De derde dag van de training is aangebroken. Wederom heb ik buiten de training nog een hoop leeswerk gedaan en ook nog bezig geweest met de labs. Deze helpen bij het krijgen van inzicht in de mogelijke tools. Dat zijn er namelijk oneindig veel, dienen ook als voorbeeld welke tool je inzet op welk moment. Dit vind ik als beginnend security tester zeker prettig want je ziet al snel door de bomen het bos niet meer. Het zal naarmate je meer ervaring hebt denk ik snel anders worden.
Terug naar de training… om 8:30u sharp begin ik aan dag 3. Het wordt een dag met afwisselende onderwerpen: technisch in de vorm van Sniffers, DOS en DDOS, Sessions en het hacken van webservers, afgewisseld met het concept van Social Engineering.
Sniffers
Het eerste onderdeel is het gebruiken en toepassen van sniffers. Hier moet je eigenlijk al op het netwerk zitten. Dus zonder ingang van buiten naar binnen is dit eigenlijk voornamelijk iets wat je kan doen als je op het interne netwerk zit. Ik leer twee types van sniffen: passive en active. Het grote verschil is dat je bij passive het eigenlijk alleen toe kan passen bij netwerken die nog gebruik maken van hubs. Dit zijn er vermoed ik niet zo heel veel meer. Voor de overige gevallen kan je een variant van active sniffing gebruiken waarin je zelf eerst actie zal moeten ondernemen.
Kat en Muis
Nu gaat deze dag vooral over de aanval. Als verdediger zijn er ook legio aan opties om hindernissen op te werpen om dit proces zo moeilijk mogelijk te maken. Ik besef me steeds meer dat dit tot op zekere hoogte een soort van kat en muisspel is, waarin wie de kat is en wie de muis nogal eens kan wisselen.
Social engineering
We komen aan op het onderwerp social engineering. Hiervan wordt ook gezegd dat het niveau 8 van het OSI model is. Want ondanks dat het officieel geen onderdeel is van het model, is in bijna alle gevallen de mens, in meer of mindere mate, wel het eindpunt van de datastroom. Het kan dus zeer lonend zijn om met relatief weinig inspanning heel veel informatie te vergaren of vrij simpel toegang te krijgen tot het systeem. Niet voor niets zijn zaken als Phising (email), Vishing (telefoon) en Smising (SMS/whatsapp) populairder dan ooit. Het toont ook goed aan dat je hier zowel als persoon als bedrijf voldoende aandacht aan moet besteden.
Hoe herken je het zodat je er zelf geen slachtoffer van wordt? Buiten deze wat meer afstandelijke manieren van social engineering komen ook de meer persoonlijke opties aan bod, ook hoe je ze kan herkennen.
DOS en DDOS
Met de volgende onderdelen gaan we weer terug de techniek in. Beginnende met het doen van DOS en DDOS aanvallen. De DDOS variant blijft nog altijd een lastige jongen. Ik persoonlijk vraag me dan altijd af wat het nut is van dit soort aanvallen, want als aanvaller win je er relatief weinig mee behalve dat je het slachtoffer kan frustreren en irriteren (om wat voor reden dan ook).
Session Fixation
Het onderwerp Session Fixation vind ik persoonlijk weer wat interessanter omdat je via enkele handige trucjes en een niet zo heel secure website, je iemands sessie kan stelen (of lenen) en daarmee toegang krijgt tot het systeem. Als deze persoon dan ook nog eens veel rechten op een systeem heeft, kan je als kwaadwillende hacker veel schade aanrichten. Nu is er in dit geval actief een sessie gestolen maar als er gewone gebruikers op een publieke machine gebruik maken van een social mediaplatform en vergeten uit te loggen kan dat zeer vervelend uitpakken. Dit is officieel geen Session Fixation, maar wel iets om bij stil te staan met alle cookies en sessies de we allemaal regelmatig om ons oren krijgen.
We sluiten de dag af met het bespreken van de Heartbleed bug, welke in 2014 voor veel ophef heeft gezorgd in SSL land en de ShellShock hack. Beide zien we anno 2020 eigenlijk niet meer terug. De dag is voorbij gevlogen en ik ga moe maar voldaan richting huis, waar de labs alweer op me wachten.
Wat zal morgen weer gaan brengen? Ben jij ook benieuwd? Lees dan mijn ervaringen van de vierde dag morgen op deze site.