Hacker-konference udstillede it-professionelle sikkerhedsamatører

Besøgende på hacker-konferencen Black Hat fik deres passwords blæst op på storskærm, hvis de brugte for dårlig sikkerhed over det trådløse net. Samtidigt blev tre journalister smidt ud for at prøve samme trick blandt journalisterne.

Tag ikke til hackerkonference, hvis du ikke selv har styr på basal it-sikkerhed. Ellers er der gode muligheder for at blive hængt grundigt til tørre.

Den lektie lærte en række af de ? formodede ? professionelle it-sikkerhedsfolk til dette års Black Hat-sikkerhedskonference, da de kunne se deres login- og passwordoplysninger offentliggjort på storskærm, dog med nogle udeladelser, så oplysningerne ikke blev misbrugt. Det skriver TGDaily.com.

Gruppen ?Wall of Sheep? stod bag eventen, og de brugte udelukkende frit tilgængelige sniffer-værktøjer, der tjekker trafikken over det trådløse netværk for oplysninger, der ikke er tilstrækkeligt krypterede.

Blandt konferencegæsterne med dårlig sikkerhed var en japaner, som fik opsnappet sine loginoplysninger til en stor japansk finansvirksomhed. En anden stor fisk i nettet var en højt betitlet it-kvinde fra en stor virksomhed, der måtte se til, at login til fire af hendes forskellige webservice- og emailkonti røg på storskærmen.

I bedste hackerstil kom Wall of Sheep-holdet også under tung beskydning fra andre konferencegæster, men fik afværget alle angreb. Der gik også sport i at køre usikker trafik over det trådløse net med falske brugernavne og passwords, men Wall of Sheep-folkene sørgede for at tjekke alle oplysninger, før de blev offentliggjort.

Journalisterne måtte ikke

Samtidigt var tre franske journalister sikre på, at samme stunt blandt journalisterne i presseområdet ville være god underholdning. De koblede sig på det lukkede netværk for pressefolk og opsnappede ? ifølge dem selv ? følsomme oplysninger fra to journalister, her af en fra CNETs news.com, og gik derefter til Wall of Sheep-gruppen med deres fangst.

Men en uskreven regel på hackerkonferencerne giver journalisterne et helle for den slags løjer ? det er kun de it-professionelle besøgende, der skal hænges ud. Franskmændene blev derfor i stedet smidt på porten med en livslang karantæne og kan muligvis se frem til et sagsanlæg for ulovlig hackning.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Rene Hansen

Civile ofre godtages ikke.

Godt at der, i en tid med rusiske mafia penge og seriøs indtjening på udnyttelse af sikkerhedshuller, stadig eksisterer en ære.

Spørgsmålet er blot, om Wall of Sheep så også tilbød råd til at afhjælpe sikkerheden.

  • 0
  • 0
Henrik Kramshøj Blogger

Det er ikke så længe siden jeg selv måtte finde en sniffer frem for at vise en kunde hvorfor Telnet som root til en AIX maskine med personfølsomme data ikke er en god ide .... selv på et switchet netværk.

"Råd til at afhjælpe sikkerheden", wot? Det har været kendt i hmmm 15 år snart? Kort og godt kan det opsummeres som:
Vær dog fornuftig! Lad VÆRE med at bruge gamle usikre protokoller.

Telnet ER død, POP3 ER DØD (brug POP3S dvs over SSL/TLS), IMAP ER DØD (brug IMAPS der er IMAP over SSL/TLS)

SSH har været de facto standarden for login, som erstatning for gamle usikre protokoller som Telnet og R* fra Unix - siden midten af 1990'erne
(and don't get me started on protokollerne fra MS og Windows)

Hvis folk ikke har lært noget endnu så fortjener de at blive hængt ud på Wall of Sheep ...

og hvis folk idag bruger Telnet som root på systemer med personfølsomme data bør de få en kraftig næse fra revisionen.

  • 0
  • 0
Log ind eller Opret konto for at kommentere