Security masterclass voor digital agencies bij True

Leren hacken in de security masterclass

Op donderdag 17 mei 2018 vond The Art of Hacking plaats, een exclusieve masterclass voor digital agency partners van True. In deze sessie namen onze in-house ethical hackers Eddie en Patrick de ruim 21 deelnemers mee in de wonderbaarlijke wereld van “black hat hacking”. Veelvoorkomende kwetsbaarheden passeerden de revue en er werd uitgebreid stilgestaan hoe je ze kunt herkennen en op kunt lossen. 

“Mijn website is toch niet interessant?”

“Een van de grootste misvattingen die we tegenkomen, is dat mensen denken dat hun website of applicatie niet interessant is voor hackers. Well…think again”, vertelt Eddie Bijnen, security-engineer bij True, aan de 21 developers van diverse digital agencies.

Een hacker kan namelijk verschillende motieven hebben om een webomgeving over te nemen. Eddie: “Een trend die we de laatste tijd veel zien is cryptomining. Door verouderde WordPress of Joomla-versies wordt het voor hackers eenvoudiger om een omgeving over te nemen, omdat hier online talloze exploits voor te vinden zijn. Bij True hebben we dit snel in de gaten omdat we zien dat het CPU-verbruik dan omhoogschiet. Bij zulke uitschieters waarschuwen we de klant natuurlijk”. Desalniettemin groeit cryptomining wereldwijd in populariteit.

Security masterclass: mijn website is niet interessant, toch?

Reputatie en imagoschade

Financiële gevolgen (door downtime of inzet van forensische onderzoekers), een datalek, een mogelijke boete van de Autoriteit Persoonsgegevens: “Een hack kan een enorm grote impact hebben op de organisatie. Een van de grootste risico’s is reputatie en imago-schade”, vertelt Eddie.

In een van zijn slides laat Eddie zien dat veel aanvallen geautomatiseerd zijn. Hij laat een real-time kaart zien van aanvallen op een “honeypot” binnen een datacenter van True, een speciaal ingerichte omgeving met als doel om aanvallen uit te lokken zodat er van de nieuwste aanvallen geleerd kan worden.

“Vandaag alleen al zien we meer dan 6.000 geautomatiseerde aanvallen vanuit Amerika. Dit overkomt iedereen: op het internet worden omgevingen constant gescand om te kijken waar eventuele kwetsbaarheden zitten. Waarschijnlijk heb je dit zelf ook wel eens in de access logs gezien”, vertelt Eddie aan de aanwezigen.

Ben je gepwnd?

Voor het identificeren van kwetsbaarheden zijn tegenwoordig talloze methodes. Zo kun je via DNSdumpster.com of community.riskiq.com zoekopdrachten uitvoeren naar systeemconfiguraties en daar de kwetsbaarheden vinden.

Maar ook het uitproberen van hergebruikte wachtwoorden is nog altijd lucratief voor de kwaadwillende hacker. Haveibeenpwnd.com is daarom een interessante database om erachter te komen of jouw e-mailadres ooit betrokken is geweest bij een datalek.

Security masterclass: passwordinformatie via haveibeenpwned.com

Sinterklaas als social engineer

Een zeer effectieve methode blijft volgens Eddie spear phishing: “Dit is phishing die specifiek gericht is op jouw bedrijf. Uit diverse onderzoeken blijkt dat er een 80% clickratio is bij spear phishing. Het succesvol installeren van malware ligt daarbij zelfs tussen de 20-30%”. (bron)

Eddie noemt als voorbeeld een spear phishing mail over het invullen van een wenslijstje in de Sinterklaas-periode: “Dit was toen een zeer aannemelijke mail en het zag er zeer professioneel uit. Veel mensen trapten er toen in. Gelukkig was dit een gesimuleerde spear phishing campagne en werd er geen schade aangebracht bij de betreffende organisatie”.

“A fool with a tool is still a fool”

Eddie ging vervolgens meer in op de middelen en technieken die hackers gebruiken om inzicht te krijgen in een webomgeving. Daar kwamen een paar tools naar voren, zoals NMAP (waarmee je kunt zien welke poorten open staan), Nessus (een veelgebruikte vulnerability scanner) en WPscan (een command line tool voor inzicht in de meest recente WordPress-kwetsbaarheden).

Volgens Eddie gaat hacken wel veel verder dan enkel het gebruiken van tools: “Iedereen met de juiste kennis kan zulke tools draaien, maar tools kunnen niet een heel proces volgen. Mensen wel. Een hacker interpreteert of er gebruikers zijn waar misbruik van gemaakt kan worden. De tools zijn enkel voor inzicht. Het blijft altijd belangrijk om rekening te houden met menselijke interpretatie”.

Security masterclass: veelvoorkomende aanvallen

Cross-site scripting

Security-engineer Patrick vertelde vervolgens over de kenmerken van veelvoorkomende aanvallen, wat de risico’s daarvan zijn en hoe je ze op kunt lossen. Bij cross-site scripting bijvoorbeeld, kan er sprake zijn van ‘stored’, ‘reflected’ of ‘blind’ cross-site scripting.

Patrick: “Bij stored XSS kan een kwaadwillende een stukje malafide code opslaan, bijvoorbeeld in een forumbericht dat opgeslagen wordt in de database. Zodra een andere gebruiker de website bezoekt wordt de XSS als onderdeel van de websitecode uitgevoerd. Blind XSS werkt ongeveer hetzelfde, alleen weet je als aanvaller niet op welke pagina de code wordt uitgevoerd. Dit kan bijvoorbeeld ook in de back-end zijn. Een ingelogde administrator zal hier in ieder geval niets van doorhebben”.

De risico’s bij cross-site scripting liegen er niet om. Sessies kunnen gestolen worden, website kan beklad worden, malware verspreid, DDoS-aanvallen geïnitieerd en cryptomining kan plaatsvinden. “Er zijn verschillende methodes om te verdedigen bij XSS-aanvallen, denk aan het escapen van speciale karakters.”, aldus Patrick. Dit is unicode die een website omzet. ‘<’ wordt dan bijvoorbeeld ‘&lt’, ‘>’ wordt ‘&gt’ enzovoorts. Door deze karakters te excluden maak je het al een stuk lastiger voor het inladen van een XSS-script”, aldus Patrick. Een van de vele praktische tips die middag.

Aan de slag tijdens het hackuurtje

Na de gedeelde kennis mochten de deelnemers zelf aan de slag met hacken. Zij kregen een omgeving tot de beschikking die ze vervolgens mochten hacken op basis van de geleerde lessen. Hier zat tevens een wedstrijdelement in. Bij succesvolle XSS-pogingen werden bijvoorbeeld punten verdiend.  Vanzelfsprekend kwamen daar een paar winnaars uit.

De top 3:

  1. Fabrique
  2. Netsquare
  3. Widgets

Goed gedaan!

Security masterclass ondersteuning van security engineers

Lessons learned

De belangrijkste lessen die de twee security-engineers mee wilde geven?

✓ Geef awareness over security de hoogste prioriteit.

✓ Bouw en onderhoud webapplicaties op een veilige manier.

✓ Voer regelmatig controles uit of laat ze uitvoeren.

✓ Blijf op de hoogte van de laatste ontwikkelingen.

De True Masterclasses zijn exclusieve evenementen die we voor de digital agency partners van True samenstellen. Ben je geïnteresseerd in ons partnerprogramma? Bezoek deze pagina. Ben je geïnteresseerd in onze securitydiensten? Bezoek deze pagina.

Security masterclass voor digital agencies bij True
Kilian Drewel
Chief Content
Deel dit artikel via sociale media:
digitale-veiligheid-werkend-nederland

Research - 03.10.2017

Slechts 21% van de Nederlandse werknemers maakt zich zorgen over de digitale veiligheid op werk. Dat blijkt uit onderzoek van Alert Online. Opvallend, omdat bijna de helft van de Nederlanders (46%) wél bezorgd is over de digitale veiligheid thuis. De belangrijkste oorzaak? Een gebrek aan de juiste informatie. Hoe pak je dat aan als organisatie?  […]

CPU bugs Meltdown en Spectre

Cloud - 04.01.2018

Wereldwijd zijn miljoenen computers kwetsbaar voor bugs Meltdown en Spectre. De eerste patches zijn vrijgegeven en worden doorgevoerd. Voor servers vormen de bugs ook een beveiligingsrisico. Wat de bugs doen en welke maatregelen wij als cloudprovider nemen lees je in dit artikel.  Meltdown en Spectre Beveiligingsexperts hebben twee grote bugs (Meltdown en Spectre) gevonden in […]

BadRabbit ransomware aanval

Digitale werkplek - 25.10.2017

Na NotPetya en WannaCry is er nieuwe ransomware-aanval: Bad Rabbit. Deze nieuwe ransomware aanval heeft al diverse slachtoffers gemaakt in Oost-Europese landen. Onder de getroffenen bevinden zich onder andere mediabedrijven, metrostations en zelfs vliegvelden. Vooralsnog zijn er geen berichten over Nederlandse slachtoffers. Wat is er aan de hand? En moeten organisaties stappen ondernemen?  Wat is er aan de hand? Malafide […]

Blijf op de hoogte en schrijf u in voor onze nieuwsbrief
Schrijf u in voor de nieuwsbrief

Vertel ons uw uitdagingen

Vul onderstaand formulier in om direct met True in contact te komen.