Opleiding tot CEH (Certified Ethical Hacker) dag 3

Beste lezer,

Ik had mij voorgenomen om iedere avond na de opleidingsdag een berichtje te plaatsen over de geleerde onderwerpen en voortgang. Echter de opleiding is aardig zwaar en na een dag beeldscherm staren en tikken was ik aardig gaar. Zeg maar gerust, helemaal klaar met computers ūüôā Alhoewel, niet zo gaar om helemaal niks meer te doen. Echter na een lekker koud glas bier leken alle commando’s zo erg op elkaar dat er maar √©√©n ding op het scherm verscheen: “error”.

Tijd dus om de pc uit te schakelen en met mede cursisten het glas te heffen op het overleven van de dag en energie te verzamelen voor de uitdagingen van de volgende dag……..

Sniffers, Social Engineering, DDoS, Webserver hacking

Dag 3 stond in het teken van meer programmeerwerk. Vooral website hacking en Social Engineering staat in het teken van tikwerk. Sniffers gebruiken hackers nagenoeg altijd actief. Passieve sniffers werden vroeger nog wel veel gebruikt, maar doordat er nagenoeg geen hubs meer bestaan (alleen switches) moet actieve sniffing worden toegepast. Bij switches wordt namelijk alleen verkeer bestemd voor √©√©n bepaalde poort doorgelaten. Bij de vroegere hubs werd simpelweg alle verkeer naar alle poorten gestuurd. Dit was dus voor een hacker zeer makkelijk af te tappen. Het nadeel van deze methode is natuurlijk dat je actief in een pand aanwezig moet zijn om verkeer af te tappen.¬†Tenzij er een draadloos netwerk wordt uitgezonden…. … Want dat is nagenoeg altijd te kraken.

ARP spoofing, MAC flooding

De ARP spoofing techniek houdt in dat al het verkeer (of gericht vanaf √©√©n computer) wordt omgeleid via een ander “knooppunt”. Dat knooppunt is de pc van de aanvaller. Hierbij kan de hacker alle verkeer afluisteren omdat hij zich voordoet als het centrale knooppunt in het netwerk. Een voorbeeld: De router heeft IP adres 192.168.1.1 – Een aangesloten pc heeft IP adres 192.168.1.10. De hacker laat de switch weten dat hij de router is op 192.168.1.1.

Als de hacker dit consequent aan de aangesloten pc laat weten, dan zal deze pc al zijn verkeer doorsturen naar de pc van de hacker en niet naar de router. Met als gevolg dat de hacker al het verkeer rustig kan analyseren. En dat hij de beschikking heeft over alle wachtwoorden die zijn ingetikt. Plus alle email die vaak via onbeveiligde tekst protocollen wordt verzonden… … … Het advies hierbij is dus: zorg dat switches, modems, routers en draadloze accesspoints altijd onbereikbaar zijn, het liefst achter slot en grendel. En natuurlijk dat uw draadloze netwerk uitstekend is beveiligd!

Social Engineering toolkits

In het blog van dag 1 hebben jullie al kunnen lezen dat hackers vooral gebruik maken van bekende gegevens om informatie te vergaren. Immers is bekende openbaar verkrijgbare informatie vaak al genoeg om je doelwit specifiek te benaderen met als doel om de aanval zo gericht mogelijk te maken. Binnen BackTrack (Linux programma speciaal voor hackers) is een hele Social Engineering toolkit opgezet met programma’s die gericht zijn op het – al dan niet heimelijk – vergaren van informatie. Bijvoorbeeld het opzetten van een fake facebook site, of het invoeren van een exploit in Internet Explorer om een website te hacken.

(Distributed) Denial of Service

Een Denial Of Service is niets meer dan het zorgen dat een service of programma niet meer bereikbaar is. Naar een bedrijf rijden en de stekker van de webserver eruit trekken is feitelijk ook een Denial of Service. Echter, hackers doen liever hun taken zonder gezien te worden en dus op afstand. Het op afstand via IT communicatienetwerk platleggen van een energiecentrale ligt meer in de mogelijkheden van een black-hat hacker dan een bedrijf daadwerkelijk bezoeken.

Bij een DoS probeert 1 aanvaller een systeem plat te krijgen. Dat gaat soms goed, maar het werkt beter om via meerdere aanvallers een systeem plat te krijgen. De slagingskans is veel groter en de kans op ontdekking (herleiden van gegevens aanvaller) is veel minder. Als meerdere aanvallers tegelijkertijd een doelwit aanvallen heet dat een DDoS. Een voorbeeld hiervan is Anonymous, deze groep voert vaak DDoS aanvallen uit op overheidswebsites.

Er zijn verschillende technieken achter een (D)DoS aanval. Ik zal er 4 noemen.

Ping Of Death: Via een POD worden er netwerk pakketjes verzonden groter dan de maximale grootte van 65535 bytes waardoor de ontvanger de pakketjes gefragmenteerd binnen krijgt. De pakketjes moeten allemaal weer aan elkaar geplakt worden, Dat kost veel bandbreedte van de server, waardoor deze na verloop van tijd “vastloopt”.

SYNflood: Bij een SYNflood wordt continu een aanvraag verstuurd om verbinding te maken met het doelwit. Bij een normale TCP transactie, koppelt de ontvangende partij een aanvraag terug met een ontvangstbevestiging. De verzoeker reageert vervolgens terug met een bevestiging, pas hierna wordt het pakketje verstuurd. Stel, de aanvaller verstuurd honderden aanvragen, maar vervolgens geeft de aanvaller geen bevestiging meer. Dan zit het doelwit (vaak een webserver) met honderden onafgewerkte aanvragen. Op een gegeven moment is “de emmer vol” en crasht de server.

Smurf attack: Bij een Smurf attack wordt een verzoek tot communicatie naar de webserver verstuurd (ECHO). Echter het IP adres van de verzender (SOURCE) wordt veranderd naar die van de victim. Het antwoord op het verzoek wordt dus gegeven aan de router zelf. Hierdoor ontstaat binnen het netwerk zoveel dataverkeer – wat zich steeds sneller kwadratisch ontwikkeld – dat de server op een gegeven moment plat gaat. De buffers kunnen het werk niet meer aan.

Fraggle attack: Dezelfde opzet als een Smurf attack, alleen dan met UDP pakketten. UDP pakketten worden gebruikt voor verkeer met veel data. Bijvoorbeeld youtube maakt gebruikt van UDP pakketten. TCP is een veiliger en betrouwbaarder protocol, maar UDP kan meer data aan. Echter is er geen controle op UDP verkeer of de data daadwerkelijk is overgekomen.

Voorkomen is beter dan genezen

Op wikipedia en via google kunt u veel meer lezen over de verschillende soorten van aanvallen. En vooral, hoe je je bedrijf er tegen kunt beschermen. Veel bekende (Distributed) DoS aanvallen zijn te voorkomen door het plaatsen van een packet filter firewall in combinatie met een IDS / IDP (Intrusion Detection Protecion). Uiteraard moet dit systeem goed worden bijgehouden. Daarnaast is veel te zien dat webservers van bedrijven door externe partijen worden gehost. Dan moeten hostingproviders zorgen voor een goede bescherming tegen POD’s en DDoS aanvallen, Een IDS moet zorgen voor een snelle ontdekking van een mogelijke aanval waardoor de hostingprovider snel genoeg is met ingrijpen, door bijvoorbeeld de betreffende website / server offline te halen en de aanval te onderzoeken.

Na onderzoek kan er gericht actie tegen de aanval worden ondernomen, door bijvoorbeeld een gelimiteerde treshold in te stellen op de firewall of bepaalde IP adressen te blokkeren.

Wilt u een betere bescherming van uw bedrijf tegen aanvallen van hackers? Zorgt u dat uw klantdata veilig is? Kijk dan op de website van WeSecureIT voor meer informatie over beschermingen tegen cybercriminelen.

Disclaimer:

De schrijver heeft geenszins de bedoeling de lezer aan te zetten tot hacken, digitaal (laten) stelen/inzien van (vertrouwelijke gegevens) of ander materiaal. De opzet van de blog is uitsluitend bedoelt om ge√Įnteresseerden kennis te laten maken in de wereld van hackers en het bedrijfsleven te waarschuwen voor cybercriminelen en de door hun gebruikte technieken. Alle hacks hebben plaats gevonden in gesimuleerde omgevingen of na uitdrukkelijke toestemming van de gehackte.

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.