Teenager står frem: Derfor hackede jeg Version2

17. maj 2013 kl. 16:4033
Natten til fredag blev en sårbarhed på Version2 udnyttet til at sende de besøgende videre til en anden side. Den unge hacker fortæller her, hvorfor han valgte at udnytte hullet frem for at tippe udviklingsafdelingen.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Besøgende på Version2 tidlig fredag morgen fik ikke serveret dagens nyhedsfix, men røg i stedet direkte videre til Shellsec.org - et dansk hackerforum. En ung Version2-læser havde nemlig fundet en sårbarhed på siden og besluttede at sende trafikken videre.

Motivet var angiveligt at gøre opmærksom på sikkerhedshullet, så det ikke blev udnyttet af andre, og samtidig have det lidt sjovt.

Sådan lyder det fra hackeren bag, der i dag kalder sig OxD3ADB33F (Deadbeef) - blot et af ellers skiftende aliasser. Version2 tog en snak med manden bag via chatklienten IRC.

»Sad blot og læste lidt på jeres side og synes generelt I har OK sikkerhed. Så begyndte jeg at lede efter nogle flaws, bare for at se om jeg kunne komme igennem,« skriver Deadbeef på IRC og fortsætter:

Artiklen fortsætter efter annoncen

»Og 20-30 minutter senere fandt jeg den XSS (cross site scripting, red.).«

Som beskrevet i et blogindlæg af Version2’s chef for digitale medier udnyttede personen bag angrebet en sårbarhed i et kalendermodul. Hullet var to år gammelt og ligger i et lokationsfelt, hvor brugere kan skrive tekst, der går rent igennem til forsiden. Det udnyttede Deadbeef til at sende en omdirigering til hackerforummet.

Angrebet af ikke et resultat af en generel scanning af sårbarheder på diverse hjemmesider. Deadbeef kiggede specifikt efter huller på Version2.dk

»Læser tit på jeres side. Det er næsten blevet vane for mig at sikkerhedsteste sider, jeg bruger. Jeg havde prøvet XSS nogle andre steder, og shell upload osv., men I escapede chars fint, og shell kom heller ikke igennem,« skriver Deadbeef og fortsætter:

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Men så stødte jeg lige på det hul. Men nej, det overrasker mig ikke, at jeg kunne komme igennem. Alle har stort set fejl. Det er blot min interesse for sikkerhed og for at tage en udfordring. Jeg gør det aldrig for at ødelægge noget.«

Ifølge Deadbeef har han nuldagssårbarheder til Java liggende, og at han også kunne have udført cookiestealing. Det ville i værste fald have givet en meget større, og værre, effekt af angrebet.

Han kunne dog også have sendt udviklerne på Version2 en mail og gjort opmærksom på hullet. Men det tror Deadbeef, ikke, der var kommet så meget ud af. Derfor ville han ikke tippe udviklerne, men valgte i stedet at udstille fejlen.

»Det er i brugerens interesse at kunne se, hvilken sikkerhed, der bliver kørt med på det site, hvor deres data ligger.«

Han fortæller, at motivationen primært er at sørge for, at de sider, han selv bruger er sikre. Men der er også et element af sjov.

»Men nogle gange sidder vi da også et par stykker og gør det (leder efter sårbarheder på sider, red.) for the lulz. Synes selv, det er lidt morsomt at se alle gå “wtf”. Men det er selvfølgelig det mindste af det.«

Deadbeef siger om sig selv, at han er mellem 17 og 20 år og droppet ud af gymnasiet. Han vil gerne arbejde med it-sikkerhed, men tror ikke på, at gymnasiet og herefter ITU er vejen frem for ham. I stedet læser han mange bøger om sikkerhed og sårbarheder, og derfor tester han også de sider, han besøger.

Han fortæller, at han har overvejet at udnytte sine evner til at tjene penge på det, men at hans moral ikke tillader det.

Artiklen fortsætter efter annoncen

»Hvem ville ikke gerne have lidt ekstra kroner på kontoen? Og så er der min samvittighed. Jeg vil ikke tage 10.000 kroner fra fru Hansen eller stjæle hendes søns Steam-account. Og så kommer der langt større fokus fra politiet hvis man laver f.eks carding - XSS på Version2 er de ikke så interesseret i :)«

Er du ’bare’ en scriptkiddie, eller har du mere at have det i?

»Betragter ikke mig selv som scriptkiddie :D Jeg har styr på, hvad der sker. Jeg bruger ikke tools som jeg ikke ved, hvad gør. Jeg ved alt, hvad der foregår og hvorfor, det sker.,« skriver Deadbeef og fortsætter:

»Jeg koder en del. Bl.a. C, C++, Java, Python, Weblangs. Jeg kan sagtens læse assembly, jeg ved, hvordan diverse exploits fungerer og jeg kan også selv skrive exploits. Buffer overflows string format, off by one, int, u name it :)«

Hvordan forsvarer du moralsk at redirecte siden? (jeg tænker på, at det jo er en professionel medievirksomhed, der baserer sin virksomhed på at have en fungerende hjemmeside)

»Det kan jeg ikke rigtig forsvare, men som jeg også sagde tidligere, så kom der jo fokus på fejlen. Og se hvor glade alle jeres medlemmer blev for at få oplyst at hullet var der ;)«

Deadbeef bekræftede den e-mail-adresse, der blev brugt på den Version2-bruger, der udnyttede hullet, samt oprettelsestidspunktet. Samtidig havde han en beskrivelse af fremgangsmåden. Derfor vurderer redaktionen, at det er overvejende sandsynligt, at det er Deadbeef, der står bag angrebet.

Emner
33 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
29
Michael Christensen
21. maj 2013 kl. 09:51

Det andet bud for Computer etik er under alle tilfælde overtrådt. At foretage redirect af en side, ved at udnytte en fejl er i min optik uetisk.

The Ten Commandments 1.Thou shalt not use a computer to harm other people. 2.Thou shalt not interfere with other people's computer work. 3.Thou shalt not snoop around in other people's computer files. 4.Thou shalt not use a computer to steal. 5.Thou shalt not use a computer to false witness. 6.Thou shalt not copy or use proprietary software for which you have not paid. 7.Thou shalt not use other people's computer resources without authorization or proper compensation. 8.Thou shalt not appropriate other people's intellectual output. 9.Thou shalt think about the social consequences of the program you are writing or the system you are designing. 10.Thou shalt always use a computer in ways that ensure consideration and respect for your fellow humans.

  • more_vert
    • insert_linkKopier link
27
Carsten Svendsen
21. maj 2013 kl. 02:37

Der absolut ingen ære i at hacke et site blot fordi man kan. Til gengæld er der en masse folk der belastes af det og sandsynligvis er der nogle reklameindtægter der går tabt for version2. Jeg læser at hackeren valgte at hacke siden fremfor at fortælle det til version2 fordi "så ville der sikkert ikke ske noget". Ergo en undskyldning for at promovere sit eget navn. Så jeg kan spørge hvor er empatien henne? Hvorfor er det så sørens vigtigt at teste sikkerheden på det her site som hackeren selv nyder at læse? - har han opgivet sine kreditkortoplysninger til version2? Wake the f@#% up. Meld fejlen først og så hvis der ikke sker noget, så begynder det at give mening at lave statements, selvom det ikke lige på v2 giver mening. Der er jo ikke noget seriøs data her. Istedet ødelægges oplevelsen for flertallet. Jesus mand. Som en af drengene fra Copenhagen Suborbitals skrev da de havde fået stjållet messing skruen til ubåden tror jeg det var. Skab dog noget frem for at ødelæg.

  • more_vert
    • insert_linkKopier link
28
Brian Jensen
21. maj 2013 kl. 07:49

Et pc tip: man kan annullere et redirect ved at trykke på ESC. Dvs: til alle dem som mener det er et groft overgreb, version2 har mistet en masse og Deadbeef burde straffes - er i min verden "beep". (Indsæt ord af eget valg her) Version2 fungerede efter hacket, der var ikke fjernet noget på siden, alle bannere blev stadig indlæst, da man først blev redirected da siden var læst så godt som ved 100% indlæst, og det gav alle brugere mulighed for at stoppe det redirect. Der blev ikke stjålet noget, overskrevet noget eller ødelagt noget indhold. Personligt synes jeg det var en god måde at sætte sikkerheden i fokus på et site som læses af mange, der vil betegne sig selv som it-professionelle.

  • more_vert
    • insert_linkKopier link
20
Jens Hansen
19. maj 2013 kl. 17:38

Jeg har valgt at fjerne de små øgenavne, som gør at du virker meget umoden. Jeg ved naturligvis ikke om det er tilfældet, men det er synd at udstille sig selv på den måde.

Det er jo dem vi skal beskytte os imod :) Uden lys bliver det jo bare gemt væk. Men det lader til at du er tilhænger af, at tingene bliver skubbet ind under gulvtæppet. Håber ikke du driver noget som andre mennesker skal bruge. Men nu jeg er oppe skal jeg da nok lede efter det ;)

Der kan kastes lys på ting, uden at udnytte dem. Om udnyttelsen så er skadelig eller ej, så er det ikke i orden. Havde du skrevet en e-mail til Version2 og ikke fået svar i en uges tid, jamen så fair nok, du har gjort noget for at gøre opmærksom på problemet uden at forvolde skade. Er det sket på den måde, så undskyld på forhånd.

Burde de ikke det, nu det er en bog om exploitation eller er jeg helt væk fra vinduet ?. Har læst den. Fin bog iøvrigt.

Jeg ved ikke hvor fra vinduet du står, men jo du har ret. Det var sådan set ikke møntet på dig, men flere af de kommentare som var skrevet, hvor folk gav udtryk for at vi havde at gøre med en ny stor-hacker. Det var for at sætte ting i perspektiv i forhold til hvad du egentlig har gjort og hvor let det er.

Jeg er enig i din betragtning af bogen, selv om den er meget overfladisk.

Så alle med skills skal være med i pwn2own...

Jeg påstår ikke at alle med "skills" skal deltage i pwn2own. Jeg siger , i forhold til din kommentar om penge på kontoen ("Hvem ville ikke gerne have lidt ekstra kroner på kontoen?"), at udbetalingen til den konkurrence er blandt de største for bug bounties. Er man tilpas dygtig, kan man tjene i nærheden af $200k for nogle måneders arbejde.

Du kan godt være en god løber uden at vinde VM ;)

Ja, men de som er gode nok, stiller som regel op.

Det er fint at du har en interesse. Jeg mener også at du kan nå langt uden en uddannelse, det kender jeg flere som er.

Der findes rigtig mange steder, som vrimler med opgaver du kan begynde på. shell-storm.org har et rigtig stort repo med opgaver fra forskellige konkurrencer.

  • more_vert
    • insert_linkKopier link
24
Hans-Michael Varbæk
20. maj 2013 kl. 07:23

Bugcrowd er også en mulighed <a href="http://bugcrowd.com/">http://bugcrowd.com/</a&gt;

Tak for linket, har selv været en af Hatforce's primære testere (de har dog ændret forretningsplan), og har tænkt lidt på at tjene flere "lette" penge igen et stykke tid.

Jeg har et par gange kigget på Facebook, Google og PayPal, men deres sider er allerede blevet testet ekstremt mange gange, så chancen for at finde noget der er meget mindre end hos firmaer der crowd-sourcer deres "penetration tests".

Der var dog et tidspunkt hvor jeg fandt en mindre fejl på et af Google's domæner, men det sagde de ikke var et problem. Seks måneder senere lavede de et "silent fix" hvilket jeg blev en smule irriteret over, da de i det mindste kunne have puttet mig på deres Wall of Fame. (Pengene kunne være ligemeget i det her tilfælde, men når de afviser min idé om at optimere deres sikkerhed på et punkt fordi der er et potentielt sikkerhedshul, som endda blev udnyttet på det tidspunkt, og de så vælger at lukke det uden at give credit "where credit is due", så er det jo noget pjat. Men det er jeg kommet over (på trods af jeg dog lige har brokket mig her), så det er en af grundene til at jeg ikke gider teste deres hjemmesider.)

Men kan helt klart anbefale crowd-sourced penetration tests hvis firmaet bag ved rent faktisk betaler når du finder et sikkerhedshul og du er den første til at finde det. Det er lette penge til ny computer, fest, mad, osv. hvis du "for sjov" bruger mellem 5 minutter til en time på at tjene 200$ legitimt.

  • more_vert
    • insert_linkKopier link
25
Jens Hansen
20. maj 2013 kl. 12:18

[qoute]Der var dog et tidspunkt hvor jeg fandt en mindre fejl på et af Google's domæner, men det sagde de ikke var et problem. Seks måneder senere lavede de et "silent fix" hvilket jeg blev en smule irriteret over, da de i det mindste kunne have puttet mig på deres Wall of Fame[/qoute] Det er der desværre flere som har oplevet. Google kan afvise med henblik på, at andre har rapporteret problemet tidligere, hvilket er ret svært at bevise ikke er sandt. Det samme gør sig gældende for crowd-sourcing penetration testing firmaer.

  • more_vert
    • insert_linkKopier link
18
Joe Sørensen
19. maj 2013 kl. 12:46

Lige som jeg er stolt på version2's vegne fordi de offentlig stod frem med en forklaring, så synes jeg også at OxD3ADB33F burde gøre det rigtige og rense sit navn.

Fx. ved at gå til politiet og forklarer at han har gjort hærværk imod en medie virksomhed. Jeg tror ikke dette vil give nogen plet i strafattesten. Højst til et officielt erstatningskrav fra Version2, som sikkert kan forhandles. Alternativt kan han gå direkte til Version2 og præsenterer som undskyldning personlig. Derefter vil dit navn være renset. Og jeg tror ikke Version2 vil stille op mere end 4 cifret erstatningskrav.

Man kan ikke være professionel og samtidig bange for stå offentlig frem med navn og billede. Vi har prøvet gøre noget ulovligt, men hvis man vil være professionel forsøger man ikke at gemme sig, når man gør noget forkert.

Og jeg kunne også tænke mig at vide hvordan politiet egentlig vil reagere på henvendelsen. :-)

  • more_vert
    • insert_linkKopier link
19
Baldur Norddahl
19. maj 2013 kl. 12:57

Og jeg tror ikke Version2 vil stille op mere end 4 cifret erstatningskrav.

Det er ret tydeligt at Version2 slet ikke vil anmelde manden og dermed er der ingen politisag, ingen straffesag, intet erstatningskrav og intet at komme efter.

Man kan også debattere hvad forbrydelsen egentlig består i. At hacke er noget med at skaffe sig uretmæssig adgang til et computersystem. Det har han ikke gjort. Han har end ikke stjålet cookie informationer og hvad der nu ellers har været oppe at han kunne have gjort.

Det kan måske sammenlignes med grafitti med den forskel, at grafitti kan være ganske bekostelig at slippe af med igen. Version2 har med garanti ikke brugt mere end et par minutter på at rydde op efter det her.

Så kan man undersøge om der er tale om tabt indtjening på grund af aktionen. Men det er søgt - Version2 har formodentlig ikke mistet en eneste læser og artiklerne er formodentlig blevet læst af præcis ligeså mange som ellers.

Derfor er det også mest logisk at Version2 vælger at sige at vi synes ikke det var ok, men vi går ikke videre med sagen.

  • more_vert
    • insert_linkKopier link
21
Jesper Lund
19. maj 2013 kl. 18:02

Det er ret tydeligt at Version2 slet ikke vil anmelde manden og dermed er der ingen politisag, ingen straffesag, intet erstatningskrav og intet at komme efter.

Det er ikke korrekt. Politiet kan godt vælge at efterforske sagen uden en anmeldelse fra Version2. Efter det oplyste i artiklen er der næppe nogen tvivl om at der er sket en lovovertrædelse.

Et sted at starte kunne være at bede Microsoft om at udlevere de IP adresser som har brugt outlook.com kontoen nævnt i kommentarsektionen. Microsoft gemmer frivilligt disse oplysninger. Microsoft kan efter amerikansk ret udlevere disse oplysninger uden en dommerkendelse (warrant).

I følge Microsofts egen transparancy rapport, besvarede Microsoft i 2012 henvendelser fra dansk politi om ca. 230 brugere af Microsoft tjenester inklusive Skype. Der blev udleveret non-content information som IP adresser om ca. 200 brugerehttp://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/

Med en IP adresse fra Microsoft, kan politiet derefter gå til den danske internetudbyder, som efter logningsbekendtgørelsen § 5 stk. 2 skal gemme oplysninger om hvem der har brugt en given IP adresse i et år.

Hvis man ønsker at bruge en Microsoft email konto anonymt, skal man huske VPN eller TOR hver eneste gang for at bryde sporbarheden.

Som Bruce Schneier skriver her, går det nogle gange galt for selv de mest professionelle XYZ'erehttp://edition.cnn.com/2013/03/16/opinion/schneier-internet-surveillance

XYZ kan i denne sammenhæng være hackere, whistleblowers, advokater, journalister, aktivister, ægteskabsforbrydere som David Petraeus, og andre som har behov for anonymitet, noget som bliver stadigt sværere og sværere på internettet.

Hvis man tror på denne privacy policy, vil Lavabit alt andet lige være et bedre valg end Outlook.com (aka Hotmail)http://lavabit.com/privacy_policy.html

Men intet er sikkert på internettet, hvis man vil beskytte sin anonymitet. Selv hvis Lavabit ikke logger IP adresser når brugerne tilgår deres konto (som de skriver at de ikke gør), kan andre gøre det, f.eks. NSA.

  • more_vert
    • insert_linkKopier link
26
Baldur Norddahl
20. maj 2013 kl. 12:32

Det er ikke korrekt. Politiet kan godt vælge at efterforske sagen uden en anmeldelse fra Version2. Efter det oplyste i artiklen er der næppe nogen tvivl om at der er sket en lovovertrædelse.

Med få undtagelser (voldssager og lignende) så forfølger politiet ikke sager uden medvirken fra det påtænkte offer. Ellers risikerer de at Version2 tropper op til retssagen og erklærer at ved nærmere eftertanke, så mener de at det var helt ok og bare en velkommen penetration test. Eller det kan tilmed vise sig at det hele var aftalt spil og artiklen er falsk (det vil ikke være ulovligt!). Så bliver manden næppe dømt og en masse ressourcer er spildt.

Det centrale i den slags sager er at det er Version2 der bestemmer om de er et offer. Derfor er det nødvendigt med en anmeldelse fra Version2, for indtil da er der ikke nogen forbrydelse at efterforske.

  • more_vert
    • insert_linkKopier link
17
Hans-Michael Varbæk
19. maj 2013 kl. 11:57

Uddannelse? Det får man ikke overdrevet meget ud af indenfor IT-sikkerhedssektoren , men en bachelor indenfor "computer science" eller lignende skader ikke hvis man vil arbejde i udlandet (det hjælper især når man skal ansøge om forlænget visum). Man kan dog sagtens, få job uden nogen længere uddannelse og gymnasie hvis man spiller sine kort rigtigt (og etisk).

En kortere (eller længere) videregående uddannelse enten med eller uden gymnasie/htx/hhx er en god idé at have, så man har en basis. Hvis man dog har gymnasie/htx/hhx hjælper det en del i DK (indenfor IT-branchen generelt), men ikke særligt meget i udlandet. (Der tæller universitet og uddannelser højere. Gymnasie/htx/hhx er forholdsvist irrelevante når det kommer til IT-sikkerhed, hvis man allerede har godt styr på Dansk og Engelsk.)

Det vigtigste når/hvis man vil arbejde med IT-sikkerhed i udlandet er ens Engelsk kundskaber, da man skal kunne skrive en rapport der giver mening, ofte på teknisk niveau men også "executive" niveau. Lige efter Engelsk, kommer IT-sikkerheds kundskaber, hvor der i udlandet ofte bliver lagt vægt på "Web Application Security", dvs. at man ved hvordan man angriber med XSS og SQL Injection, File Inclusion (LFI/RFI), RCE (Arbitrary execution of code/commands), osv. Det kræver selvfølgelig også at ens straffeattest er ren. (At man kan finde 0days er et plus.)

Sidst men ikke mindst indenfor IT-sikkerhed, er jeg ofte blevet spurgt til interviews (i udlandet, f.eks. England) om hvordan en "penetration test" foregår. Det handler kort sagt om "methodology" og det er også et vigtigt punkt at kunne, på trods af at der ikke er særligt meget at lære indenfor det felt, udover at man altid kan blive bedre/mere effektiv.

Jeg arbejder som sikkerhedskonsulent (penetration tester) i udlandet og har gjort det i lidt over et år, og kan kun sige at der er gang i industrien især i England, USA og Australien.

Micki Pedersen:

Du har fået opmærksomhed for at XSS-scripte et site som mange IT-professionelle læser daglig. Det er i sig selv lidt en sentation at du tilsyneladende er den første til at finde pågældende hul (omend det virker til at være rimelig klassisk).

Den første? Ja til at finde et sikkerhedshul i kalenderen. For flere år siden før mr. 0xD3ADB33F syntes det kunne være sjovt at lege med XSS på Version2, hjalp jeg Version2 med at lukke lignende sikkerhedshuller, men gav til sidst op. Fordi hver gang ny funktionalitet blev tilføjet var der ofte et nyt sikkerhedshul med i posen. Til gengæld "defacede" eller "redirectede" jeg dog ikke. Det er kun blackhats og script kiddies som bruger "defacements" og "forced redirects" (eller hvad I nu vil kalde dem).

  • more_vert
    • insert_linkKopier link
11
Slettet bruger
18. maj 2013 kl. 00:47

Magnus Jørgensen, Karsten Hansen, Max Tobiasen, Lars Lundin: Jeg begriber ikke hvorfor I er så positivt indstillet overfor knægten!

Her er mine indtryk efter at have læst artiklen:

  • Hans holdning om at han gør os alle en tjeneste ved at udstille sårbarheder er rigtig usund. Det er utroligt naivt af ham at tro han ikke har skadet noget. Han har i høj grad skadet Version2s goodwill. Holdningen minder om knægtene der DDOS'ede NemID som en "tjeneste" for os "inden rigtige hackere gjorde det". Jeg tror deres naivitet har kostet os mange skattekroner. Jeg tror også den har skadet vores branches image. Hvordan skal folk uden IT-kundskaber kunne stole på den software vi skaber, når medierne blæser nyheder op og får til at lyde som om folks formuer er frit tilgængelig for hackere?

  • Han kan ikke formulere sig sprogligt. Han gemmer sig bag leetspeak og smylies. Vil I have en medarbejder ansat der ikke kan kommunikere ordentligt? Hvis han ikke engang kan skrive på sit modersmål, så har jeg i øvrigt heller ikke meget håb for at han kan komme til at skrive pæn kode.

  • Gymnasiet er altså ikke rocket science. Hvis han ikke engang har selvdisciplin nok til at kunne klare det, og ikke har indset at han får mange sociale kompetencer af at gå i skole, så synes jeg han lyder som en meget ensidig person. Jeg synes også det er også utroligt naivt at tro, det eneste han behøver, er lidt bøger om IT sikkerhed. Hvis han nu kunne klare gymnasiet, og derefter en uddannelse, så ville han vinde nogle vigtige kompetencer i at arbejde i grupper med andre mennesker. Den slags er nødvendigt i den virkelige verden.

  • Version2 glorificere ham uberettiget ved at stille dårlige spørgsmål: "Er du ’bare’ en scriptkiddie, eller har du mere at have det i?". Det er et ladet spørgsmål, og de får det til at lyde som om det er en god ting at være god til at ødelægge software.

  • more_vert
    • insert_linkKopier link
13
Benny Lyne Amorsen
18. maj 2013 kl. 01:24

Det er utroligt naivt af ham at tro han ikke har skadet noget. Han har i høj grad skadet Version2s goodwill.

Version 2 havde et sikkerhedshul. Hvis Version 2's goodwill er baseret på en løgn om at der ikke findes sikkerhedshuller fordi de bliver lukket i stilhed, så er det da netop et tegn på at vi er i en syg branche.

Holdningen minder om knægtene der DDOS'ede NemID som en "tjeneste" for os "inden rigtige hackere gjorde det".

Hvis Danmark en dag roder sig ind i en ny udenrigspolitisk krise, så er det rimeligt hensigtsmæssigt at vores samfundsstruktur ikke bare lægger sig fladt ned. Ellers bliver det i al fald vanskeligt at fortsætte med en aktivistisk udenrigspolitik. Uden DDoS-angrebet havde NemID ikke foretaget sig noget som helst.

Jeg tror også den har skadet vores branches image. Hvordan skal folk uden IT-kundskaber kunne stole på den software vi skaber, når medierne blæser nyheder op og får til at lyde som om folks formuer er frit tilgængelig for hackere?

De ER jo frit tilgængelige for hackere. Se f.eks. Nordea. Vi kan kun forbedre vores branches image ved rent faktisk at levere sikre produkter, ikke ved at lægge røgslør ud.

Du er voldsomt bekymret for at hr og fru Danmark skal opdage hvor grelt det står til. Lad os hellere sørge for at løsninger i fremtiden ikke kan lægges ned eller misbruges, så der ikke er noget at skrive om. Det ER muligt at gøre kode sikker. Selv Sendmail har ikke haft et CVE i lang tid.

Det er et ladet spørgsmål, og de får det til at lyde som om det er en god ting at være god til at ødelægge software.

Gode testere hænger ikke på træerne.

  • more_vert
    • insert_linkKopier link
9
Jens Hansen
17. maj 2013 kl. 22:26

Det er hamrende naivt at tro, at bare fordi knægten har fundet et persistent xss er han i stand til at arbejde med it-sikkerhed. Bare fordi han efterfølgende name dropper en række typiske sikkerheds problemer, jamen for søren. De fleste af dem står på de første 2-3 sider i "Art of Exploitation".

Jeg synes det er synd at der kastes så meget lys på slynglerne, det er blot mere benzin på deres ego-bål. Hvis han kan noget, så synes jeg han skal bruge de næste 11 måneder med lidt research og deltage ved næste pwn2own med exploits til fire store browsere, så slipper han for at røve fru Hansen og hendes søn og opnår den fame han ønsker.

  • more_vert
    • insert_linkKopier link
10
Pelle Söderling
17. maj 2013 kl. 22:49

Enig Jens - der er tale om en af de nemmeste exploits man kan udnytte og de fleste større sites har denne slags sårbarheder hvis man leder grundigt nok. Det er ikke noget der kvalificerer til et job i sikkerhedsbranchen, isåfald kan de formentlig hyre de fleste 13-14 årige knægte som interesserer sig blot en smule for IT.

Det eneste der er en smule pinligt her, er at v2 har glemt at lave et banalt inputtjek og at hullet ikke er blevet opdaget af udviklingsafdelingen eller QA i 2 år tilsyneladende, men shit happens og jeg skal ikke selv spille for hellig her - efter at have arbejdet for nogle af de største sites i DK har jeg set til min andel af XSS exploits, det lærer man af.

  • more_vert
    • insert_linkKopier link
5
Max Tobiasen
17. maj 2013 kl. 20:50

Deadbeef - jeg formoder at du læser det her. Du virker som en talentfuld fyr, og vil formentlig passe godt ind i sikkerheds branchen. Prøv at skrive en mail til Thomas Ptacek. Han er en svinedygtig sikkerheds researcher og plejer gerne at ville snakke med talentfulde mennesker der vil ind i branchen. Han er også founder af Matasano security. (http://matasano.com/#overview)

Se hans hacker news profil her, hvor du kan læse hans kommentarer og danne dig et indtryk: https://news.ycombinator.com/user?id=tptacek

Det ville være synd at lade sådan et talent gå til spilde :-)

  • more_vert
    • insert_linkKopier link
13
Micki Pedersen
18. maj 2013 kl. 03:29

Kære Deadbeef,

Du har fået opmærksomhed for at XSS-scripte et site som mange IT-professionelle læser daglig. Det er i sig selv lidt en sentation at du tilsyneladende er den første til at finde pågældende hul (omend det virker til at være rimelig klassisk). Når cadeau'en (og kritikken) har lagt sig, vil jeg foreslå at du bruge dine evner til at rådgive og forebygge mere seriøse foretagender, så ondsindede ikke kommer dem i forkøbet.

Dine evner til at se (u)sikkerhedsmæssige sammenhænge vil bane din karriere. Dyrk det og din nysgerrighed - men vær en whitehat (hvis det begreb altså stadig findes)

Tag kontakt til firmaer som nsense.net. De har en dansk afdeling og lever af typer som dig. Der kan du få lov til at hacke på lovlig vis, til gavn for Danmarks største virksomheder.

Og som andre også nævner i tråden; sørg for at operere på den rette side af loven fremover. Det er fair nok at det 'kriller i fingrene' men det er en for stor risiko at løbe set i lyset af at du kan leve fedt at dit virke som 'hacker' på lovlig vis, hvis du griber det rigtig an.

  • more_vert
    • insert_linkKopier link
7
Lars Kr. Lundin
17. maj 2013 kl. 22:00

Og videre:

Jeg tror det vil være en rigtig god ide hurtigst muligt at få kanaliseret den talentfulde indsats over på den rigtige side af loven.

Du skal kun blive taget i at lave een fejl, så har du en dom hængende over hovedet, hvilket vil afskrække mange seriøse arbejdsgivere.

  • more_vert
    • insert_linkKopier link
8
Kenneth Stick
17. maj 2013 kl. 22:15

I bør ikke give ham gode råd, han burde gå til politiet og tage den straf han fortjener det han gjorde var forkert og ulovligt.

det er ligemeget hvor gode han er hvis han bruger sine evner på en ulovlig måde, skal han tage sin straf og ikke få gode råd.

  • more_vert
    • insert_linkKopier link
23
Jesper Hedemann
19. maj 2013 kl. 20:52

Re: til deadbeef
I bør ikke give ham gode råd, han burde gå til politiet og tage den straf han fortjener det han gjorde var forkert og ulovligt.</p>
<p>det er ligemeget hvor gode han er hvis han bruger sine evner på en ulovlig måde, skal han tage sin straf og ikke få gode råd.

Går du selv til politiet og tage din straf, hvis du gør noget ulovligt? går over for rødt, køre for stærkt, smider med affald, kører uden cykellygter osv. Come on, Kenneth gør du selv det, hver gang du gør noget ulovligt ?

Han har jo ikke ødelagt noget, som han sikkert kunne havde gjort, eller det skulle måske lige være, version2's besøgstal i fredags.

  • more_vert
    • insert_linkKopier link
14
Lars Bjerregaard
18. maj 2013 kl. 08:03

I bør ikke give ham gode råd, han burde gå til politiet og tage den straf han fortjener det han gjorde var forkert og ulovligt.

Fair nok men, hvad nu hvis det var din egen søn? Ville du så ikke lige give ham et par gode råd med på vejen? Hvad nu hvis du faktisk var i en position, hvor du kunne give et ungt menneske præcis den smule vejledning han har brug for, for at få max. ud af sit talent og sit liv, med minimum af skade for andre til følge? Mon det så ikke alligevel var en god ide at prøve at opdrage lidt? Straf er der nok af i verden, vi skal også lige huske det med belønning. Andre gode folk i denne tråd prøver at vise Deadbeef at der potentielt er nogen gulerødder der dingler derude foran ham. Det synes jeg personligt er mere konstruktivt. Det med straf skal nok komme helt af sig selv, hvis der er brug for det.

  • more_vert
    • insert_linkKopier link
15
Kenneth Stick
18. maj 2013 kl. 08:25

For det først er jeg 18 har tænker ikke på at får børn lige nu, men hvis nogle jeg holdtes af gjorde noget ulovlig som det her ville jeg råde dem til at melde dem selv, fordi det er det eneste rigtige at gøre.

Men efter han har taget sin straf ville jeg også prøve at hjælpe ham men ikle før, vi lever i et retssamfund og at i ikke vil have at han bliver straffet viser at i er imod dette retssystem.

  • more_vert
    • insert_linkKopier link
31
Frithiof Andreas Jensen
21. maj 2013 kl. 16:11

... fordi det er det eneste rigtige at gøre.

Ja ... I et alternativt univers, hvor tingene fungerer helt efter hensigten (og alle forstår lovgivningen samt dens utilsigtede konsekvenser), måske!

Inden man påkalder "systemets" interesse bör man väre klar over at det indeholder mange aktörer og instanser, som alle skal retfärdiggöre deres fortsatte eksistens "opadtil", hvilket medförer at selv banale forhold hurtigt kan eskalere til noget som permanent ändrer livforlöbet hos de som bliver trukket igennem maskinen.

I det konkrete tilfälde: Sandsynligvis en betinget dom, ransagning og konfiskation af IT-udstyr, givetvis et erstatningskrav i 200 kKR's-klassen med omkostningerne til retssagen lagt oveni kombineret med ingen mulighed for at betale fordi med en plettet straffeattest får man intet arbejde, ikke engang som flaskedreng!

  • more_vert
    • insert_linkKopier link
32
Hans-Michael Varbæk
22. maj 2013 kl. 03:21

fordi med en plettet straffeattest får man intet arbejde, ikke engang som flaskedreng!

Du kan stadigvæk godt arbejde i en del aktiveringsprojekter ifbm. kommunen og hos nogle håndværker firmaer og lignende. Men du har ret i at en plettet straffeattest betyder at det gør det meget mere svært at finde job, i Danmark.

  • more_vert
    • insert_linkKopier link
4
Slettet bruger
17. maj 2013 kl. 20:05

Med det tydelige talent og den vilje forstår jeg virkelig ikke hvorfor, ingen sikkerheds virksomheder i dagens danmark er interesseret i at tage sådan nogle typer i lære. De mangler jo blot de korrekte rammer for at udvikle deres potentiale til noget positivt.

  • more_vert
    • insert_linkKopier link
2
Magnus Jørgensen
17. maj 2013 kl. 19:01

Jeg synes da at Deadbeef skulle tage at lave en enkeltmands virksomhed og tilbyde sin kunden som en service til dem der vil have checket sikkerheden af deres hjemmeside. Hvis der er penge i det kunne han ansætte nogle af sine venner og få gjort deres drengestreger til noget produktivt.

Eventuelt kunne foretagendet være et godt studie job imens han tager en eller anden uddannelse der måtte passe ham. Det lyder som om han synes at det officielle uddannelses system er noget tidsspilde, så han kunne jo nøjes med en bachelor uddannelse.

  • more_vert
    • insert_linkKopier link
3
Pelle Söderling
17. maj 2013 kl. 19:56

Hvis man synes det officielle uddannelsessystem er tidsspilde (hvilket jeg ikke er fuldstændig uenig i) synes du så ikke 3 år på en bachelor er temmelig lang tid at spilde? :-)

  • more_vert
    • insert_linkKopier link
1
Pelle Söderling
17. maj 2013 kl. 16:54

Det er meget rart når man sådan selv kan stå for at generere dagens nyheder hva? :) Og nu fik I så tilmed også lavet det interview som det blev joked med ville komme :-)

  • more_vert
    • insert_linkKopier link