Sanne Maasakkers (Fox-IT): “Developers zijn interessante targets voor hackers"

Developers die willen weten hoe zij hackers slapeloze nachten kunnen bezorgen, mogen de sessie van ethisch hacker Sanne Maasakkers (Fox-IT) tijdens de Developers Summit zeker niet missen. "Soms komen wij ook ergens niet binnen, omdat iemand zijn werk heel goed heeft gedaan", aldus Maasakkers.

Maasakkers (26) verzorgt haar talk ‘Pentesting war stories’ binnen de track Security tijdens de Developers Summit, op 14 februari in De Fabrique in Utrecht. Al vanaf 11-jarige leeftijd is zij bezig met het bouwen van websites en het maken van games.

Na een studie Technische Bedrijfskunde, waarin zij erachter kwam dat de it-richting haar erg trok, maakte ze de overstap naar een it-opleiding. Na haar studie werkte zij voor een bedrijf dat bezig was met Identity & Access Management, voordat zij als trainee bij Fox-IT terechtkwam. Inmiddels is zij hier cyber security expert en ethisch hacker, en bovendien een bekende ‘Foxer’ die regelmatig in de media verschijnt; Maasakkers is namelijk een van de woordvoersters van het Delftse securitybedrijf.

Pentesten bij Fox-IT

"Bij Fox-IT doen wij verschillende soorten penetratietesten", vertelt Maasakkers. "We kijken onder meer naar webapplicaties van klanten, maar ook naar hun interne netwerken en wat we daar kunnen vinden als we eenmaal binnen zijn." Nog verder gaan de zogeheten ‘red teams’, die over een langere periode uittesten in hoeverre bedrijven bestand zijn tegen eventuele aanvallende hackersorganisaties. De security expert geeft daarnaast trainingen en hackdemo’s aan klanten, waarbij zij onder meer inzichtelijk maakt hoe gemakkelijk het is voor aanvallers om binnen te komen, bijvoorbeeld met behulp van phishingmails en gebruikers die zwakke wachtwoorden hebben ingesteld.

Een achtergrond als developer helpt Maasakkers bij het ontdekken van kwetsbaarheden in applicaties. Tijdens haar studie had zij een bedrijf in web development en programmeren is iets wat zij nog altijd graag doet in haar vrije tijd. "Soms is dat om iets nieuws te leren, bijvoorbeeld een nieuwe taal of ander framework. En door mijn eigen applicaties aan te vallen, leer ik veel over de kwetsbaarheden waar hackers gebruik van maken. Zeker door te kijken naar mijn eigen fouten vergroot ik mijn kennis over hoe zij binnenkomen."

GET YOUR TICKETS ⟩

Developers interessant voor aanvallers

In haar sessie tijdens de Developers Summit vertelt ze op welke wijze zij en haar collega’s binnen zijn gekomen via webapplicaties, mobiele applicaties en systemen van klanten. Daarbij bespreekt ze een aantal succesvolle aanvallen, wat hierbij de uitdagingen waren voor pentesters (waar developers dus goed werk hebben afgeleverd) en hoe ethische hackers dan alsnog binnenkomen (waar developers dus beter werk konden leveren). "Developers zijn de spin in het web en daardoor ontzettend belangrijk. Zij maken en configureren de applicaties, en hier ontstaan dus de foutjes in de code waardoor aanvallers binnenkomen. Maar ook is het zo dat zij ontzettend veel rechten hebben in systemen, waardoor zij een ontzettend interessante target zijn voor aanvallers."

Uit een phishingactie door Maasakkers en haar collega’s is gebleken dat ook developers het slachtoffer kunnen worden van deze vorm van aanvallen. "Wij kozen een scenario dat dicht bij ze lag, met een vacaturemail en daarin een behoorlijk hoog geboden salaris. Er waren er toch een aantal die erop gingen klikken." Toch is het niet de meest voorkomende manier waarop aanvallers binnenkomen. "Menselijke fouten vormen maar één van de vier pijlers die ik tijdens de Summit ga bespreken. Maar het is wel tekenend voor hoe hackers te werk gaan: ze verdiepen zich in hun doelwit en bepalen zo op welke manier zij aanvallen."

Leer hackers te frustreren

Wat Maasakkers in Utrecht mee wil geven, is een aantal tips naar aanleiding van de meest gemaakte fouten bij klanten. "Niet alleen op het vlak van programmeren zelf, maar ook door fouten met bijvoorbeeld slechte wachtwoorden of het niet gebruiken van twee-factor-authenticatie." Maar ook belooft ze entertainment. "Door te vertellen over de dingen die wij tegenkomen, laat ik zien hoe developers óns kunnen frustreren, doordat zij hun werk goed doen. Of ons juist heel gemakkelijk maken, doordat zij dat niet doen. Het is belangrijk om zowel de positieve als de negatieve dingen te noemen. Soms lukt het ons ook niet om binnen een vooraf vastgesteld timeframe binnen te komen, omdat iemand zijn werk gewoon heel goed heeft gedaan."

Informatie Event

Datum: donderdag 14 februari 2019
Locatie: DeFabrique, Utrecht
Tijden: 09.00 tot 20.00 uur
Partners: ABN Amro, Rabobank, Politie, Nedap, Adyen, IBM, ANWB, Inergy, Elect, Centric
Early birds: uitverkocht
Reguliere tickets: 275 euro
3-voor-2-tickets: 183,33 euro per ticket (550 euro voor 3 tickets)
Studententicket: 75 euro
Meer informatie: tweakers.net/developerssummit

FEBRUARY 14, 2019

GET YOUR TICKETS ⟩

Lees meer

Reacties (80)

Daedeloth
21 januari 2019 16:26

"Er waren er toch een aantal die erop gingen klikken."

Dat vind ik zo'n belachelijke penetratietest. Goed, dan heeft iemand op een link geklikt die naar een frauduleuze website gaat, maar wat er daarna gebeurt blijft toch een beetje een raadsel. Het is niet omdat ik op een link klik dat ik daarna ook meteen een executable ga uitvoeren, en een zero day bug in browsers misbruiken is ook niet meteen de meest voorkomende aanval.

Dan kan je zeggen dat 10% van de werknemers op "gevaarlijke links" klikt, maar als het daarna stopt is er ook gewoon niets gebeurd.

Fluttershy
@Daedeloth • 21 januari 2019 16:52

Ik klik er altijd juist op.

En dan gebruik ik hun fraudeformpje met 'admin' en 'wachtwoord123!'.

Datavervuiling voor de datasets van knurften.

TimTurbo2
@Fluttershy • 21 januari 2019 17:03

vooral leuk om dan even een klein scriptje te typen dat dat een paar miljoen keer doet

Keypunchie
@TimTurbo2 • 21 januari 2019 17:06

Of de EICAR-signature.

NullCrayfish
@TimTurbo2 • 21 januari 2019 17:38

Meteen even little bobby tables invoeren

Starcaz
@TimTurbo2 • 22 januari 2019 10:10

Heeft weinig zin, ze kunnen heel eenvoudig alle records van een veelvoorkomend IP address eruit filteren en blacklisten.

TimTurbo2
@Starcaz • 22 januari 2019 16:52

Dan ga je er van uit dat ze die hebben gelogd, ook kan je nog iets van een proxy grabber / list gebruiken

t_captain
@Fluttershy • 21 januari 2019 20:11

Voordat jij iets hebt ingevuld, heeft de site misschien al een zero day op je brower gebruikt.

GeoBeo
@Daedeloth • 21 januari 2019 17:01

en een zero day bug in browsers misbruiken is ook niet meteen de meest voorkomende aanval.

Heb je hier een bron of onderbouwing voor?

Volgens mij is dit 1 van de standaard manieren van o.a. geheime diensten en politie om overal binnen te komen waar ze willen. Je hoeft maar 1 werknemer naar een website te lokken en je bent binnen bij het bedrijf. Exploits die vanuit de server binaries in het browser proces op de client injecteren (of zelfs daarbuiten via het browser process) zijn er ongetwijfeld genoeg. Een typische exploit die op iedereen zou kunnen werken, omdat je hier amper wat tegen kunt doen. Het zijn exploits die bewust geheim gehouden worden...

Nog even los van de phishing emails (inloggen op een website) die volgens mij echt bij elk groot bedrijf wel werken. Je hebt maar 1 slapende werknemer nodig die op een kopie van van de intranet GUI per ongeluk z'n user en pass invult.

[Reactie gewijzigd door GeoBeo op 21 januari 2019 17:04]

Zyphlan
@GeoBeo • 21 januari 2019 17:31

Tegenwoordig inderdaad wel. Neem eens een kijkje naar
Biopass Fido2 ( Ik werk zelf voor Feitian Technologies dus ja ben wel enigzins biased, we hebben bijv ook de Titan Key Gemaakt voor google) maar met de nieuwe biometrisch beveiliging bovenop Fido2 is phishing voor een bedrijf verleden tijd ( passwordles login) maar merk wel dat het toch iets nieuws is en dat vooral grote bedrijven passworden wel genoeg vinden met misschien een 2FA dmv SMS ( wat ook al gebleken is niet bijzonder veilig te zijn).

[Reactie gewijzigd door Zyphlan op 21 januari 2019 17:35]

Caelestis
@GeoBeo • 21 januari 2019 19:19

Een zero-day is een lekker vaag begrip wat interessant klinkt voor non-ITers. Maar feitelijk zegt het totaal niks over een type hack. Een zero-day betekent niks anders dan dat het nog niet gemeld is en makkelijk uit te leggen valt aan de leek.
Gezien het bizar grote drive voor bughunting bij bedrijven zoals bijv. Google en Firefox kan je gerust stellen dat de meeste "zero-day" bugs niet bestaan.
Het is eerder een uitzondering dan de regel.

GeoBeo
@Caelestis • 21 januari 2019 20:29

Een zero-day is een lekker vaag begrip wat interessant klinkt voor non-ITers. Maar feitelijk zegt het totaal niks over een type hack. Een zero-day betekent niks anders dan dat het nog niet gemeld is en makkelijk uit te leggen valt aan de leek.
Gezien het bizar grote drive voor bughunting bij bedrijven zoals bijv. Google en Firefox kan je gerust stellen dat de meeste "zero-day" bugs niet bestaan.
Het is eerder een uitzondering dan de regel.

Oh zero-day bugs bestaan niet? Wel vreemd dan dat de Nederlandse politie middels de sleepwet (en de NSA en de AIVD en de NIVD en elke andere geheime dienst ter wereld) al decennia lang op elke mogelijk internet-apparaat kan inbreken door commerciële software te kopen (meestal uit Israël) gebouwd op uitsluitend zero-day exploits. Of in het geval van de NSA bouwen ze die software zelf met hun budget van ongeveer 10 miljard USD per jaar (2x meer dan het totale jaarlijkse NASA budget om naar de maan te gaan).

https://www.schneier.com/...9/01/prices_for_zero.html

Heb je ook nog onderbouwing voor je claim dat "zero-days bijna niet bestaan"?

[Reactie gewijzigd door GeoBeo op 21 januari 2019 20:32]

Caelestis
@GeoBeo • 21 januari 2019 21:49

Heb je onderbouwing dat ze wel bestaan? Heb je er ooit een in het echt gezien? Heeft ooit iemand met de wijze woorden Zero-Day jou laten weten om welke bug het gaat?
Het is altijd erg toevallig dat men het niet wil zeggen onder het mom van veiligheid.
Ik wil bewijs zien voordat ik zulke vage onzin ga geloven.

Triple_D
@Caelestis • 21 januari 2019 22:02

Wat dacht je van de gelekte exploits door Shadow Brokers zoals ETERNALBLUE en ETERNALROMANCE.

Caelestis
@Triple_D • 21 januari 2019 22:13

Tja vandaar dat ik in mijn vorige post zei dat er uitzonderingen zijn. Wat ik tegen spreek is dat de politie en inlichtingendiensten zero-days aan de lopenband gebruiken om iedereen en zijn moeder te hacken.

Gopher
@Caelestis • 22 januari 2019 05:53

Er zijn zeker enkele gevallen waar die gezellige knakkers in Amerika al xx jaar zero days exploiteren. Zolang de maker van de hard en software niet verwittigd word gebeurt dit zo.

Ik snap niet dat mensen hier zo naïef zijn het is al decennia bekend dat dit gebeurt, door regering en grote criminele organisaties. Er zijn bedrijven die goed geld geven voor zei days, tot 1.5m op iOS devices.

Uiteraard zitten ze niet overal in, maar er zijn er genoeg.

Caelestis
@Gopher • 22 januari 2019 08:04

Naief is te denken dat snowden gigantisch veel data heeft over alles terwijl jij er nog geen procent van te zien krijgt. Als snowden en assange denken dat ze selectief de waarheid naar buiten kunnen brengen hoe is dat anders dan een overheid die selectief de waarheid naar buiten brengt? In beide gevallen krijg jij een geformuleerde antwoord maar nooit de hele waarheid.

Gezien het zeer gevoelige aard van het informatie wat zogenaamd gestolen is moet ik wel zeggen er wordt bizar weinig gedaan om ze te pakken (door het meest onaantastbare inlichtingen dienst op aarde die magische krachten bezit volgens iedereen)

Gopher
@Caelestis • 22 januari 2019 20:26

Heb ik het ergens over ethiek gehad? Ik geef gewoon aan dat er veel in zei days gehandeld word en het dus naïef is om te denken dat ze er niet zijn.

Caelestis
@Gopher • 22 januari 2019 20:35

Ik heb ook nergens geschreven dat ze er niet zijn. Dat verzin je helemaal zelf. Lees maar de hele thread en misschien snap je het punt wat ik maak.

GeoBeo
@Caelestis • 22 januari 2019 09:02

Heb je onderbouwing dat ze wel bestaan? Heb je er ooit een in het echt gezien? Heeft ooit iemand met de wijze woorden Zero-Day jou laten weten om welke bug het gaat?
Het is altijd erg toevallig dat men het niet wil zeggen onder het mom van veiligheid.
Ik wil bewijs zien voordat ik zulke vage onzin ga geloven.

Klik eens op het linkje uit m'n eerdere posts. En deze uit m'n post ervoor: voorbeelden. Geen zero-days uiteraard, want zero-days zijn geen zero-days meer als ze gewoon publiekelijk op internet staan. Bovendien kosten ze een paar miljoen, zolang het zero-days zijn (dus zolang de lekken niet gedicht zijn/zolang de exploits niet publiekelijk bekend zijn). Dus nee; die kan ik je niet laten zien.

Je begrijpt dat een zero-day gewoon een ander woord is voor een exploit die maar bij heel weinig mensen bekend is en bewust geheim gehouden wordt?

Het is een hele industrie. En nee, natuurlijk kan ik je de exploits van de NSA niet laten zien (behalve de toevallig uitgelekte oude ETERNALBLUE en ETERNALROMANCE). Iets met GEHEIMEdienst. En die van de politie ook niet: als ik en jij ze kon inzien dan waren het geen zero-days meer he?

Ik snap verder echt totaal niet hoe je aan het bestaan van zero-days kunt twijfelen. Het is zo ongeveer de hoofdreden dat het concept "updates" bestaat. Windows updates, Android updates, enz. Om beveiligingslekken te patchen dus.

Ook het vinden van voormalige zero-days (gerepareerde beveiligingslekken) is echt niet zo moeilijk. Ik heb je hierboven al een linkje gegeven met een heel overzicht aan browser exploits. Maar je kunt zelf ook gewoon even zoeken op "<software naam> exploits". Genoeg white papers ook die exploits uitgebreid uitleggen voor van alles en nog wat: garagedeur hacks (die nog steeds werken op oudere deuren), WIFI encryptie lekken, browser exploits, USB firmware exploits, OS exploits, enz enz enz.

Genoeg daarvan werken nog steeds en zou je dus nog steeds als zero-day kunnen opvatten (ongepatched lek). Wifi routers kraken die bijvoorbeeld nog WEP draaien is een eitje en die zijn er nog steeds. Ook van oudere WPA2 implementaties kun je met weinig moeite de key te pakken krijgen.

Om maar willekeurige voorbeelden te noemen. Oh en omdat we het over het kapen van browser processen hadden aan de client-side, hier 1 van de vele willekeurige voorbeelden die je daar met 1 seconde googlen over kunt vinden:

We want to gain shell on the IT Departments computer and run a key logger to gain passwords, intel or any other juicy tidbits of info.

We start off by loading our msfconsole. After we are loaded we want to create a malicious PDF that will give the victim a sense of security in opening it. To do that, it must appear legit, have a title that is realistic, and not be flagged by anti-virus or other security alert software.

We are going to be using the Adobe Reader ‘util.printf()’ JavaScript Function Stack Buffer Overflow Vulnerability. Adobe Reader is prone to a stack-based buffer-overflow vulnerability because the application fails to perform adequate boundary checks on user-supplied data. An attacker can exploit this issue to execute arbitrary code with the privileges of the user running the application or crash the application, denying service to legitimate users.

So we start by creating our malicious PDF file for use in this client side exploit.

enz https://www.offensive-sec...hed/client-side-exploits/

[Reactie gewijzigd door GeoBeo op 22 januari 2019 09:15]

Caelestis
@GeoBeo • 22 januari 2019 09:11

Ik heb nooit gezegd dat ik aan zero-days twijfel. Dat is wat jij beweert dat ik doe. En grappig dat je text van tripple_d heb gekopieerd laat echt zien dat je weet waar je het over heb.

Wat ik zeg is dat "zero-day" makkelijk overal opgeplakt kan worden als uitleg zonder dat iemand het kan controleren. Het is een politiek inhoudsloos antwoord wat niks beantwoord.

GeoBeo
@Caelestis • 22 januari 2019 09:24

Wat ik zeg is dat "zero-day" makkelijk overal opgeplakt kan worden als uitleg zonder dat iemand het kan controleren. Het is een politiek inhoudsloos antwoord wat niks beantwoord.

Hoezo niemand kan het controlleren? Alle voormalige zero-days ooit kun je controleren zodra ze niet meer geheim zijn.

En ja, uiteraard kun je zero-days die op dit moment zero-days zijn niet controleren. Dus? Dus dan bestaan ze niet? Wat is je punt?

Geheime diensten bestaan ook niet en alles wat Snowden heeft gezegd is gelogen, want niet te controleren? Yep ok.

[Reactie gewijzigd door GeoBeo op 22 januari 2019 09:31]

Caelestis
@GeoBeo • 22 januari 2019 09:45

Je kan het ook genuanceerd zien. Voor elke blackhat heb je een vergelijkbaar whitehat. Het blijft een eeuwig strijd tussen de twee. Het internet en alles erom is niet zo lek als men je doet geloven want voor elke hacker die een gat zoekt om te misbruiken zijn er nog 10 die net zo slim zijn om het tegen te houden.

Wil jij echt in zo'n bubble leven dat je eigenlijk niet weet of alles wat jij op je electronica doet wel veilig is? Als de NSA je kan hacken waarom de FSB dan niet of de AIVD? Wil jij leven met dat angst? Een stap terug nemen en er met een sketptisch blik naar kijken is belangrijk voor je eigen overtuiging.

GeoBeo
@Caelestis • 22 januari 2019 10:17

Je kan het ook genuanceerd zien. Voor elke blackhat heb je een vergelijkbaar whitehat. Het blijft een eeuwig strijd tussen de twee. Het internet en alles erom is niet zo lek als men je doet geloven want voor elke hacker die een gat zoekt om te misbruiken zijn er nog 10 die net zo slim zijn om het tegen te houden.

Wil jij echt in zo'n bubble leven dat je eigenlijk niet weet of alles wat jij op je electronica doet wel veilig is? Als de NSA je kan hacken waarom de FSB dan niet of de AIVD? Wil jij leven met dat angst? Een stap terug nemen en er met een sketptisch blik naar kijken is belangrijk voor je eigen overtuiging.

Wel eens naar het budget van de NSA gekeken (AIVD = NSA overigens)? Alleen NSA is geschat op meer dan 10 miljard USD per jaar. Ik noem dat black hats.

Vergelijk dat eens met het budget dat white hats krijgen als bounty (bijvoorbeeld via Hacker 1). Hint: het komt niet eens in de richting. Alle vrijwillige white hats ter wereld bij elkaar maken dat verschil nooit goed.

I rest my case.

Voor elke blackhat heb je NIET een vergelijkbare white hat. Onzin. Laat staan dat je voor elke black hat 10 white hats hebt. Het internet is idd zo lek als een mandje en als black hats willen kunnen ze je systeem in. De enige reden dat black hats niet bij je binnen komen, is omdat ze interessantere targets hebben.

[Reactie gewijzigd door GeoBeo op 22 januari 2019 10:21]

Caelestis
@GeoBeo • 22 januari 2019 11:27

Geschat nog wel... Dus je wou zeggen dat je het zelf niet gezien heb? Een schatting is niks anders als uit de duim gezogen onzin om politieke bias te creëren.

Caelestis
@GeoBeo • 22 januari 2019 20:54

Bijv. de noordzuid lijn werd geschat op 681 miljoen. Uiteindelijk werd het 3,1 miljard.
Wijzer wordt je niet van onverifieerbare aannames. Dat wordt je alleen als je niet zomaar alles gelooft wat je in de krant leest.
Maarja je heb alleen jezelf ermee.

mg794613
@Caelestis • 22 januari 2019 11:26

Dus omdat jij het niet gezien hebt, hebben anderen het fout. ok.
Ik heb ze wel gezien, en getest. Mocht je hier geintresseerd in zijn kan je je erin verdiepen.

Caelestis
@mg794613 • 22 januari 2019 13:52

Je mist het punt. Ik zeg niet dat ik ze niet heb gezien maar dat GeoBeo ze niet heeft gezien.
Dat algemene argument dat iedereen zero-days aan de lopende band gebruikt is gewoon onzin en dat weet iedereen die zich verdiept in IT beveiliging.

Daedeloth
@GeoBeo • 22 januari 2019 00:29

Ik blijf meer aan de pragmatische kant van de conspiracies

GeoBeo
@Daedeloth • 22 januari 2019 09:29

Ik blijf meer aan de pragmatische kant van de conspiracies

Beveiligingslekken zijn geen conspiracies. Het zijn gewoon beveiligingslekken die ooit bestaan hebben en door kleine groepen mensen misbruikt konden/kunnen worden om overal binnen te komen waar ze wilden/willen.

Je kunt beveiligingslekken gewoon opzoeken. Github en de rest van internet staan er vol mee. Niks geheimzinngis aan. Ook beveiligingslekken die nu nog steeds werken op (verouderde) systemen. Ook client-side browser exploits die ik noemde.

Dus hoezo conspiracies? Het enige verschil tussen de vindbare exploits en de niet-vindbare zero-days, is dat die zero-days in de toekomst pas openbaar worden en de andere exploits nu al openbaar zijn.

[Reactie gewijzigd door GeoBeo op 22 januari 2019 11:34]

MrFancyPantss
@GeoBeo • 22 januari 2019 11:28

Heb jij dáár en bron voor?

GeoBeo
@MrFancyPantss • 22 januari 2019 11:34

Heb jij dáár en bron voor?

Meerdere, gewoon even de discussie doorlezen.

Blokker_1999

Beveiliging en antivirus

@Daedeloth • 21 januari 2019 16:45

Mjah, heb vorig jaar de mannen van security op mijn dak gekregen omdat ik zo een test in het honderd had laten lopen. Niet mijn schuld dat de tester te veel hints achterlaat.

the_stickie
@Blokker_1999 • 21 januari 2019 19:57

Ze hebben ook wel gelijk. Door een spelletje te willen spelen omdat je (denkt dat je) slimmer bent dan de aanvaller, stelt je het bedrijf wel degelijk bloot aan allerlei onnodige potentiële risico's.

Het is een beetje zoals gaan wandelen in een gore buurt waar je niet moet zijn

Triple_D
@Daedeloth • 21 januari 2019 22:08

Een interne SMB server opzetten, een img laden vanaf deze server op de website en de SMB server een NTLMv2 challenge laten sturen zodat de browser automatisch de NetNTLMv2 hash van het ingelogde account stuurt.

Bijvoorbeeld.

Daedeloth
@Triple_D • 22 januari 2019 00:28

1. Dan moet je al op het netwerk binnen zijn
2. Als linux-gebruiker voel ik me dan nog steeds vrij veilig

BSOD baby
21 januari 2019 16:17

Tegelijkertijd met de security battle van de rijksoverheid, jammer

Raling
@BSOD baby • 21 januari 2019 16:44

Hoe kom je aan deze info? Ik kan nergens een programma vinden.

drdextro

@Raling • 21 januari 2019 16:46

https://www.werkenvoorned...id/agenda/security-battle

Raling
@drdextro • 21 januari 2019 16:48

Oh, op die fiets. Het hele event is dezelfde dag. Ik dacht dat de tijden van de masterclasses op de DevSummit overlapten en dat BSOD baby al een programma van de DevSummit had..

[Reactie gewijzigd door Raling op 21 januari 2019 16:50]

Reneger
@BSOD baby • 21 januari 2019 16:49

Met Rik van Duijn die bij het Tweakers event is, hebben de andere teams misschien een keer een kans met de CTF...

BSOD baby
@Reneger • 21 januari 2019 20:45

Beetje offtopic maar ik wil het graag weten, is meedoen aan capture the flag op de security battle 2019 leuk / doe baar als cyber security noobie zijnde (3e jaars software/ cyber student )? Ik wil graag meer kennis opdoen en ook komen voor de sprekers. Overigens lukte de security vragen die ik moest invullen makkelijk.

Reneger
@BSOD baby • 22 januari 2019 09:55

Kan ik helaas niet beantwoorden. Ik ken Rik omdat het een oud collega is, tevens 2 jaar geleden een Intro to Hacking course bij hem gevolgd.
Ik denk dat je een team moet gaan vinden. Hij is erg actief op Twitter, misschien hem wat sturen?

Jonathan-458
21 januari 2019 16:35

Security is moeilijk, niet zo zeer het instellen maar mensen het bewust wording bij te leren en hiernaar te handelen.

DJMaze
@Jonathan-458 • 21 januari 2019 17:17

Programmeurs ook. SSL is zo lek als een mandje als je zelf met eigen root certificaten kan klooien om MitM uit te kunnen voeren en slaagt.
Vandaag nog op die manier er achter gekomen dat bedrijven nog steeds md5 gebruiken voor wachtwoorden in Android en iOS apps, zelfs zonder salt!

Ach, zodra ik mijn uurtarief roep voor dit soort dingen, dan vraagt men aan een junior of zij het willen programmeren.

Een cursus die het management moet volgen lijkt mij daarom beter.

NullCrayfish
@DJMaze • 21 januari 2019 17:43

Tja, maar "als die junior het doet dan werkt het toch ook?"
Maar.. de opdrachten om de rommeltjes die daaruit voortkomen te herstellen betalen vaak weer net iets beter.

Zyphlan
@Jonathan-458 • 21 januari 2019 17:28

Grappig genoeg 2 maanden geleden begonnen bij Feitian Technologies. Met de Biopass Fido2 dan pak je al een gigantisch gedeelte van de onkunde van normale medewerkers weg.

Had tweakers ook al aangeboden om de nieuwe MFA te laten zien wat samen gemaakt is met microsoft maar helaas geen reactie gekregen. Aangezien phishing etc toch echt wel de makkelijkste deur is om te sluiten

[Reactie gewijzigd door Zyphlan op 21 januari 2019 17:37]

DJMaze
@Zyphlan • 22 januari 2019 08:56

Er zijn al Fido2 sleutels op de markt die werken op Windows, macOS, Linux, Android en Chrome OS.
Ik zie persoonlijk dan niet in waarom de sleutel van Feitian de voorpagina moet halen

En veel mensen delen hun wachtwoorden via Chrome/Firefox op hun apparaten.

[Reactie gewijzigd door DJMaze op 22 januari 2019 08:58]

Zyphlan
@DJMaze • 22 januari 2019 13:21

DJmaze dat klopt volledig alleen helaas geen biometrische authenticatie.

Succes met het zoeken naar een Fido2 sleutel waar je ook biometrisch kan unlocken. Juist voor bedrijven is echte paswordless login met MFA de volgende stap.

Feitian is samen met een koreaanse producent (Raonsecure) de enige die ze met biometrisch beveiliging heeft en dat is toch wel een belangrijk onderdeel voor beveiliging.

Persoonlijk geef ik de voorkeur aan een strakke usb key de raonsecure heeft een andere vormgeving.

True passwordless login is toch waar we naar toe gaan ( zie mobiel gebruik).

En uiteraard als tweakers een stuk wil doen met de concurrent dan juich ik dat nog steeds toe aangezien er genoeg mensen zijn die er niet mee bekend zijn en het in de toekomst die kant op gaat.

DJMaze
@Zyphlan • 22 januari 2019 15:51

Ik zie al wel mensen die op zoek zijn om hun smartphone als Fido2 te gebruiken.
En daar zit ook een fingerprint scanner op.

En dan is nog maar de vraag hoe veilig biometrie is, omdat je op veel IT websites ook kan lezen dat ze allemaal worden gehackt.

Zijn er beveiligingstesten gedaan op je apparaat om te controleren hoe "veilig" je biometrie is?

Zyphlan
@DJMaze • 23 januari 2019 09:29

Klopt alleen moet je telefoon wel UAF enabled zijn en dat zijn ze niet allemaal ( niet erg handig als bedrijf als je mederwerkers moet verplichten een specifiek soort telefoon te gebruiken.
Helpt het gebruiksgemak niet) uiteraard kost een mobiel ook niet maar 6-7 tientjes ( consumentenprijs dus ligt lager voor bedrijven) en niet iedereen krijgt een telefoon van de zaak.

Klopt inderdaad volledig dat in theorie het mogelijk is om de fingerprint scanner te hacken en zo binnen te komen alleen zij me collega al : Het is waarschijnlijk simpeler om dan gewoon de vinger af te hakken en die te gebruiken

, aangezien als je key verdwenen is en je geeft het aan de admin door kan die deze key gewoon disablen bij bedrijfsgebruik.

Ja ons product heeft een authenticatie : FIDO L1 Certificaat.

Uiteraard raad ik je aan als je gelooft dat biometrie niet beter is dan het normale password / login of hoogstens een pin als je de key aanklikt dan is dat je goed recht.

Ik persoonlijk heb toch liever dat als ze me key meenemen ze geen toegang krijgen als ze me pin number hebben zonder me vingerafdruk .

Veiligheid en gebruiksgemak zijn in dit geval de beste optie ( ik gok dat ook al jouw passwords 26 letters en cijfercombinatie zijn met uiteraard op elke website een ander password en geen passwoord manager aangezien dat ook gehackt kan worden in theorie )

ApexAlpha
21 januari 2019 16:22

Interessant! Komen de video's online ergens nadien? of enkel audio?

Ik heb naast mijn werkgever nog een baas en die heeft 14feb al geboekt.

Jeoh

@ApexAlpha • 21 januari 2019 16:34

Ja, ik heb zo'n 3 - 4 evenementen op 14 februari waar ik bij voorbaat al wist dat dat niet ging lukken. Dat snap je als organisator toch ook wel?

Malarky
@Jeoh • 21 januari 2019 16:44

Dat kan toch na 20:00 ook wel, of anders iets eerder weg?

Je kan als zakelijke organisator toch geen rekening houden met een door de commercie opgelegde datum dat partners met elkaar tijdig zouden moeten uit eten in een overvol restaurant.

@GrooV: dat is irrelevant. Deze dev summit begint ongetwijfeld al met inloop 08:00 s ochtends in Utrecht. Dat is elke mogelijke Valentijns locatie/event/restaurant nog potdicht. Koningsdag is totaal onvergelijkbaar dus, juist omdat iedereen dan ook gedurende de dag vrij is.

Buiten dat bied Koningsdag de unieke gelegenheid om met vele vrienden en familie die net als jij vrij zijn iets te gaan doen. Uit eten met je partner kan werkelijk 365 dagen per jaar op dezelfde manier, dat is niet leuker of minder leuk op exact 14 februari, Nederlandse tijd.

[Reactie gewijzigd door Malarky op 21 januari 2019 17:14]

GrooV
@Malarky • 21 januari 2019 16:53

Nee daarom zou ik de Tweakers developers summit volgend jaar ook op Koningsdag in hartje Amsterdam houden, iedereen vrij en top locaties genoeg. Het kan wat druk zijn maar je kan als zakelijke organisator toch geen rekening houden dat mensen graag iets willen vieren in een overvolle stad.

Fastfreddy666
21 januari 2019 17:17

Targets voor hackers

1) Open Source Code.

Grote nadeel van open source is dat de bad guys ook mee kunnen kijken. Het patchen van kwetsbaarheden in open source gaat vaak niet zo heel erg snel...

2) Internet of things

Leuk al die IoT gadgets maar vaak zijn ze niet ontworpen met veiligheid in het achterhoofd. Sterker nog sommige zijn "insecure by design" Toch neemt het gebruik ervan in organisaties heel hard toe. Dit is voor hackers zeer interessant.

3) cryptocurrency

Waarom een bank beroven als je ook digitaal geld kunt stelen zonder te worden gepakt of opgemerkt?

4) stemmachines. Je kan de regering van een land beïnvloeden vanuit je luie stoel aan de andere kant van de wereld.

5) Auto's. We kunnen de auto tegenwoordig wel definiëren als "computer op wielen". =

6) Industriële controle systemen. Een kerncentrale bedienen op afstand is cool... of in het geval van een "melt down" niet cool.

7) Mensen en hun identiteiten. identiteitsdiefstal / fraude neemt hand over hand toe en kan zeer lucratief zijn.

Cloud infrastructuur. Who controls the cloud, controls the universe.

9) gezondheidszorg. De gegevens zijn ontzettend privacy gevoelig en het lekken hiervan kan iemand voor zijn rest van zijn leven beschadigen. Als je pacemaker is besmet met ransomware dan betaal je wellicht sneller dan als je pc is besmet...

10) elektriciteitsnet. Lijkt mij duidelijk.

Waar Sanne het over heeft zijn geen hackers. Als je slechte wachtwoorden gebruikt kan je door de eerste de beste "script-kiddie" gehacked worden. Er is echt niet veel kennis nodig om zo'n aanval uit te voeren.
Je moet veiligheid er bij de gebruikers "inrammen" omdat ze er zich niet van bewust van zijn. Ik heb zo vaak post-it notes met passwords gevonden dat ik de tel ben kwijt geraakt. Gebruikers. Aaaargh.

Developers zouden beter moeten weten maar ook zij zijn menselijk.

Het is een beetje zonde van mijn 275 euro. Maar als de baas betaald dan ga ik natuurlijk graag. Maar ik heb zo het idee dat ie ander prioriteiten heeft. Ja maar baas. Het is edutainment. Terug aan het werk jij. Oke baas.

LaMaZitten
@Fastfreddy666 • 21 januari 2019 19:09

Ik heb zo vaak post-it notes met passwords gevonden dat ik de tel ben kwijt geraakt.

Liever een daadwerkelijk sterk wachtwoord op een Post-It, dan een zwak wachtwoord uit het hoofd. Het grootste deel van de aanvallen zul je doorgaans van 'buiten' moeten verwachten. Als een aanvaller die Post-It kan lezen, dan heb je andere problemen...

deadinspace
@Fastfreddy666 • 22 januari 2019 21:26

1) Open Source Code.

Grote nadeel van open source is dat de bad guys ook mee kunnen kijken. Het patchen van kwetsbaarheden in open source gaat vaak niet zo heel erg snel...

Waar haal je vandaan dat patchen in open source projecten niet zo snel gaat?

Deze paper van de Carnegie Mellon University concludeert het tegendeel:

Our results suggest that early disclosure has significant positive impact on the vendor patching speed. Open source vendors patch more quickly than closed source vendors and severe vulnerabilities are patched faster.

...

The estimated coefficient indicates that open source software takes on average about 60% of the patching time than closed source software would take.

En deze paper van de Universität Paderborn stelt ook vast dat patchen gemiddeld sneller gaat bij open source projecten:

The investigation reveals that (a) the mean time between vulnerability disclosures was lower for open source software in half of the cases, while the other cases showed no differences, (b) 14 out of 17 software packages showed a significant linear or piecewise linear correlation between the time and the number of published vulnerabilities, and (c) no significant differences in the severity of vulnerabilities were found between open source and closed source software.

Natuurlijk zal dit allemaal sterk per project verschillen; een goed closed source project zal het beter doen dan een slecht open source project. Het is bij het selecteren van software altijd belangrijk naar de security-geschiedenis te kijken van de kandidaten (of die nou open of closed source zijn).

Maar waar jouw generalisatie dat "het patchen van kwetsbaarheden in open source vaak niet zo heel erg snel gaat" vandaan komt is me een raadsel.

Transportman
@Fastfreddy666 • 21 januari 2019 19:09

Hier zo een gebruiker waar die veiligheid "erin geramd" moet worden (al schrijf ik gelukkig mijn wachtwoorden niet op). Soms is security/beheer zelf ook het probleem, door te eisen dat mensen iedere paar maanden hun wachtwoord moeten veranderen en daarbij natuurlijk weer de "standaard" (en ondertussen achterhaalde) eisen van x karakters, grote en kleine letters, cijfers en tekens, het moet er allemaal in, en het mag niet teveel overeenkomen met je 20 vorige wachtwoorden. Dan vraag je er ook wel om dat mensen hun wachtwoord op gaan schrijven of makkelijk te raden maken.

Nu kennen wij allemaal wel programma's als KeePass, maar wat heeft de gebruiker daaraan als die eerst moet inloggen voordat die bij KeePass kan? Dan geloof ik meer in 2FA en dan vanuit 1 omgeving via SSO verder kan, dat is voor gewone gebruikers genoeg, en bij echt kritieke systemen waar dus alleen IT bij moet kunnen dan nog een keer inloggen vereist.

Eloy
21 januari 2019 16:18

Pfoeh, wat een bedragen. Ik houd het wel bij FOSDEM, dat kost me niks

En dat is ook een heel weekend lang

[Reactie gewijzigd door Eloy op 21 januari 2019 16:19]

rikkert278
21 januari 2019 16:24

Die prijzen.... nee bedankt

Dat vind ik toch echt te duur.

Rulelove
@rikkert278 • 21 januari 2019 19:17

Krijg je dan ook een koffiemok of t-shirt?

Sayko
21 januari 2019 20:33

Developers interessant voor aanvallers

regel is: probleem ligt tussen stoel en scherm cq the user.

Als ik oversteek terwijl ik de bus aan zie komen kan ik de chauffeur niks kwalijk nemen. Wel heeft de chauffeur een schuldgevoel van hier tot fox-it