Les 5 - Aanval en Antwoord

Question 1

Administrator/root rights

Answer 1

Heeft complete toegang tot het systeem om bijv. dingen te veranderen.

Question 2

Air Gap

Answer 2

Een netwerk beveiligingsmaatregel die ervoor zorgt dat 1 of meer computers fysiek veilig zijn geïsoleerd van onveilige netwerken, zoals het Internet.

Question 3

Anti-malware software

Answer 3

Vroeger Anti-Virus Software genoemd. Analyseert bestanden en programma’s op bekende handtekeningen of (gedrags)patronen op de aanwezigheid van kwaadaardige code. Kan iets kwaadaardigs bij detectie verplaatsen naar een Sand Box/Quarantine. Kan white-listing gebruiken. Nadeel: Leidt tot meer false positives of extra administratieve maatregelen.

Question 4

Attacker: Joy rider

Answer 4

Een aanvaller die meestal voor de lol op onderzoek uitgaat. Heeft meestal gevorderde skills in het ontdekken van zwakheden en het schrijven van exploits, maar heeft meestal geen kwaadaardige bedoelingen wanneer hij ongeautoriseerd in systeem een binnendringen.

Question 5

Attacker: Mercenary

Answer 5

Een aanvaller die systemen kan hacken en bereidt is deze als dienst te koop aan te bieden. Criminele organisaties maken hier vaak gebruik van voor illegale doeleinden om bijv. geld te verdienen.

Question 6

Attacker: Nation state backed

Answer 6

Een aanvaller die een land is of namens een land tegen andere landen spionage uitvoert om informatie te verzamelen of om ze aan te vallen.

Question 7

Attacker: Script kiddy

Answer 7

Attacker - Script Kiddy: Een aanvaller die weinig tot geen skill heeft voor het schrijven of begrijpen hoe zwakheden worden ontdekt en exploits worden geschreven, maar maken gebruik van (downloads) anderen hun exploits op het internet. Meestal geen bedreiging, want publiekelijk bekende exploits waarvoor patches en detectie al bestaan.

Question 8

Backdoor

Answer 8

Backdoor: Een manier Bijv. programma die autorisaties en beveiligingsprotocollen omzeilt om de aanvaller stiekem toegang te geven in het netwerk. Moet worden geïnstalleerd.

Question 9

Boot Loader Protection

Answer 9

Boot loader: Computerprogramma dat ervoor zorgt dat na de BIOS het OS wordt gestart. Protection: Voorkomen ongeautoriseerde toegang systeem met root access, Voorkomen ongewenste aanpassingen aan systeem.

Question 10

Botnet

Answer 10

Botnet: Een groep van (software)bots of zombies (gecompromitteerde computers) die malware runnen, onder een gezamenlijk command-and-control infrastructuur.

Question 11

Buffer overflow

Answer 11

Buffer overflow: Een afwijking waneer een programma tijdens het schrijven van data naar een buffer over de grenzen van de buffer heen gaat en aanliggende geheugen locaties overschrijft.

Question 12

Click-fraude

Answer 12

Click-fraude: Het laten blijken alsof er legitieme Pay-Per-Clicks op een advertentie op een website gebeuren, terwijl dit bijv. door een script/programma/groep personen wordt gedaan, zodat de website eigenaar hier zelf op verdient, want die krijgt geld per Click.

Question 13

Clickjacking

Answer 13

Clickjacking: Een kwaadwillende techniek om een User te bedriegen door hem op iets anders te laten klikken, dan wat hij denkt waar hij op klikt. Bijv. een transparante/verborgen, maar authentieke html/css laag over de echte webpagina heen (Banktransaction voorbeeld).

Question 14

Cracker

Answer 14

Cracker: AKA Black Hat. Dringt systemen en netwerken binnen met kwaadwillende bedoelingen.

Question 15

Cross Site Scripting

Answer 15

Cross-Site Scripting (XSS): Een fout in de beveiliging van een webapplicatie. Het is mogelijk om een (kwaadaardig) script te injecten met de invoer van een webapplicatie en dat de eindgebruiker deze dan krijgt. Vaak in combinatie met Phishing.

Question 16

Data Remnants

Answer 16

Data remnants/remanence: Overblijfselen van digitale data, nadat er is geprobeerd deze data te verwijderen/te wissen.

Question 17

DDoS

Answer 17

DDOS: Distributed-Denial-of-Service-attack. Heel veel Clients die verbinding maken met een Server (van bijv. website) met als doel om de Server te overspoelen met webverkeer en deze moeilijk/onbereikbaar te maken. Wordt vaak een botnet voor gebruikt.

Question 18

Defacing websites

Answer 18

Defacing websites: Het door hackers van buiten of ongewenst aanpassen van een webpagina. Bijv. om politieke boodschappen te laten zien.

Question 19

Distributed command and control system

Answer 19

Een gedistribueerde manier van het bevelen en controleren van iets.

Question 20

DNS poisioning

Answer 20

DNS (cache) poisoning/ DNS spoofing: Het vervangen van een URL uit een DNS-tabel met een vervalste URL.

Question 21

Dumpster diving

Answer 21

Dumpster diving: Het doorzoeken van ‘afval’ van een partij om bruikbare gegevens over die partij te vinden voor een bepaald doeleinde. Bijv. Impersonation/toegang tot netwerk.

Question 22

EC-council pentest en elementen (Router, Firewall, IDS, DOS, Password, Social Engineering, Stolen hardware, Application, Physical security, Database, VOIP, VPN)

Answer 22

EC-council pentest: LPT: Licensed Penetration Tester (Master): Volgend op de CEH en ECSA (Ec-Council Certified Security Analyst) de prestigieuze Penetration Testing certificering.

VOIP: Voice over IP: Het gebruiken van internet of een ander IP-netwerk om spraak te transporteren. Telefonie (Data en spraak) via data netwerken.

Question 23

Flooding

Answer 23

Flooding: Een aanvaller die een groot aantal berichten stuurt naar een Access Point (AP) op zo’n grote snelheid, dat de AP dit niet aan kan en resulteert in een gedeeltelijke/volledige DoS-aanval.

Question 24

Fuzzer

Answer 24

Fuzzer: Een tool om een onverwachte reactie te krijgen van een programma door onverwachte data als input te leveren. Vaak verwacht een programma een gestructureerde input (Telefoon nummer). Fuzzer stuurt input die deels ‘valide genoeg’ kan zijn om een error reactie te krijgen die niet ‘clean’ is en probeert op basis daarvan een exploit uit te voeren.

Question 25

Hacker: black, white, gray

Answer 25

Hacker - Black hat: Een type hacker die op illegale wijze computer systemen binnendringt voor persoonlijke winst (Creditcard info stelen) of voor pure kwaadwilligheid (DDoS).

Hacker - White hat: Een type hacker die ook wel Ethical hacker wordt genoemd. Gebruikt zijn vaardigheden voor het ‘goede’ helpt organisaties hun systemen verbeteren.

Hacker - Grey hat: Tussen Black en White. Kan bijv. zonder toestemming een systeem binnendringen en vervolgens publiekelijk/privé het probleem melden.

Question 26

Hacktivist

Answer 26

Hacktivist: Het gebruiken van technologie om een politieke of sociale agenda te promoten/ te protesteren.

Question 27

HOAX

Answer 27

HOAX: Een email die meestal een kettingemail is en onmogelijke gebeurtenissen, hoogsgevaarlijke malware or Urban Legends verspreidt. Doel is om ontvangers bang te maken en te misleiden en hen het door te laten sturen.

Question 28

Honey Net + Virtual Honey Net

Answer 28

Honey net: Bestaat uit 1 of meerdere Honey Pots.

Virtuele Honey Net: Lijkt alsof het een heel netwerk is, maar wordt gedraaid op maar 1 Server.

Question 29

Honey Pot

Answer 29

Honey Pot: Een opgezet netwerk met opzettelijke zwakheden. Doel is om aanvallers (in de val) te lokken en hun activiteiten en methoden te bestuderen en informatie te verzamelen om netwerkbeveiliging te versterken, zorgen dat de aandacht van aanvallers juist wegblijft van de echte netwerken & baiten tot arrestatie. Honey Pots bevatten geen geautoriseerde toegang, dus wie toegang heeft is zeer waarschijnlijk een hacker. Bevat vaak voor hackers interessante informatie, zoals wachtwoord gegevens.

Question 30

Insider threat

Answer 30

“nsider threat: Een gevaar van binnenuit de organisatie.
Types:
1. Kwaadwillende insiders: mensen wie profiteren van hun mogelijkheid om schade toe te brengen aan de organisatie.
2. Nalatige insiders: mensen die fouten maken en zich niet aan het beleid/procedures houden, zorgt ervoor dat een organisatie risico loopt.
3. Infiltraten: externe actoren die legitieme toegangs credenties hebben gekregen zonder autorisatie.

Question 31

Intrusion

Answer 31

Intrusion: Ongeautoriseerd binnendringen.

Question 32

Life time “0-day” / Zero-day/0-day:

Answer 32

Zero-day/0-day: Een zwakheid in bijv. een systeem die niet bekend is bij de partijen die het zouden willen verhelpen, maar wel bekend is bij partijen het zouden willen exploiteren.

Question 33

Logic bomb

Answer 33

Logic bomb: Een stuk code (tijdbom) wat is gemaakt om schade toe te brengen aan systemen of data op een voorbepaald moment in de toekomst, wanneer er is voldaan aan een bepaalde conditie (bijv. iemand is ontslagen). Vaak als vorm van vergelding (terugpakken) voor iets negatiefs.

Question 34

Malware

Answer 34

Malware: Schadelijke software die worden gebruikt om een computersysteem binnen te dringen, waardoor een aanvaller kan doen wat hij wil, zoals het toebrengen van schade of infiltratie.

Question 35

Man-in-the-Middle

Answer 35

Man-in-the-Middle: MITM-aanval. Een aanvaller onderschept communicatiestromen tussen twee partijen, waardoor hij berichten kan lezen en aanpassen.

Question 36

Ping of Death

Answer 36

Ping of Death (POD): Een Denial-of-Service-attack (DoS) tegen een host op een computernetwerk. Het verzenden van een packet waarvan de byte grootte, groter is dan het toegestane limiet van 65,535 bytes wat resulteert in een *Buffer Overflow en vervolgens het systeem kan laten crashen of meegestuurde malware injecteert.

Question 37

Password cracker

Answer 37

Een tool om wachtwoorden te kraken.

Question 38

Pharming

Answer 38

Pharming: Het herleiden van verkeer van een website naar een andere website (een neppe). Bijv. door DNS poisoning/spoofing

Question 39

Phishing

Answer 39

Phishing: Vorm van internetfraude. De fraudeur doet zich voor als een vertrouwde instantie (meestal via email) om een slachtoffer gegevens (toegangs credenties) in te laten vullen op een website.

Question 40

Privilege escalation

Answer 40

Privilige escalation: Het exploiten van een fout in een OS of systeemapplicatie om hogere privilieges te krijgen dan je normaal hoort te hebben, waardoor een applicatie ongeautoriseerde activiteiten kan uitvoeren.

Question 41

Sandboxing

Answer 41

Sandbox: een afgeschermde ruimte waarin computerprogramma’s kunnen werken zonder andere processen te verstoren.

Question 42

Shoulder surfing

Answer 42

Shoulder surfing: Een Social Engineering techniek. Het letterlijk over de schouders meekijken bij een slachtoffer. Hedendaags mogelijk door verborgen camera’s.

Question 43

Spectre & Meltdown

Answer 43

Spectre en Meltdown exploiteren beiden kritieke zwakheden in moderne processoren. Meestal niet-toegankelijke data stelen van een computer. Beiden maken exploiteren ‘Speculative Execution’ hiervoor. Gaat om het onbeschermde cache geheugen van de programma’s waarin de onjuiste ‘Speculative Execution’ wordt gestored.

Spectre: Trickt andere applicaties om toegang te nemen to arbitraire locaties in hun geheugen om gegevens te stelen.

Meltdown: Breekt de fundamenteelste isolatie tussen gebruikerapplicatie en OS; het mechanisme wat applicaties ervan weerhoudt om toegang te krijgen tot arbitraire systeem geheugen. Een programma kan hierdoor toegang krijgen tot het geheugen en ook geheimen van andere programma’s en het OS. Bijv. wachtwoord kluizen

Question 44

Spoofing

Answer 44

Spoofing: Het vervalsen van kenmerken met als doel om tijdelijk een valse identiteit aan te nemen bij het communiceren (email, telefoon# -DefCon video)

Question 45

Zombie

Answer 45

Zombie: gecompromiteerde computer

Question 46

SQL injection

Answer 46

SQL Injection: Onverwachts in een tekst veld SQL input doorgeven. ‘a=a’ ; ‘1=1’. Hierdoor is het mogelijk om ongeautoriseerde acties uit te voeren binnen de databse.

Question 47

War chalking

Answer 47

Warchalking: Middels gebruik van bargoense tekens / hobo symbols en krijtjes aangeven wat voor soort wi-fi netwerk er aanwezig is op de locatie.

Question 48

War driving

Answer 48

Wardriving: Rondrijden met een wifi netwerk scanner om wifi netwerken te loggen.

Question 49

Whailing

Answer 49

Whaling: Spear phishing op een specifieke high level targets gericht om gevoelige data te verkrijgen van senior executives (C-level bijv.) Verschil met spear phishing: Spear is specifieke individu, Whaling is specifieke high level target individu.

Question 50

Worm

Answer 50

Worm: Een code die zichzelf dupliceert en door het netwerk heen gaat, meestal geen menselijke inbreng vereist.

Question 51

Trojan horse

Answer 51

Trojan Horse: Programma wat legitiem lijkt, maar stiekem malware bevat.

Question 52

Virus

Answer 52

Virus: Code die zichzelf dupliceert en zichzelf vastmaakt aan een andere programma. Het programma en daarbij het virus moet door menselijke interactie gestart worden. Een virus heeft meestal een gelimiteerde set functies en de maker heeft na het loslaten van het virus geen interactie meer ermee.

Question 53

Root-kit (user level, kernel level)

Answer 53

“User-level Rootkit: Een Trojan/backdoor code die OS software manipuleert om ervoor te zorgen dat de aanvaller ongedetecteerd toegang met privileges blijft behouden. Bijv. kwaadwillende processen uit de processen-lijst halen in taakbeheer.

Kernel-level Rootkit: Trojan/backdoor code die zich nestelt in de Kernel van het OS waardoor het de volledige controle over OS heeft en de gebruike de hoogste rechten en ondetecteerbaarheid heeft.”

Question 54

SIV (System Integrity Validation)

Answer 54

System Integrity Validation: SIV. Het controleren van de Integriteit van het systeem. Bijv. Files en Registries.

Question 55

Social Engineering

Answer 55

Social Engineering: De techniek om mensen te manipuleren om activiteiten uit te voeren of gevoelige informatie mee te delen. In de meeste gevallen zullen partijen nooit face-to-face staan.

Question 56

Session Hijacking

Answer 56

Session Hijacking: Sessie van een andere partij overnemen door gegevens van de handshake.

Question 57

Security Zones

Answer 57

Security Zone: Een gedeelte van een netwerk /groep interfaces wat specifieke beveiligingseisen heeft om verkeer te controleren.

Question 58

Race conditions

Answer 58

Race condition: Een proces probeert exclusief een systeembron te bewerken terwijl een andere proces de systeembron vertraagd probeert aan te spreken. 1ste proces zit tussen Check-Act in.

Question 59

Pentesting methodologies: OSSTMM, OWASP, EC-Council LPT (naam en oorsprong/focus)

Answer 59

“OSSTMM: Open Source Security Testing Methodology Mannual. Oorsprong: Pete Herzog. Doel: Operationele beveiliging testen.

OWASP: Open Web Application Security Project. Doel: Webapplicaties beveiligen.

EC-Council LPT: Licensed Penetration Tester.”

Question 60

Pentesting: phases (Pre-attack, active/passive reconnaissance; Attack, Post-attack)

Answer 60

“Pentesting: stappenplan

Pre-attack: De aanvallende partij probeert het doelwit te onderzoeken.
Passive Reconnaissance: Doel: Alle mogelijke informatie over het doelwit verzamelen zonder het netwerk aan te raken, waardoor je niet gedetecteerd kan worden.
Active Reconnaissance: Zelfde als Passive, maar dan wel mogelijk netwerk aanraken. Doel: gedetailleerde info voor aanvalsstrategie.

Attack phase: Op basis van een kwetsbaarheid die mogelijk tijdens pre-attack is ontdekt het doelwit aanvallen. Eenmaal aangevallen zal de aanvaller proberen Privileges te Escaleren or Apps te installeren om toegang te verlengen. Na de aanval proberen om alle sporen weg te halen aka ““Covering their tracks””. Een pentesting team is geïnteresseerd in het vinden en exploiten van zoveel mogelijke kwetsbaarheden.

Post-attack phase: Het terugbrengen van de systemen naar hun originele pre-attack staat. Dit is uniek voor een pentesting team, omdatt een aanvaller zo lang mogelijk credit wil voor het systeem te hebben ge-pwnd, maar wel Covering their tracks.”

Question 61

Pentesting: Rules of Engagement; “Get out of Jail free” card

Answer 61

Get out of jail free card: Een contract tussen het doelwit en pentesting team waarin explicitiet is aangegeven welke werkzaamheden worden uitgevoerd voor wie en dat er geen regels zijn gebroken. Ondertekend door Senior member doelwit organisatie. ZSM voor en na test krijgen en teruggeven.

Question 62

Netwerkprotocollen en begrippen: OSI layers, TCP/IP, UDP, SMTP, Protocol, Port, IP adress, Header (NB: wel begrip van doel en globale werking, geen detailkennis over protocollen en opbouw)

Answer 62

“OSI layers: OSI: Open Systems Interconnection: Door ISO gestandaardiseerd referentiemodel voor datacommunicatiestandaarden.

Laag 7 - Application Layer: Protocollen voor directe uitwisseling met de applicatie.

Layer 6 - Presentation Layer: Formatteert en structureert data ten behoeve van applicatie-interpretatie.

Layer 5 - Session Layer: Start, onderhoud en beiïndiging sessies tussen applicaties.

Layer 4 - Transport Layer: Data transmissies op een netwerk.

Layer 3 - Network Layer: Het beheren van netwerk verkeer.

Layer 2 - Data Layer: Data transmissies tussen twee nodes die zijn verbonden door ene physical layer.

Layer 1 - Physical Layer: Elektrische signalen, binaire transmissies over fysieke media.

TCP/IP: Transmission Control Protocol / Internetprotocol: Netwerkprotocollen die gebruikt worden voor het grootste gedeelte van netwerkcommunicatie tussen computers.

UDP: User Datagram Protocol. Protocol om gegevens mee te versturen, biedt geen garantie dat gegevens daadwerkelijk aankomen in tegenstelling tot TCP. Gebruik: Snel overdragen van gegevens waarbij een zeer korte reactietijd belangrijk is (Telefoon, video, DNS, games - FPS)

SMTP: Simple Mail Transfer Protocol. De standaard om emails mee te versturen over het internet. Stappen: Afzender(s) > verzendgegevens > inhoud.

IP-adres: computernetwerk adres die aangeeft welk adres jij op het netwerk hebt.”