1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
|
# Noter til hvert emne
## Cyberkriminalitet og forskellige angribere
Forskellige typer malware
- Ransomware
Låser filer så man ikke kan få adgang til det uden at betale.
Offer kan lade nogle filer blive låst op for at bevise at de har nøgle.
- Spyware
Overvåget brugerent computer brug.
For eksempel hvordan de bruger internettet eller hvilke koder de taster ind.
Kan tit komme gennem software man downloader fra mærkelige steder på internettet.
Når man bruger internettet kan man hurtigt blive offer for internet theft.
Dette kan ske gennem dating, falske hjemmesider etc.
Her kan de prøve at på fat i informationer om en eller få fat i ens betalings
info.
For at overføre penge for internettet uden at blive opdaget kan man bruge `mules`.
`Mules` kan hente penge ud fra kontoer og sende det til hackere uden at hackerne
bliver opdaget.
Disse kan være betalt men kan også blive snydt til at blive `mule`.
Information theft kan også ske på en støre skala, ved stater eller firmaer.
Her kan man stjæle information ved at lave hacker angreb eller få adgang via malware
eller botnets.
### Click fraud etc.
Her vil man som hacker have brugere til at click på ens link for at få det frem på
google.
Her kan man bruge malware og botnets til at få mange computere til at check på
linket.
Det kan også være for at snyde reklamefirmaer ved klikke på deres reklamer på ens
hjemmeside.
Lignende er *pay-to-install*, her betaler man for at have sit program installeret
over det hele.
Også vil cyberkriminelle installere dette ulovligt på maser af computere, for eksempel
via botnets.
*Spam* er også noget man kan bruge botnets etc. til.
Dette er for at de ikke bliver blokkeret af email providere.
### DDOS
Her er målet at lave et DOS angreb ved at bruge mange computere over hele verden.
Dette kan være normale request eller onde request.
Disse angreb kan komme helt op på 400 gbps.
Disse angreb styres tit af en central enhed, men sker tit ikke i realtime.
Botnets til at lave de her angreb kan også købet online ret nemt.
### Social enginering og infection
*Drive by infection* er når man bliver infected ved bare at besøge en website.
Disse kan være opsat af cyberkriminelle, men også af normale websites der er komprimenteret.
Man kan også blive infected af programmer man downloader som indeholder virus.
Disse to hænger meget sammen med social engineering, hvor man vil have en bruger
til at gøre noget bestemt.
Dette kan være at installere overstående programmer eller hjemmesider for at installere
programmer på deres pc.
Her skal man også snyde dem til at overwrite sikkerheds ting fra OS.
*Phishing* er ligesom social engineering men i stedet vil man gerne have dem til
at afsløre personlig information såsom logins eller betalings info.
Her sender de snyde mails eller links ud til masser er af mennesker, også er der
altid nogle få der hopper på dem.
### Forskellige cyberkriminelle
- Insiders
Nogle indefra et firma der gerne vil skade firmaet eller have penge.
Disse har tit ekstra meget information om dem de vil angribe.
- Cyber Kriminals
Bussiness der gerne vil gøre det for penge.
Professionelle som er i grupper.
Mange som er gode i hver sit felt.
- Script kiddies
Nogle der bare sidder og leget med hacking.
Disse gør det best fordi det er nysgærige.
- Gray hats
Nogle der gør det for sjov eller nysgærighed.
Har ikke noget undt i sinde.
- Hacktivist
Nogle der har et politisk mål de gerne vil have ud.
- Nation states
Få information ud af andre lande eller anden cyberkrig.
## Covert channels og steganografi
Se fil ./t2/opg.md.
*Covert channelse* er når man bruger genner information i en valid kanal som kaldes
*overt channel*.
Disse metoder kalder for *stegonography* og der findes mange forskellige.
- I billeder eller video
Her gemmer man det ved at ændre på information eller metadata i mediaformatet
som en bruger ikke vil kunne se.
Dette kunne for eksempel være i LSB bits.
- Netværkslaget
Da der bliver sendt rigtig meget traffik over nettet er det et godt sted at
gemme information.
Her kan man gemme det i ubrugte/optional felter i protokoller, i felter såsom port
eller ip eller ved at sende pakker med forskellige intervaller.
- Med tekst
Her gemmer ham en besked i tekst ved at lave stavefejl eller ændre på måder man skriver på.
- Hardware eller OS
Her bruger man hardware til at snakke med en anden enhed.
Dette kan være blæsere og en microfon.
Det kan også være intern i computeren hvor en process vil snakke med en anden
hvor de kan bruge CPU usage, OS locks og meget mere.
## Netværksscanning
Se fil ./t3/opg2.md
Her er det forskellige måder at scanne på men man kan dele dem op to grupper.
- Passive
Man lytter til alt hvad der foregår på et netværk ved at koble sig på et centralt sted.
Dette kan være meget svært at opdage og kan give rigtig god information.
- Active
Her sender man probes ud for at finde ud af hvilke computere der findes og hvilke
services der kører på dem.
## Trådløs sikkerhed
Inden for cryptologi findes forskellige mål:
- Authentification
Er modpart virkelig den han påstår han er.
- Confidentiality
Er modpart og mig den eneste der kan læse den her besked.
- Privacy
Kan andre se hvem det er der snakker sammen.
- Integrity
Kan jeg være sikker på at denne besked ikke er blevet ændre undervejs.
- Availability
Hvor tit kan forbindelse bruges.
Der er forskellige måder at man som angriber kan angribe en forbindelse.
- Interruption
Her stopper man forbindelse i at komme igennem.
- Interception
Her kigger man med på forbindelse.
- Modification
Her ændre man på beskeder som de gør igennem.
- Fabrication
Her laver man nye beskeder som ligner at de kommer fra en af parterne.
Angreb kan enten være passive hvor man lytter på en forbindelse, eller aktive hvor
man går ind og ændre på pakker.
Passive angreb er svære at opgave.
### Threat analysis
Her regner man ud hvor rigtig en trussel er ud fra dens *impact* og *likelyhood*.
Derefter kan man kategorisere de forskellige trusler afhængig af hvor vigtige de er.
Man kan finde *likelyhood* ved at kigge på hvor let det er og hvilket motiv nogle ville have.
På samme måde kan man finde *impact* ved at kigge på hvad sådan et angreb vil gøre
ved virksomhed.
### Wireless
Dette er svært da der kan laves mange angreb.
## Grundlæggende værktøjer og metoder til netværksovervågning
Her bruger man tit wireshark.
Hub vs switch.
Kan også bruge en tab eller to netværksinterfaces.
For wireless skal man have promiscous mode.
## Grundlæggende værktøjer og metoder til trafikanalyse
Se t6/opg.md
## Incident response
### Incident response plan
Skal indeholde forskellig information.
- Kontakter
- Escalation kriteria
Hvordan skal beslutninger tages, og hvem skal tage dem.
- Flowchart
- Conference nummer
- Guide til hvordan man skal lave legal support og HR.
### Incident management
- Vigtigt at man tracker alt hvad der bliver gjort.
- Alle skal holdes opdateret med møder.
- Skal undgå forvirring.
## Attack & Defense
## Risikovurdering: Analyse af cybertrusler, udfordringer og tiltag
|
