Toon posts:

Slecht beveiligde netwerkapparatuur?

Pagina: 1
Acties:

Vraag

dinsdag 25 oktober 2022 09:45

Acties:
  • 0 Henk 'm!
  • Bramtweakers
  • Registratie: Mei 2019
  • Laatst online: 15-09 12:50

Bramtweakers

Topicstarter
Beste Netwerkers,

Sindskort geef ik informatica op de middelbare school als examenvak.
Daarbij geef ik de volgende periode de module security aan havo 5 en vwo 5 en ben daarvoor op zoek naar IoT apparaten die voor leerlingen met relatief weinig voorkennis makkelijk te kraken zijn.
De voorkeur gaat daarbij voor mij uit naar een IP-camera maar alle tips zijn welkom.

We hebben een budget van ongeveer 250 euro, hebben jullie tips of aanraders van berucht onveilige apparaten?

Met vriendelijke groet,
Bram

Alle reacties

dinsdag 25 oktober 2022 11:55

Acties:
  • +6 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Bijzonder als een school dit gaat leren aan pubers, gaan jullie ze ook leren inbreken of staat lock picking nog niet op het curriculum? Volgens mij overzie je de risico's en aansprakelijkheid niet helemaal als je ze gaat leren kraken/ hacken of anders gezegd zoals de wet het omschrijft computervrede breuk.
Het feit dat niet iedereen die kennis heeft is belangrijk, kennis is macht en met die macht komt ook verantwoordelijkheid, ga dat je leerlingen om te beginnen bijbrengen.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

dinsdag 25 oktober 2022 12:08

Acties:
  • +3 Henk 'm!
  • SVMartin
  • Registratie: November 2005
  • Niet online

SVMartin

Ik vind het wel een leuke opdracht :-)

Ik heb zelf overigens 20 jaar terug (jaja, andere tijd) op een TU eenzelfde opdracht gekregen en uitgevoerd, waarbij het juist niet ging om een test apparaat, maar om iets echts. En ja, het blijkt dan allemaal niet zo ingewikkeld te zijn om ergens binnen te komen..

Wel mee eens: breng alsjeblieft ook de leerlingen bij dat dit niet zomaar kan. Waarschijnlijk al intern binnen de school besproken? Er zijn overigens genoeg voorbeelden uit het nieuws van pubers en volwassenen die een strafbaar feit plegen, gepakt worden, en hun straf niet ontlopen. Misschien ook leuk om dit te combineren met bijvoorbeeld maatschappijleer? Leg ze daar de gevaren uit voor hen persoonlijk en de maatschappij. Leg ook uit hoe ze zelf bewust om kunnen gaan met privacy en beveiliging (deel niet zomaar alles).

Ook leuk: wat hebben de leerlingen thuis eigenlijk draaien? En is dat nog veilig?

Of: have i been powned, wie staat er op de lijst?

Er is online trouwens heel veel te vinden, een paar ideeen:

https://www.hackthebox.com/

https://tryhackme.com/

https://opensource.com/ed...ng-schools-open-education

dinsdag 25 oktober 2022 12:18

Acties:
  • +2 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 03:13

laurens0619

Oude firmwares van hikvision cameras hebben een exploit, is wel erg makkelijk te misbruiken
https://packetstormsecuri...Camera-Access-Bypass.html

CVE-2017-7921
code:
1
2
3
4
5

Retrieve a list of all users and their roles:
    http://camera.ip/Security/users?auth=YWRtaW46MTEK

Obtain a camera snapshot without authentication:
    http://camera.ip/onvif-http/snapshot?auth=YWRtaW46MTEK

[ Voor 3% gewijzigd door laurens0619 op 25-10-2022 12:19 ]

CISSP! Drop your encryption keys!

dinsdag 25 oktober 2022 12:30

Acties:
  • 0 Henk 'm!
  • MSteverink
  • Registratie: Juni 2004
  • Laatst online: 24-09 15:32

MSteverink

SVMartin schreef op dinsdag 25 oktober 2022 @ 12:08:
Ook leuk: wat hebben de leerlingen thuis eigenlijk draaien? En is dat nog veilig?
En zijn ze dom naïef genoeg om dit te vertellen zonder eerst te controleren of er bekende beveiligingslekken zijn?

dinsdag 25 oktober 2022 12:36

Acties:
  • +3 Henk 'm!
  • DVX73
  • Registratie: November 2012
  • Laatst online: 29-09 16:07

DVX73

Bij de gemiddelde kringloopwinkel zijn veel oude routers e.d. te vinden, WEP is zo te kraken. WPA2 icm rainbowtabels kan ook.

dinsdag 25 oktober 2022 12:45

Acties:
  • 0 Henk 'm!
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 05:11

sh4d0wman

Attack | Exploit | Pwn

Geef ze dan ook de bug bounty programmas mee waar ze hun kunsten legaal uit kunnen proberen (zolang ze uiteraard de scope volgen).

Er zijn verder diverse vulnerable by design (web)applicaties/drivers te vinden. Geen idee of dat er voor IoT ook is. Anders bekende lekken naast bekende hardware leggen, b.v. TP-Link of Netgear van de kringloopwinkel.

Het belangrijkste is dat ze de manieren snappen om IoT te auditen. Dus een werkend device scannen, firmware uitpakken, source code scannen/lezen. Emulatie zal een stap te ver zijn denk ik.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 25 oktober 2022 12:47

Acties:
  • +3 Henk 'm!
  • Bramtweakers
  • Registratie: Mei 2019
  • Laatst online: 15-09 12:50

Bramtweakers

Topicstarter
Frogmen schreef op dinsdag 25 oktober 2022 @ 11:55:
Bijzonder als een school dit gaat leren aan pubers, gaan jullie ze ook leren inbreken of staat lock picking nog niet op het curriculum? Volgens mij overzie je de risico's en aansprakelijkheid niet helemaal als je ze gaat leren kraken/ hacken of anders gezegd zoals de wet het omschrijft computervrede breuk.
Het feit dat niet iedereen die kennis heeft is belangrijk, kennis is macht en met die macht komt ook verantwoordelijkheid, ga dat je leerlingen om te beginnen bijbrengen.
Het is inderdaad een goed punt dat je maakt, wij hebben deze discussie ook intern gevoerd. Uiteindelijk hebben we toch ervoor gekozen om deze module toch aan te bieden. Alles wat illegaal is trekt delen van de jeugd toch en een leraar kan een toelichting geven en uitleggen waar de grenzen van de wet liggen. De basisvaardigheden die hier worden geleerd zullen ook echt onvoldoende zijn om grote schade aan te richten, maar kan ze wel uitleggen hoe ze zichzelf en hun omgeving kunnen behoeden voor 'basisfouten'. Daarnaast is een gemotiveerde leerling met kwaad in zin echt niet beperkt door het aanbod van school, een googlesearch of 5 vindt veel meer schadelijke producten dan wij hier aanbieden.

Wat betreft kennis is macht en met macht komt verantwoordelijk ben ik met je eens, maar de stroom komt toch, dus mijn voorstel is om het dan te kanaliseren. Onwetendheid en onkunde is veel gevaarlijker dan kennis. In dezelfde trant kun je suggereren dat het leren van karate of kickboxen aan mensen onder de 25 ook onverantwoord en gevaarlijk is, je kan het immers gebruiken om mensen te doden. Echter is het naast een leuke sport (in deze context bijvoorbeeld de sport van hackthebox of CTF's) ook een middel om jezelf te ontwikkelen en verdedigen.

Mijn voorkeur gaat er dus naar uit om dit niet als de pest te ontwijken maar studenten te stimuleren om hieraan te proeven, in de hoop dat ze hun kennis voor goed gebruiken.

dinsdag 25 oktober 2022 12:52

Acties:
  • 0 Henk 'm!
  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:16

ShadowBumble

Professioneel Prutser

Misschien past je topic hier ( Privacy en beveiliging ) beter, er zijn nogal wat implicaties.

Nu ga ik ervan uit dat het een klein onderdeel is van je curriculum maar je er zijn genoeg IoT voorbeelden voor die soort zaken, misschien handig als je iets meer context geeft over wat je doel is. Wil je een casus ontwikkelen/bedenken dat leerlingen de gevaren van IoT leren kennen, wil je ze kwetsbaarheden en de gevolgen daarvan laten zien ( hiervoor hoef je niet perse een IoT device te hebben een VM met een website die kwestsbaar is is voldoende (zoals Juice Shop van OWASP ).

"Allow me to shatter your delusions of grandeur."

dinsdag 25 oktober 2022 12:54

Acties:
  • +1 Henk 'm!
  • Bramtweakers
  • Registratie: Mei 2019
  • Laatst online: 15-09 12:50

Bramtweakers

Topicstarter
Wel mee eens: breng alsjeblieft ook de leerlingen bij dat dit niet zomaar kan. Waarschijnlijk al intern binnen de school besproken? Er zijn overigens genoeg voorbeelden uit het nieuws van pubers en volwassenen die een strafbaar feit plegen, gepakt worden, en hun straf niet ontlopen. .
Leerlingen worden verplicht een contract te ondertekenen en ook de ouders van de leerlingen worden op de hoogte gebracht van de vaardigheden die gebruikt worden. Het gevolg van de lesstof van vorig jaar was dat leerlingen hun wachtwoorden gingen veranderen (overal hetzelfde op die leeftijd) en dat twee leerlingen waren gestart met hackthebox. Daarnaast hebben we iemand uit het bedrijfsleven (een ethisch hacker) die twee of drie lessen bij ons op locatie komt om te vertellen over zijn werk en mee te helpen met de CTF die als tentamen geldt.

@laurens0619
Oude firmwares van hikvision cameras hebben een exploit, is wel erg makkelijk te misbruiken
Top! :) Ik ga eens marktplaatsen dan! Bedankt

@DVX73
Bij de gemiddelde kringloopwinkel zijn veel oude routers e.d. te vinden, WEP is zo te kraken. WPA2 icm rainbowtabels kan ook.
Klopt! Dat hebben we vorig jaar ook gedaan, wep en WPA2 met een bruteforce. Goeie tip, gelukkig hebben we al 4 routers die van collega's waren binnengehaald.

@sh4d0wman
Geef ze dan ook de bug bounty programmas mee waar ze hun kunsten legaal uit kunnen proberen (zolang ze uiteraard de scope volgen).
Zoals wat had je in gedachte hierbij?
We hebben al wel een deal met de systeembeheerder van de scholengemeenschap dat als ze wat vinden dat ze dat zonder repercussie kunnen melden bij mij en dat ik dat doorgeef.
Het belangrijkste is dat ze de manieren snappen om IoT te auditen. Dus een werkend device scannen, firmware uitpakken, source code scannen/lezen. Emulatie zal een stap te ver zijn denk ik.
Hoe zou jij dit aanpakken? Heb je (gratis, we zijn een school) software om dit op een efficiente/relatief makkelijke manier te doen?

dinsdag 25 oktober 2022 12:56

Acties:
  • 0 Henk 'm!
  • Yucon
  • Registratie: December 2000
  • Laatst online: 22:24

Yucon

*broem*

Maak een casus waarbij ze iemands telefoon moeten kraken. Via social engineering laat je ze dan het geboortejaar achterhalen wat 'toevallig' z'n pincode blijkt te zijn.

Als je een simpel demo-appje nodig hebt kun je dat hiermee maken: https://appinventor.mit.edu/

[ Voor 22% gewijzigd door Yucon op 25-10-2022 12:57 ]

dinsdag 25 oktober 2022 12:56

Acties:
  • +1 Henk 'm!

Verwijderd

Bramtweakers schreef op dinsdag 25 oktober 2022 @ 12:54:
[...]


Leerlingen worden verplicht een contract te ondertekenen en ook de ouders van de leerlingen worden op de hoogte gebracht van de vaardigheden die gebruikt worden. Het gevolg van de lesstof van vorig jaar was dat leerlingen hun wachtwoorden gingen veranderen (overal hetzelfde op die leeftijd) en dat twee leerlingen waren gestart met hackthebox. Daarnaast hebben we iemand uit het bedrijfsleven (een ethisch hacker) die twee of drie lessen bij ons op locatie komt om te vertellen over zijn werk en mee te helpen met de CTF die als tentamen geldt.
Interessant hoor. Ik wou dat ik zulke lessen had gekregen op de middelbare school. :)

dinsdag 25 oktober 2022 12:58

Acties:
  • +1 Henk 'm!
  • Bramtweakers
  • Registratie: Mei 2019
  • Laatst online: 15-09 12:50

Bramtweakers

Topicstarter
ShadowBumble schreef op dinsdag 25 oktober 2022 @ 12:52:
Misschien past je topic hier ( Privacy en beveiliging ) beter, er zijn nogal wat implicaties.

Nu ga ik ervan uit dat het een klein onderdeel is van je curriculum maar je er zijn genoeg IoT voorbeelden voor die soort zaken, misschien handig als je iets meer context geeft over wat je doel is. Wil je een casus ontwikkelen/bedenken dat leerlingen de gevaren van IoT leren kennen, wil je ze kwetsbaarheden en de gevolgen daarvan laten zien ( hiervoor hoef je niet perse een IoT device te hebben een VM met een website die kwestsbaar is is voldoende (zoals Juice Shop van OWASP ).
Ik wil inderdaad graag dat mijn leerlingen de gevaren van onveilige IoT kunnen inzien, het curriculum biedt een breed aan bod van verschillende kwetsbaarheden waarvan ik er een hele reeks moet behandelen. Daarnaast een demo van de gevaren kan een mooi effect hebben (daarnaast leer ik daar als leraar mooi van).

Wat een ontzettend mooi principe die Juice Shop, daar had ik nog nooit van gehoord, bedankt voor de tip. Daar ga ik direct mee aan de bak.

dinsdag 25 oktober 2022 13:00

Acties:
  • 0 Henk 'm!
  • Ozzie
  • Registratie: Februari 2004
  • Laatst online: 21:54

Ozzie

Ik vind het een goed initiatief hoor. Toen ik in 4 en 5 havo zat was ik ook al druk bezig met hacken e.d. dus die leerlingen zullen er dan vast ook bij zitten. Als ze dan op school leren hoe ze op een ethische manier daarmee kunnen omgaat is dat volgens mij alleen maar aan te moedigen.

De Juiceshop is inderdaad een goede introductie en gratis.

"Write code as if the next maintainer is a vicious psychopath who knows where you live."

dinsdag 25 oktober 2022 13:06

Acties:
  • 0 Henk 'm!
  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:16

ShadowBumble

Professioneel Prutser

Bramtweakers schreef op dinsdag 25 oktober 2022 @ 12:58:
[...]

Wat een ontzettend mooi principe die Juice Shop, daar had ik nog nooit van gehoord, bedankt voor de tip. Daar ga ik direct mee aan de bak.
Ja zeker het heeft zelfs een stukje competitie (scorebord) voor de enthousiaste leerlingen, je zou ook eens wat echte tools (Rubber Ducky, Wifi Pineapple etc) erbij kunnen pakken waarmee je kan aantonen hoe tricky het kan zijn om je PC onbeheerd achter te laten of zomaar over op de wifi te connecteren, maar hoe professioneler en realistischer je het maakt hoe duurder het wordt. Zeker het bewust zijn van Wifi gaat een openbaring voor ze zijn aangezien deze leeftijd echt overal blind op connecteert.

Er zijn menig proffesionele cursussen voor die ver boven de paar duizend per seat gaat voor dit soort kennis. Het scenario wat @sh4d0wman hierboven beschrijft is wel heel realistisch maar ook kwa kennis/cursus waar grof geld voor neer geteld wordt.

[ Voor 15% gewijzigd door ShadowBumble op 25-10-2022 13:10 ]

"Allow me to shatter your delusions of grandeur."

dinsdag 25 oktober 2022 13:07

Acties:
  • 0 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Ik denk dat er nog wel een factor is devices die zonder tussenkomst van een port forwarding toch te benaderen zijn via internet. Risico van delen van informatie en wie krijgt die info en wat doen ze ermee.
Chinese camera's bijvoorbeeld die met een app te benaderen zijn. Zoals velen hier melden als het goed doordacht gegeven wordt is het zeer leerzaam en boeiend voor leerlingen.
Als ik het zo lees is het echte hacken maar een heel klein onderdeel, social engineering is natuurlijk iets waar ze zelf goed in los kunnen gaan en hopelijk ook beseffen hoeveel info ze delen die misbruikt kan worden.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

dinsdag 25 oktober 2022 13:22

Acties:
  • 0 Henk 'm!
  • DVX73
  • Registratie: November 2012
  • Laatst online: 29-09 16:07

DVX73

Het hacken van een Bluetooth speaker is misschien ook een leuke opgave.

Deze bijvoorbeeld uitvoering: LogiLink Mushroom Blauw

[ Voor 49% gewijzigd door DVX73 op 25-10-2022 13:24 ]

dinsdag 25 oktober 2022 14:20

Acties:
  • +3 Henk 'm!
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 05:11

sh4d0wman

Attack | Exploit | Pwn

@Bramtweakers kijk eens naar Hackerone en Bugcrowd. Die kun je in de les benoemen als legale opties om hun skills te vergroten. Ik geloof dat ze beiden ook een Academy sectie hebben waar je technieken van mede-hackers kunt leren. Maar dat is wel een stap hoger dan een CTF....

edit: ik had niks te doen dus mijn post is langer dan geplanned :X

Pak het (of verschillende) IoT device(s) uit. Vraag de klas hoe iemand het aan zou kunnen vallen en wat de impact kan zijn. Een camera die je ongemerkt filmt kan erger zijn dan verlies van je Wifi.

Behandel kort de architectuur en hoe een hacker hier naar kijkt. Men deelt alles op in kleine stukjes. Dat is belangijk bij elk type (security) testen anders heb je geen overzicht en structuur.

IoT Router voorbeeld:

- Source Code:
Veel IoT draait (deels) open source code. Dit kan men downloaden.
Eventueel demo door de code te laden in gratis SAST b.v. Visual Code Grepper of simpelweg Visual Studio.

- Hardware:
Het belang van fysieke beveiliging (unplug power voor instant DoS).
Kort benoemen van hardware attack mogelijkheid.

- Bootloader

- Firmware/Filesystem.
Eventueel demo met Binwalk/grep of IDA Pro.
Zo vind men vaak hardcoded/backdoor credentials in config files/binaries of private keys.

- Network Interfaces: WAN, WLAN vs LAN. Aanvallen van ver weg vs dichtbij.

- Network Daemon/Service.
Demo detectie met NMAP. Verschil WLAN/LAN scan (andere poorten open?)
Verschil tussen encrypted en plain-text protocollen, services met en zonder authenticatie.

Verschil tussen RCE en LPE. Men moet eerst binnen zien te komen en dan rechten verhogen. Al draait IoT nog veel als root... O-)

Het belang van firmware updates en sterke wachtwoorden.

Makkelijk te kraken voor studenten:

Web-Interface / Telnet met: Geen wachtwoord / Default Wachtwoord / Dictionary Wachtwoord / Online Dump (simulatie)
Demo met: Putty/Hydra/Burp

WEP/WPA Handshake capture + cracking
Demo met: Bettercap / Wifite

Publiek RCE exploit (metasploit module)
Afhankelijk van IoT

(Bereid voor alle tools de juiste syntax voor. Dit voorkomt frustratie bij je studenten welke wellicht nooit tot amper met Linux werken.)

Overige demo (zelf doen en opnemen met een screenrecorder is foolproof):
Phish: maak een fake AP met formulier welke credentials opslaat en demo dat. Of host een fake update.
VPN: maak een port-mirror en laat met Wireshark zien welk verkeer voorbij komt. Leg VPN uit, herhaal de test eventueel met VPN actief en laat het verschil zien.

[ Voor 78% gewijzigd door sh4d0wman op 25-10-2022 16:16 ]

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 25 oktober 2022 15:30

Acties:
  • +1 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 29-09 07:21

MasterL

Moderator Internet & Netwerken
Ik heb stagiaires/stagiairs wel eens een (D)DOS laten uitvoeren op een specifiek device in een gecontroleerde omgeving, Misschien ook wel leuk om te doen. Een normale pc kan makkelijk een IP-Cam plat leggen bijvoorbeeld.

dinsdag 25 oktober 2022 18:27

Acties:
  • +1 Henk 'm!

Verwijderd

Laat ze het school netwerk plat leggen. 👍 deden we in de jaren ‘90 al, maar dan zonder dat de leraar het vroeg. 😇

dinsdag 25 oktober 2022 19:00

Acties:
  • +1 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Niet online

jadjong

Verwijderd schreef op dinsdag 25 oktober 2022 @ 18:27:
Laat ze het school netwerk plat leggen. 👍 deden we in de jaren ‘90 al, maar dan zonder dat de leraar het vroeg. 😇
Of een weekje uitslapen door de eerste drie lesuren 'kwijt te raken' in het digitale roosterbord. O-)

dinsdag 25 oktober 2022 19:15

Acties:
  • 0 Henk 'm!
  • Bramtweakers
  • Registratie: Mei 2019
  • Laatst online: 15-09 12:50

Bramtweakers

Topicstarter
MasterL schreef op dinsdag 25 oktober 2022 @ 15:30:
Ik heb stagiaires/stagiairs wel eens een (D)DOS laten uitvoeren op een specifiek device in een gecontroleerde omgeving, Misschien ook wel leuk om te doen. Een normale pc kan makkelijk een IP-Cam plat leggen bijvoorbeeld.
En wat raad je dan aan? Vroeger had je daar low orbit ion cannon voor, heb jij een manier die verwerkt zit in een reguliere versie van Linux?

@Ozzie
Ik vind het een goed initiatief hoor. Toen ik in 4 en 5 havo zat was ik ook al druk bezig met hacken e.d. dus die leerlingen zullen er dan vast ook bij zitten. Als ze dan op school leren hoe ze op een ethische manier daarmee kunnen omgaat is dat volgens mij alleen maar aan te moedigen.
precies dit dus, een collega gebruikte al een keer de tekst 'als de stroom toch komt, kun je het maar beter kanaliseren'. Ik heb inderdaad liever dat ze een paar lessen van iemand met een moreel kompas krijgen dan dat ze het leren van een forum waar mensen zonder betrokkenheid of duidelijk beeld van de wetten in het land de lessen geeft.

@sh4d0wman
Wow dat is een mooie reactie! :) Wat super dat je zo uitgebreid reageert.


- Source Code: Ja, VS gebruiken we inderdaad tijdens de lessen dus dat zou inderdaad mooi kunnen.
Heb je nog tips van opensource programma's die voor 'leken' goed leesbaar en dus relatief begrijpelijk zouden zijn?

- Hardware:
Zeker een mooie!

- Bootloader
Ik zeg je eerlijk dat ik bang ben dat dit lastig te implementeren zal zijn binnen de lessen. Aanvallen hierop lijken me relatief ver gevorderd.

- Firmware/Filesystem.
Echt een heel leuk idee, ga ik zeker mee aan de bak om te kijken of dat erin kan.

- Network Interfaces: WAN, WLAN vs LAN. Aanvallen van ver weg vs dichtbij.
Deze zit er al in verwerkt :)

- Network Daemon/Service
Ook deze zit er al in! :)


Web-Interface / Telnet met: Zit er ook in verwerkt! :)
Demo met: Putty/Hydra/Burp
Leerlingen moeten ook hashcat kunnen toepassen.

WEP/WPA Handshake capture + cracking
Zit er ook in!

Demo met: Bettercap / Wifite -> Deze nog niet.

Publiek RCE exploit (metasploit module)
Afhankelijk van IoT ->
Hier wil ik dus voorzichtig mee omgaan. metasploit is een soort van 'shortcut' die weinig begrip voor de werkende exploit opwekt en net als de LOIC DDOS aanval een click and hit systeem wordt. Metasploit is een zeer krachtige tool maar heeft ook de potentie veel schade aan te richten bij verkeerd gebruik 'omdattie zo makkelijk is'. Daarom twijfel ik of ik dit wil behandelen. Hashcat/bruteforce/Hydra/wpacracking/sourcecode lezen zijn allemaal vaardigheden of systemen waar strategisch moet worden nagedacht over het 'target'. Metasploit heeft dat wat minder in mijn optiek maar verbeter me als ik fout zit.

(Bereid voor alle tools de juiste syntax voor. Dit voorkomt frustratie bij je studenten welke wellicht nooit tot amper met Linux werken.)
Alle leerlingen krijgen een basiscursus linux :)

Overige demo (zelf doen en opnemen met een screenrecorder is foolproof):
Phish: maak een fake AP met formulier welke credentials opslaat en demo dat. Of host een fake update.
Heel leuk, ik hoop dat ik hieraan toekom.
VPN: maak een port-mirror en laat met Wireshark zien welk verkeer voorbij komt. Leg VPN uit, herhaal de test eventueel met VPN actief en laat het verschil zien.
heel mooi ik, ik hoop hier tijd voor te hebben

@Verwijderd hahaha, ik was al blij dat de systeembeheerder er open voor stond en ons een 'privenetwerk' wilde geven zodat we niet met kali op het schoolnet hoefde.

dinsdag 25 oktober 2022 19:24

Acties:
  • 0 Henk 'm!
  • BlackMonkey
  • Registratie: December 2013
  • Laatst online: 01:01

BlackMonkey

Shodan.io is ook wel een mooi voorbeeld om de risico's te laten zien. De vraag is alleen wel of je dat moet willen, gezien de nieuwsgierigheid dan wel eens de overhand kan nemen :D.

dinsdag 25 oktober 2022 20:19

Acties:
  • +3 Henk 'm!
  • SVMartin
  • Registratie: November 2005
  • Niet online

SVMartin

Beste meester Bram,

Je hebt al zoveel tips gekregen, ik kan er weinig aan toevoegen, behalve: wat had ik jou graag als meester gehad!

Dan was jij wellicht inmiddels met pensioen, want ook ik zat begin jaren '90 op de middelbare school. Verder dan wat suffe opdrachtjes in WordPerfect kwamen we toen niet. Was wel fijn dat een medeleerling wat cijfers kon bijstellen :)

Veel succes met de lessen! En misschien kun je ze ook nog wat Python leren?

woensdag 26 oktober 2022 05:11

Acties:
  • 0 Henk 'm!
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 05:11

sh4d0wman

Attack | Exploit | Pwn

Het is zeker een leuk initiatief, dat was ik vergeten te benoemen. In mijn schooltijd was het hele schoolnetwerk ons lab, sub7/BO haha

@Bramtweakers

(D)DOS
Speel eens met de tooling onder "Stress Test" in kali/parrot/blackarch. Aan andere optie is een fuzzer gebruiken. Dan gaat er meestal ook wel wat stuk.

Bootloader
Bootloader was genoemd als component, dat aanvallen is inderdaad hmmm... complex haha. Je kunt het risico uiteraard wel benoemen. Hetzelfde met de hardware aanvallen (noem even Riscure in Delft :) ),

Source Code
Behandel hier gelijk Statisch vs Dynamisch testen.

Statisch:
Download Vulnserver, klein en overzichtelijk. https://github.com/stephenbradshaw/vulnserver
Open het in VS Code en geef een vulnerability aan.
Laat het eventueel scannen door automatische tooling en zie welke vulnerabilities deze geeft.

Dynamisch:
Laat de vulnerability via fuzzing laten zien dmv een simpel Python scriptje.
(connect, commando aanroepen, een paar testcases sturen)
Laat het effect zien voor de eindgebruiker: crash.
Laat zien hoe een tester hier verder mee gaat: vang de crash op in een debugger.

Het is basiskennis dus mijn advies is om alles vrij simpel te houden.

Exploit
Metasploit neemt inderdaad een drempel weg. Echter als men interesse heeft en gaat Googlen komt deze tool ook als eerste boven in alle videos. Misbruik voorkomen is lastig dus je zult moeten beginnen met ethiek en strafrecht om misbruik te ontmoedigen.

Een andere optie is een exploit downloaden van exploit-db. Echter is dat vaak ook een kwestie van parameters meegeven aan een Python script of even compileren dus in essentie niet veel moeilijker dan Metasploit.

Carriere/Studie
Misschien kun je nog wat meegeven over vervolg studie. Er zijn diverse HBO opleidingen tegenwoordig en uiteraard een hoop certificaten, Verschillende posities: pentester als meest voor de hand liggende in deze context. De kennis is ook nuttig in een SOC, Malware Analysis, Forensics, etc.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

woensdag 26 oktober 2022 07:58

Acties:
  • +1 Henk 'm!
  • Accretion
  • Registratie: April 2014
  • Laatst online: 21:50

Accretion

⭐⭐⭐⭐⭐ (5/5)

Je zult ze inderdaad de ethiek ook moeten leren, voordat ze vaardigheden ontwikkelen die misbruikt kunnen worden.

Daarnaast, relateer het aan literatuur, je hebt een idee nodig van hoe beveiliging werkt, voordat je het wil kraken.

Focus niet te veel op het apparaat zelf, maar bedenk welke technieken/tools je ze wilt leren.

Ik heb het idee dat je niet zo goed weet waar je moet beginnen, zijn er geen lespakketten of bestaande courses in deze richting?

Kortom, focus op het bredere geheel, niet op een specifiek apparaat.

woensdag 26 oktober 2022 08:55

Acties:
  • 0 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 19:41

DiedX

Leuk! Hier hebben we meer van nodig!

Twee kleine aantekeningen:

* Ethiek, en een stukje wetgeving is van belang. Dus het is NIET toegestaan om te testen zonder toestemming
* dDOSsen heeft NIETS met security te maken. Ik zou dat niet meenemen in het curriculum, want het is gewoon vragen om problemen.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 26 oktober 2022 09:25

Acties:
  • 0 Henk 'm!
  • dion_b
  • Registratie: September 2000
  • Laatst online: 22:30

dion_b

Moderator Harde Waren

say Baah

Zeer leuk concept, vooral voor de niet-nerds. Het is tenenkrommend hoeveel mensen denken dat security niets met hen te maken heeft, dat alles wat je koopt (ongeacht hoe je het gebruikt) veilig genoeg zou moeten zijn en dat zij nooit persoonlijk te maken gaan krijgen met narigheid. Waarna ze vrolijk een USB stick oprapen en in hun laptop steken, persoonlijke gegevens prijsgeven in stupide social media posts, en antwoorden op dat mailtje van directeur@bedrijf.nl... zorgen dat alle schoolverlaters in aanraking gekomen zijn met wat mogelijk is, zou in het curriculum moeten zitten onder maatschappijleer.

Vergeet ook niet layer 1 mee te nemen. Zeker als het op DoS aankomt zjin er veel makkelijkere manieren om dat te doen dan rommelen op layer 3 en hoger. WiFi is een tot de verbeelding sprekend voorbeeld. WiFi radio's doen een Clear Channel Assessment (CCA) om te controleren of het kanaal vrij is voordat gezonden wordt. Zorg dat die CCA altijd iets vangt en er wordt geen WiFi frame verzonden. Dat kan eenvoudig en zonder wetgeving te overtreden met een analoge transmitter in de 2.4GHz ISM band, zoals bijvoorbeeld oudere Marmitek draadloze AV setjes (om TV naar boven te krijgen zonder kabel). Snappen ze gelijk waarom netwerkkabels nog steeds nuttig zijn anno 2022.

Oslik blyat! Oslik!

woensdag 26 oktober 2022 20:26

Acties:
  • +1 Henk 'm!
  • Bramtweakers
  • Registratie: Mei 2019
  • Laatst online: 15-09 12:50

Bramtweakers

Topicstarter
SVMartin schreef op dinsdag 25 oktober 2022 @ 20:19:
Beste meester Bram,

Je hebt al zoveel tips gekregen, ik kan er weinig aan toevoegen, behalve: wat had ik jou graag als meester gehad!

Veel succes met de lessen! En misschien kun je ze ook nog wat Python leren?
Bedankt voor je compliment! :) Ik vind het ook écht een mooi vak om te geven.
Python doen we in jaar 4, we gaan echter niet zo heel erg ver de stof in maar dat licht vooral aan de tijd die we daarin hebben..

@sh4d0wman Ik zal eens kijken naar de stress tests, maar ik denk dat ik dit achterwege laat vanwege de tijd, misschien is dat een mooie voor de vervolgopleidingen of bonusuurtjes :)

Sourcecode bekijken en analyseren vind ik daarentegen wel echt weer een goeie vaardigheid om te bekijken.
Vervolgstudies staan ook zeker op het programma, we zijn ook in contact met het bedrijfsleven. Deze doen op dit moment al gastlessen bij ons op school en daarnaast lijkt het me ook mooi om af en toe (omwille van de tijd) op bezoek te gaan bij een bedrijf.
Bootloader: Ik had nog nooit gehoord van Riscure, wat een leuk bedrijf! Ik heb ze een berichtje gestuurd (Nooit geschoten is altijd mis) het is namelijk precies een combinatie van mijn twee disciplines (natuurkunde en informatica) dus hopelijk is er wat mogelijk.

@Accretion Absoluut 100% correct. Zonder Ethiek kun je dit niet lesgeven, we hebben zelfs overwogen om de politie uit te nodigen om de randen van de wet zichtbaar te maken, maar helaas waren deze ook erg druk. Er zijn wel lespakketten maar op dit moment nog geen die eindigt met een CTF en dat is toch wel een leuke afsluiter! :)

@DiedX Kan het niet meer met je eens zijn. :)

@dion_b Nu nog heb ik complete klassen die binnenkomen en zeggen dat ze het niet erg vinden dat alles van hun getraceerd worden en dat ze alle apps maar gewoon installeren 'want wat willen ze van hun weten dan? Ze weten toch al zoveel'. Daarnaast vertrouwen ze ontzettend veel toe aan hun apparaten en hechten ze veel waarde aan hun privacy (maar ze weten simpelweg niet hoe ze ermee om moeten gaan). Ik hoop echt straks een beter opgeleide jeugd te hebben en dat hun kennis als een soort olievlekje gaat werken.
Layer 1 zal ik inderdaad niet vergeten, die probeer ik al steeds erbij te betrekken bij verschillende onderdelen. Ik heb een natuurkunde(docenten) bevoegdheid en laag 1 is bijna altijd pure natuurkunde dus daar word ik vrolijk van. Gut ik had nog nooit gehoord van de CCA, leuke tip ga ik naar kijken! Bedankt voor je reactie!

vrijdag 28 oktober 2022 11:26

Acties:
  • +1 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Ik blijf het bijzonder vinden, wat zouden we ervan vinden als er op een technische school de leerlingen onderwezen wordt hoe je verschillende sloten open kan maken. Kunnen ze thuis zien dat ze geen goede sloten hebben. Denk niet dat er veel mensen enthousiast worden. Is deze kennis echt nodig voor een havo vwo leerling?

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

vrijdag 28 oktober 2022 11:31

Acties:
  • +1 Henk 'm!

Verwijderd

Frogmen schreef op vrijdag 28 oktober 2022 @ 11:26:
Ik blijf het bijzonder vinden, wat zouden we ervan vinden als er op een technische school de leerlingen onderwezen wordt hoe je verschillende sloten open kan maken. Kunnen ze thuis zien dat ze geen goede sloten hebben. Denk niet dat er veel mensen enthousiast worden. Is deze kennis echt nodig voor een havo vwo leerling?
De meerwaarde van sloten open maken is wat beperkt. Op de arbeidsmarkt is niet zoveel vraag naar mensen die dit doen.

Er is wel grote vraag naar technische experts en ik vind het zelf juist een goed idee om daar jong de interesse voor te peilen.

vrijdag 28 oktober 2022 11:36

Acties:
  • 0 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

@Verwijderd Wacht maar tot het volop onderwezen wordt en blijkt dat ieder slot met wat oefening in een paar minuten te openen is. Is dat niet wat er bij data veiligheid gebeurt is?
Creëren we niet onze eigen eigen ellende en wordt er niet door bedrijven heel veel geld mee verdient?

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

vrijdag 28 oktober 2022 11:39

Acties:
  • 0 Henk 'm!
  • dion_b
  • Registratie: September 2000
  • Laatst online: 22:30

dion_b

Moderator Harde Waren

say Baah

Frogmen schreef op vrijdag 28 oktober 2022 @ 11:26:
Ik blijf het bijzonder vinden, wat zouden we ervan vinden als er op een technische school de leerlingen onderwezen wordt hoe je verschillende sloten open kan maken. Kunnen ze thuis zien dat ze geen goede sloten hebben. Denk niet dat er veel mensen enthousiast worden. Is deze kennis echt nodig voor een havo vwo leerling?
Als 90% van schoolverlaters structureel voor- en achterdeur open zouden laten bij het verlaten van hun woning en werkplek en schade door insluiping orde van de dag was, zou dat een goed idee zijn ja. Is gelukkig daar niet nodig, maar digitaal wel. Dit is bewustmaking puur en simpel.

Oslik blyat! Oslik!

vrijdag 28 oktober 2022 11:45

Acties:
  • 0 Henk 'm!

Verwijderd

Frogmen schreef op vrijdag 28 oktober 2022 @ 11:36:
@Verwijderd Wacht maar tot het volop onderwezen wordt en blijkt dat ieder slot met wat oefening in een paar minuten te openen is. Is dat niet wat er bij data veiligheid gebeurt is?
Creëren we niet onze eigen eigen ellende en wordt er niet door bedrijven heel veel geld mee verdient?
offtopic:
Een fietsslot misschien. En dan moet je er maar slechts eentje hebben. Maar hoe vaak zie jij mensen op het station met een lockpick setje staan? Dat valt heus wel op (en kan je trouwens super makkelijk op social media terug vinden).

Lockpicking wordt uberhaupt niet op school onderwezen dus het is een niet bestaand issue.


In een tijd waarbij security specialisten juist stoppen met hun werk en de vraag hoger dan ooit is, denk ik dat dit echt goede initiatieven zijn.

vrijdag 28 oktober 2022 11:51

Acties:
  • +1 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 19:41

DiedX

Frogmen schreef op vrijdag 28 oktober 2022 @ 11:26:
Ik blijf het bijzonder vinden, wat zouden we ervan vinden als er op een technische school de leerlingen onderwezen wordt hoe je verschillende sloten open kan maken. Kunnen ze thuis zien dat ze geen goede sloten hebben. Denk niet dat er veel mensen enthousiast worden. Is deze kennis echt nodig voor een havo vwo leerling?
Ik vind het een bijzonder naieve houding. Het feit dat je weet dat je slot niet goed is zorgt er ook voor dat je naar de Gamma kan lopen en daar een nieuw drie-sterren-slot kan halen.

Op dit moment laten we de leerlingen ruiken aan techniek. Het is aan de leerling zelf om te kijken of ze door willen met techniek en/of cybersecurity. Wat *NIET* wenselijk is, is om studenten niet vroegtijdig aan techniek te laten ruiken, gezien de aantallen mensen die we missen in de techniek. En bedenk je goed: als wij niet de nodige cyberexperts (wat een barf-term) opleidden, dan doen de Chinezen en Russen dat wel voor ons.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

vrijdag 28 oktober 2022 12:05

Acties:
  • +2 Henk 'm!
  • Ozzie
  • Registratie: Februari 2004
  • Laatst online: 21:54

Ozzie

Frogmen schreef op vrijdag 28 oktober 2022 @ 11:36:
@Verwijderd Wacht maar tot het volop onderwezen wordt en blijkt dat ieder slot met wat oefening in een paar minuten te openen is. Is dat niet wat er bij data veiligheid gebeurt is?
Creëren we niet onze eigen eigen ellende en wordt er niet door bedrijven heel veel geld mee verdient?
Als een paar havo/vwo leerlingen met een stuk of 8 lessen in IT Security door de 'beveiliging' van een bedrijf of persoon heen kan komen dan heeft dat vooral een ding aangetoond, die beveiliging was verre van voldoende. De meeste havo/vwo leerlingen die zich met zulke dingen bezig houden zijn niet eens kwaadwillend, die vinden meestal de techniek gewoon interessant. Er is niets mis met die vlam aanwakkeren en ze er meer over te leren in een gecontroleerde omgeving zoals school.

Dezelfde informatie is overal op internet terug te vinden dus met wat wilskracht, motivatie en tijd lukt het ze zelf ook wel. Alleen dan zonder de ethische kaders die een school/docent wel kan meegeven.

Jij wil mensen/kinderen liever dom houden op school? Het doel van een school is volgens mij juist dat ze wat leren.

[ Voor 5% gewijzigd door Ozzie op 28-10-2022 12:06 ]

"Write code as if the next maintainer is a vicious psychopath who knows where you live."

vrijdag 28 oktober 2022 12:06

Acties:
  • 0 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

@dion_b @Verwijderd @DiedX Ik heb het niet over open deuren maar deuren met een slot. Het type slot mag niet uitmaken of je hem wel of niet open mag maken. Het gaat erom gaan we jongeren leren sloten open te maken, zodat ze goede en slechte sloten herkennen zodat er meer dure sloten verkocht worden.
Want dit is wat er gebeurt, koop geen goedkope Iot uit China want die beveiliging is zo te kraken (kijk papa op school geleerd) je moet dure zwaar beveiligde kopen.
Is het leren van potentieel illegaal gedrag iets wat een school moet doen?

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

vrijdag 28 oktober 2022 12:08

Acties:
  • 0 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Ozzie schreef op vrijdag 28 oktober 2022 @ 12:05:
[...]


Als een paar havo/vwo leerlingen met een stuk of 8 lessen in IT Security door de 'beveiliging' van een bedrijf of persoon heen kan komen dan heeft dat vooral een ding aangetoond, die beveiliging was verre van voldoende. De meeste havo/vwo leerlingen die zich met zulke dingen bezig houden zijn niet eens kwaadwillend, die vinden meestal de techniek gewoon interessant. Er is niets mis met die vlam aanwakkeren en ze er meer over te leren in een gecontroleerde omgeving zoals school.

Dezelfde informatie is overal op internet terug te vinden dus met wat wilskracht, motivatie en tijd lukt het ze zelf ook wel. Alleen dan zonder de ethische kaders die een school/docent wel kan meegeven.

Jij wil mensen/kinderen liever dom houden op school? Het doel van een school is volgens mij juist dat ze wat leren.
Zeg je dat ook tegen de inbreker die je huis heeft leeggehaald?

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

vrijdag 28 oktober 2022 12:12

Acties:
  • +1 Henk 'm!
  • Ozzie
  • Registratie: Februari 2004
  • Laatst online: 21:54

Ozzie

Frogmen schreef op vrijdag 28 oktober 2022 @ 12:08:
[...]

Zeg je dat ook tegen de inbreker die je huis heeft leeggehaald?
Ik weet niet wat een inbreker aan zou moeten met een verhaal over cybersecurity. Welk deel zou ik precies tegen een inbreker moeten zeggen?
Mijn verzekeraar zegt in ieder geval wel tegen mij dat als er geen braakschade is dat ik ook geen vergoeding krijg. Het gevolg daarvan? Ik zorg ervoor dat ik goede sloten op mijn huis heb.
Frogmen schreef op vrijdag 28 oktober 2022 @ 12:06:
Is het leren van potentieel illegaal gedrag iets wat een school moet doen?
Ja! Dat is juist iets wat de school zou moeten doen, en dan vooral heel duidelijk erbij vertellen in welke situaties het illegaal is en wanneer niet.

"Write code as if the next maintainer is a vicious psychopath who knows where you live."

vrijdag 28 oktober 2022 12:15

Acties:
  • 0 Henk 'm!

Verwijderd

Frogmen schreef op vrijdag 28 oktober 2022 @ 12:06:
@dion_b @Verwijderd @DiedX Ik heb het niet over open deuren maar deuren met een slot. Het type slot mag niet uitmaken of je hem wel of niet open mag maken. Het gaat erom gaan we jongeren leren sloten open te maken, zodat ze goede en slechte sloten herkennen zodat er meer dure sloten verkocht worden.
Want dit is wat er gebeurt, koop geen goedkope Iot uit China want die beveiliging is zo te kraken (kijk papa op school geleerd) je moet dure zwaar beveiligde kopen.
Is het leren van potentieel illegaal gedrag iets wat een school moet doen?
offtopic:
Het type slot maakt enorm veel uit als je het over lockpicking hebt. De meeste huisdeuren kan je niet even met een setje open maken. Ik zie ook vrijwel nooit dat soort sloten voorbij komen in de lockpicking community. Jij wel dan?


Vergeet niet dat TS bezig is met leerlingen die bijna een studie gaan kiezen. Een jaartje later kunnen ze beginnen aan een bachelor die volledig in taken staat van cybersecurity. Is het zo erg dat ze ietsje eerder kunnen proeven aan een vakgebied wat enorm in trek is en waar grote vraag naar is?

vrijdag 28 oktober 2022 12:16

Acties:
  • 0 Henk 'm!
  • HenkEisDS
  • Registratie: Maart 2004
  • Laatst online: 28-09 19:15

HenkEisDS

Leuk! Vergeet ook de debug porten op hardware niet te belichten.

YouTube: How We Hacked a TP-Link Router and Took Home $55,000 in Pwn2Own

vrijdag 28 oktober 2022 12:52

Acties:
  • 0 Henk 'm!
  • dion_b
  • Registratie: September 2000
  • Laatst online: 22:30

dion_b

Moderator Harde Waren

say Baah

Verwijderd schreef op vrijdag 28 oktober 2022 @ 12:15:
[...]

offtopic:
Het type slot maakt enorm veel uit als je het over lockpicking hebt. De meeste huisdeuren kan je niet even met een setje open maken. Ik zie ook vrijwel nooit dat soort sloten voorbij komen in de lockpicking community. Jij wel dan?


Vergeet niet dat TS bezig is met leerlingen die bijna een studie gaan kiezen. Een jaartje later kunnen ze beginnen aan een bachelor die volledig in taken staat van cybersecurity. Is het zo erg dat ze ietsje eerder kunnen proeven aan een vakgebied wat enorm in trek is en waar grote vraag naar is?
Ik zou zeggen dat grootste nut hiervan niet voor de mensen is die evt cybersecurity willen doen, maar voor de rest, die geconfronteerd wordt met wat mogeljik is en wat mensen - ook (misschien: juist!) hun klasgenoten - daadwerkelijk doen in het wild. Dat er ook een paar daadwerkelijk werk willen maken hiervan is mooi meegenomen maar dat de rest een beetje beter weet wat gevolgen van online gedrag kunnen zijn gaat hen - en de rest van de maatschappij - een stuk meer opleveren.

Oslik blyat! Oslik!

vrijdag 28 oktober 2022 16:26

Acties:
  • 0 Henk 'm!
  • Bramtweakers
  • Registratie: Mei 2019
  • Laatst online: 15-09 12:50

Bramtweakers

Topicstarter
@Frogmen Ik snap je stellingen en begrijp dat het spannend aanvoelt om mogelijke 'inbrekertools' mee te geven aan de pubers.
Ik ga mijn best doen om niet iemand te herhalen want ik vind dat er al een hoop goeie reacties zijn geplaatst.

Om in de analogie van het slot te blijven:
Ik denk dat bewustwording van het weten wat een slecht of goed slot is best wel een essentiële vaardigheid is. Zo heb ik hiervoor in een huurhuis gewoond en het eerste wat ik heb gedaan is het vervangen van mijn sloten.
In 2 minuten googlen had ik namelijk gevonden dat mijn slot gevoelig was voor de slagsleutelmethode en wist ik dat het huis van mijzelf en ongeveer mijn gehele wijk gevoelig was voor deze kwetsbaarheid.
Ik heb dit netjes tegen de buren maar het is de kennis die mij veiliger heeft gemaakt. Om te bewijzen dat 'het toch echt kon' ben ik echt niet op zondagochtend bij mijn buren naar binnen gegaan.

Daarnaast is het een belangrijke realisatie dat een slot alleen geen goede beveiliging is:
SKG 3 sterren sloten hebben een vertragende werking van 5 minuten. :| Dat is niet veel en daardoor zou je je moeten realiseren dat inbrekers vaak alsnog wel binnen komen als ze de gelegenheid hebben. Je moet het ze alleen zo moeilijk mogelijk maken.

Wat helpt met het moeilijk maken? Weten waar een inbreker op let, weten wat zwakke plekken zijn in een huis en zelf eens proberen in te breken in je eigen huis (vast wel eens gedaan als je je sleutel bent vergeten). Zo ben ik ooit via een trap in een open raam op de 1e verdieping geklommen en heb ik met een gesloopte klerenhanger mijn voordeur via de brievenbus open gemaakt.

In beide gevallen kwamen de buren toch even kijken wat ik nou weer aan het doen was (mooie inbraakbeveiligingscheck was dat).
Want dit is wat er gebeurt, koop geen goedkope Iot uit China want die beveiliging is zo te kraken (kijk papa op school geleerd) je moet dure zwaar beveiligde kopen.
Is het leren van potentieel illegaal gedrag iets wat een school moet doen?
Wat ik als school mijn taak vind is het voorlichten van leerlingen. Dat betekent dat de leerlingen inderdaad bewust zijn van de gevaren van het IoT apparatuur van Aliexpress en de beveiliging kunnen testen op eigen gekochte apparaten. Wel hoort daarvoorafgaand een stukje ethiek en wetboek. Iets wat een gemiddelde puber echt niet gaat googlen maar daar ben ik als 'volwassene' dan weer bij.
Darknetfora zijn veeeeel interessanter dan wetboeken en die vertellen je inderdaad hoe je sloten open moet maken met wat minder moraal (er zijn ook gewoon cursussen slotenkraken (opleiding slotenmaker) voor 700 euro voor 2 dagdelen).

Daarnaast heeft het als bijkomend voordeel dat ik als leraar ineens 1e jaars bij me krijg met vragen over hacken en daarbij verkoop ik met regelmaat een nee als ik denk dat iets onveilig is of als ik de leerling niet genoeg vertrouw daarmee. Ik krijg daarbij de kans om toe te lichten waarom en probeer zo een vertrouwde, ethics-first aanpak te ontwikkelen.
Ik heb leerlingen die meer dan 1400 uur per jaar kunnen klokken in COD of Fortnite.
Volgens mij willen wij niet weten wat er gebeurd als ze onbegeleid deze tijd gebruiken om te leren hacken, zonder iemand in de buurt die ze verteld wanneer ze de wet overtreden.

@Verwijderd Daar maak je inderdaad een goed punt, ze zitten vol in hun keuzetijd en hopelijk kunnen we daar wat mee.

@HenkEisDS Ja superleuk Pown2Own! :) Ik verwijs ongeveer de helft van de lessen naar darknetdiaries en daar hadden ze het ook over de wedstrijd.

vrijdag 28 oktober 2022 16:37

Acties:
  • +1 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

@Bramtweakers Ik snap wat je bedoelt en wat je wilt bereiken. Op een vlak wil ik je wel corrigeren heb het niet over gevaar van onbeveiligde IoT of internet. Leer liever in risico's te denken, wat is de kans dat iets gebeurt en wat is het gevolg ervan. Hoe erg is het als ik thuis mijn wifi open heb en een laptop met Windows XP gebruik? Iedereen zal meteen reageren niet doen etc.. maar als ik alleen een half uur per dag er nu.nl op lees is het risico toch anders. De juwelier heeft ook een ander slot dan de slager zeg maar.
Blijf erbij dat ik leren hacken te ver vindt gaan, is toch een stap verder dan laten zien. Maar dat is mijn mening.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

vrijdag 28 oktober 2022 16:57

Acties:
  • +1 Henk 'm!
  • HenkEisDS
  • Registratie: Maart 2004
  • Laatst online: 28-09 19:15

HenkEisDS

*knip*. Wannabe mod reactie.

[ Voor 88% gewijzigd door rens-br op 31-10-2022 12:04 ]

vrijdag 28 oktober 2022 18:00

Acties:
  • +1 Henk 'm!
  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 23:16

ShadowBumble

Professioneel Prutser

Bramtweakers schreef op woensdag 26 oktober 2022 @ 20:26:
[...]


@dion_b Nu nog heb ik complete klassen die binnenkomen en zeggen dat ze het niet erg vinden dat alles van hun getraceerd worden en dat ze alle apps maar gewoon installeren 'want wat willen ze van hun weten dan? Ze weten toch al zoveel'. Daarnaast vertrouwen ze ontzettend veel toe aan hun apparaten en hechten ze veel waarde aan hun privacy (maar ze weten simpelweg niet hoe ze ermee om moeten gaan).
Dit ruikt als een perfecte reactie voor "Goh, prima laten we eens OSINT introduceren en kijken hoe ver we kunnen komen met jouw data waar en wat daarmee zou kunnen" :+

Vereist misschien iets meer voorbereiding, maar er is niks maar dan ook niks indrukwekkender op jonge studenten als het te laten zien.

"Allow me to shatter your delusions of grandeur."

vrijdag 28 oktober 2022 23:25

Acties:
  • 0 Henk 'm!
  • Ruben279
  • Registratie: Augustus 2018
  • Laatst online: 00:12

Ruben279

1. Goedkope camera op Marktplaats kopen, daar een makkelijk wachtwoord op zetten (P@$$w0rd o.i.d.) en dan de leerlingen met een woordenlijst als rockyou.txt of een alternatief en de tool Hydra (standaard geinstalleerd op Kali Linux) dat wachtwoord laten kraken.

Stapje verder kan zijn om een Wordpress site te pakken, of een exploit in een oude Windows versie te proberen met de Metasploit tool in Kali, zit er ook standaard in.

YouTube: Exploiting EternalBlue on a Windows 7 machine using Metasploit

2. Als je wat richting netwerken/firewalls wil doen, kijk eens hoeveel devices rechtstreeks op het internet hangen via Shodan. https://www.shodan.io/

Kunt daarbij ook nog een hele hoop custom queries uitvoeren: https://www.shodan.io/search/examples

3. Laat met Wireshark zien wat het gevaar is van een formulier invullen op website zonder SSL.


--

Moet wel wat leuks voor te bedenken zijn.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq