Hacking, hacking og hackerkultur.

Formålet med dette indlæg er at understrege vigtigheden af at hackerværktøjer som Kali Linux http://kali.org og Metasploit http://www.metasploit.com/ fortsætter med at være frit tilgængelige. Faktisk vil jeg anbefale at alle wanna-be hackere ser på disse - men gør det under kontrollerede forhold.

Inden vi kommer til det vil jeg dog godt lige starte indlægget med det jeg har sagt i mange år - for at sikre at alle forstår det.

Hacking is breaking into systems

Du er dum det hedder "cracking", start flames, rinse - repeat

Det korte svar - drop diskussionen. Det er ikke produktivt at kæmpe mod vindmøller. Det havde oprindeligt en anden betydning, men medierne har taget udtrykket til sig - og idag har det begge betydninger.

De fleste i offentligheden, specifikt politikere vil bruge ordet hacker om en der bryder ind i systemer! Det er en helt korrekt brug af ordet og den kamp blev tabt tilbage i start 1990'erne. Hvis du er født efter 1990 og gerne vil følge op på dette kan jeg anbefale bøgerne:

  • Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage, Clifford Stoll
  • Hackers: Heroes of the Computer Revolution, Steven Levy
  • Practical Unix and Internet Security, Simson Garfinkel, Gene Spafford, Alan Schwartz

Hacking is good

Hacking i den gamle betydning lever stadig og specielt maker kulturen og hackerspaces har gjort en masse for den gode hacking, som af nogle kaldes tinkering. Søger man eksempelvis på google med "hacking tinkering" finder man mange referencer til spændende projekter som involverer loddekolber, syning, Arduino, elektronik og programmering.

Der findes altså en subkultur, en stor og hastigt voksende, som identificerer sig med hacking - forstået som nogen der undersøger ting, ændrer ting og laver spændende ting. Dette ligger tæt op ad den oprindelige betydning. Typisk henviser jeg til http://hacking.dk/, hvor Peter Makholm har oversat fra the Jargon File

Eric Raymond, der vedligholder en ordbog over computer-slang (The Jargon File) har blandt andet følgende forklaringer på ordet hacker:
* En person, der nyder at undersøge detaljer i programmerbare systemer og hvordan man udvider deres anvendelsesmuligheder i modsætning til de fleste brugere, der bare lærer det mest nødvendige * En som programmerer lidenskabligt (eller enddog fanatisk) eller en der foretrækker at programmere fremfor at teoretiserer om det * En ekspert i et bestemt program eller en der ofter arbejder med eller på det; som i "en Unixhacker".

Kilde: http://hacking.dk/ efter engelsk http://www.catb.org/~esr/jargon/html/H/hacker.html

Vi har altså mulighed for at tale om hacking som noget godt, folk der lærer og deler viden. Faktisk vil jeg mene at hacking på denne måde er en ekstremt vigtig læringsmetode. Man skiller ting ad, forstår hvordan de virker og laver nye ting. Ligesom Lego er hacking essentielt og emner indenfor programmering, algoritmer, elektronik burde være pensum i folkeskolen.

Alle burde prøve at lodde et stykke elektronik, fordi vi allesammen bruger elektronik i hverdagen, ligesom enhver billist skal kunne checke olie og dæktryk. Det er ekstremt nyttigt at vide mere om hvordan ting virker idag, og ikke bare være bruger. Jeg er derfor mægtigt stolt over at min søn på 14 år jævnligt kommer i Labitat i Kbh https://labitat.dk/ (som nu kalder sig et makerspace fremfor hackerspace ).

Hvis du vil vide mere om hacking på denne måde, så søg efter maker culture, 3D print, DIY, og kig på sites som http://hackaday.com/ Find dernæst dit lokale hackerspace/makerspace og besøg dem en eftermiddag til noget nørderi.

hacking og positive effekter

Nu hvor jeg kort har opridset hacking (ultra kort, FUT diskussioner om ordet til /dev/null) vil jeg gerne nå frem til hovedemnet i dette indlæg. De positive effekter ved at flest muligt kender til hacking - teknikker til indbrud i systemer.

Det er essentielt at man kender sig selv og fremfor at citere Sun Tsu som der ofte gøres vil jeg citere Dan Farmer og Wietse Venema fra 1993:

»Knowing why something is a problem is, in our opinion, the real key to learning and to making an informed, intelligent choice as to what security really means for your site.«

Kilde Conclusion på artiklen: Improving the Security of Your Site by Breaking Into it
http://www.fish2.com/security/admin-guide-to-cracking.html

Siden dengang har jeg vidst at man kan forbedre sin sikkerhed voldsomt ved at fokusere på IT-sikkerhed - fra den anden side. Spoler man gennem årene har hacking altså fået en mere åben tid, hvor man delte information om hackerprogrammer, teknikker, password cracking og alt det andet. Konferencer som Defcon og andre har årligt demonstreret sikkerhedsproblemer i kendte operativsystemer, browsere og andre programmer som vi dagligt bruger.

Full disclosure blev et meget omdiskuteret emne og idag er der stadig en vis konsensus om at man kan offentliggøre værktøjer der kan bryde ind i systemer, selvom nogle af disse med få ændringer kan misbruges. Inden vi havde full disclosure var der ikke ret meget sikker programmering - omkring 2000. Microsoft Windows 2000 Server havde over 50 angreb som virkede direkte ud af boxen efter install, fordi alt var slået til.

Gennem årene har nem adgang til hackerværktøjer demonstreret behovet for bedre sikkerhed. Vi har set at eksempelvis Microsoft med deres initiativer og Security Development Lifecycle har vendt deres sikkerhed omkring. Idag udgiver microsoft programmer og operativsystemer med væsentlig forbedret sikkerhed fra starten af.

Åbenhed om IT-sikkerhedsproblemer er således første skridt til at løse dem.

Bug bounty

Da full-disclosure blev hot var det typiske mønster at en sikkerhedsgruppe fandt en sårbarhed i et program og udviklede et exploit, et program der kunne udnytte sårbarheden. Dette blev overdraget til udgiveren af det pågældende software og på et tidspunkt blev der udsendt en rettelse til programmet (patch/opdatering). Dette virkede fint sålænge det ikke tog for lang tid at udvikle exploits og finde sårbarhederne.

Sidenhen er det blevet et større arbejde at finde sårbarheder, fordi programmer er blevet bedre (godt!), og en sikkerhedsgruppe skal derfor idag investere mere tid og flere ressourcer for at finde sårbarhederne. Det kan sagtens tage uger at finde sårbarheder, undersøge baggrunden, og beskrive det til leverandøren. Heldigvis er der efterhånden mange bug bounty programmer der betaler for fejl (bugs). Det ser jeg som en god ting, for det betyder at man kan rapportere til eksempelvis Microsoft og få penge for det.

Mitigation Bypass Bounty. Microsoft will pay up to $100,000 USD for truly novel exploitation techniques against protections built into the latest version of our operating system (Windows 8.1 Preview). Learning about new exploitation techniques earlier helps Microsoft improve security by leaps, instead of capturing one vulnerability at a time as a traditional bug bounty alone would. TIMEFRAME: ONGOING

Kilde: http://www.microsoft.com/security/msrc/report/bountyprograms.aspx

Uden disse programmer ville sårbarheder kunne sælges og udnyttes af kriminelle. Nu skal vi ikke tro at det udrydder al kriminalitet, og der vil være kriminelle som istedet vil forsøge at udnytte deres fundne sårbarheder i det skjulte, eller sælge til andre kriminelle. Heldigvis kan man også risikere at andre ser en sårbarhed, og skynder sig at indkassere pengene, så i det store hele er bug bounty et gode.

Open Source exploits og hackerværktøjer

De fleste kender efterhånden begrebet open source, men specielt indenfor hackerværktøjer giver open source mig en stor fordel, fordi jeg selv kan bruge værktøjerne aktivt. Jeg skal ikke stole på et binært program med et exploit, som kan indeholder skadelig kode. Jeg kan demonstrere værktøjerne og dermed overbevise andre om vigtigheden af at implementere sikkerhedsforanstaltninger, OG de kan selv bagefter forvisse sig om at sikkerhed er som forventet.

Open source og muligheden for at diskutere sikkerhed åbent er essentielt for at kunne forbedre sikkerheden. Jeg holder jævnligt foredrag i samarbejde med PROSA hvor der er 50-60 deltagere som efter 3-4 timers foredrag og snak over en sandwich har fået inspiration og værktøjer til helt konkret at forbedre IT-sikkerheden i Danmark.

Desværre blæser der indimellem vinde som antyder at forbud mod hackerværktøjer vil forbedre sikkerheden, hvilket jeg er direkte modstander af. Vi behøver blot at se hvordan politiet idag med alle midler forsøger at dæmme op for brugen af skydevåben.

Så et forbud mod IT-værktøjer som kan bruges til hacking vil ikke mindske problemet, men vil til gengæld gøre det svært for dem som skal beskytte systemer mod hacking at gøre det effektivt. Bemærk at hackergrupperne er eksperter i at dele informationerne og har mange ressourcer, mens den almindelige IT-administrator IKKE har ret mange ressourcer.

Et forbud vil gøre det usandsynligt at en IT-administrator i Danmark kan være bare nogenlunde opdateret indenfor disse kritiske områder.

Til information foregår denne diskussion over hele verden og i Tyskland har man indført straffelovsparagraffen StGB §202c som er meget omdiskuteret, fordi den er vagt formuleret og kan dække over hackerprogrammer. Når man kan bruge selv en browser som hackerprogram er enhver diskussion om at gøre hackerprogrammer ulovlige i min optik idioti.

Den slags må vi kæmpe imod med alle midler, hvis det foreslås i Danmark, eller EU. Jeg spurgte faktisk sidste år Wietse Venema, som udgav SATAN værktøjet helt tilbage i 1995, om Metasploit. The questions is basically - whats your take on Metasploit - does it hurt security or improve it?

"I think it helps white hats more, if only to convince non-technical
people that a bug is exploitable.

Wietse"

og det er netop fordelen. NÅR man har et værktøj i høj kvalitet som man kan bruge, så er det nemmere at overbevise andre om at det er reelle problemer. Det er samtidig nødvendigt at efterprøve at sikkerhedsforanstaltningerne rent faktisk ER sat op som forventet.

Penetrationstest er praktisk efterprøvning af sikkerheden, og nødvendigt i dagens Danmark. Hvis du tror du ikker er under angreb når du putter systemer på internet så har jeg nogle logs jeg skal vise dig. En ny server på en tidligere ubrugt adresse uden henvisninger vil modtage angreb indenfor minutter og en Secure Shell service vil typisk blive forsøgt bruteforcet indenfor det første døgn. BTW Full disclosure - jeg sælger services som penetrationstest.

God hacking

Hvad skal du så gøre nu?

Hvis du er politiker så skal du tage stilling til hackerværktøjerne som findes, og vurdere om du er enig i de fremsatte argumenter, Eksempelvis at forbud vil trække det ned i undergrunden, hvor det er sværere for almindelige IT-folk at følge med og dermed gøre det sværere at sikre egne netværk.

Hvis du er interesseret i IT-sikkerhed så bør du sætte dig og se på hackerværktøjer og sikre at de bliver brugt i din organisation. Hvis du er ung og synes området er spændende skal du være opmærksom på at en plet på straffeattesten ikke er en billet til et job, men dyb teknisk viden indenfor IT-sikkerhed opnået gennem læring og brug i egne lab-setups ER.

Er du teknisk interesseret så kig på Kali Linux/Metasploit og brug eksempelvis VulnHub http://vulnhub.com/ til at finde lovlige mål du kan lege med på dit eget udstyr - det er fuldt lovligt i Danmark.

Kilder

https://en.wikipedia.org/wiki/Full_disclosure

http://www.microsoft.com/security/sdl/ Microsoft Security Development Lifecycle

http://kismac.de/ Kismac wireless scanner til Mac har flyttet site ud af Tyskland, http://www.thc.org/ har ligeledes flyttet deres til "Freeworld Web Residence" udenfor Tyskland

http://bugcrowd.com/list-of-bug-bounty-programs/ en liste over bug bounty programmer

http://en.wikipedia.org/wiki/Strafgesetzbuch#.C2.A7_202c:_Preparation_of... engelsk beskrivelse af StGB 202c

https://github.com/kramshoej/security-courses mine foredrag og kurser, med åben licens så du må stjæle og genbruge!

http://www.version2.dk/artikel/hackerkursus-satte-dong-paa-sporet-af-saa... Hackerkursus satte Dong på sporet af sårbare servere

PS
læs også gerne mit ældre indlæg ansporet af offentlighedsloven, Offentlighedslov vedtaget - Hack the planet, DK edition
- modsiger jeg mig selv, eller er det muligt at være imod hackerindbrud, men for whistleblowing?

Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Robert Larsen

Jeg har leget med hakkeri i nogen år efterhånden og mine favoritværktøjer, når der skal exploites er:
* Metasploit (nasm_shell.rb, pattern_create.rb og pattern_offset.rb). Disse kunne let reimplementeres.
* gdb/ImmunityDebugger
* Python
* gcc
* nasm

Ikke meget "hackerværktøj" over dem (udover Metasploit, men de relevante dele kan jeg let lave selv), så ja...et forbud mod værktøjer ville ikke ramme dem, som kan lave dem selv, og som vel er dem, man skal beskytte sig imod.

Dem, som kan udføre en Metasploit autopwn beskytter man sig bedst imod ved selv at udføre Metasploit autopwn...hvilket er svært, hvis Metapsloit bliver ulovlig software.

  • 2
  • 0
Pelle Söderling

Det mest interessante ved Bug Bounty programmerne er at det hæver markedsprisen på det illegale marked. Hvis du legalt kan få 100.000 USD i hånden ved at rapportere en exploit du har fundet til Microsoft, så skal prisen på det sorte marked være betydelig højere for at det er risikoen værd at gå den vej.

Det er self. ikke et stort problem hvis man er den russiske mafia, men det hæver barrieren betragteligt for hvem som har råd og lyst til at lege med på det marked.

  • 3
  • 0
Rasmus Winther

Jeg sad og kiggede nogle tilfældige videoer på YouTube om apps og rooting, og meget henkastet blev dsploit nævnt i en af videoerne. Nysgerrig som man er søgte jeg på det, og blev ret skræmt over hvor let det er at blive et offer for hijacking mv. hvis der er nogen i nærheden med en rooted android telefon, dsploit og onde hensigter.

Nu hvor jeg kender til programmet er jeg ikke vild med at skulle logge på et offentligt netværk, men måske lidt udforskning i programmets virkemåder kan forhindre mig i at blive et offer i fremtiden.

Censur vil aldrig kunne uddanne masserne.

  • 0
  • 0
Lars Bjerregaard

Godt sagt Kramse, gode vinklede pointer og overbevisende. Dog fangede jeg ikke din skydevåbens analogi. Den må du lige uddybe. Jeg går ud fra at du ikke går ind for fri udbredelse af skydevåben?

Igen, god artikel med godt med kød på til at få de fleste igang med at tænke over det, og udforske det.

Forøvrigt slår det mig, at konceptet "full disclosure" er langt det mest kontroversielle i det hele. Jeg har ikke tænkt den til bunds endnu, men har en mistanke om at der er gyldige special cases for "non disclosure". Hvad er dit take?

  • 0
  • 0
Henrik Kramshøj Blogger

Tak

Den må du lige uddybe. Jeg går ud fra at du ikke går ind for fri udbredelse af skydevåben?

Nej, flere våben giver flere problemer. Folk skal forstå at hvis man går med kniv stiger ens risiko for at blive skadet, og ligeså med skydevåben. (Jeg er dog en anelse pikeret over at jeg skal have blankvåben tilladelse til ikke skarpt sværd, mens enhver kan købe en økse i det nærmeste byggemarked)

Jeg er stor tilhænger af full disclosure, men synes bestemt at responsible full disclosure er vejen frem. Så hvis man findet en alvorlig fejl i noget meget populært software, så bør man give producenten en fair chance for at lave en god rettelse, som ikke gør produktet ustabilt eller introducerer andre problemer.

Mht. om der findes gyldige sager for non disclosure tror jeg det ikke, men man ser i mange sammenhænge at der laves staged disclosure, således at eksempelvis DNS admins informeres om vigtige sårbarheder i DNS software før andre, men med en kort tidsperiode.

Så snart to mennesker kender informationerne er det jo ikke hemmeligt mere, så vi skal istedet dele effektivt, et mit take.

  • 0
  • 0
Anne-Sofie Nielsen

En anden god bog om "hacker"-kulturen er "The Hacker Crackdown" fra start-90'erne.

Den kan læses frit her: http://www.mit.edu/hacker/hacker.html
men man bør ikke snyde sig selv for købe en papir-udgaven, da det triste layout af onlineversionen ikke giver helt samme læseoplevelse som den lækre, lidt støvede, store bog, jeg husker: http://www.amazon.com/The-Hacker-Crackdown-Disorder-Electronic/dp/055356... ($7 på Amazon)

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize