jekob heidelberg bloghoved

Skal man lære andre at hacke?

Er det egentlig i orden, når man på blogs som denne, deler viden om hvordan en hacker, i praksis angriber en infrastruktur? Spørgsmålet synes at dele vandene.

Personligt er jeg klar tilhænger af at dele en sådan viden, da det som oftest peger en i retning af, hvordan man skal beskytte sig mod disse angreb.

Et eksempel er mit indlæg om hvordan en hacker kan have glæde af NTDS.dit filer - og jeg har mere på vej af samme skuffe, med mindre nogen altså her kan overbevise mig om, at det ikke vil gavne sikkerheden "derude".

Vi er alle i krig

En af de mest berømte militærstrateger gennem tiden, kinesiske Sun Tzu, skrev i sit værk "The Art of War", at man skal kende både sig selv og sin fjende for at have succes i krig - og egentlig er analogien til krig ikke så dum endda.

Vi er alle konstant under angreb. Uanset hvor uinteressante vi kan synes at være for en angriber. For nogen er der næsten gået sport i at (bort)forklare hvor uinteressant deres systemer, data og netværk er for potentielle angribere, »Jamen, vi har jo slet ikke noget andre kan være interesserede i...«. Tænk igen!

Faktum er, at hvis vi bare har en enkelt computer, der er tilsluttet Internettet, så er der noget at komme efter for en hacker. Det er den virkelighed, vi lever i her og nu og som åbenbart er svær at acceptere for mange - både private og virksomheder. Der er også civile tab i denne form for krig.

Det synlige behøver vi ikke at tro på

Nogle ting skal vi se, før de bliver virkelige. Vi kan få at vide nok så mange gange, at "hackeren kommer". Først når vi ser, hvor nemt det er, hvor konkret truslen er, har vi tendens til at handle. Hvorfor skulle vi blindt tro på de der "sikkerhedsspecialister", de vil jo bare sælge konsulenttimer, ikke?

De bedste moderne kurser i IT-sikkerhed er baseret på, at kursisten lærer at kompromittere et større antal systemer. Man skal "Capture The Flag" (CTF) - udføre et reelt hack og stjæle de relevante data.

Når man først har lært, hvor nemt det er at dirke en almindelig lås op, så tænker man grundigt over hvilken type man sætter i sin egen hoveddør.

Med viden om os selv, dvs. vores egne systemer, ressourcer og data, så ved vi, hvad der skal beskyttes og hvordan vi har bygget vores sikkerhed op, herunder styrker og svagheder.

Med viden om fjenden, dvs. modstanderens tankegang, muligheder, værktøjer og metoder, så har vi en chance for at beskytte os selv effektivt.

Hva' så med de svage sjæle?

Man skal måske ikke friste de såkaldt "svage sjæle"?

Min personligt holdning er, at hvis en given entitet er motiveret til at angribe en anden person eller virksomhed, så er der rig mulighed for at finde informationerne online, selv Youtube er et godt sted at starte. Alle ved hvordan man kan slå ihjel med en køkkenkniv, eller med de bare hænder for den sags skyld, men det betyder ikke, at vi render rundt og myrder i flæng.

At vi "tier stille" giver kun falsk tryghed, en form for "security through obscurity" - eller måske nærmere "security through ignorance"? Nej, hellere "råbe op" og skabe opmærksomhed. Så kan det være, at der bliver gjort noget ved tingene.

Hvad er din holdning?

Kommentarer (29)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ole Kaas

Det du gør er vel ikke meget anderledes end oplysningskampagner om hvordan man undgår indbrud eller forbrugerprogrammer om samme hvor en (vist nok) tidligere kriminel interviewes om fremgangsmetoderne.

Husejeren synes måske ikke en rådden vinduesliste på førstesalen som et sikkerhedsproblem. "Eksperten" påpegede at vinduet var på bagsiden af huset og der var en stige ophængt på garagen i nærheden. Løsning: skift vinduesliste og lås evt. stigen med en wirelås.

Programmet har sikkert givet et par tips til begyndere i branchen men ikke noget for eksperterne indenfor faget. Til gengæld har det nok været en øjenåbner for dem der gerne vil undgå indbrud - og man må formode at de har gjort noget for at højne sikkerheden.

Robert Larsen

Jeg har arrangeret tre CTFer for Prosa og er i gang med det fjerde. Sidste år deltog 100 personer.
Jeg har også trænet kampsport i ca. 20 år, men det gør mig ikke til voldsmand, snarere tværtimod. Kampsportsudøvere er faktisk sjældent voldelige.

Jeg selv hygger mig meget med hacking i form af forskellige udfordringer fra f.eks. http://io.smashthestack.org:84/ (jeg er ved level 15), og den her: http://treasure.pwnies.dk/

Her i weekenden fik det danske CTF hold Gallopsled (et merger mellem Nopsled og Pwnies) en førsteplads til kvalifikationsrunden til Defcon CTF, som er den mest prestigefyldte CTF konkurrence i verden. Medlemmerne på det hold bør være enhver IT chefs drøm, for de er grundige og nysgerrige udover det sædvanlige. De er ikke bange for at debugge helt ned i maskinkoden til en closed source device driver eller for at eksperimentere med at rette i datastrukturerne, som Windows malloc bruger internt (det er IKKE for sarte sjæle). Og de stopper ikke før skidtet virker (hvad "skidtet" så end er).

De får også stillet deres trang til at få shells på den lovlige måde, så uden helt at vide det, tvivler jeg på, at de kunne finde på at krydse grænsen og blive kriminelle.

Så jeg synes snarere at man bør opfordre folk til at dyrke hacking på konkurrance niveau. Man lærer utroligt meget, som man kan bruge i sit daglige (IT relaterede) arbejde...ikke kun sikkerhed.

Erik Bruus

Ja at gøre hacking til konkurrence, kunne sikkert højne sikkerheden. Men nu vi er ved sikkerhed. En ven spurgte mig: Hvor god er din F-secure egentlig, og er det den bedste ?????

Ja det var faktisk et godt spørgsmål, der er firewall, og virus-dims, og alt muligt andet, men hvad siger en ekspert til dette.

mvh, Erik.

Pelle Söderling

En ekspert ville sige at Antivirus er til for at lokke penge ud af folk som ikke ved bedre og ingen mulighed har for at vide bedre - så hvis du spørger hvem der er bedst til det, er det nok blot at se på salgstallene - mit bud er Symantec ligger ret højt på listen.

Robert Larsen
Pelle Söderling

Min pointe er at Windows er ikke mere usikkert end så meget andet - det er vedkommende 40 cm fra skærmen der udgør den langt største sikkerhedsrisiko.

Det er ikke så svært ikke at afvikle alt muligt crap fra kilder man ikke stoler på, det kræver bare man har en eller anden ide om hvad man foretager sig, hvilket der desværre er alt for mange (især) Windows-brugere som ikke har.

Jens Jönsson

Min pointe er at Windows er ikke mere usikkert end så meget andet - det er vedkommende 40 cm fra skærmen der udgør den langt største sikkerhedsrisiko.

Det er ikke så svært ikke at afvikle alt muligt crap fra kilder man ikke stoler på, det kræver bare man har en eller anden ide om hvad man foretager sig, hvilket der desværre er alt for mange (især) Windows-brugere som ikke har.

Den holder bare ikke. Angreb er i dag så sofistikerede, at du ikke aner at din computer bliver inficeret af et eller andet hackerværktøj. F.eks. kommer mere og mere af sådan noget i reklamer. Så når dit "et eller andet program" ikke er opdateret, så ligger der kode skjult i reklamen, som netop udnytter sårbarheden i dit "et eller andet program". Og du får ingen advarsel.

AntiVirus hjælper selvfølgelig og man er godt dum hvis man ikke har et af slagsen installeret om man kører Linux, Windows eller noget tredje.
Man skal bare ikke tro at AntiVirus er den hellig gral og beskytter 100%.
Det er simpelthen utopi.
Symantec har netop også fornyligt været ude for at pointere det.
http://www.version2.dk/artikel/symantec-antivirus-er-doed-58255

Pelle Söderling

Det er korrekt og derfor bør man også være meget påpasselig med især hvilke plugins man har aktiveret i sin browser. Har man brug for NemID, ja så er det bedste sådanset at have en seperat browser med Java enabled i til det formål. Undlad at have Java, Flash og Adobe Reader installeret i din normale browser - det er klart de største sikkerhedsriscici når det gælder denne form for malware-afvikling og ingen af de her plugins er specielt relevante idag.

At installere antivirus er falsk tryghed - det er ikke alle mulige gamle vira der er de største problemer idag, det er 0-day angreb som rammer bredt og spredes ekstremt hurtigt - hurtigere end nogen antivirus-producenter idag er istand til at reagere.

Der er ikke den store forskel på at køre med antivirus idag eller ej rent sikkerhedsmæssigt - tilgengæld skaber mange antivirus produkter problemer, enten ved at sløve dit system ned eftersom alle filer der afvikles, kopieres etc. skal scannes og det kan skabe problemer med netværksenheder pga. de nogle gange ret tvivlsomme metoder de hooker sig ind i diverse dele af systemet på - BSODs forårsaget af antivirus er heller ikke atypisk - det er ofte antivirus er årsagen til folks problemer, ustabile eller sløve systemer.

Så kan man jo spørge sig selv om hvad den reelle malware er - mange af producenterne tjener endda rigtig gode penge på folks frygt for malware og er ikke kede af at puste til denne frygt for at øge salget, den største forskel er sådanset at vi betragter det de gør som værende lovligt.

Jens Jönsson

Der er ikke den store forskel på at køre med antivirus idag eller ej rent sikkerhedsmæssigt - tilgengæld skaber mange antivirus produkter problemer, enten ved at sløve dit system ned eftersom alle filer der afvikles, kopieres etc. skal scannes og det kan skabe problemer med netværksenheder pga. de nogle gange ret tvivlsomme metoder de hooker sig ind i diverse dele af systemet på - BSODs forårsaget af antivirus er heller ikke atypisk - det er ofte antivirus er årsagen til folks problemer, ustabile eller sløve systemer.

Så kan man jo spørge sig selv om hvad den reelle malware er - mange af producenterne tjener endda rigtig gode penge på folks frygt for malware og er ikke kede af at puste til denne frygt for at øge salget, den største forskel er sådanset at vi betragter det de gør som værende lovligt.

Jeg er bare slet ikke enig i ovenstående. Hr. og Fru Jensen er bedre sikret med AntiVirus end uden og jo, der er stor forskel med/uden.

Den med at sløve systemer er i min optik også en saga blot. AntiVirus producenterne er meget opmærksomme på netop den udfordring.

I min optik, så er din udmelding med til at få folk i tvivl og at der dermed er folk der ikke beskytter deres computer. Det er muligt du har den teknisk kompetence til at undvære, men det er altså ikke tilfældet for størstedelen af computerbrugere i denne verden.

Hvilke AntiVirus producenter synes du puster til frygten ?

Pelle Söderling

Er der? Jeg synes stadig hr. og fru Jensen fint formår at få installeret toolbars, adware etc. uanset hvilket antivirus de kører med. Hvis folk insisterer på antivirus plejer mit svar at være at bruge den gratis fra Microsoft som også følger med Windows 8 nu - det er imo den som er mindst ressourcekrævende og skaber færrest problemer.

Jeg har erfaring med massere antivirus producenter der er meget aggressive i deres markedsføring over for private forbrugere og hvor de direkte skræmmer folk hvis de opsiger deres abonnement til at få dem til at blive - for uden deres software er dit system jo en tikkende bombe - Symantec er et eksempel på et sådant firma.

Og nej det er ikke en saga blot, jeg har konkrete erfaringer med at både AVG, NOD32 og F-Secure gør systemerne sløve eller forårsager andre problemer og jeg har ikke stor tiltro til at de andre er meget bedre. Groft sagt "hacker" de sig netop ind i drivere og kernel dele hvor jeg reelt ikke stoler på at ret mange andre end Microsoft ved hvad de foretager sig - det er netop en tikkende bombe til problemer at afvikle software der som antivirus påvirker så centrale dele af ens OS lavet af 3. parter uden ordentlig dokumentation på de ting de "exploiter" for at opnå det.

Jacob Pind

langt henad vejen har antivirus produkterne jo udviklet sig til et problem i sig selv, de benytter sig stadigvæk af fingerprinter, og vi høre gerne 2-3 gange om året at de pludslige har slettet windows filer, dertil kommer de talrige falske alarmer, de trigger på komprimered kode, upx og ligende, og deres egen kode udgøre en forøget angrebs flade.

Antivirus producenterne er glade for at fortælle hvor mange virus de kan genkende, det triste er blot langt støreste delen er gamle ting som ikke er relevant mere, der hvor det gælder at genkendte polymorphe varianter af kendt ting som angriber nye sikkerheds huller, kniber det.

Det bedst ved et produkt som avast er at den sørger for at folk holder deres flash,java,pdf, browser opdateret, det kombineret med en reklame blokker i samme browser, stopper langt mere skrald end selv antvirus funktionen.

Jakob H. Heidelberg

Selvom det er interessante tanker omkring AV, så ville det være rart ar høre hvor folk står ift. emnet. Er der fx grænser for hvad man skal vise af hacks? At vise zero-days uden at gøre producenter opmærksomme på problemet,så de har mulighed for ar udsende opdateringer er fx uetisk i mine øjne. Men at vise kendte metodikker og værktøjer finder jeg konstruktivt.

Frithiof Andreas Jensen

Det bedst ved et produkt som avast er at den sørger for at folk holder deres flash,java,pdf, browser opdateret,


Det er også det värste ved Avast - den overtager nästen systemet. Avast sätter sig selv ind som proxy på mail, nntp, http e.t.c - så tänker man lidt over om det er en god ide med den slags programmer, som man egentligt ikke kender oprindelsen af, som hele tiden sniffer igennem ALT.

Efter min mening er ad-ware / crap-ware et större problem fordi antivirus ikke tager sig af dem, "for der kunne jo väre nogen som synes at det er fint at Wajam hijacker alle desktop links". Brugerne tror de er beskyttet fordi de har antivirus, imens ad-waren blver mere og mere virus-agtig og nästen håblös at slippe af med. De sidste par gange finder jeg både scheduled tasks og java-script i browser cachen til at gen-installere smitten med.

Malwarebytes (en malware checker) fandt ikke de famöse tasks og Microsoft Defender heller ikke. Det må man lede efter manuelt.

Jeg hälder efterhånden til at man laver et disk-image på en flybar disk når man er glad for computeren og summarisk paster hele harddisken over med det hver gang man får noget svineri installeret. Riskoen for at man misser en proces eller kodestump er for stor, efterhånden.

Frithiof Andreas Jensen

Det er da et godt spörgsmål - jeg synes ikke at der skal väre gränser for at vise hacks; måske "singularity"-type-hacks, som at man hacker pileträer til at producere kokain i deres pollen så alle er skäve hele April-Juni ...

Desvärre er det sådan at der absolut intet sker med mindre man bryder igennem spin-muren i förste slag og hvis man advarer får man ofte et trusselbrev fra en advokat. Det betyder nästen at der skal "proof of concept" på P2P med det samme. Måske skulle der findes et "responsible hackers network" hvor filerne spredes i krypteret form mellem tusinder af nodes, firmaet får nöglen sendt så de kan se hacket men ikke hvor det kom fra så det kan ikke fjernes og ingen repressalier kan uddeles. Efter en passende tid, f.eks. 3 måneder, dekrypteres alting automatisk og alle på internettet har det.

Knud Jensen

Det er absolut mest fornuftigst at give firmaer en chance for at fjerne sikkerhedshuller først, så det ikke kommer andre til skade.
Men jeg vil alligevel mene at viden om huller skal frem, også gerne metoderne anvendt.

Som IT-medarbejder på en skole, og uddannet programmør, kan jeg ganske enkelt ikke undvære en vis mængde viden om hacking. Og det er ikke noget man får med sig fra uddannelserne.

Jacob Pind

De store hacks som heartbleed eller DNS spoofing for et par år siden med med kun 65.535 transaction IDere og muligheden for at gætte dem, der giver det mening med en vist kordination inden man delagtiggøre en størrer gruppe dem.

Desvære ser vi jo for tit at producenterne ikke reagere på henvendelse eller de bedre om flere måneder for at rettet det, er i mine øjne uetisk at ikke fortælle omverden om den slags huller så de selv kan tag deres forholdes regler.

John Vedsegaard

Mellem de helt store aktører på markedet. Det skal være muligt at komme med oplysning om huller og få belønninger i en anseelig størrelse, uden at blive straffet for det.

Jeg ved godt at enkelte firmaer betaler for den slags oplysninger, men det er langt fra alle, altså skal de tvinges til et samarbejde på dette område og andre sikkerhedsområder.

Der er intet som penge, der kan få folk til at oplyse om den slags. Mon ikke du selv ville oplyse til et sådant system, hvis du fik 20.000 for det hver gang?

Robert Larsen

Well, jeg synes bestemt ikke, at man skal have lov til at sikkerhedsteste andre folks systemer uden deres accept. Du aner ikke, om et fejlplaceret semikolon får ubehagelige konsekvenser for backenden, og hvis du begynder at lave den slags angreb, kan det også sætte en masse IDSer og dermed systemadministratorerne i high alert og spilde deres tid.

Så, kan man sikkerhedsteste offline, så er jeg helt enig...så bør man både have lov og belønnes, hvis man finder noget. Men kan man smide JavaScript ind på Version2s forside og kommer man til at fucke op, så koden ikke kan parses, så vil det forstyrre Version2s egen JavaScript og genere læserne. Og det er ikke i orden.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize