This lesson contains 28 slides, with interactive quizzes, text slides and 8 videos.
Items in this lesson
keuzemodule Security
1.5 en 1.6
Slide 1 - Slide
1.5 verdienen aan kwetsbaarheden
zero-day
bounty-programma
responsible-disclosure
fuzzing
Slide 2 - Slide
Slide 3 - Video
zero-day's
Een zero-day is een kwetsbaarheid die nog niet bekend is bij de ontwikkelaars van de software en waar dus nog geen update voor is.
Slide 4 - Slide
bounty-programma
Een bug bounty-programma wordt aangeboden door veel organisaties en softwareontwikkelaars. Het doel van zo’n programma is om met de kennis van ethische hackers kwetsbaarheden (oftewel bugs) op te sporen in online applicaties. Als er iets wordt gevonden, betaalt het bedrijf een vergoeding aan de ethische hacker.
Slide 5 - Slide
Responsible-disclosure
Met een RD-policy op je website geef je als organisatie een ethische hacker de mogelijkheid gevonden kwetsbaarheden te delen. In de RD-policy zet je de regels voor zowel het bedrijf als de ethische hacker. Het bedrijf laat hiermee bijvoorbeeld weten de ethische hacker niet aan te klagen en op de hoogte te houden van de vorderingen in het oplossen van een kwetsbaarheid.
Slide 6 - Slide
voordelen RD-policy of bounty-programma
Effectief bij het vinden van kwetsbaarheden
Inzetbaar bij korte development cycles
Kostenbesparend
Slide 7 - Slide
nadelen RD-policy of bounty-programma
Kost veel tijd
De kwaliteit van de meldingen varieert
Discussie met ethische hackers
Geen concreet antwoord op je security-vraag
Slide 8 - Slide
kun je er als ethische hacker rijk mee worden?
Er zijn ethische hackers die miljonair zijn geworden met bug bounties. Toch zijn dat de uitzonderingen. De bounties die ethische hackers in de praktijk ontvangen, variëren meestal tussen de 100 en 1000 euro per bug. De allergrootste bedrijven zoals Apple betalen wel fors meer.
fuzzing is het testen van een programma op allerlei willekeurige data. je kunt hierbij een fuzzer gebruiken. Dit is software die willekeurige data genereert.
Het idee van fuzzing is om heel veel verschillende invoeren uit te proberen met behulp van een software programma.
Maak opdracht 35
Slide 11 - Slide
Slide 12 - Video
Slide 13 - Video
cyberoorlog
cyberoorlog:landen proberen elkaar schade toe te brengen of vertrouwelijke informatie in te winnen door gebruik te maken van de digitale infrastructuur.
Op dit moment (mrt 2022) is dit best actueel met de oorlog in Oekraine door Rusland.
Hierbij gaat het om een gerichte aanval, uitgevoerd door specialisten. Nationale inlichtingendiensten hebben de capaciteit voor het opzetten van dit soort APT-aanvallen.
Slide 16 - Slide
Slide 17 - Video
opdracht 38
de komende vragen gaan over de hack die op 27 juni 2017 de Rotterdamse haven platlegde.