Heartbleed giver forskere adgang til hacker-chat

Det omfattende sikkerhedsproblem Heartbleed bliver nu udnyttet af forskere, der ønsker adgang til hackeres chatfora.

En række online-fora for kriminelle hackere er normalt lukket effektivt af for omverdenen, men Heartbleed-sårbarheden gør nu forskere i stand til at trænge ind i de lukkede fora, skriver BBC.

»Potentialet i, at denne sårbarhed har indflydelse på ”black-hat”-tjenester er helt enorm,« siger den franske malwareforsker Steven K til BBC.

Steven K. brugte særligt tilpassede værktøjer i sit angreb på de lukkede chatrum kaldet Darkcode og Damagelab.

»Darkcode var sårbart (overfor Heartbleed-angreb, red.) og dette forum er et virkelig svært mål. Det er ikke mange, der har evnen til at overvåge det forum, men Heartbleed afslørede alting,« siger Steven K til BBC.

Heartbleed er kort fortalt en fejl i sikkerhedssoftwaren Open SSL, der gør det muligt at stjæle data, som en server har kommunikeret til andre brugere, hvilket blandt andet kan give adgang til andre brugeres passwords m.m.

Dette er det seneste eksempel på, hvor mange steder Heartbleed har åbnet servere for angreb. En sikkerhedsanalytiker påpeger overfor BBC, at alvorligheden af Heartbleed understreges af, at selv hackeres fora nu er sårbare overfor hackere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anders West Rasmussen

Øøøøh... han er malware forsker. Selvfølgelig benytter han sig af de muligheder der dukker op for at kunne komme ind på livet af dem som generere det han arbejder med. Det er der da intet odiøst i? Han benytter bare samme metode som dem han skal modarbejde, det er jo hans arbejde.
Og selvfølgelig bruger han ikke sit fulde navn, det ville da være fuldstændigt tåbeligt i det arbejde han har. Når man bevæger sig i hacker miljøer, så er det nok bedst ikke at vise hvem man er.

  • 3
  • 4
Deleted User

Anders West Rasmussen, det er ulovligt. Politiet må hellere ikke ringe til en hashhandler og bestille hash, og anholde ham efterfølgende, fordi han solgte hash til dem. Eller troppe op uden kendelse og skaffe beviser ved en tyv:"Hej vi er Politiet vi stjæler lige dine ting. Det må vi fordi vi ved at du har stjålet (eller det ved vi ikke endnu, men det er det vi vil bevise). Derfor må vi gerne bruge det vi stjæler, som beviser mod dig og at du har stjålet.".

Hvad med alle de gange han rammer en fora som faktisk ikke har gjort noget ulovligt, skal han hellere ikke straffes for det? Hvordan ved han at der er gjort noget ulovligt? Retssamfundet står og falder på den udøvende og dømmende magt, hviliket malware forskeren ikke er en del af. Han skulle overlade det til de rette når det kommer til at skulle skaffe beviser. Vil han det, så kan han jo få et job ved Politiet. På egen hånd, gælder de samme regler som dem han bryder ind ved. Et indbrud er et indbrud.

  • 7
  • 2
Robert Larsen

Martin, hvordan ved du, at han ikke arbejder hos politiet og har en kendelse? Eller arbejder hos militæret og derfor i langt højere grad har beføjelser til at overvåge mulige terrorister uden en kendelse?

Uafhængige researchere er typisk ikke bange for at afsløre deres identiteter, for de lever af deres omdømme. Militærets folk er derimod mere tilbageholdende med at levere navne.

  • 3
  • 1
Sune Marcher

Hvad med alle de gange han rammer en fora som faktisk ikke har gjort noget ulovligt, skal han hellere ikke straffes for det? Hvordan ved han at der er gjort noget ulovligt?


Hvis du arbejder med malware (om det så er med hvid, grå eller sort hat på), så ved du den slags - det er ikke tilfældig drive-by-hacking der er tale om her, Martin. Og dine politi-analogier er alså lidt fjollede.

Derudover, så er det en meget dårlig idé at bruge sin rigtige identitet, hvis man infiltrerer malware miljøet. Det har bl.a. Brian Krebs måtte erfare. Én ting er at være security researcher der disassembler malware og 0day exploits, det er noget helt andet hvis du lukker botnet ned eller afslører kriminelle.

  • 0
  • 1
Jens loggo

Det gør jeg heller ikke, men jeg sagde heller ikke noget i stil med "det er ulovligt". Dét var en antagelse, som ikke blev underbygget.

Det ER ulovligt, medmindre du f.eks. har beføjelse til at overvåge dem, hvilket vil være en antagelse som på ingen måde er underbygget i artiklen.

Hvis du arbejder med malware (om det så er med hvid, grå eller sort hat på), så ved du den slags - det er ikke tilfældig drive-by-hacking der er tale om her, Martin. Og dine politi-analogier er alså lidt fjollede.

Så perfekt er verden ikke. De er måske dygtige, men stadig bare mennesker, der ikke ved alt, og laver helt de samme fejl alle andre, f.eks. som når politiet eller PET får aflyttet eller anholdt en forkert person. Det sker.

  • 2
  • 0
Anders West Rasmussen

Martin Slot, Der står intet om at han skaffer beviser til- eller overvåger noget som helst. Der står bare at han har skaffet sig adgang til deres fora ved at bruge Heartbleed sårbarheden.. Det er fløjtende om der er ulovligt eller ej, det har intet at gøre med sagen at gøre. Ikke i den her sag. Han har sådan set bare påvist at selv hackerne som udnytter svagheden, er udsat og det er netop hans arbejde. Så jeg kan ikke se at det skal stilles op så sort og hvidt som du tillader dig at gøre.

  • 0
  • 1
Deleted User

Sune: Fortæl mig venligst hvad der er fjollet i min Politi analogi? Manden har gjort noget ulovligt. Hvis det var en myndighed der gjorde det, uden kendelse, så antager jeg at der havde stået noget andet i artiklen, som havde været meget mere kritisk. Bare fordi det er IT, og man enten er white hat eller black hat eller grey hat, så hæver man sig ikke over loven. Ikke engang journalisterne, demokratiets vogtere hæver sig over loven. Ikke engang disse personer må skaffe sig adgang til data, bare fordi de har fundet et hul. Jeg mener netop at denne forsker har tilsidesat alle lovens regler, og snuset rundt. Nogen burde anmelde ham, i stedet for denne lovprisning.

Anders West Rasmussen: Det er ulovligt at skaffe sig adgang til et system på ulovlig vis. Det kan godt være at han arbejder indenfor IT, med malware, men derfor må han under ingen omstændigheder bryde ind i et andet system, antaget at han ikke arbejder for en udøvende myndighed, som har beføjelser til at lave disse indgreb. At han er forsker, hæver ham ikke over loven. Det har netop alt med sagen at gøre, at det han laver er kriminelt. Det er typisk journalistik nu om dage, bare fordi han gør noget ulovligt, mod nogen andre, som også gør noget ulovligt, så skal det nævnes. Den form for Robin Hood kriminalitet er åbenbart helt ok i et retssamfund. I denne artikel nævnes intet kritisk om at han har gjort det som han har gjort, og det er det som støder mig.

  • 2
  • 0
Sune Marcher

Fortæl mig venligst hvad der er fjollet i min Politi analogi?


At de på ingen måde kan sammenlignes med det her? Dit første eksempel er entrapment, det andet er ekstremt søgt og konstrueret, og har heller ingen relation whatsoever. Hvis du endeligt skulle have opstillet en analogi, ville det være noget i stil med at sætte overvågningudstyr op i en lejlighed uden dommerkendelse.

Vi kan hurtigt blive enige om at der er lovbrud involveret, hvis security-researcheren er en privatperson uden særlige beføjelser - hvilket er det mest sandsynlige scenarie. Men "Hvad med alle de gange han rammer en fora som faktisk ikke har gjort noget ulovligt" er en omgang bullshit, de folk der gør det her udvælger deres mål ganske nøje.

Diskussion om selvtægt, love, etik og moral er noget andet.

  • 0
  • 1
Michael Lykke

Der står intet om at han skaffer beviser til- eller overvåger noget som helst. Der står bare at han har skaffet sig adgang til deres fora ved at bruge Heartbleed sårbarheden.. Det er fløjtende om der er ulovligt eller ej, det har intet at gøre med sagen at gøre.


Det har alt med sagen at gøre. Hvis han skaffer sig adgang ved at udnytte sårbarheder på en given server så er det klassificeret som hacking og er derfor ulovligt. Det er fuldstændig ligegyldigt om det er fordi han forsker i malware eller om han bare gør det for sjov, det er ganske enkelt ulovligt! Derved min påstand om dobbeltmoral, når han benytter ulovlige metoder til at efterforske/undersøge andre der begår ulovligheder.

  • 0
  • 0
Jens loggo

Hvis du endeligt skulle have opstillet en analogi, ville det være noget i stil med at sætte overvågningudstyr op i en lejlighed uden dommerkendelse.

Altså en lejlighed de først skal bryde ulovligt ind i, for at sætte det op. Hans pointe må være, at han begår nogenlunde samme forbrydelse, som dem han jagter.

Vi kan hurtigt blive enige om at der er lovbrud involveret, hvis security-researcheren er en privatperson uden særlige beføjelser

Enhver person uden særlige beføjelser til at bryde ind, må ikke bryde ind, privat person eller ej!

Men "Hvad med alle de gange han rammer en fora som faktisk ikke har gjort noget ulovligt" er en omgang bullshit, de folk der gør det her udvælger deres mål ganske nøje.

Du har en urealistisk forestilling om hvordan sådan noget foregår, og hvor altvidende de kan være. Det er faktisk lige omvendt. De går rigtig mange steder igennem, og kun få giver gevinst.

  • 0
  • 0
Sune Marcher
  • 0
  • 0
Log ind eller Opret konto for at kommentere