Jeroen van Beek
Download
Report
Transcript Jeroen van Beek
‘Datalekken: praktijkvoorbeelden’
Jeroen van Beek
Security Bootcamp
12 maart 2014
Datalekken
• Verschillende oorzaken
Technische kwetsbaarheden
– Missende patches, bugs, …
– Gaan we vandaag niet op in
Onkunde / missende procedures
– Onjuist redigeren
– Metadata niet verwijderen
– Niet-publieke gegevens publiek aanbieden
Jeroen van Beek
www.dexlab.nl
12 maart 2014
2
Jeroen van Beek
12 maart 2014
3
Google dorks
• “Google dorks” / “Google Hacking”
• Google indexeert alles
Ook ‘per ongeluk’ gepubliceerde gegevens
Google Hacking Databases (‘GHDB’)
Specifieke zoeksleutels:
– Zoek alleen in sites die eindigen op .nl
– Zoek alleen in PDF’s
– Vind spannende zoekwoorden
Jeroen van Beek
www.dexlab.nl
12 maart 2014
5
Google dorks, vervolgd
• Videocamera’s:
Jeroen van Beek
www.dexlab.nl
12 maart 2014
intitle:”Live View / - AXIS 210”
inurl:view/indexFrame.shtml
intitle:liveapplet inurl:LvAppl
intitle:”i-Catcher Console - Web Monitor”
6
Google dorks, vervolgd
• Koopcontracten:
filetype:pdf site:.nl negentienhonderd -statuten
Jeroen van Beek
www.dexlab.nl
12 maart 2014
7
Jeroen van Beek
12 maart 2014
8
Google dorks, vervolgd
• Backups van databases:
filetype:sql "phpMyAdmin SQL Dump"
• Waarom interessant?
Dump van gebruikersnamen
• Waarom geen wachtwoorden?
Dan wordt het wel heel makkelijk
• Waar kijken we dan naar?
Jeroen van Beek
www.dexlab.nl
12 maart 2014
Z.g.n. wachtwoord-hashes
Wachtwoord hash = makkelijk
Hash wachtwoord = praktisch onmogelijk
Toch kraken!
9
10
Google dorks, vervolgd
• Lekke websites opsporen:
inurl:"id=" & intext:"Warning:
mysql_fetch_assoc() site:.nl
• Vervolgens tools de kwetsbaarheden
uit laten buiten en je kunt:
Mogelijk alle data stelen
Mogelijk alle data wijzigen en verwijderen
Mogelijk het systeem overnemen
Jeroen van Beek
www.dexlab.nl
12 maart 2014
11
Mobiele apps
• ‘t Ultieme afluisterapparaat:
Jeroen van Beek
www.dexlab.nl
12 maart 2014
12
Mobiele apps, vervolgd
• Grindr, dating-app voor mannen
Extra beveiligingslaag toegevoegd in 2012
– AES-versleuteling ingevoerd na eerdere hack
– Sleutel wordt onversleuteld uitgewisseld
Werkt op basis van GPS-coördinaten:
– Tokens van 24 dichtstbijzijnde gebruikers worden doorgegeven
– Token kan gebruikt worden om aan te melden
• Toegang privéprofiel
• Toegang chat-systeem: historie en nieuwe berichten versturen
– GPS-coordinaten te ‘spoofen’
• Matrix over Nederland / …
• Alle gebruikers semi-realtime uit te peilen
• Plot op Google Maps
https://www.os3.nl/_media/reports/grindr.pdf
Jeroen van Beek
www.dexlab.nl
12 maart 2014
13
Mobiele apps, vervolgd
• Grindr is niet uniek
Blendr
Tinder
Goeie suggesties uit de zaal? :-)
• Als jouw GPS-locatie gebruikt wordt kan ie
lekken
Via kwetsbaarheden in de app
Via onversleutelde diensten van derden
• Als apps GPS-locaties gebruiken kunnen ze
gespoofd worden
Jeroen van Beek
www.dexlab.nl
12 maart 2014
In het voordeel van derden
14
Peer-2-peer
• Software voor bestandsuitwisseling
Zogenaamde “peer-2-peer”-applicaties (p2p)
• “Even snel de laatste media binnenhalen”
Muziek, films, boeken, software, ...
• Een gebruiker deelt zelf ook bestanden
Vaak onbewust
Wellicht privacygevoelige informatie
Jeroen van Beek
www.dexlab.nl
12 maart 2014
15
Peer-2-peer, vervolgd
• Server: index van alle bestanden
• 1.000.000+ clients / server
2
1
3
4
Jeroen van Beek
www.dexlab.nl
12 maart 2014
5
16
Peer-2-peer, vervolgd
2
3
zoek paspoort
serverlijst?
4
1,2,3,4,etc,100
Jeroen van Beek
www.dexlab.nl
12 maart 2014
zoek paspoort
1
17
9 maart 2011
18
18
9 maart 2011
19
19
Jeroen van Beek
12 maart 2014
20
9 maart 2011
21
21
Jeroen van Beek
12 maart 2014
22
Jeroen van Beek
17 April 2009
Jeroen van Beek
12 maart 2014
23
Peer-2-peer, vervolgd
• Mogelijke gevolgen
voor uw organisatie
Paspoorten zijn slechts
een voorbeeld
– DigID-wachtwoord
– Creditcardgegevens
– Belastingaangifte
– Mailbox
– Medische gegevens
– Ontwerptekeningen
– …
Jeroen van Beek
www.dexlab.nl
12 maart 2014
24
Jeroen van Beek
12 maart 2014
25
Jeroen van Beek
12 maart 2014
26
Jeroen van Beek
12 maart 2014
27
www.dexlab.nl
12 maart 2014
28
Jeroen van Beek
12 maart 2014
29
Conclusie
• Denk goed na over welke data je aan
wie en hoe ter beschikking stelt
• Denk goed na over de voor- en
nadelen van een dienst
Voor niets gaat de zon op…
• Een ongeluk zit in een klein hoekje
Jeroen van Beek
www.dexlab.nl
12 maart 2014
30
Vragen?
Jeroen van Beek
www.dexlab.nl
12 maart 2014
31
Bedankt voor de aandacht!
Jeroen van Beek
www.dexlab.nl
12 maart 2014
32