Skal man lære andre at hacke?

Det du gør er vel ikke meget anderledes end oplysningskampagner om hvordan man undgår indbrud eller forbrugerprogrammer om samme hvor en (vist nok) tidligere kriminel interviewes om fremgangsmetoderne.

Husejeren synes måske ikke en rådden vinduesliste på førstesalen som et sikkerhedsproblem. "Eksperten" påpegede at vinduet var på bagsiden af huset og der var en stige ophængt på garagen i nærheden. Løsning: skift vinduesliste og lås evt. stigen med en wirelås.

Programmet har sikkert givet et par tips til begyndere i branchen men ikke noget for eksperterne indenfor faget. Til gengæld har det nok været en øjenåbner for dem der gerne vil undgå indbrud - og man må formode at de har gjort noget for at højne sikkerheden.

Jeg har arrangeret tre CTFer for Prosa og er i gang med det fjerde. Sidste år deltog 100 personer.
Jeg har også trænet kampsport i ca. 20 år, men det gør mig ikke til voldsmand, snarere tværtimod. Kampsportsudøvere er faktisk sjældent voldelige.

Jeg selv hygger mig meget med hacking i form af forskellige udfordringer fra f.eks. http://io.smashthestack.org:84/ (jeg er ved level 15), og den her: http://treasure.pwnies.dk/

Her i weekenden fik det danske CTF hold Gallopsled (et merger mellem Nopsled og Pwnies) en førsteplads til kvalifikationsrunden til Defcon CTF, som er den mest prestigefyldte CTF konkurrence i verden. Medlemmerne på det hold bør være enhver IT chefs drøm, for de er grundige og nysgerrige udover det sædvanlige. De er ikke bange for at debugge helt ned i maskinkoden til en closed source device driver eller for at eksperimentere med at rette i datastrukturerne, som Windows malloc bruger internt (det er IKKE for sarte sjæle). Og de stopper ikke før skidtet virker (hvad "skidtet" så end er).

De får også stillet deres trang til at få shells på den lovlige måde, så uden helt at vide det, tvivler jeg på, at de kunne finde på at krydse grænsen og blive kriminelle.

Så jeg synes snarere at man bør opfordre folk til at dyrke hacking på konkurrance niveau. Man lærer utroligt meget, som man kan bruge i sit daglige (IT relaterede) arbejde...ikke kun sikkerhed.

Ja at gøre hacking til konkurrence, kunne sikkert højne sikkerheden. Men nu vi er ved sikkerhed. En ven spurgte mig: Hvor god er din F-secure egentlig, og er det den bedste ?????

Ja det var faktisk et godt spørgsmål, der er firewall, og virus-dims, og alt muligt andet, men hvad siger en ekspert til dette.

mvh, Erik.

En ekspert ville sige at Antivirus er til for at lokke penge ud af folk som ikke ved bedre og ingen mulighed har for at vide bedre - så hvis du spørger hvem der er bedst til det, er det nok blot at se på salgstallene - mit bud er Symantec ligger ret højt på listen.

En ekspert ville sige at Antivirus er til for at lokke penge ud af folk som ikke ved bedre og ingen mulighed har for at vide bedre - så hvis du spørger hvem der er bedst til det, er det nok blot at se på salgstallene - mit bud er Symantec ligger ret højt på listen.

Ja, de scorer alle ret lavt mht. at fange nye vira, så det giver nok mest af alt en falsk tryghed.
Ikke for at trolle, men den bedste antivirus er altså bare ikke at bruge Windows.

Jeg bruger Windows men ikke antivirus - det er intet problem, den bedste antivirus er en smule sund fornuft.

Kommer til at tænke på NRAs (National Rifle Association) parole:
Guns don´t kill people, people kill people.

:)

Jeg bruger Windows men ikke antivirus - det er intet problem, den bedste antivirus er en smule sund fornuft.

Jeg bruger ikke sund fornuft. Jeg bruger Linux :-)

Guns don´t kill people, people kill people.

Og de skal nok finde et våben uanset hvor meget man forbyder og visiterer.

Jeg bruger ikke sund fornuft. Jeg bruger Linux :-)

Jeg bruger sund fornuft - jeg bruger Linux.

Og de skal nok finde et våben uanset hvor meget man forbyder og visiterer.

Tjaee...måske hacke en drone fra det amerikanske militær?
:)

Min pointe er at Windows er ikke mere usikkert end så meget andet - det er vedkommende 40 cm fra skærmen der udgør den langt største sikkerhedsrisiko.

Det er ikke så svært ikke at afvikle alt muligt crap fra kilder man ikke stoler på, det kræver bare man har en eller anden ide om hvad man foretager sig, hvilket der desværre er alt for mange (især) Windows-brugere som ikke har.

Min pointe er at Windows er ikke mere usikkert end så meget andet - det er vedkommende 40 cm fra skærmen der udgør den langt største sikkerhedsrisiko.

Det er ikke så svært ikke at afvikle alt muligt crap fra kilder man ikke stoler på, det kræver bare man har en eller anden ide om hvad man foretager sig, hvilket der desværre er alt for mange (især) Windows-brugere som ikke har.

Den holder bare ikke. Angreb er i dag så sofistikerede, at du ikke aner at din computer bliver inficeret af et eller andet hackerværktøj. F.eks. kommer mere og mere af sådan noget i reklamer. Så når dit "et eller andet program" ikke er opdateret, så ligger der kode skjult i reklamen, som netop udnytter sårbarheden i dit "et eller andet program". Og du får ingen advarsel.

AntiVirus hjælper selvfølgelig og man er godt dum hvis man ikke har et af slagsen installeret om man kører Linux, Windows eller noget tredje.
Man skal bare ikke tro at AntiVirus er den hellig gral og beskytter 100%.
Det er simpelthen utopi.
Symantec har netop også fornyligt været ude for at pointere det.
http://www.version2.dk/artikel/symantec-antivirus-er-doed-58255

Det er korrekt og derfor bør man også være meget påpasselig med især hvilke plugins man har aktiveret i sin browser. Har man brug for NemID, ja så er det bedste sådanset at have en seperat browser med Java enabled i til det formål. Undlad at have Java, Flash og Adobe Reader installeret i din normale browser - det er klart de største sikkerhedsriscici når det gælder denne form for malware-afvikling og ingen af de her plugins er specielt relevante idag.

At installere antivirus er falsk tryghed - det er ikke alle mulige gamle vira der er de største problemer idag, det er 0-day angreb som rammer bredt og spredes ekstremt hurtigt - hurtigere end nogen antivirus-producenter idag er istand til at reagere.

Der er ikke den store forskel på at køre med antivirus idag eller ej rent sikkerhedsmæssigt - tilgengæld skaber mange antivirus produkter problemer, enten ved at sløve dit system ned eftersom alle filer der afvikles, kopieres etc. skal scannes og det kan skabe problemer med netværksenheder pga. de nogle gange ret tvivlsomme metoder de hooker sig ind i diverse dele af systemet på - BSODs forårsaget af antivirus er heller ikke atypisk - det er ofte antivirus er årsagen til folks problemer, ustabile eller sløve systemer.

Så kan man jo spørge sig selv om hvad den reelle malware er - mange af producenterne tjener endda rigtig gode penge på folks frygt for malware og er ikke kede af at puste til denne frygt for at øge salget, den største forskel er sådanset at vi betragter det de gør som værende lovligt.

Der er ikke den store forskel på at køre med antivirus idag eller ej rent sikkerhedsmæssigt - tilgengæld skaber mange antivirus produkter problemer, enten ved at sløve dit system ned eftersom alle filer der afvikles, kopieres etc. skal scannes og det kan skabe problemer med netværksenheder pga. de nogle gange ret tvivlsomme metoder de hooker sig ind i diverse dele af systemet på - BSODs forårsaget af antivirus er heller ikke atypisk - det er ofte antivirus er årsagen til folks problemer, ustabile eller sløve systemer.

Så kan man jo spørge sig selv om hvad den reelle malware er - mange af producenterne tjener endda rigtig gode penge på folks frygt for malware og er ikke kede af at puste til denne frygt for at øge salget, den største forskel er sådanset at vi betragter det de gør som værende lovligt.

Jeg er bare slet ikke enig i ovenstående. Hr. og Fru Jensen er bedre sikret med AntiVirus end uden og jo, der er stor forskel med/uden.

Den med at sløve systemer er i min optik også en saga blot. AntiVirus producenterne er meget opmærksomme på netop den udfordring.

I min optik, så er din udmelding med til at få folk i tvivl og at der dermed er folk der ikke beskytter deres computer. Det er muligt du har den teknisk kompetence til at undvære, men det er altså ikke tilfældet for størstedelen af computerbrugere i denne verden.

Hvilke AntiVirus producenter synes du puster til frygten ?

Er der? Jeg synes stadig hr. og fru Jensen fint formår at få installeret toolbars, adware etc. uanset hvilket antivirus de kører med. Hvis folk insisterer på antivirus plejer mit svar at være at bruge den gratis fra Microsoft som også følger med Windows 8 nu - det er imo den som er mindst ressourcekrævende og skaber færrest problemer.

Jeg har erfaring med massere antivirus producenter der er meget aggressive i deres markedsføring over for private forbrugere og hvor de direkte skræmmer folk hvis de opsiger deres abonnement til at få dem til at blive - for uden deres software er dit system jo en tikkende bombe - Symantec er et eksempel på et sådant firma.

Og nej det er ikke en saga blot, jeg har konkrete erfaringer med at både AVG, NOD32 og F-Secure gør systemerne sløve eller forårsager andre problemer og jeg har ikke stor tiltro til at de andre er meget bedre. Groft sagt "hacker" de sig netop ind i drivere og kernel dele hvor jeg reelt ikke stoler på at ret mange andre end Microsoft ved hvad de foretager sig - det er netop en tikkende bombe til problemer at afvikle software der som antivirus påvirker så centrale dele af ens OS lavet af 3. parter uden ordentlig dokumentation på de ting de "exploiter" for at opnå det.

langt henad vejen har antivirus produkterne jo udviklet sig til et problem i sig selv, de benytter sig stadigvæk af fingerprinter, og vi høre gerne 2-3 gange om året at de pludslige har slettet windows filer, dertil kommer de talrige falske alarmer, de trigger på komprimered kode, upx og ligende, og deres egen kode udgøre en forøget angrebs flade.

Antivirus producenterne er glade for at fortælle hvor mange virus de kan genkende, det triste er blot langt støreste delen er gamle ting som ikke er relevant mere, der hvor det gælder at genkendte polymorphe varianter af kendt ting som angriber nye sikkerheds huller, kniber det.

Det bedst ved et produkt som avast er at den sørger for at folk holder deres flash,java,pdf, browser opdateret, det kombineret med en reklame blokker i samme browser, stopper langt mere skrald end selv antvirus funktionen.

Det bedst ved et produkt som avast er at den sørger for at folk holder deres flash,java,pdf, browser opdateret,

Det er også det värste ved Avast - den overtager nästen systemet. Avast sätter sig selv ind som proxy på mail, nntp, http e.t.c - så tänker man lidt over om det er en god ide med den slags programmer, som man egentligt ikke kender oprindelsen af, som hele tiden sniffer igennem ALT.

Efter min mening er ad-ware / crap-ware et större problem fordi antivirus ikke tager sig af dem, "for der kunne jo väre nogen som synes at det er fint at Wajam hijacker alle desktop links". Brugerne tror de er beskyttet fordi de har antivirus, imens ad-waren blver mere og mere virus-agtig og nästen håblös at slippe af med. De sidste par gange finder jeg både scheduled tasks og java-script i browser cachen til at gen-installere smitten med.

Malwarebytes (en malware checker) fandt ikke de famöse tasks og Microsoft Defender heller ikke. Det må man lede efter manuelt.

Jeg hälder efterhånden til at man laver et disk-image på en flybar disk når man er glad for computeren og summarisk paster hele harddisken over med det hver gang man får noget svineri installeret. Riskoen for at man misser en proces eller kodestump er for stor, efterhånden.

AntiVirus hjælper selvfølgelig

Antivirus hjælper ikke en dyt. Det er at stikke folk blår i øjnene.

Det er da et godt spörgsmål - jeg synes ikke at der skal väre gränser for at vise hacks; måske "singularity"-type-hacks, som at man hacker pileträer til at producere kokain i deres pollen så alle er skäve hele April-Juni ...

Desvärre er det sådan at der absolut intet sker med mindre man bryder igennem spin-muren i förste slag og hvis man advarer får man ofte et trusselbrev fra en advokat. Det betyder nästen at der skal "proof of concept" på P2P med det samme. Måske skulle der findes et "responsible hackers network" hvor filerne spredes i krypteret form mellem tusinder af nodes, firmaet får nöglen sendt så de kan se hacket men ikke hvor det kom fra så det kan ikke fjernes og ingen repressalier kan uddeles. Efter en passende tid, f.eks. 3 måneder, dekrypteres alting automatisk og alle på internettet har det.

At vise zero-days uden at gøre producenter opmærksomme på problemet, så de har mulighed for at udsende opdateringer er fx uetisk i mine øjne. Men at vise kendte metodikker og værktøjer finder jeg konstruktivt.

Jakob: Helt enig og det er da også mit indtryk at det er den generelle konsensus.

At vise zero-days uden at gøre producenter opmærksomme på problemet,så de har mulighed for ar udsende opdateringer er fx uetisk i mine øjne.

Enig, men det interessante spørgsmål i den sammenhæng er hvad man gør når de ikke fikser det? For det er erfaringsmæssigt langt det mest sandsynlige udfald.

Jeg bruger ikke sund fornuft. Jeg bruger Linux :-)

Det er da sund fornuft.....

Det er absolut mest fornuftigst at give firmaer en chance for at fjerne sikkerhedshuller først, så det ikke kommer andre til skade.
Men jeg vil alligevel mene at viden om huller skal frem, også gerne metoderne anvendt.

Som IT-medarbejder på en skole, og uddannet programmør, kan jeg ganske enkelt ikke undvære en vis mængde viden om hacking. Og det er ikke noget man får med sig fra uddannelserne.

De store hacks som heartbleed eller DNS spoofing for et par år siden med med kun 65.535 transaction IDere og muligheden for at gætte dem, der giver det mening med en vist kordination inden man delagtiggøre en størrer gruppe dem.

Desvære ser vi jo for tit at producenterne ikke reagere på henvendelse eller de bedre om flere måneder for at rettet det, er i mine øjne uetisk at ikke fortælle omverden om den slags huller så de selv kan tag deres forholdes regler.

Mellem de helt store aktører på markedet. Det skal være muligt at komme med oplysning om huller og få belønninger i en anseelig størrelse, uden at blive straffet for det.

Jeg ved godt at enkelte firmaer betaler for den slags oplysninger, men det er langt fra alle, altså skal de tvinges til et samarbejde på dette område og andre sikkerhedsområder.

Der er intet som penge, der kan få folk til at oplyse om den slags. Mon ikke du selv ville oplyse til et sådant system, hvis du fik 20.000 for det hver gang?

Man forbyder jo heller ikke kampsport og skydetræning.
En oplyst befolkning er en del af bedste løsning.

Well, jeg synes bestemt ikke, at man skal have lov til at sikkerhedsteste andre folks systemer uden deres accept. Du aner ikke, om et fejlplaceret semikolon får ubehagelige konsekvenser for backenden, og hvis du begynder at lave den slags angreb, kan det også sætte en masse IDSer og dermed systemadministratorerne i high alert og spilde deres tid.

Så, kan man sikkerhedsteste offline, så er jeg helt enig...så bør man både have lov og belønnes, hvis man finder noget. Men kan man smide JavaScript ind på Version2s forside og kommer man til at fucke op, så koden ikke kan parses, så vil det forstyrre Version2s egen JavaScript og genere læserne. Og det er ikke i orden.