Op donderdag 17 mei 2018 vond The Art of Hacking plaats, een exclusieve masterclass voor digital agency partners van True. In deze sessie namen onze in-house ethical hackers Eddie en Patrick de ruim 21 deelnemers mee in de wonderbaarlijke wereld van “black hat hacking”. Veelvoorkomende kwetsbaarheden passeerden de revue en er werd uitgebreid stilgestaan hoe je ze kunt herkennen en op kunt lossen.
Bekijk onze Security Management diensten
“Mijn website is toch niet interessant?”
“Een van de grootste misvattingen die we tegenkomen, is dat mensen denken dat hun website of applicatie niet interessant is voor hackers. Well…think again”, vertelt Eddie Bijnen, security-engineer bij True, aan de 21 developers van diverse digital agencies.
Een hacker kan namelijk verschillende motieven hebben om een webomgeving over te nemen. Eddie: “Een trend die we de laatste tijd veel zien is cryptomining. Door verouderde WordPress of Joomla-versies wordt het voor hackers eenvoudiger om een omgeving over te nemen, omdat hier online talloze exploits voor te vinden zijn. Bij True hebben we dit snel in de gaten omdat we zien dat het CPU-verbruik dan omhoogschiet. Bij zulke uitschieters waarschuwen we de klant natuurlijk”. Desalniettemin groeit cryptomining wereldwijd in populariteit.
Reputatie en imagoschade
Financiële gevolgen (door downtime of inzet van forensische onderzoekers), een datalek, een mogelijke boete van de Autoriteit Persoonsgegevens: “Een hack kan een enorm grote impact hebben op de organisatie. Een van de grootste risico’s is reputatie en imago-schade”, vertelt Eddie.
In een van zijn slides laat Eddie zien dat veel aanvallen geautomatiseerd zijn. Hij laat een real-time kaart zien van aanvallen op een “honeypot” binnen een datacenter van True, een speciaal ingerichte omgeving met als doel om aanvallen uit te lokken zodat er van de nieuwste aanvallen geleerd kan worden.
“Vandaag alleen al zien we meer dan 6.000 geautomatiseerde aanvallen vanuit Amerika. Dit overkomt iedereen: op het internet worden omgevingen constant gescand om te kijken waar eventuele kwetsbaarheden zitten. Waarschijnlijk heb je dit zelf ook wel eens in de access logs gezien”, vertelt Eddie aan de aanwezigen.
Ben je gepwnd?
Voor het identificeren van kwetsbaarheden zijn tegenwoordig talloze methodes. Zo kun je via DNSdumpster.com of community.riskiq.com zoekopdrachten uitvoeren naar systeemconfiguraties en daar de kwetsbaarheden vinden.
Maar ook het uitproberen van hergebruikte wachtwoorden is nog altijd lucratief voor de kwaadwillende hacker. Haveibeenpwnd.com is daarom een interessante database om erachter te komen of jouw e-mailadres ooit betrokken is geweest bij een datalek.
Sinterklaas als social engineer
Een zeer effectieve methode blijft volgens Eddie spear phishing: “Dit is phishing die specifiek gericht is op jouw bedrijf. Uit diverse onderzoeken blijkt dat er een 80% clickratio is bij spear phishing. Het succesvol installeren van malware ligt daarbij zelfs tussen de 20-30%”. (bron)
Eddie noemt als voorbeeld een spear phishing mail over het invullen van een wenslijstje in de Sinterklaas-periode: “Dit was toen een zeer aannemelijke mail en het zag er zeer professioneel uit. Veel mensen trapten er toen in. Gelukkig was dit een gesimuleerde spear phishing campagne en werd er geen schade aangebracht bij de betreffende organisatie”.
“A fool with a tool is still a fool”
Eddie ging vervolgens meer in op de middelen en technieken die hackers gebruiken om inzicht te krijgen in een webomgeving. Daar kwamen een paar tools naar voren, zoals NMAP (waarmee je kunt zien welke poorten open staan), Nessus (een veelgebruikte vulnerability scanner) en WPscan (een command line tool voor inzicht in de meest recente WordPress-kwetsbaarheden).
Volgens Eddie gaat hacken wel veel verder dan enkel het gebruiken van tools: “Iedereen met de juiste kennis kan zulke tools draaien, maar tools kunnen niet een heel proces volgen. Mensen wel. Een hacker interpreteert of er gebruikers zijn waar misbruik van gemaakt kan worden. De tools zijn enkel voor inzicht. Het blijft altijd belangrijk om rekening te houden met menselijke interpretatie”.
Cross-site scripting
Security-engineer Patrick vertelde vervolgens over de kenmerken van veelvoorkomende aanvallen, wat de risico’s daarvan zijn en hoe je ze op kunt lossen. Bij cross-site scripting bijvoorbeeld, kan er sprake zijn van ‘stored’, ‘reflected’ of ‘blind’ cross-site scripting.
Patrick: “Bij stored XSS kan een kwaadwillende een stukje malafide code opslaan, bijvoorbeeld in een forumbericht dat opgeslagen wordt in de database. Zodra een andere gebruiker de website bezoekt wordt de XSS als onderdeel van de websitecode uitgevoerd. Blind XSS werkt ongeveer hetzelfde, alleen weet je als aanvaller niet op welke pagina de code wordt uitgevoerd. Dit kan bijvoorbeeld ook in de back-end zijn. Een ingelogde administrator zal hier in ieder geval niets van doorhebben”.
De risico’s bij cross-site scripting liegen er niet om. Sessies kunnen gestolen worden, website kan beklad worden, malware verspreid, DDoS-aanvallen geïnitieerd en cryptomining kan plaatsvinden. “Er zijn verschillende methodes om te verdedigen bij XSS-aanvallen, denk aan het escapen van speciale karakters.”, aldus Patrick. Dit is unicode die een website omzet. ‘<’ wordt dan bijvoorbeeld ‘<’, ‘>’ wordt ‘>’ enzovoorts. Door deze karakters te excluden maak je het al een stuk lastiger voor het inladen van een XSS-script”, aldus Patrick. Een van de vele praktische tips die middag.
Aan de slag tijdens het hackuurtje
Na de gedeelde kennis mochten de deelnemers zelf aan de slag met hacken. Zij kregen een omgeving tot de beschikking die ze vervolgens mochten hacken op basis van de geleerde lessen. Hier zat tevens een wedstrijdelement in. Bij succesvolle XSS-pogingen werden bijvoorbeeld punten verdiend. Vanzelfsprekend kwamen daar een paar winnaars uit.
De top 3:
Goed gedaan!
Lessons learned
De belangrijkste lessen die de twee security-engineers mee wilde geven?
✓ Geef awareness over security de hoogste prioriteit.
✓ Bouw en onderhoud webapplicaties op een veilige manier.
✓ Voer regelmatig controles uit of laat ze uitvoeren.
✓ Blijf op de hoogte van de laatste ontwikkelingen.
De True Masterclasses zijn exclusieve evenementen die we voor de digital agency partners van True samenstellen. Ben je geïnteresseerd in ons partnerprogramma? Bezoek deze pagina. Ben je geïnteresseerd in onze securitydiensten? Bezoek deze pagina.