Introductie
Termen
• Authenticatie
o Bewijzen dat jij bent wie je zegt dat je bent
o Personen, apparaten, software
• Confidentiality (encryption)
o Geheimhouden van data
• Assurance (integrity)
o Voorkomen dat mensen gaan rommelen aan data
Onthouden
• Confidentiality
• Integrity
• Assurance
Of
• Authentication
• Authorization → wie heeft welke rechten
• Accounting → achteraf kunnen terugkijken wat er is
gebeurd (log bestanden)
Veiligheid is op elke laag belangrijk.
• Als je gaat beveiligen moet je rekening houden met het doel en budget.
1
,• Firewall alleen houdt geen indringers binnen van buitenaf en binnenuit.
• Interne netwerk
• Servers loggen eigenlijk alles wat ze doen
• Event detection → automatische programmatuur die berichten sturen op het moment dat
het systeem denkt dat er iets raars gebeurd
• In de security/audit policy wordt vastgelegd wat er moet worden gedetecteerd
• Om te detecteren moet continu verbinding worden gemaakt met de netwerk sensor
• M.b.v. netwerk logs en host logs kan een onderzoeker bepalen wat voor soort dreiging er is
2
,Aanvallen
Botnet
• Gebeuren niet door de gebruiker zelf
• Dader bouwt eerst een netwerk op die hij in zijn eigen macht heeft met virussen
• Op een later moment vanuit het botnet een aanval plegen
• Voordelen
o De IP-adressen zijn nu niet van de dader
o De dader kan vanuit verschillende plekken aanvallen plegen
Dader mogelijkheden
• Visual spying
o Puur meekijken
o Bv kijken hoe iemand z’n wachtwoord intypt
o Notities die op de laptop geplakt
o Camera ophangen bij pinautomaten
o Degene hoeft niet fysiek aanwezig te zijn
• Misrepresentation
o Iemand doet zich anders voor
• Eavesdropping
o Afluisteren van het geluid
o Data dat wordt afgetapt
• Logical scavenging
o Apparatuur die vervangen wordt en waarvan de harde schijf wordt meegenomen
• Interference
o Stoorzenders die een ruis veroorzaakt waardoor telefoonverkeer plat legt
• Physical attacks
o Fysiek hameren op laptops
o Stelen van gegevensdragers
• Spoofing
o Apparatuur/software doen zichzelf voor als iemand anders
• Impersonation
o Personen doen zichzelf voor als iemand anders
o Hetzelfde als misrepresentation
• Piggy back attack
o Alles wat meelift met internetpakketjes
o Virus bij een mailtje
o Trojan horse = programma dat normaal lijkt, maar dat een extra stukje software met
zich meeheeft dat schade doet
o Logic bomb = stukje software dat op een later moment schade doet
▪ Gebruikt bij botnet op hetzelfde moment
• Network weaving
o Om andere attacks te verhullen
o Bijvoorbeeld IP adres verhullen
• Malevolent worms
o Plant zichzelf voort om schade aan te brengen
o Krachtiger dan virussen
3
, o Dupliceert zichzelf
o Ingewikkelder om te maken
• Virus
o Een stukje software dat zich dupliceert op de host
o Heeft meestal iemand nodig om zich te verspreiden met behulp van een linkje
• DoS/DDoS
o Server zodanig overbelasten dat hij het niet meer trekt
o Werken alleen als je vanuit meer laptops een request doet om een site plat te leggen
o Vaak in combinatie met een botnet
o Dader kan anderen vragen om mee te helpen
• Covert channel
o Meer middel om het voor elkaar te krijgen
o Channel = internetkanaal
o Data die over de lijn gaat, wordt misbruikt
o De TTL (time to live) in een pakketje kan worden aangepast of er kan extra informatie
mee worden gegeven
o Timing channel → tijd tussen 2 internetpakketjes wordt ook gebruikt als data
o Storage channel → een object modificeren zoals informatie toevoegen aan header
• Exploit attack
o Zwakheid in de software die gebruikt kan worden voor de attack
• Authorization attack
o Alle attacks die ermee te maken hebben dat je meer rechten wil krijgen dan dat je
hebt
• Trap door impersonation
o Een webpagina lijkt normaal te zijn, maar als je moet inloggen heeft degene je
gegevens en kan daar foute dingen meedoen
o Vaak klikken op link in mailtje
▪ Kijken naar de afzender
▪ Kijken naar de link
▪ Checken met muis over de link waar je naartoe wordt gestuurd
▪ IP-adres opzoeken op internet om te kijken of het gaat om een trapdoor
▪ Kijken naar de headers in de source, want deze zijn makkelijk te vervangen
▪ Received header kun je niet vervangen
4
Termen
• Authenticatie
o Bewijzen dat jij bent wie je zegt dat je bent
o Personen, apparaten, software
• Confidentiality (encryption)
o Geheimhouden van data
• Assurance (integrity)
o Voorkomen dat mensen gaan rommelen aan data
Onthouden
• Confidentiality
• Integrity
• Assurance
Of
• Authentication
• Authorization → wie heeft welke rechten
• Accounting → achteraf kunnen terugkijken wat er is
gebeurd (log bestanden)
Veiligheid is op elke laag belangrijk.
• Als je gaat beveiligen moet je rekening houden met het doel en budget.
1
,• Firewall alleen houdt geen indringers binnen van buitenaf en binnenuit.
• Interne netwerk
• Servers loggen eigenlijk alles wat ze doen
• Event detection → automatische programmatuur die berichten sturen op het moment dat
het systeem denkt dat er iets raars gebeurd
• In de security/audit policy wordt vastgelegd wat er moet worden gedetecteerd
• Om te detecteren moet continu verbinding worden gemaakt met de netwerk sensor
• M.b.v. netwerk logs en host logs kan een onderzoeker bepalen wat voor soort dreiging er is
2
,Aanvallen
Botnet
• Gebeuren niet door de gebruiker zelf
• Dader bouwt eerst een netwerk op die hij in zijn eigen macht heeft met virussen
• Op een later moment vanuit het botnet een aanval plegen
• Voordelen
o De IP-adressen zijn nu niet van de dader
o De dader kan vanuit verschillende plekken aanvallen plegen
Dader mogelijkheden
• Visual spying
o Puur meekijken
o Bv kijken hoe iemand z’n wachtwoord intypt
o Notities die op de laptop geplakt
o Camera ophangen bij pinautomaten
o Degene hoeft niet fysiek aanwezig te zijn
• Misrepresentation
o Iemand doet zich anders voor
• Eavesdropping
o Afluisteren van het geluid
o Data dat wordt afgetapt
• Logical scavenging
o Apparatuur die vervangen wordt en waarvan de harde schijf wordt meegenomen
• Interference
o Stoorzenders die een ruis veroorzaakt waardoor telefoonverkeer plat legt
• Physical attacks
o Fysiek hameren op laptops
o Stelen van gegevensdragers
• Spoofing
o Apparatuur/software doen zichzelf voor als iemand anders
• Impersonation
o Personen doen zichzelf voor als iemand anders
o Hetzelfde als misrepresentation
• Piggy back attack
o Alles wat meelift met internetpakketjes
o Virus bij een mailtje
o Trojan horse = programma dat normaal lijkt, maar dat een extra stukje software met
zich meeheeft dat schade doet
o Logic bomb = stukje software dat op een later moment schade doet
▪ Gebruikt bij botnet op hetzelfde moment
• Network weaving
o Om andere attacks te verhullen
o Bijvoorbeeld IP adres verhullen
• Malevolent worms
o Plant zichzelf voort om schade aan te brengen
o Krachtiger dan virussen
3
, o Dupliceert zichzelf
o Ingewikkelder om te maken
• Virus
o Een stukje software dat zich dupliceert op de host
o Heeft meestal iemand nodig om zich te verspreiden met behulp van een linkje
• DoS/DDoS
o Server zodanig overbelasten dat hij het niet meer trekt
o Werken alleen als je vanuit meer laptops een request doet om een site plat te leggen
o Vaak in combinatie met een botnet
o Dader kan anderen vragen om mee te helpen
• Covert channel
o Meer middel om het voor elkaar te krijgen
o Channel = internetkanaal
o Data die over de lijn gaat, wordt misbruikt
o De TTL (time to live) in een pakketje kan worden aangepast of er kan extra informatie
mee worden gegeven
o Timing channel → tijd tussen 2 internetpakketjes wordt ook gebruikt als data
o Storage channel → een object modificeren zoals informatie toevoegen aan header
• Exploit attack
o Zwakheid in de software die gebruikt kan worden voor de attack
• Authorization attack
o Alle attacks die ermee te maken hebben dat je meer rechten wil krijgen dan dat je
hebt
• Trap door impersonation
o Een webpagina lijkt normaal te zijn, maar als je moet inloggen heeft degene je
gegevens en kan daar foute dingen meedoen
o Vaak klikken op link in mailtje
▪ Kijken naar de afzender
▪ Kijken naar de link
▪ Checken met muis over de link waar je naartoe wordt gestuurd
▪ IP-adres opzoeken op internet om te kijken of het gaat om een trapdoor
▪ Kijken naar de headers in de source, want deze zijn makkelijk te vervangen
▪ Received header kun je niet vervangen
4
