Jeroen van Beek
Werbung
‘Datalekken: praktijkvoorbeelden’ Jeroen van Beek Security Bootcamp 12 maart 2014 Datalekken • Verschillende oorzaken Technische kwetsbaarheden – Missende patches, bugs, … – Gaan we vandaag niet op in Onkunde / missende procedures – Onjuist redigeren – Metadata niet verwijderen – Niet-publieke gegevens publiek aanbieden Jeroen van Beek www.dexlab.nl 12 maart 2014 2 Jeroen van Beek 12 maart 2014 3 Google dorks • “Google dorks” / “Google Hacking” • Google indexeert alles Ook ‘per ongeluk’ gepubliceerde gegevens Google Hacking Databases (‘GHDB’) Specifieke zoeksleutels: – Zoek alleen in sites die eindigen op .nl – Zoek alleen in PDF’s – Vind spannende zoekwoorden Jeroen van Beek www.dexlab.nl 12 maart 2014 5 Google dorks, vervolgd • Videocamera’s: Jeroen van Beek www.dexlab.nl 12 maart 2014 intitle:”Live View / - AXIS 210” inurl:view/indexFrame.shtml intitle:liveapplet inurl:LvAppl intitle:”i-Catcher Console - Web Monitor” 6 Google dorks, vervolgd • Koopcontracten: filetype:pdf site:.nl negentienhonderd -statuten Jeroen van Beek www.dexlab.nl 12 maart 2014 7 Jeroen van Beek 12 maart 2014 8 Google dorks, vervolgd • Backups van databases: filetype:sql "phpMyAdmin SQL Dump" • Waarom interessant? Dump van gebruikersnamen • Waarom geen wachtwoorden? Dan wordt het wel heel makkelijk • Waar kijken we dan naar? Jeroen van Beek www.dexlab.nl 12 maart 2014 Z.g.n. wachtwoord-hashes Wachtwoord hash = makkelijk Hash wachtwoord = praktisch onmogelijk Toch kraken! 9 10 Google dorks, vervolgd • Lekke websites opsporen: inurl:"id=" & intext:"Warning: mysql_fetch_assoc() site:.nl • Vervolgens tools de kwetsbaarheden uit laten buiten en je kunt: Mogelijk alle data stelen Mogelijk alle data wijzigen en verwijderen Mogelijk het systeem overnemen Jeroen van Beek www.dexlab.nl 12 maart 2014 11 Mobiele apps • ‘t Ultieme afluisterapparaat: Jeroen van Beek www.dexlab.nl 12 maart 2014 12 Mobiele apps, vervolgd • Grindr, dating-app voor mannen Extra beveiligingslaag toegevoegd in 2012 – AES-versleuteling ingevoerd na eerdere hack – Sleutel wordt onversleuteld uitgewisseld Werkt op basis van GPS-coördinaten: – Tokens van 24 dichtstbijzijnde gebruikers worden doorgegeven – Token kan gebruikt worden om aan te melden • Toegang privéprofiel • Toegang chat-systeem: historie en nieuwe berichten versturen – GPS-coordinaten te ‘spoofen’ • Matrix over Nederland / … • Alle gebruikers semi-realtime uit te peilen • Plot op Google Maps https://www.os3.nl/_media/reports/grindr.pdf Jeroen van Beek www.dexlab.nl 12 maart 2014 13 Mobiele apps, vervolgd • Grindr is niet uniek Blendr Tinder Goeie suggesties uit de zaal? :-) • Als jouw GPS-locatie gebruikt wordt kan ie lekken Via kwetsbaarheden in de app Via onversleutelde diensten van derden • Als apps GPS-locaties gebruiken kunnen ze gespoofd worden Jeroen van Beek www.dexlab.nl 12 maart 2014 In het voordeel van derden 14 Peer-2-peer • Software voor bestandsuitwisseling Zogenaamde “peer-2-peer”-applicaties (p2p) • “Even snel de laatste media binnenhalen” Muziek, films, boeken, software, ... • Een gebruiker deelt zelf ook bestanden Vaak onbewust Wellicht privacygevoelige informatie Jeroen van Beek www.dexlab.nl 12 maart 2014 15 Peer-2-peer, vervolgd • Server: index van alle bestanden • 1.000.000+ clients / server 2 1 3 4 Jeroen van Beek www.dexlab.nl 12 maart 2014 5 16 Peer-2-peer, vervolgd 2 3 zoek paspoort serverlijst? 4 1,2,3,4,etc,100 Jeroen van Beek www.dexlab.nl 12 maart 2014 zoek paspoort 1 17 9 maart 2011 18 18 9 maart 2011 19 19 Jeroen van Beek 12 maart 2014 20 9 maart 2011 21 21 Jeroen van Beek 12 maart 2014 22 Jeroen van Beek 17 April 2009 Jeroen van Beek 12 maart 2014 23 Peer-2-peer, vervolgd • Mogelijke gevolgen voor uw organisatie Paspoorten zijn slechts een voorbeeld – DigID-wachtwoord – Creditcardgegevens – Belastingaangifte – Mailbox – Medische gegevens – Ontwerptekeningen – … Jeroen van Beek www.dexlab.nl 12 maart 2014 24 Jeroen van Beek 12 maart 2014 25 Jeroen van Beek 12 maart 2014 26 Jeroen van Beek 12 maart 2014 27 www.dexlab.nl 12 maart 2014 28 Jeroen van Beek 12 maart 2014 29 Conclusie • Denk goed na over welke data je aan wie en hoe ter beschikking stelt • Denk goed na over de voor- en nadelen van een dienst Voor niets gaat de zon op… • Een ongeluk zit in een klein hoekje Jeroen van Beek www.dexlab.nl 12 maart 2014 30 Vragen? Jeroen van Beek www.dexlab.nl 12 maart 2014 31 Bedankt voor de aandacht! Jeroen van Beek www.dexlab.nl 12 maart 2014 32
