Metadata goudmijn voor inbrekers
Metadata, de onschuldig ogende informatie die bestanden met zich meedragen, is een goudmijn voor zowel digitale als fysieke inbrekers. Afhankelijk van het type bestand, kan metadata informatie bevatten zoals auteursnaam, gebruikersnaam, de versie van het gebruikte programma, het besturingssysteem van de gebruiker en in enkele gevallen toont het zelfs het MAC-adres. Gewapend met deze gegevens kan een aanvaller zich richten op een specifieke gebruiker of de bedrijfsomgeving in z’n geheel. Denk aan het ontwikkelen van exploits voor specifieke programma’s die binnen het bedrijf gebruikt worden. Zodra bestanden het interne netwerk verlaten, kan metadata een serieus beveiligingsrisico vormen.
Social engineering
Veel beveiligers weten wel wat metadata is, maar hebben geen idee hoe aanvallers het tegen hun organisatie kunnen gebruiken. De eerste stap is het verzamelen van metadata. Zowel aanvallers als penetratietesters zijn ruim voorzien van tools die voor dit doeleinde ontworpen zijn. De makkelijkste manier om de data te verzamelen is met de oorspronkelijke software waarmee het document gemaakt is. De metadata van een Word document is bijvoorbeeld met Microsoft Word te bekijken. In het geval van PDF bestanden is Adobe Acrobat meestal de oplossing. Andere verborgen data is met tools als MetaGooFil en CeWL op te vragen.
Eenmaal verzameld is metadata op veel manieren te gebruiken, waarvan het brute-forcen van wachtwoorden het vaakst voorkomt. Een aanvaller gebruikt een door CeWL gegenereerde woordenlijst en gebruikt die tegen de in de metadata gevonden gebruikersnamen. De gevonden informatie helpt ook bij het uitvoeren van social engineering aanvallen. Wanneer vijf verschillende auteurs van een document bekend zijn, kan een aanvaller namen via de telefoon noemen, om zo geloofwaardiger over te komen.
Inbrekers
Metadata is ook handig voor fysieke inbrekers. Wanneer gebruikers bijvoorbeeld afbeeldingen plaatsen op Flickr of Twitter vanaf een telefoon die geotagging ondersteunt, kan de aanvaller achter het privé- of werkadres van het slachtoffer komen en zien waar iemand zich bevindt. Hetzelfde geldt voor het MAC-adres van het systeem, die de gebruikte hardware prijs geeft, waardoor het makkelijker wordt om "mobiele werknemers" te identificeren. Die bewaren hun laptop mogelijk op een plek waar ze eenvoudig te stelen zijn, aldus John Sawyer. Dit document gaat verder in op de gevaren van metadata.
Ik vind het ver gezocht, mja maandag gehaktdag.
Dit is toch heel oud nieuws allemaal. Het lijkt de laatste tijd m.b.t. zoveel onderwerpen te hypen en oud nieuws als iets schokkends te brengen.
Al in 1999 (!!) was bekend dat er metadata of verborgen data in MS Word documenten vastgelegd werd. De reden waarom Melissa Virus schrijver David Smith destijds tegen de lamp liep was omdat in een MS Word document het MAC adres vastgelegd werd. Dus.... 1+1=2. Je stapt naar de provider en vraagt dat MAC adres op.
Daarnaast is er in 2003 een incident geweest vanwege het feit dat een document betreffende Irak het e.e.a. incorrecte data zou bevatten.
Zie ook eens: http://www.devtarget.org/downloads/ca616-seufert-wolfgarten-assignment2.pdf
Dit is toch allemaal weer echt storm. Bij ethical hacks gebruik je zelfs dit soort ingangen al tijden. Waarom zijn we zo verbaasd bij dit soort nieuws? Kortom: een hoop blabla en niets nieuws behoudens dan het feit dat we de laatste 2 jaar zien dat technieken die eerst voorbehouden waren aan meer skilled hakcer opschuiven naar de script kiddies omdat er complete toolsets worden ontwikkeld die men snel en effectief kan gebruiken. Daar schuilt dus wel een gevaar in omdat de hoeveelheid script kiddies gewoon vele malen groter is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
