zelf ook wel eens in de access logs gezien”, vertelt Eddie aan de aanwezigen.

Ben je gepwnd?

Voor het identificeren van kwetsbaarheden zijn tegenwoordig talloze methodes. Zo kun je via DNSdumpster.com of community.riskiq.com zoekopdrachten uitvoeren naar systeemconfiguraties en daar de kwetsbaarheden vinden.

Maar ook het uitproberen van hergebruikte wachtwoorden is nog altijd lucratief voor de kwaadwillende hacker. Haveibeenpwnd.com is daarom een interessante database om erachter te komen of jouw e-mailadres ooit betrokken is geweest bij een datalek.

Security masterclass: passwordinformatie via haveibeenpwned.com

Sinterklaas als social engineer

Een zeer effectieve methode blijft volgens Eddie spear phishing: “Dit is phishing die specifiek gericht is op jouw bedrijf. Uit diverse onderzoeken blijkt dat er een 80% clickratio is bij spear phishing. Het succesvol installeren van malware ligt daarbij zelfs tussen de 20-30%”. (bron)

Eddie noemt als voorbeeld een spear phishing mail over het invullen van een wenslijstje in de Sinterklaas-periode: “Dit was toen een zeer aannemelijke mail en het zag er zeer professioneel uit. Veel mensen trapten er toen in. Gelukkig was dit een gesimuleerde spear phishing campagne en werd er geen schade aangebracht bij de betreffende organisatie”.

“A fool with a tool is still a fool”

Eddie ging vervolgens meer in op de middelen en technieken die hackers gebruiken om inzicht te krijgen in een webomgeving. Daar kwamen een paar tools naar voren, zoals NMAP (waarmee je kunt zien welke poorten open staan), Nessus (een veelgebruikte vulnerability scanner) en WPscan (een command line tool voor inzicht in de meest recente WordPress-kwetsbaarheden).

Volgens Eddie gaat hacken wel veel verder dan enkel het gebruiken van tools: “Iedereen met de juiste kennis kan zulke tools draaien, maar tools kunnen niet een heel proces volgen. Mensen wel. Een hacker interpreteert of er gebruikers zijn waar misbruik van gemaakt kan worden. De tools zijn enkel voor inzicht. Het blijft altijd belangrijk om rekening te houden met menselijke interpretatie”.

Security masterclass: veelvoorkomende aanvallen

Cross-site scripting

Security-engineer Patrick vertelde vervolgens over de kenmerken van veelvoorkomende aanvallen, wat de risico’s daarvan zijn en hoe je ze op kunt lossen. Bij cross-site scripting bijvoorbeeld, kan er sprake zijn van ‘stored’, ‘reflected’ of ‘blind’ cross-site scripting.

Patrick: “Bij stored XSS kan een kwaadwillende een stukje malafide code opslaan, bijvoorbeeld in een forumbericht dat opgeslagen wordt in de database. Zodra een andere gebruiker de website bezoekt wordt de XSS als onderdeel van de websitecode uitgevoerd. Blind XSS werkt ongeveer hetzelfde, alleen weet je als aanvaller niet op welke pagina de code wordt uitgevoerd. Dit kan bijvoorbeeld ook in de back-end zijn. Een ingelogde administrator zal hier in ieder geval niets van doorhebben”.

De risico’s bij cross-site scripting liegen er niet om. Sessies kunnen gestolen worden, website kan beklad worden, malware verspreid, DDoS-aanvallen geïnitieerd en cryptomining kan plaatsvinden. “Er zijn verschillende methodes om te verdedigen bij XSS-aanvallen, denk aan het escapen van speciale karakters.”, aldus Patrick. Dit is unicode die een website omzet. ‘<’ wordt dan bijvoorbeeld ‘&lt’, ‘>’ wordt ‘&gt’ enzovoorts. Door deze karakters te excluden maak je het al een stuk lastiger voor het inladen van een XSS-script”, aldus Patrick. Een van de vele praktische tips die middag.

Aan de slag tijdens het hackuurtje

Na de gedeelde kennis mochten de deelnemers zelf aan de slag met hacken. Zij kregen een omgeving tot de beschikking die ze vervolgens mochten hacken op basis van de geleerde lessen. Hier zat tevens een wedstrijdelement in. Bij succesvolle XSS-pogingen werden bijvoorbeeld punten verdiend. Vanzelfsprekend kwamen daar een paar winnaars uit.

De top 3:

  1. Fabrique
  2. Netsquare
  3. Widgets

Goed gedaan!

Security masterclass ondersteuning van security engineers

Lessons learned

De belangrijkste lessen die de twee security-engineers mee wilde geven?

✓ Geef awareness over security de hoogste prioriteit.

✓ Bouw en onderhoud webapplicaties op een veilige manier.

✓ Voer regelmatig controles uit of laat ze uitvoeren.

✓ Blijf op de hoogte van de laatste ontwikkelingen.

De True Masterclasses zijn exclusieve evenementen die we voor de digital agency partners van True samenstellen. Ben je geïnteresseerd in ons partnerprogramma? Bezoek deze pagina. Ben je geïnteresseerd in onze securitydiensten? Bezoek deze pagina.

True Ligan
Managed hosting sinds 2000
Categorie: Security
Tags: , ,

Meer blog & nieuws

digitale-veiligheid-werkend-nederland
digitale-veiligheid-werkend-nederland
Werkend Nederland trekt zich weinig aan van digitale veiligheid
Lees blog
0-day kwetsbaarheid in Log4j
0-day kwetsbaarheid in Log4j
Zero-day kwetsbaarheid in Java logging service Log4j
Lees blog
Cyber Security Trends
Cyber Security Trends
Deze security trends van dit moment tillen IT-beveiliging naar hoger niveau
Lees blog
Bekijk alle berichten

Blijf op de hoogte en schrijf je in voor True Insights, onze maandelijkse nieuwsbrief

Schrijf je hier in voor de nieuwsbrief

Bel mij

Bel mij

Direct een specialist aan de lijn.

mail ons

mail ons

Bereik de True specialisten via e-mail.

chat direct

chat direct

Voor een snelle vraag, gebruik de chat.
Deze website maakt gebruik van cookies
True B.V. gebruikt cookies en vergelijkbare technieken om meer informatie over je locatie, surfgedrag, apparaten en browser te verzamelen. Naast functionele cookies om true.nl goed te laten werken, plaatsen wij ook analytische cookies om de website te verbeteren. Soms gebruiken wij marketing cookies zodat wij en derde partijen een profiel van jou kunnen bouwen om gepersonaliseerde content en producten aan te bieden. Hiervoor vragen we je toestemming via onderstaande “Alle cookies” knop. Als je hiermee niet akkoord gaat, dan plaatsen wij alleen de toegestane functionele- en analytische cookies. Wil je op een later moment je cookie voorkeuren aanpassen? In ons Cookies lees je meer over onze cookies en hoe je achteraf je cookie voorkeuren kunt aanpassen.