20121201 security 101 - vincent olsthoorn

556 views
481 views

Published on

A presentation about cyber security, risk, ways of protecting prepared by Vincent Oltshoorn (NCIM Groep)

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
556
On SlideShare
0
From Embeds
0
Number of Embeds
234
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

20121201 security 101 - vincent olsthoorn

  1. 1. Security 101 9 januari 2013 Vincent Olsthoorn 1
  2. 2. Inhoud• Security Dreigingen• Hoe gaat een hacker te werk?• Wat je moet weten over passwords• Video: hacking (6 minuten) 2
  3. 3. BegrippenMalware: kwaadaardige software (virus, worm, spyware, adware)Phishing: Hacker die de identiteit van een organisatie misbruikt.Baiting: Geïnfecteerde data dragers doelbewust achterlatenVulnerability: zwakheid in software / security lekExploit: stuk software dat misbruik maakt van een vulnerabilityZero-day: Exploit waarvan nog geen patch is uitgebrachtSocial engineering: Misbruik van de grootste vulnerability: de mens 3
  4. 4. motivatie hackers• Fun! (problem solving)• Contributie aan software/diensten• Mensen die Politieke/religieuze meningen willen verspreiden (b.v.: misbruik van exploits uit Wordpress, Joomla, enz.)• Geld ( phishing, creditcardgegevens en Paypal accounts stelen )• Geheime informatie stelen• Concurentie uitschakelen 4
  5. 5. Security | Digitale dienstsoftware systeem netwerkinfrastructuur 5
  6. 6. Hacking methodiek Informatie Informatie Vulnerability(s) Vulnerability(s) Sporen Sporen scannen scannen Exploitatie Exploitatie vergaring vergaring vinden vinden verwijderen verwijderen• Google! • Netwerk in kaart • Verouderde webservers?• Exploit toolbox! • Logs opschonen• website brengen • Webapplicatie • Man in the middle • History verwijderen• vacatures • Tcp/udp Port scans  XXS • Packet sniffing • Exploit tmp bestanden• WHOIS (systeem)  SQL injection • Webapplicatie verwijderen• Social engineering • Versie detectie • Applicaties/diensten:  XXS  helpdesk (applicaties)  Nessus:  SQL injection bellen • Load balacing vulnerability  Interviews testing scanner  Fishing  baiting 6
  7. 7. OWASP• A1 – Injection• A2 – Cross Site Scripting /XSS• A3 – Broken Authentication / Session Management• A4 – Insecure Direct Object References• A5 – Cross Site Request Forgery• A6 – Security Misconfiguration• A7 – Insecure Cryptographic Storage• A8 – Failure to Restrict URL Access• A9 – Insufficient Transport Layer Protection• A10 – Invalidated Redirects and Forwards 7
  8. 8. password verzameling• 2012: Yahoo: 400 duizend• 2012: eHarmony: 1,5 miljoen• 2012: Linked-in: 6,6 miljoen• 2009: RockYou: 32 miljoen 8
  9. 9. Voorstel password0l1F@nt VS olifantbradwurst72^7 = 10^13 | 26^16 = 10^22 10^9 pogingen per seconde (desktop met high-end GPU) 9
  10. 10. 10
  11. 11. Hacking videohttp://www.deloitte.com/view/en_GB/uk/services/audit/enterprise-risk-services/aaeeeb6f047b3310VgnVCM2000001b56f00aRCRD.htm 11
  12. 12. Maatregels tegen hackers• Beveiligen• Detecteren• Reactie plan 12

×