Politi til hackere: Arbejd med os

Hvis NC3 gad efterforske på hvad CSC udleverer til amerikanerne, så skulle der nok være "hackere" der ville melde sig under fanen.

Hvis politiet gik efter strafansvar på juridiske personer ift. persondataloven, kunne det jo gøre en helt patriotisk.

Så fik jeg fudet mine game data fra gemmerne og lagt ud som lovet under:https://www.version2.dk/artikel/tusind-franske-hjemmesider-hacket-af-cyberjihadister-76329Jeg skrev tidligereat prblemstillingen var alt for komplex til at beskrive he, så kig på mine forklaringer her:https://wopr.float4you.com/storm.monitor/Som man kan se i bunden er det 5-6 år siden jeg lavede den, og havde den kørende i et par år. Desværre er webmastere lieglade med at de medvirker til spredning af malware, så der var ingen interesse. Typiske argumenter:

• Det er ikke mit ansvar, men mit hostingfirma.
• Jeg kører LAMP(P), så jeg er sikker. Mit håb er nu efter alle disse angreb, at man måske vil være interesseret i en 'rengørig' af webservere.

Bemærk den multiple layer struktur der eksisterer:https://wopr.float4you.com/storm.monitor/rationale.asphvor ethvert lag (i mine øjne) er medansvarlige. Som det fremgår af min side kræver min 'STORM monitor' hosting hos et troværdigt firma. Hvem kan være mere troværdig en selveste Rigspolitiet? Selvfølgelig kommer det an på hvad komissoriet er - forebyggelse eller opklaring ? Økonomisk set koster det ikke mange basører at hoste en sådan service, da den er meget lidt krævende. I er velkomne til at mobbe den gamle, men det er da (for mig) en rar tanke at man er den eneste i verden der angriber nældens rod i stedet for at fjerne topskudddene. Det kunne også være god PR for Rigspolitiet at vi er det første land i verden der GØR noget for at forbygge kriminilatet. Jeg håber på medansvar i fremtiden, så vi kan få et 'rent' internet. Live long and prosper.

Ja dette indlæg er en fortsættelse af en flereårig lang historie, men jeg kunne godt tænke mig at rejse spørgsmålet. Udgangspunktet er webmastere, der kører lamp(p) og tror de er sikre, men i virkeligheden er det den mest udsatte platform. So be it... Men lad mig rejse denne probemstilling: HVIS man er udsat for 'injection', og dermed er 'placeholder' for malicious javascript/malware - er man så medansvarlig for den kriminelle adfærd? Og hvis man er placeholder for intermidiate malicious javascript, er man så medskyldig? Ingen vil i sagens natur indrømme at man har været udsat for disse angreb, men jeg ved at nogle ganske få har indrømmet dengang useet fungerede. Men lad mig sprge samtlige webmastere, incl version2 og ing - holder DU buret rent, og i givet fald hvordan. MVH Stig - velvidende at jeg ikke får svar på dette indlæg.

Jo, det er en historie fra det virkelige liv. Med dette indlæg håber jeg at give lidt forståelse i stedet for at blive anklaget for 'smarte ord uden baggrund'. For en del år siden var der et tilfælde med SQL-injection på en større engelsk avis. Den blev beskrevet her på version2, men jeg husker ikke navnet på avisen, så Google kan ikke hjælpe mig med at finde den. Men det var faktisk den sag der inspirererede mig til at udvide mit 'værktøj' til også at omhandle SQL-injection. Jeg husker ikke detaljerne, men så vidt jeg husker var der tale om et zero-day exploit, som gjorde at den lå uopdaget hen i flere dage, og blev kun opdaget da folk reagerede på træk på deres konti. Hvis man havde brugt mit 'værktøj' ville den vær opdaget ved næste sweep, og inficeringen af de ca. 2 millioner PC'ere kunne være undgået. Endvidere ville man kunne identificere malwaren, og få lavet en 'antivirus' update hurtigst muligt. Jeg håber i forstår at jeg taler om forebyggende kriminalitet, og vigtigheden heraf. Jeg ved godt det er en utopisk drøm, men tænk hvis alle webmastere holdt deres 'bur rent' - så ville vi undgå alle disse malware. Selvfølgelig ville det betyde tab af omsætning for antivirusfabrikanterne, så de er nok ikke interesseret ;-) Godt nytår til alle, og nej - jeg gider ikke p*kmålinger hvor i forsøger at udfordre min viden. Den slags plejer at ende med personangreb.

De vil gerne have deres hackere igen... ;-)

Det er mildest talt underlig måde at søge medarbejdere på: Bruger politiet også indbrudstyve og andre kriminelle som lønnede medarbejdere/konsulenter?

Det virker ikke videre betryggende, at poliet (en offetlig myndighed) ligefrem leder efter folk, der muligvis (eller sandsynligvis) har begået noget (mere eller mindre) kriminelt, med et tilbud om, at de kan gå over til den gode side. Hvis jeg var en skurk, ville jeg da gribe chancen med kyshånd: En mulighed for at lære internt, hvordan systemer kan omgås. (Jeg er også amoralsk ;-) ) Men det kan ikke udelukkes, at der sidder enkelte gode mennesker/ildsjæle, der vil stille viden og ekspertise til rådighed for sagens skyld. Det kan ikke være lønnens.

Desværre får politiet nok ikke meget ud af deres søgning, siden det i dag ikke kræver den helt store viden, men bare lidt købt software (DDOS-angreb in mente) for at lægge større systemer ned. Der hvor det er virkelig kriminelt (og sommetider endda næsten lovligt) er, hvor der flyttes store summer mellem lande, og der kan dansk politi nok ikke rigtigt være med. De kan allerede nu dårligt nok (= slet ikke) stoppe scammere/bedragere, der opererer på tværs af politikredsedsene. Jeg kender til en del sager, hvor intet skete fordi, bedrageren flyttede- eller boede i udlandet.

At sikkerhed i systemer generelt er nedprioriteret, kan vi nok ikke være uenige i, men er det så en politiopgave? Og vil de så arrestere CSC? :-)

Først i 80/90-erne var det enhver hacker/cracker's hedeste drøm at blive "opdaget" og ansat i et stort firma til en fed løn, det skete for meget meget få. Men dem hørte man så des mere om! Resten endte vist bare et ret kedeligt sted med udsigt gennem tremmer...

Mvh Tine- og I ønskes et godt og helsebringende nyt år! Sorry- der gik vist "Djævelens Advokat" i mig.

Jeg husker at et firma som NSA udliciterede til specialist firmaer. I de firmaer befandt eksperterne sig så,- Snowden var vist inde i forretningen på den måde.

Jeg er ikke sikker på at kreative/skæve hjerner tiltrækkes af 8-16 ved det samme skrivebord, med et stift administrativt system og et ledelsels system fra det 18' århundrede.

Jeg så i tv at deres chef var begejstret over sin afdeling,- og jeg er da sikker på at de nok skal finde en 15 årig i ny og næ,- der har portscannet et firma. Det kan altid rapporteres som "en alvorlig handling med store konsekvenser",- så får chefen en medajle og et pensiontrin mere.

Om de også fanger de "tunge drenge" stiller jeg mig mere tvivlende over for.

Men jeg håber jeg tager fejl og undervuderer dem.

Synes målgruppen er noget mystisk. Hackere er i sagens natur nysgerrige mennesker som næsten spontant kaster sig over noget de lige fik lyst til. Ganske ofte drevet af spørgsmålet: om det kan lade sig gøre.

Jeg har svært ved at se hvordan den mentalitet kan fungere inden for politiet. Man kan ikke bare gå igang, men er nød til at vente på en anmeldelse, dernæst skal en chef vurdere om det er en sag som er værd at gå videre med, så skal der sikkert indhentes en dommerkendelse for at kunne foretage sig noget, som sikkert bliver fulgt op af endnu flere dommerkendelser, sikkert alt sammen krydret med en masse møder og bureaukrati som får det hele til at tage vildt lang tid. Og skulle det være på tværs af landegrænser, stopper sagen sikkert der. Tror ikke mange hackere vil finde glæde i den arbejdsgang.

Når det så er sagt, så lyder 90 mand som en god start, taget i betragtning af hvor meget vores samfund er afhængig af IT i dag :)

Først nej - jeg er ikke hacker, men ved hvordan deres adfærd er med at inficere servere (eller hacke om man vil). Lønnen er ikke interessant, da det er min kæphest at 'holde buret rent'. Er der nogen der ved hvor de holder til/kontakt info? Til de interesserede har jeg udviklet et værktøj til at opdage 'indbrud' - ikke forhindre 'indbrud'. For en god ordens skyld vil jeg sige at problemstillingen er alt for komplex til at beskrive her, så 'don't ask'. Hvor har jeg min viden fra?

• været med i 'hardcore' udvikling siden '80
• En kammerat og jeg har 'høstet' og analyseret tusindvis af angrebsforsøg, og giver dermed empirisk viden, herunder 'namogofer' - som, rent ud sagt, er svine-intelligent.

Er simpelthen for ringe, kontra afkastet fra mere lyssky operationer, har jeg ladet mig fortælle. Hvis PET vil tiltrække eksperter, så skal der ekspert-løn på bordet.

Jeg bryder mig ikke om "job annoncen", som skrevet her. Jeg synes baggrunden er fin, men i stedet for at køre en populistisk vinkel med 'hacker'-ordet, så skulle politiet prøve at søge efter nogle rigtige kompetencer indenfor områderne TCP, UDP, IP, MAC, 802.X, BGP, OSPF, Protokoldechifrering, med mere - og betale for det!!!!!. Det andet snik-snak er jo kun til pressen..

Jeg kan godt forstå at politiforbundet forholder sig skeptiske - de skal jo varetage deres medlemmers interesse.

Men når alt kommer til alt så er der vist mere brug for civile IT eksperter end uddannede politifolk til de her sager, faktisk i en sådan grad at man kan undres lidt over at der er brug for hele 50% politifolk ...

Nu mangler vi blot at lære af sagerne. Fra CSC sagen kan der f.eks. drages en masse børnelærdom om fundamental IT sikkerhed.