Verslag 4e bijeenkomst 2024 - Hoe gaat een hacker te werk? Joomla Hacking!

Lees het verslag van Leon Kolenburg van de 4e bijeenkomst van 22 april. Het thema van deze bijeenkomst was "Hoe gaat een hacker te werk? Joomla Hacking!".

Tijdens deze fysieke bijeenkomst waren er in totaal 17 deelnemers fysiek en 3 deelnemers online aanwezig!
Vooraf een belangrijke note: het hacken met kwaadwillende gedachten of zonder toestemming van de eigenaar van het systeem is strafbaar!

Artikel Wat is Hacken van de Politie

Joomla! nieuws

Joomla 5.1 is uitgebracht (release datum 16 april 2024) - lees hier de blog van Jeroen Moolenschot met alle nieuwe features uitgelicht: https://www.joomill.nl/blog/wat-is-nieuw-in-joomla51
Joomladagen in Tilburg, vrijdag 31 mei en zaterdag 1 juni https://www.joomladagen.nl
Deelname aan workshops (denk ook aan aanschaf ticket), dag- en weekendtickets en het programma staan online).

Naar de website JoomlaDagen Nederland

Joomla Hacking door Luca Congiu

Luca is beroepsmatig werkzaam als ethical hacker en hij voert dagelijks pentests uit voor bedrijven om de veiligheid van hun systemen te verbeteren, Tijdens de meeting vertelde Luca wat een hacker zoal doet. Hoe hij te werk gaat? Wat voor een soorten hackers zijn er zoal zijn het overheden (China, Rusland etc.) of is het een hackersgroep?
Er zijn vele onderwerpen en thema's aan het bod gekomen. Hieronder beperken we ons Joomle en websites!

Wat doet een ethisch hacker? Etical Hacker Luca geeft een uitleg wat hij zoals doet. Ook Luca maakt gebruik van de OWASP Top 10.
De OWASP Top 10 is een overzicht van typen kwetsbaarheden die onder beveiligingsexperts worden gezien als het meest kritisch met betrekking tot webapplicaties. Het is geen kant-en-klare afvinklijst en dekt bovendien niet álle soorten kwetsbaarheden, maar biedt wel een goed zicht op deze complexe materie. Als je bij de beveiliging van je website hierop focust is de kans zeer klein dat je Joomla website gahackt wordt. Maar het wordt nooit 0%!

Website OWASP top ten

Waar veel hackers zich ook mee bezighouden is Social Engineering. Dit is een breed begrip, maar omvat grofweg de technieken die hij inzet om door middel van psychologische manipulatie onder andere ondernemers en medewerkers te verleiden persoonlijke of bedrijfsgevoelige gegevens prijs te geven. En dan ook betalingen te vragen die niet naar leveranciers gaan maar naar andere rekeningen!

Hacking van Joomla

Wat maakt Joomla interressant om te hacken:

database toegang
klant gegevens (Persoons gegevens en financiele gegevens, webshops)
account informatie
Toegang tot servers en netwerken verkrijgen

Voor het hacken van (Joomla) websites maakt men gebruikt van OSINT. Open Source Intelligence (OSINT) is een techniek waarbij publieke data wordt gebruikt voor onder andere onderzoek en beveiliging. Bij OSINT wordt gebruik van verschillende online bronnen, zoals social media of forums. Je wilt een compleet beeld krijgen van je doelwit om zo effectief te kunnen handelen en toeslaan. Cybercriminelen zijn op zoek naar zwakke plekken in het netwerk of (web)servers, databases of andere IT systemen.

Website met info OSINT ten

Kwetsbaarheden demo

Luca heeft een oude Joomla installatie voorbereid (een lab) waarbij bekend is dat er een kwetsbaarheid in zit (SQL Injectie)!
Deze ziet er als volgt uit:

PHP 5.6.x
Joomla 3.7
Directory / files die openstaan

Aan de hand van deze demowebsite laat Luca zien wat de stappen zijn om de informatie te verzamelen wat de kwtsbaarheid is in deze installatie.
In zijn zoektocht naar kwetsbaarheden van een website kijkt hij kritische naar de de core van Joomla maar ook naar de verschillende geinstalleerde extra programma's! Denk aan Modules en Plugins.
Johan legt uit dat er verschillende soorten extensie zijn: Componenten, Modules, Plugins, Libraries, Packages, Language (taalbestanden).
Tijdens zijn demo liet Luca zien dat hij na het verkrijgen van de toegang tot de website hij een stuk doe toevoegt aan de niet gebruikte template om de toegang te waarborgen op het moment dat met het admin account zou resetten. Hierdoor maakt hij een on opgemerkt een backdoor naar deze server! Hij weet het wachtwoord met een brutefoorce te kraken en verschaft zich uiteinlijk zo toegang tot de backend van de Joomla 3.7 omgeving. Dit laat heel goed zien waarop updaten van Joomla zo belangrijk is!

Tot slot

Johan en Luca hebben een aantal tips en tricks gegeven hoe jij je Joomla website kunt beveiligen, maar ook testen of de beveiliging in orde is, zonder dat je hacker of linux skills hoeft te hebben,
Er zijn natuurlijk altijd diverse zaken die je gemakkelijk kunt regelen om de kans dat hackers succesvol zijn te verlagen zodat je minder risico loopt. Denk hierbij aan:

het gebruik van langere paswoorden met cijfers, (hoofd)letters en vreemde tekens! Minimaal 16 karakters!
Je kan natuurlijk ook gebruik maken van een password manager. Maar ook die zijn in het verleden al eens gehackt (Lastpass bijvoorbeeld).
het instellen van 2-way authentification, of MFA.
het installeren van een firewall op je website (bijvoorbeeld Akeeba Admin Tools die ook een Web Application Firewall (WAF) heeft. Maar belangrijk is natuurlijk om hem ook optimaal in te stellen!
het maken van backups van je website en die extern op te slaan op een NAS, OneDrive etc. (bijvoorbeeld Akeeba Backup).
het verbergen van informatie over je CMS en de versie.
het verbergen van de bestanden Robots.txt en Readme.txt
je inlog url veranderen, kan gemakkelijk in Akeeba Admin Tools
het up to date houden van Joomla en de geïnstalleerde extensies. Verwijder niet gebruikte extensies.
het uitschakelen van account registraties als dat niet nodig is (bij nieuwe installatie staat dat standaard uit).

Hieronder een lijst met handige links:

https://internet.nl/ (Testen beveiliging van je website en email)
https://observatory.mozilla.org/ (Testen beveiliging van je website)
https://www.ssllabs.com/ssltest/ (Testen beveiliging van je website certificaten)
https://extensions.joomla.org/vulnerable-extensions/about/ (Overzicht van onveilige extensies)
https://www.samendigitaalveilig.nl/ (de stappen naa een betere digitale veiligheid)
https://tryhackme.com/ (informatie over hoe je kunt leren hacken)
https://www.shodan.io/ (Netwerk zoekmachine voor IOT)
https://www.exploit-db.com/ (Exploit database om zwakheden op te zoeken)
https://training.hacktricks.xyz/ (diverse trainingen om hacking te leren begrijpen)
https://securitytxt.org (Security.txt generator)

De eerste stappen zijn, het optimaal instellen van een firewall en het maken van een backup!

Tijdens deze avond werden we wel bewust dat het standaard instellen van de firewall vaak niet voldoende is. Je moet het wel goed instellen.
Ook het maken van een backup die veilig is, bijv encrypted of met een paswoord, is van groot beland. Daar zijn de juiste parameters van groot belang. Dit zal zeker een van de thema's zijn van onze volgende bijeenkomsten!

Presentatie JUG043 bijeenkomst

Presentatie Luca Congiu (presentatie volgt nog)

Planning 2024

De nieuwe planning staat op de website voor 2024 zodat jij je weer kunt aanmelden. Hieronder de data en onderwerpen onder voorberhoud:

Maandag 13 mei 2024 - Extensie Events booking en Community Builder
Vrijdag 31 mei - Joomladagen Nederland dag 1
Zaterdag 1 juni - Joomladagen Nederland dag 2
Maandag 17 juni 2024 - thema Je webste beveiligen deel 1 (Akeeba Admin Tools)
Maandag 23 september 2024 - thema Je website beveilingen deel 2.
Maandag 21 oktober 2024 - thema n.n.b.
Zaterdag 19 oktober 2024 - Pizza, JUG + Fun dag?
Maandag 18 november 2024 - thema n.n.b.

De volgende bijeenkomst

De volgende bijeenkomst die door JUG043 wordt georganiseerd is op:

Datum en tijd: maandag 13 mei 2024 van 19:00 t/m +/-21:30 uur
Locatie: Beek
Soort bijeenkomst: Hybbride
Thema: Ontdek de mogelijkheden van Events Booking en Community Builder!
Naam (gast)spreker: Johan van der Velde en Pierre Veelen

Aanmelden bijeenkomst