Data, het virtuele goud (Slides H1) PDF

Summary

Deze presentatie behandelt data als virtueel goud en de cruciale rol van cybersecurity. Het onderzoekt data-informatie in rust, tijdens verzending en verwerking. Databeveiligingsprincipes (vertrouwelijkheid, integriteit en beschikbaarheid) komen uitgebreid aan bod.

Full Transcript

H1: data, het virtuele goud

1
Intro
Laten we eens kijken hoe het er bij jou aan toe gaat...
https://safeonweb.be/nl/je-account-goed-beveiligd

2
1.1: Data, het virtuele goud

3
Het wilde westen: goud Het internet: data
Banken Grote bedrijven
Worden beroofd Worden gehackt: bv.
Goudtransporten databreaches
Treinen, koetsen,... Netwerken
worden aangevallen Bv. afluisteren wifi,
Mensen verspreiden malware,...
Worden overvallen Mensen
Inbraken Bv. phishing, gestolen... laptop,......

4
Voor geld, uit politieke redenen, uit verveling, uit wraak, voor aanzien,... (zie
H2).

5
6
Jouw data

7
Jouw persoonlijke data
Een groot gedeelte van jouw data zit bij bedrijven:
Private gegevens: chat, e-mail, foto's,...
Financiën: bankrekeningen, overschrijvingen,...
Medisch: aandoeningen, ziektegeschiedenis, medicatie,...
School: punten, verslagen, feedback,...
Werk: loon, HR, werkbestanden (bv. als zelfstandige),...
Overheid: rechtszaken, boetes, eigendom,...

8
Bij welke bedrijven zit jouw data?
Wie kan dit zien of aanpassen?
Wat zijn de gevolgen?
Wat als de data verloren geraakt?
Ook data op eigen toestellen of papier is gevoelig
Private foto's of video's, bitcoinwallet, wachtwoorden,...

9
10
Speaker notes

https://www.vrt.be/vrtnws/nl/2014/10/19/hackers_chanterensnapchat-gebruikersmetnaaktfotos-1-2123186/
https://www.vrt.be/vrtnws/nl/2023/03/31/ethische-hacker-waarschuwt-sleutelloze-auto-makkelijke-prooi-vo/
https://www.vrt.be/vrtnws/nl/2016/09/24/_hacker_stal_3_000privefotosuiticloudpippamiddleton-1-2776502/
https://www.vrt.be/vrtnws/nl/2019/03/29/microsoft-scam/
https://www.vrt.be/vrtnws/nl/2020/10/06/geef-nooit-zomaar-je-telefoonnummer-door-via-facebook-messenger/
https://www.vrt.be/vrtnws/nl/2023/03/07/naaktbeelden-borstkankerpatienten-amerikaans-ziekenhuis-dark-web/
https://www.vrt.be/vrtnws/nl/2020/02/11/makkie-facebookprofiel-van-stubru-presentator-in-5-seconden-geh/
https://www.vrt.be/vrtnws/nl/2013/08/18/miss_teen_usa_wordtafgeperstdooreenhacker-1-1706110/
https://www.vrt.be/vrtnws/nl/2023/01/09/patrick-uit-oostduinkerke-verliest-20-000-na-oplichting-via-mail/
Meer dan persoonlijke data
Hackers zijn niet enkel geïnteresseerd in jouw data, maar ook in
industriële data.
Vaak voor losgeld of (bedrijfs)spionage
Een industriëel netwerk is anders dan een thuisnetwerk
Meer dan enkel computers (bv. SCADA)
11
Speaker notes

Typische domeinen zijn onder meer:

Productie
Branchecontroles
Automatisering
SCADA (Supervisory Control And Data Acquisition)
Energieproductie en -distributie
Elektrische distributie en Smart Grid
Olie en gas
Communicatie
Telefoon
E-mail
Berichten
Transportsystemen
Vliegreizen
Het spoor
Op de weg

Wat SCADA is wordt uitgelegd in https://www.youtube.com/watch?v=nlFM1q9QPJw. Je hoeft SCADA op zich niet te kennen, dat valt buiten de cursus. Herken wel de mogelijke impact dat een cyberaanval op zo'n systeem kan hebben.
12
Speaker notes

https://www.bbc.com/news/world-us-canada-55989843
https://www.dw.com/en/russian-hackers-targeted-3-us-nuclear-research-labs-report/a-64310897
https://www.utilitydive.com/news/sophisticated-hackers-could-crash-the-us-power-grid-but-money-not-sabotag/603764/
https://tweakers.net/nieuws/203832/hacker-breekt-in-in-systemen-lokale-belgische-politie-en-plaatst-data-online.html
Omgaan met data
Bedrijven hebben de verantwoordelijkheid om deze gegevens te
beschermen:
Tegen misbruik
Tegen ongeoorloofde toegang.
Groei in gegevensverzameling en -analyse
Grote risico's
Voorzorgsmaatregelen nodig
Plicht om gevoelige gegevens te beschermen tegen criminelen
om schade te vermijden

13
1.2: Staten van data

14
Staten van data
Alles in de cyberwereld draait rond data. Cybersecurity specialisten
focussen zich op het beveiligen van die data
Data heeft 3 mogelijke staten:
Data in rust/opslag
Data tijdens het verzenden
Data tijdens het verwerken

15
Data in rust
Data opgeslagen op opslagapparaten dat niet wordt gebruikt door
personen of processen.
Opslagapparaten kunnen lokaal (harde schijf, USB-stick,...) of
gecentraliseerd op afstand aangesloten zijn (Dropbox, Google drive,
NAS,...)
Data kan zo verloren of gestolen worden
Harde schijf kapot
Laptop vergeten op trein
Smartphone gestolen

16
17
Speaker notes

https://us.norton.com/blog/emerging-threats/biometric-data-breach-database-exposes-fingerprints-and-facial-recognition-data
https://www.kingston.com/belgium/us/community/articledetail/articleid/49705
18
Speaker notes

https://www.healthcareitnews.com/news/data-43000-patients-breached-after-theft-unencrypted-laptop
https://tweakers.net/nieuws/166742/hacker-achterhaalt-plaintext-wachtwoorden-uit-tweedehandscomputers-van-teslas.html
Data tijdens verzenden
Verschillende manieren:
Sneaker net: gebruikt opslagapparaten om data tussen
computers over te zetten (USB-stick, draagbare harde schijf,...)
Bedraad netwerk: gebruikt koper- of fiberkabels
Draadloos netwerk: gebruikt elektromagnetische golven (kan
door iedereen in de buurt "gehoord" worden)

19
Een van de grootste uitdagingen voor cybersecurity personeel om te
beveiligen.
Enkele uitdagingen: cybercriminelen kunnen data tijdens het
verzenden...
afluisteren, kopiëren of stelen (vertrouwelijkheid)
aanpassen (integriteit)
verhinderen of verstoren (beschikbaarheid)

20
21
Speaker notes

https://www.reuters.com/article/us-un-whatsapp/u-n-says-officials-barred-from-using-whatsapp-since-june-2019-over-security-idUSKBN1ZM32P
https://securityaffairs.co/wordpress/89890/hacking/bluetooth-knob-attack.html
22
Speaker notes

https://thehackernews.com/2020/04/bec-scam-wire-transfer-money.html
https://www.aljazeera.com/economy/2022/11/25/us-bans-chinese-telecom-devices-citing-national-security
https://tweakers.net/nieuws/162946/criminelen-lichten-nederlands-museum-op-voor-2-komma-86-miljoen-euro-via-mailspoofing.html
Data tijdens het verwerken
Dit omvat data tijdens de invoer, aanpassing, berekening of uitvoer
Organisaties gebruiken verschillende methodes om data te
verzamelen:
Manuele invoer, het uploaden van bestanden, dataverzameling
van sensoren,....
Elk van deze input-methode is een mogelijke bedreiging voor
integriteit

23
Data kan aangepast worden door manuele verandering door
gebruikers, programma's die de data wijzigen, defecte apparaten,....
Voorbeelden van data-aanpassingen: encoderen/decoderen,
compressie/decompressie, encryptie/decryptie,....
Data dat zodanig wordt aangepast dat het fouten bevat of
onbruikbaar wordt, noemt men corrupte data

24
25
Speaker notes

https://genomebiology.biomedcentral.com/articles/10.1186/s13059-016-1044-7
https://datatechnologytoday.wordpress.com/2018/04/25/sql-injection-still-causing-trouble/
https://tweakers.net/nieuws/165340/zoom-liet-e-mailadressen-uitlekken.html
Zoom heeft een slechte reputatie qua beveiliging (en privacy)
https://heartbleed.com/
https://www.threatdown.com/blog/five-years-later-heartbleed-vulnerability-still-unpatched/
Extra
https://tweakers.net/nieuws/163166/onderzoekers-lezen-data-van-computers-door-schermhelderheid-te-manipuleren.html
https://tweakers.net/nieuws/166806/wetenschappers-luisteren-pc-af-door-frequentie-van-voedingen-te-manipuleren.html
1.3: De CIA-driehoek

26
Niet die CIA...
3 principes:
Confidentiality (vertrouwelijkheid)
Integrity (integriteit)
Availability (beschikbaarheid)

27
Confidentiality (vertrouwelijkheid)
Wie mag dit zien?
Bv. chatgesprekken, bedrijfsgeheimen, medische informatie,....
Integrity (integriteit)
Klopt dit wel? Is de informatie juist? Komt deze van de juiste
persoon?
Bv. financiële transacties, contracten,....
Availability (beschikbaarheid)
Kan ik er aan wanneer ik het nodig heb?
Bv. 112-noodcentrale, chamilo.hogent.be tijdens online examen,
e-mail servers, internet-toegang,....

28
Confidentiality (vertrouwelijkheid)
Verhindert de bekendmaking van informatie aan onbevoegde
personen, bronnen en processen.
Organisaties moeten hun personeel opleiden om zo goed mogelijk
om te gaan met gevoelige informatie om zichzelf en hun
organisaties te beschermen tegen aanvallen.
Vertrouwelijkheid kan verkregen worden door encryptie,
authenticatie en toegangscontrole.
Dit wordt uitgebreid behandeld in H4.

29
30
Speaker notes

https://www.bbc.com/news/world-europe-46757009
https://www.anandtech.com/show/15962/intel-data-breach-20gb-of-ip-leaked
31
Integrity (integriteit)
Integriteit is de nauwkeurigheid, consistentie en betrouwbaarheid
van data zolang die data bestaat. Een andere term is de kwaliteit.
De nood aan integriteit hangt af van de aard van de data.
Bijvoorbeeld:
Facebook verifieert de data in een gebruikerspost niet
Transacties en bedragen bij een bank moeten steeds
100% correct zijn

32
Verlies van integriteit kan enorme schade brengen aan personen en
organisaties, en kan databronnen onbruikbaar of onbetrouwbaar
maken
Een integriteitscontrole is een manier om te bekijken of gegevens
(bestanden, foto's, transacties,...) nog steeds correct zijn (niet corrupt
of beschadigd).
Hiervoor wordt vaak een hash functie gebruikt.
Dit wordt uitgebreid behandeld in H5.

33
34
Speaker notes

https://www.britannica.com/technology/Stuxnet
https://en.wikipedia.org/wiki/Stuxnet is een mooi voorbeeld! (vermoedelijke US/Israëlische staatshackers pasten machine waarden aan om nucleaire machines in Iraanse faciliteiten te vernielen)
https://tweakers.net/nieuws/170598/onderzoekers-kunnen-nederlandse-verkeerslichten-van-afstand-op-groen-zetten.html
https://www.independent.co.uk/us-election-2020/2020-election-trump-online-voting-hack-russia-mail-a9553811.html
https://www.nieuwsblad.be/cnt/dmf20230306_94941439
https://www.made-in.be/limburg/rutten-waarschuwt-hackers-vervalsen-uw-facturen/
https://www.hln.be/gooik/valse-factuur-amper-van-echte-te-onderscheiden~ab5a239c
35
Speaker notes

https://www.washingtonpost.com/news/worldviews/wp/2013/04/23/syrian-hackers-claim-ap-hack-that-tipped-stock-market-by-136-billion-is-it-terrorism/
https://www.defenseone.com/threats/2015/09/next-wave-cyberattacks-wont-steal-data-theyll-change-it/120701/
36
Speaker notes

https://www.vrt.be/vrtnws/nl/2023/02/09/blunder-met-ai-chatbot-kost-google-100-miljard-dollar-op-beurs/
https://www.vrt.be/vrtnws/nl/2023/02/01/stemmen-klonen-via-artificiele-intelligentie/
https://www.vrt.be/vrtnws/nl/2023/05/26/turkse-verkiezingen-desinformatie/
Availability (beschikbaarheid)
Informatiesystemen moeten op elk moment beschikbaar zijn.
Aanvallen en fouten kunnen toegang tot systemen in gevaar
brengen.

37
Er bestaan vele maatregelen voor beschikbaarheid:
redundantie, backups, verhoogde weerstand, onderhoud, up-
to-date software en OS, noodplannen om terug online te
komen na een onvoorziene omstandigheid, gebruik van nieuwe
technologieën, detectie ongebruikelijke activiteit en
beschikbaarheidstesten,....
Dit wordt uitgebreid behandeld in H6.

38
39
Speaker notes

https://tweakers.net/nieuws/171896/kaspersky-leeromgevingen-zijn-vaker-doelwit-van-ddos-aanvallen.html
https://datanews.knack.be/ict/nieuws/ddos-aanval-treft-edpnet/article-news-1635675.html?cookie_check=1600001131
https://tweakers.net/nieuws/171594/belgische-provider-edpnet-heeft-al-vier-dagen-te-maken-met-ddos-aanvallen.html
https://issues.edpnet.be/?p=3099

Je kan zelf kijken waar en wanneer er DDoS-aanvallen plaats vonden. Neem gerust een kijkje op https://www.digitalattackmap.com/ voor DDos-aanvallen, of https://cybermap.kaspersky.com/ voor allerlei soorten aanvallen.
40
Speaker notes

https://www.techradar.com/news/aws-stops-largest-ddos-attack-ever
https://www.bbc.com/news/technology-35204915
https://github.blog/2018-03-01-ddos-incident-report/
41
Speaker notes

https://www.techradar.com/news/aws-stops-largest-ddos-attack-ever
https://www.wired.com/story/ransomware-hospital-death-germany/
https://www.vrt.be/vrtnws/nl/2023/02/22/duitse-politie-valt-bij-extreemrechtse-groep-binnen-die-black-ou/
1.5 De cybersecurity kubus

42
Cybersecurityspecialisten proberen data in al zijn staten beschermen
voor elk aspect van de CIA-driehoek.
Dit doen ze aan de hand van verschillende
beveiligingsmaatregelen op vlak via technologie, beleid en
personeel.

43
 In rust Tijdens verzenden Tijdens verwerking
Confidentiality Data veilig? Data veilig? Data veilig?
Integrity Data veilig? Data veilig? Data veilig?
Availability Data veilig? Data veilig? Data veilig?

44
Om bij het ontwerpen van een beveiligsplan niets te vergeten, wordt
dit vaak gevisualiseerd als een kubus met 3 zijden:
Beveiligingsprincipes (== de CIA-driehoek)
De staten van data
Beveiligingsmaatregelen
De kubus staat ook bekend als de McCumber Cube.

45
Extra: de meest gebruikte
securitymaatregel, een
wachtwoord

46
Intro
Laten we eens kijken hoe het er bij jou aan toe gaat...
https://safeonweb.be/nl/wachtwoordtest

47
48
Wat is volgens jou een goed wachtwoord?
Musti2012 LiefKleinKonijntje
A8!Kgh3 LiefKlijnKoneintje
Ikstudeerophogent Shadow1Hogent
SchoonmeersenHOGENT Shadow1Facebook
8765 kmAIw0IlCUvX5nk9

49
Musti2012 → te kort, voorspelbaar
A8!Kgh3 → te kort
Ikstudeerophogent → voorspelbaar
SchoonmeersenHOGENT → voorspelbaar
8765 → te kort, weinig complexiteit
LiefKleinKonijntje → lang, NL (zolang de woorden random gekozen
zijn)
LiefKlijnKoneintje → lang, NL, typfout (zie hierboven)
Shadow1Hogent → Truucjes helpen niet
Shadow1Facebook → Truucjes helpen niet
kmAIw0IlCUvX5nk9 → Ok! Kan je het onthouden?

50
https://www.vrt.be/vrtnws/nl/kijk/2022/05/13/mini-check-
tweestapsverificatie-v03-arvato_48836063/
Experimenteer even met volgende links, maar steek hier niet jouw
echte wachtwoorden in!
https://bitwarden.com/password-generator/
https://bitwarden.com/password-strength/
Best gebruik je ook 2-FA
Dit komt in een later hoofdstuk aan bod

51
52
Speaker notes

https://www.hivesystems.io/blog/are-your-passwords-in-the-green
53
Speaker notes

https://twitter.com/TerahashCorp/status/1155112559206383616/photo/1
Dit is een richtlijn, de daadwerkelijke tijd hangt af van het system, software,... waarmee je het wachtwoord zou willen kraken.
De lengte is dus heel belangrijk!
Nog beter dan een wachtwoord is een wachtzin (passphrase)
"Purple Elephants Sliding Over Clouds"
"3@pples&Or@nges#Ban@nas"
"Chocolate Cake Is My Favourite dess3rt"
https://useapassphrase.com

54
Hoeveel wachtwoorden?

55
Speaker notes

https://xkcd.com/792/
Gebruik voor elke website een apart wachtwoord!
Bij datalekken worden vaak wachtwoorden op straat gegooid
Niet alle bedrijven zijn even zorgvuldig met hun beveiliging (of
beveiligen niet!)
Hackers proberen deze wachtwoorden (geautomatiseerd) uit
op andere sites
Hetzelfde wachtwoord gebruikt, kans groot dat ze op jouw
andere accounts ook binnengeraken

56
Gebruik geen trucjes
Bv. hogent19jan2023, google1nov1998,...
Tools zoals hashcat en AI-hacktools herkennen dit meteen en
kunnen zo al een gedeelte van het wachtwoord achterhalen
De effectieve ongekende lengte van het wachtwoord wordt een
pak kleiner

57
Speaker notes

, google1nov1998 → website + dag + maand + jaar
hogent19jan2023
31 mogelijke dagen x 12 mogelijke maanden x 10000 mogelijke jaren == 3720000 mogelijkheden == 1 uur om te kraken bij 1000 mogelijkheden / sec
14 random karakters [kleine letters, hoofdletters, leestekens,...
== 128^14 == 316912650057057350374175801344 mogelijkheden == +/- 10049234210332869000 jaar om te kraken bij 1000 mogelijkheden / sec
Hoe onthouden?
Password managers zijn zeker een goede oplossing
Voordelen:
Jouw wachtwoorden worden versleuteld opgeslagen
Je kan voor elke login een aparte username en wachtwoord
instellen (niet vertrouwen op geheugen of post-it op scherm)
Heeft een ingebouwde password generator
Vult wachtwoorden automatisch aan in de browser

58
Nadelen:
Je master password is nu extreem belangrijk
Je vertrouwt het bedrijf achter de password manager
De software / plugins moet je 100% vertrouwen, en deze
kunnen ook bugs hebben

59
Beter een password manager dan overal hetzelfde wachtwoord of voor de
hand liggende variaties!

60
Password policies

61
Speaker notes

https://www.starlab.io/blog/why-enforced-password-complexity-is-worse-for-security-and-what-to-do-about-it
Bedrijven hebben vaak password policies waardoor je je wachtwoord
regelmatig moet wijzigen
Volgende wachtwoordwijziging doe je best niet elke maand of je
personeel heeft wachtwoorden als...
January123, February123,...
Summer2023
Op die manier heeft wachtwoorden wijzigen geen zin
Wordt tegenwoordig ook afgeraden (bv. door NIST)
https://neal.fun/password-game

62
Speaker notes

https://arstechnica.com/information-technology/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/
https://bitwarden.com/resources/world-password-day/
https://www.beyondtrust.com/blog/entry/top-15-password-management-best-practices
https://nordpass.com/poor-company-passwords/
https://bishopfox.com/blog/password-security
Tip voor programmeurs!
Introduceer time-delay bij inlogpogingen
Bv. Als een persoon een foutief wachtwoord ingeeft, zorg dat er
een wachttijd is van 5 seconden.
Dit gaat bots/scripts tegen en de kans is groot dat de gebruiker het
nooit zal merken!

63
Nr. of attacks Password Time Security
level
100 times per second Blablabla_1 2 months Low
1 time every 5 seconds Blablabla_1 63 years Secure
1 time every 5 seconds with 1 hour penalty Blablabla_1
1800 Very Secure
after 10 attempts years

64
Tip voor systeembeheerders!
Introduceer programma's die bepaalde verbindingen blokkeren bij
teveel pogingen
Bv. Als iets 5x probeert in te loggen met een foutief
wachtwoord in 20 minuten, wordt deze genegeerd voor 6 uur

65