Samenvatting Security
Timo Kats, Informatica en Economie
,Inhoudsopgave:
1. Intro & Casussen
2. Application Security
3. Application Security – Assembly
4. Application Security – Shellcode
5. Application Secuirity – Exploitation techniques
6. Web security
7. Crypto
8. Application Securtity – Defences
,1: Intro & Casussen:
What is security according to ISO?
• Definitions from ISO/IEC 27000:2016
• Information security: preservation of confidentiality, integrity and
availability of information
• Confidentiality: property that information is not made available or
disclosed to unauthorized individuals, entities, or processes
• Integrity: property of accuracy and completeness
• Availability: property of being accessible and usable upon demand by an
authorized entity
Case 1: ILOVEYOU
1. Omschrijving: e-mail met daarin de claim dat het
een liefdesbrief is, maar eigenlijk was het een script.
Wanneer je het opent ‘corrupt’ het alle files en
stuurt het zichzelf door naar al je contacten.
2. Effect: 10% van het internet en miljarden aan
schade.
3. Techniek: Social Engineering
4. Niveau: Script kiddie
Case 2: Heartbleed
1. Omschrijving: Er werd gebruik gemaakt van een
tekortkoming in SSL.
2. Effect: Communicaties zijn waarschijnlijk onderschept
en iedereen moest zijn/haar wachtwoord veranderen.
3. Techniek: Verschil in ‘bounds’ (lengte request) en de
daadwerkelijke lengte van een request.
4. Niveau: skilled hacker
, Case 3: DDoS attack
1. Omschrijving: Dyn kreeg enorm veel aanvragen
waardoor de services zoals twitter onbereikbaar
werden.
2. Effect: Grote websites onbereikbaar.
3. Techniek: Veel onderdelen hadden standaard
wachtwoorden. Mirai (botnet) probeerde gewoon heel
veel gebruikelijke wachtwoorden.
4. Niveau: Script kiddie. Iedereen met met een botnet kan dit.
Case 4: Stuxnet
1. Omschrijving: Verspreid zich over het internet en via usb-
sticks. Het maakt gebruik van bugs (zero-days) in het
windows-systeem. Stuxnet heeft het iraanse
atoomporgramma aangevallen.
2. Effect:. Schade aan centrifuges van iraanse
kerncentrales.
3. Techniek: Erg complex. De veiligheidsdiensten hadden
nagenoeg oneindig veel middelen.
4. Niveau: MIVD/CIA/Mossad
Why is security hard?
• Asymmetry
- Attacker needs to find one weakness
- Developer needs to find all weaknesses
• Hard to convince managers
- Can increase cost
- Can decrease user friendliness
- Hard to measure, invisible until attacked
• Many levels
- Hardware, OS, framework, application, design, specification, …
Timo Kats, Informatica en Economie
,Inhoudsopgave:
1. Intro & Casussen
2. Application Security
3. Application Security – Assembly
4. Application Security – Shellcode
5. Application Secuirity – Exploitation techniques
6. Web security
7. Crypto
8. Application Securtity – Defences
,1: Intro & Casussen:
What is security according to ISO?
• Definitions from ISO/IEC 27000:2016
• Information security: preservation of confidentiality, integrity and
availability of information
• Confidentiality: property that information is not made available or
disclosed to unauthorized individuals, entities, or processes
• Integrity: property of accuracy and completeness
• Availability: property of being accessible and usable upon demand by an
authorized entity
Case 1: ILOVEYOU
1. Omschrijving: e-mail met daarin de claim dat het
een liefdesbrief is, maar eigenlijk was het een script.
Wanneer je het opent ‘corrupt’ het alle files en
stuurt het zichzelf door naar al je contacten.
2. Effect: 10% van het internet en miljarden aan
schade.
3. Techniek: Social Engineering
4. Niveau: Script kiddie
Case 2: Heartbleed
1. Omschrijving: Er werd gebruik gemaakt van een
tekortkoming in SSL.
2. Effect: Communicaties zijn waarschijnlijk onderschept
en iedereen moest zijn/haar wachtwoord veranderen.
3. Techniek: Verschil in ‘bounds’ (lengte request) en de
daadwerkelijke lengte van een request.
4. Niveau: skilled hacker
, Case 3: DDoS attack
1. Omschrijving: Dyn kreeg enorm veel aanvragen
waardoor de services zoals twitter onbereikbaar
werden.
2. Effect: Grote websites onbereikbaar.
3. Techniek: Veel onderdelen hadden standaard
wachtwoorden. Mirai (botnet) probeerde gewoon heel
veel gebruikelijke wachtwoorden.
4. Niveau: Script kiddie. Iedereen met met een botnet kan dit.
Case 4: Stuxnet
1. Omschrijving: Verspreid zich over het internet en via usb-
sticks. Het maakt gebruik van bugs (zero-days) in het
windows-systeem. Stuxnet heeft het iraanse
atoomporgramma aangevallen.
2. Effect:. Schade aan centrifuges van iraanse
kerncentrales.
3. Techniek: Erg complex. De veiligheidsdiensten hadden
nagenoeg oneindig veel middelen.
4. Niveau: MIVD/CIA/Mossad
Why is security hard?
• Asymmetry
- Attacker needs to find one weakness
- Developer needs to find all weaknesses
• Hard to convince managers
- Can increase cost
- Can decrease user friendliness
- Hard to measure, invisible until attacked
• Many levels
- Hardware, OS, framework, application, design, specification, …
