Jeroen van Beek

Download Report

Transcript Jeroen van Beek

‘Datalekken: praktijkvoorbeelden’
Jeroen van Beek
Security Bootcamp
12 maart 2014
Datalekken
• Verschillende oorzaken
 Technische kwetsbaarheden
– Missende patches, bugs, …
– Gaan we vandaag niet op in
 Onkunde / missende procedures
– Onjuist redigeren
– Metadata niet verwijderen
– Niet-publieke gegevens publiek aanbieden
Jeroen van Beek
www.dexlab.nl
12 maart 2014
2
Jeroen van Beek
12 maart 2014
3
Google dorks
• “Google dorks” / “Google Hacking”
• Google indexeert alles
 Ook ‘per ongeluk’ gepubliceerde gegevens
 Google Hacking Databases (‘GHDB’)
 Specifieke zoeksleutels:
– Zoek alleen in sites die eindigen op .nl
– Zoek alleen in PDF’s
– Vind spannende zoekwoorden
Jeroen van Beek
www.dexlab.nl
12 maart 2014
5
Google dorks, vervolgd
• Videocamera’s:




Jeroen van Beek
www.dexlab.nl
12 maart 2014
intitle:”Live View / - AXIS 210”
inurl:view/indexFrame.shtml
intitle:liveapplet inurl:LvAppl
intitle:”i-Catcher Console - Web Monitor”
6
Google dorks, vervolgd
• Koopcontracten:
 filetype:pdf site:.nl negentienhonderd -statuten
Jeroen van Beek
www.dexlab.nl
12 maart 2014
7
Jeroen van Beek
12 maart 2014
8
Google dorks, vervolgd
• Backups van databases:
 filetype:sql "phpMyAdmin SQL Dump"
• Waarom interessant?
 Dump van gebruikersnamen
• Waarom geen wachtwoorden?
 Dan wordt het wel heel makkelijk
• Waar kijken we dan naar?
Jeroen van Beek
www.dexlab.nl
12 maart 2014




Z.g.n. wachtwoord-hashes
Wachtwoord  hash = makkelijk
Hash  wachtwoord = praktisch onmogelijk
Toch kraken!
9
10
Google dorks, vervolgd
• Lekke websites opsporen:
 inurl:"id=" & intext:"Warning:
mysql_fetch_assoc() site:.nl
• Vervolgens tools de kwetsbaarheden
uit laten buiten en je kunt:
 Mogelijk alle data stelen
 Mogelijk alle data wijzigen en verwijderen
 Mogelijk het systeem overnemen
Jeroen van Beek
www.dexlab.nl
12 maart 2014
11
Mobiele apps
• ‘t Ultieme afluisterapparaat:
Jeroen van Beek
www.dexlab.nl
12 maart 2014
12
Mobiele apps, vervolgd
• Grindr, dating-app voor mannen
 Extra beveiligingslaag toegevoegd in 2012
– AES-versleuteling ingevoerd na eerdere hack
– Sleutel wordt onversleuteld uitgewisseld
 Werkt op basis van GPS-coördinaten:
– Tokens van 24 dichtstbijzijnde gebruikers worden doorgegeven
– Token kan gebruikt worden om aan te melden
• Toegang privéprofiel
• Toegang chat-systeem: historie en nieuwe berichten versturen
– GPS-coordinaten te ‘spoofen’
• Matrix over Nederland / …
• Alle gebruikers semi-realtime uit te peilen
• Plot op Google Maps
 https://www.os3.nl/_media/reports/grindr.pdf
Jeroen van Beek
www.dexlab.nl
12 maart 2014
13
Mobiele apps, vervolgd
• Grindr is niet uniek
 Blendr
 Tinder
 Goeie suggesties uit de zaal? :-)
• Als jouw GPS-locatie gebruikt wordt kan ie
lekken
 Via kwetsbaarheden in de app
 Via onversleutelde diensten van derden
• Als apps GPS-locaties gebruiken kunnen ze
gespoofd worden
Jeroen van Beek
www.dexlab.nl
12 maart 2014
 In het voordeel van derden
14
Peer-2-peer
• Software voor bestandsuitwisseling
 Zogenaamde “peer-2-peer”-applicaties (p2p)
• “Even snel de laatste media binnenhalen”
 Muziek, films, boeken, software, ...
• Een gebruiker deelt zelf ook bestanden
 Vaak onbewust
 Wellicht privacygevoelige informatie
Jeroen van Beek
www.dexlab.nl
12 maart 2014
15
Peer-2-peer, vervolgd
• Server: index van alle bestanden
• 1.000.000+ clients / server
2
1
3
4
Jeroen van Beek
www.dexlab.nl
12 maart 2014
5
16
Peer-2-peer, vervolgd
2
3
zoek paspoort
serverlijst?
4
1,2,3,4,etc,100
Jeroen van Beek
www.dexlab.nl
12 maart 2014
zoek paspoort
1
17
9 maart 2011
18
18
9 maart 2011
19
19
Jeroen van Beek
12 maart 2014
20
9 maart 2011
21
21
Jeroen van Beek
12 maart 2014
22
Jeroen van Beek
17 April 2009
Jeroen van Beek
12 maart 2014
23
Peer-2-peer, vervolgd
• Mogelijke gevolgen
voor uw organisatie
 Paspoorten zijn slechts
een voorbeeld
– DigID-wachtwoord
– Creditcardgegevens
– Belastingaangifte
– Mailbox
– Medische gegevens
– Ontwerptekeningen
– …
Jeroen van Beek
www.dexlab.nl
12 maart 2014
24
Jeroen van Beek
12 maart 2014
25
Jeroen van Beek
12 maart 2014
26
Jeroen van Beek
12 maart 2014
27
www.dexlab.nl
12 maart 2014
28
Jeroen van Beek
12 maart 2014
29
Conclusie
• Denk goed na over welke data je aan
wie en hoe ter beschikking stelt
• Denk goed na over de voor- en
nadelen van een dienst
 Voor niets gaat de zon op…
• Een ongeluk zit in een klein hoekje
Jeroen van Beek
www.dexlab.nl
12 maart 2014
30
Vragen?
Jeroen van Beek
www.dexlab.nl
12 maart 2014
31
Bedankt voor de aandacht!
Jeroen van Beek
www.dexlab.nl
12 maart 2014
32