Les 5 - Aanval en Antwoord Flashcards
Administrator/root rights
Heeft complete toegang tot het systeem om bijv. dingen te veranderen.
Air Gap
Een netwerk beveiligingsmaatregel die ervoor zorgt dat 1 of meer computers fysiek veilig zijn geïsoleerd van onveilige netwerken, zoals het Internet.
Anti-malware software
Vroeger Anti-Virus Software genoemd. Analyseert bestanden en programma’s op bekende handtekeningen of (gedrags)patronen op de aanwezigheid van kwaadaardige code. Kan iets kwaadaardigs bij detectie verplaatsen naar een Sand Box/Quarantine. Kan white-listing gebruiken. Nadeel: Leidt tot meer false positives of extra administratieve maatregelen.
Attacker: Joy rider
Een aanvaller die meestal voor de lol op onderzoek uitgaat. Heeft meestal gevorderde skills in het ontdekken van zwakheden en het schrijven van exploits, maar heeft meestal geen kwaadaardige bedoelingen wanneer hij ongeautoriseerd in systeem een binnendringen.
Attacker: Mercenary
Een aanvaller die systemen kan hacken en bereidt is deze als dienst te koop aan te bieden. Criminele organisaties maken hier vaak gebruik van voor illegale doeleinden om bijv. geld te verdienen.
Attacker: Nation state backed
Een aanvaller die een land is of namens een land tegen andere landen spionage uitvoert om informatie te verzamelen of om ze aan te vallen.
Attacker: Script kiddy
Attacker - Script Kiddy: Een aanvaller die weinig tot geen skill heeft voor het schrijven of begrijpen hoe zwakheden worden ontdekt en exploits worden geschreven, maar maken gebruik van (downloads) anderen hun exploits op het internet. Meestal geen bedreiging, want publiekelijk bekende exploits waarvoor patches en detectie al bestaan.
Backdoor
Backdoor: Een manier Bijv. programma die autorisaties en beveiligingsprotocollen omzeilt om de aanvaller stiekem toegang te geven in het netwerk. Moet worden geïnstalleerd.
Boot Loader Protection
Boot loader: Computerprogramma dat ervoor zorgt dat na de BIOS het OS wordt gestart. Protection: Voorkomen ongeautoriseerde toegang systeem met root access, Voorkomen ongewenste aanpassingen aan systeem.
Botnet
Botnet: Een groep van (software)bots of zombies (gecompromitteerde computers) die malware runnen, onder een gezamenlijk command-and-control infrastructuur.
Buffer overflow
Buffer overflow: Een afwijking waneer een programma tijdens het schrijven van data naar een buffer over de grenzen van de buffer heen gaat en aanliggende geheugen locaties overschrijft.
Click-fraude
Click-fraude: Het laten blijken alsof er legitieme Pay-Per-Clicks op een advertentie op een website gebeuren, terwijl dit bijv. door een script/programma/groep personen wordt gedaan, zodat de website eigenaar hier zelf op verdient, want die krijgt geld per Click.
Clickjacking
Clickjacking: Een kwaadwillende techniek om een User te bedriegen door hem op iets anders te laten klikken, dan wat hij denkt waar hij op klikt. Bijv. een transparante/verborgen, maar authentieke html/css laag over de echte webpagina heen (Banktransaction voorbeeld).
Cracker
Cracker: AKA Black Hat. Dringt systemen en netwerken binnen met kwaadwillende bedoelingen.
Cross Site Scripting
Cross-Site Scripting (XSS): Een fout in de beveiliging van een webapplicatie. Het is mogelijk om een (kwaadaardig) script te injecten met de invoer van een webapplicatie en dat de eindgebruiker deze dan krijgt. Vaak in combinatie met Phishing.
Data Remnants
Data remnants/remanence: Overblijfselen van digitale data, nadat er is geprobeerd deze data te verwijderen/te wissen.
DDoS
DDOS: Distributed-Denial-of-Service-attack. Heel veel Clients die verbinding maken met een Server (van bijv. website) met als doel om de Server te overspoelen met webverkeer en deze moeilijk/onbereikbaar te maken. Wordt vaak een botnet voor gebruikt.
Defacing websites
Defacing websites: Het door hackers van buiten of ongewenst aanpassen van een webpagina. Bijv. om politieke boodschappen te laten zien.
Distributed command and control system
Een gedistribueerde manier van het bevelen en controleren van iets.
DNS poisioning
DNS (cache) poisoning/ DNS spoofing: Het vervangen van een URL uit een DNS-tabel met een vervalste URL.
Dumpster diving
Dumpster diving: Het doorzoeken van ‘afval’ van een partij om bruikbare gegevens over die partij te vinden voor een bepaald doeleinde. Bijv. Impersonation/toegang tot netwerk.
EC-council pentest en elementen (Router, Firewall, IDS, DOS, Password, Social Engineering, Stolen hardware, Application, Physical security, Database, VOIP, VPN)
EC-council pentest: LPT: Licensed Penetration Tester (Master): Volgend op de CEH en ECSA (Ec-Council Certified Security Analyst) de prestigieuze Penetration Testing certificering.
VOIP: Voice over IP: Het gebruiken van internet of een ander IP-netwerk om spraak te transporteren. Telefonie (Data en spraak) via data netwerken.
Flooding
Flooding: Een aanvaller die een groot aantal berichten stuurt naar een Access Point (AP) op zo’n grote snelheid, dat de AP dit niet aan kan en resulteert in een gedeeltelijke/volledige DoS-aanval.
Fuzzer
Fuzzer: Een tool om een onverwachte reactie te krijgen van een programma door onverwachte data als input te leveren. Vaak verwacht een programma een gestructureerde input (Telefoon nummer). Fuzzer stuurt input die deels ‘valide genoeg’ kan zijn om een error reactie te krijgen die niet ‘clean’ is en probeert op basis daarvan een exploit uit te voeren.
Hacker: black, white, gray
Hacker - Black hat: Een type hacker die op illegale wijze computer systemen binnendringt voor persoonlijke winst (Creditcard info stelen) of voor pure kwaadwilligheid (DDoS).
Hacker - White hat: Een type hacker die ook wel Ethical hacker wordt genoemd. Gebruikt zijn vaardigheden voor het ‘goede’ helpt organisaties hun systemen verbeteren.
Hacker - Grey hat: Tussen Black en White. Kan bijv. zonder toestemming een systeem binnendringen en vervolgens publiekelijk/privé het probleem melden.
Hacktivist
Hacktivist: Het gebruiken van technologie om een politieke of sociale agenda te promoten/ te protesteren.
HOAX
HOAX: Een email die meestal een kettingemail is en onmogelijke gebeurtenissen, hoogsgevaarlijke malware or Urban Legends verspreidt. Doel is om ontvangers bang te maken en te misleiden en hen het door te laten sturen.
Honey Net + Virtual Honey Net
Honey net: Bestaat uit 1 of meerdere Honey Pots.
Virtuele Honey Net: Lijkt alsof het een heel netwerk is, maar wordt gedraaid op maar 1 Server.
Honey Pot
Honey Pot: Een opgezet netwerk met opzettelijke zwakheden. Doel is om aanvallers (in de val) te lokken en hun activiteiten en methoden te bestuderen en informatie te verzamelen om netwerkbeveiliging te versterken, zorgen dat de aandacht van aanvallers juist wegblijft van de echte netwerken & baiten tot arrestatie. Honey Pots bevatten geen geautoriseerde toegang, dus wie toegang heeft is zeer waarschijnlijk een hacker. Bevat vaak voor hackers interessante informatie, zoals wachtwoord gegevens.
Insider threat
“nsider threat: Een gevaar van binnenuit de organisatie.
Types:
1. Kwaadwillende insiders: mensen wie profiteren van hun mogelijkheid om schade toe te brengen aan de organisatie.
2. Nalatige insiders: mensen die fouten maken en zich niet aan het beleid/procedures houden, zorgt ervoor dat een organisatie risico loopt.
3. Infiltraten: externe actoren die legitieme toegangs credenties hebben gekregen zonder autorisatie.
Intrusion
Intrusion: Ongeautoriseerd binnendringen.
Life time “0-day” / Zero-day/0-day:
Zero-day/0-day: Een zwakheid in bijv. een systeem die niet bekend is bij de partijen die het zouden willen verhelpen, maar wel bekend is bij partijen het zouden willen exploiteren.
Logic bomb
Logic bomb: Een stuk code (tijdbom) wat is gemaakt om schade toe te brengen aan systemen of data op een voorbepaald moment in de toekomst, wanneer er is voldaan aan een bepaalde conditie (bijv. iemand is ontslagen). Vaak als vorm van vergelding (terugpakken) voor iets negatiefs.
Malware
Malware: Schadelijke software die worden gebruikt om een computersysteem binnen te dringen, waardoor een aanvaller kan doen wat hij wil, zoals het toebrengen van schade of infiltratie.
Man-in-the-Middle
Man-in-the-Middle: MITM-aanval. Een aanvaller onderschept communicatiestromen tussen twee partijen, waardoor hij berichten kan lezen en aanpassen.
Ping of Death
Ping of Death (POD): Een Denial-of-Service-attack (DoS) tegen een host op een computernetwerk. Het verzenden van een packet waarvan de byte grootte, groter is dan het toegestane limiet van 65,535 bytes wat resulteert in een *Buffer Overflow en vervolgens het systeem kan laten crashen of meegestuurde malware injecteert.
Password cracker
Een tool om wachtwoorden te kraken.
Pharming
Pharming: Het herleiden van verkeer van een website naar een andere website (een neppe). Bijv. door DNS poisoning/spoofing
Phishing
Phishing: Vorm van internetfraude. De fraudeur doet zich voor als een vertrouwde instantie (meestal via email) om een slachtoffer gegevens (toegangs credenties) in te laten vullen op een website.
Privilege escalation
Privilige escalation: Het exploiten van een fout in een OS of systeemapplicatie om hogere privilieges te krijgen dan je normaal hoort te hebben, waardoor een applicatie ongeautoriseerde activiteiten kan uitvoeren.
Sandboxing
Sandbox: een afgeschermde ruimte waarin computerprogramma’s kunnen werken zonder andere processen te verstoren.
Shoulder surfing
Shoulder surfing: Een Social Engineering techniek. Het letterlijk over de schouders meekijken bij een slachtoffer. Hedendaags mogelijk door verborgen camera’s.
Spectre & Meltdown
Spectre en Meltdown exploiteren beiden kritieke zwakheden in moderne processoren. Meestal niet-toegankelijke data stelen van een computer. Beiden maken exploiteren ‘Speculative Execution’ hiervoor. Gaat om het onbeschermde cache geheugen van de programma’s waarin de onjuiste ‘Speculative Execution’ wordt gestored.
Spectre: Trickt andere applicaties om toegang te nemen to arbitraire locaties in hun geheugen om gegevens te stelen.
Meltdown: Breekt de fundamenteelste isolatie tussen gebruikerapplicatie en OS; het mechanisme wat applicaties ervan weerhoudt om toegang te krijgen tot arbitraire systeem geheugen. Een programma kan hierdoor toegang krijgen tot het geheugen en ook geheimen van andere programma’s en het OS. Bijv. wachtwoord kluizen
Spoofing
Spoofing: Het vervalsen van kenmerken met als doel om tijdelijk een valse identiteit aan te nemen bij het communiceren (email, telefoon# -DefCon video)
Zombie
Zombie: gecompromiteerde computer
SQL injection
SQL Injection: Onverwachts in een tekst veld SQL input doorgeven. ‘a=a’ ; ‘1=1’. Hierdoor is het mogelijk om ongeautoriseerde acties uit te voeren binnen de databse.
War chalking
Warchalking: Middels gebruik van bargoense tekens / hobo symbols en krijtjes aangeven wat voor soort wi-fi netwerk er aanwezig is op de locatie.
War driving
Wardriving: Rondrijden met een wifi netwerk scanner om wifi netwerken te loggen.
Whailing
Whaling: Spear phishing op een specifieke high level targets gericht om gevoelige data te verkrijgen van senior executives (C-level bijv.) Verschil met spear phishing: Spear is specifieke individu, Whaling is specifieke high level target individu.
Worm
Worm: Een code die zichzelf dupliceert en door het netwerk heen gaat, meestal geen menselijke inbreng vereist.
Trojan horse
Trojan Horse: Programma wat legitiem lijkt, maar stiekem malware bevat.
Virus
Virus: Code die zichzelf dupliceert en zichzelf vastmaakt aan een andere programma. Het programma en daarbij het virus moet door menselijke interactie gestart worden. Een virus heeft meestal een gelimiteerde set functies en de maker heeft na het loslaten van het virus geen interactie meer ermee.
Root-kit (user level, kernel level)
“User-level Rootkit: Een Trojan/backdoor code die OS software manipuleert om ervoor te zorgen dat de aanvaller ongedetecteerd toegang met privileges blijft behouden. Bijv. kwaadwillende processen uit de processen-lijst halen in taakbeheer.
Kernel-level Rootkit: Trojan/backdoor code die zich nestelt in de Kernel van het OS waardoor het de volledige controle over OS heeft en de gebruike de hoogste rechten en ondetecteerbaarheid heeft.”
SIV (System Integrity Validation)
System Integrity Validation: SIV. Het controleren van de Integriteit van het systeem. Bijv. Files en Registries.
Social Engineering
Social Engineering: De techniek om mensen te manipuleren om activiteiten uit te voeren of gevoelige informatie mee te delen. In de meeste gevallen zullen partijen nooit face-to-face staan.
Session Hijacking
Session Hijacking: Sessie van een andere partij overnemen door gegevens van de handshake.
Security Zones
Security Zone: Een gedeelte van een netwerk /groep interfaces wat specifieke beveiligingseisen heeft om verkeer te controleren.
Race conditions
Race condition: Een proces probeert exclusief een systeembron te bewerken terwijl een andere proces de systeembron vertraagd probeert aan te spreken. 1ste proces zit tussen Check-Act in.
Pentesting methodologies: OSSTMM, OWASP, EC-Council LPT (naam en oorsprong/focus)
“OSSTMM: Open Source Security Testing Methodology Mannual. Oorsprong: Pete Herzog. Doel: Operationele beveiliging testen.
OWASP: Open Web Application Security Project. Doel: Webapplicaties beveiligen.
EC-Council LPT: Licensed Penetration Tester.”
Pentesting: phases (Pre-attack, active/passive reconnaissance; Attack, Post-attack)
“Pentesting: stappenplan
Pre-attack: De aanvallende partij probeert het doelwit te onderzoeken.
Passive Reconnaissance: Doel: Alle mogelijke informatie over het doelwit verzamelen zonder het netwerk aan te raken, waardoor je niet gedetecteerd kan worden.
Active Reconnaissance: Zelfde als Passive, maar dan wel mogelijk netwerk aanraken. Doel: gedetailleerde info voor aanvalsstrategie.
Attack phase: Op basis van een kwetsbaarheid die mogelijk tijdens pre-attack is ontdekt het doelwit aanvallen. Eenmaal aangevallen zal de aanvaller proberen Privileges te Escaleren or Apps te installeren om toegang te verlengen. Na de aanval proberen om alle sporen weg te halen aka ““Covering their tracks””. Een pentesting team is geïnteresseerd in het vinden en exploiten van zoveel mogelijke kwetsbaarheden.
Post-attack phase: Het terugbrengen van de systemen naar hun originele pre-attack staat. Dit is uniek voor een pentesting team, omdatt een aanvaller zo lang mogelijk credit wil voor het systeem te hebben ge-pwnd, maar wel Covering their tracks.”
Pentesting: Rules of Engagement; “Get out of Jail free” card
Get out of jail free card: Een contract tussen het doelwit en pentesting team waarin explicitiet is aangegeven welke werkzaamheden worden uitgevoerd voor wie en dat er geen regels zijn gebroken. Ondertekend door Senior member doelwit organisatie. ZSM voor en na test krijgen en teruggeven.
Netwerkprotocollen en begrippen: OSI layers, TCP/IP, UDP, SMTP, Protocol, Port, IP adress, Header (NB: wel begrip van doel en globale werking, geen detailkennis over protocollen en opbouw)
“OSI layers: OSI: Open Systems Interconnection: Door ISO gestandaardiseerd referentiemodel voor datacommunicatiestandaarden.
Laag 7 - Application Layer: Protocollen voor directe uitwisseling met de applicatie.
Layer 6 - Presentation Layer: Formatteert en structureert data ten behoeve van applicatie-interpretatie.
Layer 5 - Session Layer: Start, onderhoud en beiïndiging sessies tussen applicaties.
Layer 4 - Transport Layer: Data transmissies op een netwerk.
Layer 3 - Network Layer: Het beheren van netwerk verkeer.
Layer 2 - Data Layer: Data transmissies tussen twee nodes die zijn verbonden door ene physical layer.
Layer 1 - Physical Layer: Elektrische signalen, binaire transmissies over fysieke media.
TCP/IP: Transmission Control Protocol / Internetprotocol: Netwerkprotocollen die gebruikt worden voor het grootste gedeelte van netwerkcommunicatie tussen computers.
UDP: User Datagram Protocol. Protocol om gegevens mee te versturen, biedt geen garantie dat gegevens daadwerkelijk aankomen in tegenstelling tot TCP. Gebruik: Snel overdragen van gegevens waarbij een zeer korte reactietijd belangrijk is (Telefoon, video, DNS, games - FPS)
SMTP: Simple Mail Transfer Protocol. De standaard om emails mee te versturen over het internet. Stappen: Afzender(s) > verzendgegevens > inhoud.
IP-adres: computernetwerk adres die aangeeft welk adres jij op het netwerk hebt.”
