Alleen omdat Dave zichzelf goed kan verkopen en andere
mensen/bedrijven jaloers zijn wordt er dat soort onzin
verspreid over onethisch zijn en meer van dat soort onzin.

Ieder bedrijf dat pentesten doet heeft een vooraadje prive
vulnerabilities, waarmee ze toch een volledig gepatched
netwerk kunnen infiltreren.

Zoals Dave zegt, de Blackhats weten deze vulnerabilities
ook, en ze zijn in de meerderheid en hebben (vaak) geen
normale dag-taak... Ze verdienen hun geld met de research
die ze zelf doen. (Verkoop van exploits aan mensen die er
dingen mee doen die het daglicht niet kunnen verdragen...)
Of ze doen dit soort dingen zelf... in combinatie met een
stukje social engineering, of in samenwerking met andere
criminelen...

Het is dus aannemelijk dat Blackhats ver voorlopen op welk
ander bedrijf wat zich in de "witte" zone bevindt.

Blijkt maar weer dat patchmanagement geen oplossing is,
pro-active defence is de weg om te bewandelen, je ziet dat
in alle systemen langzaam komen... althans langzaam...
windows xp sp2 was natuurlijk een hobbelige sprong die
Microsoft ook heel wat aan vertrouwen heeft gekost.

Het is jammer dat er geen onderscheid wordt gemaakt tussen
"Linux en Linux"... ik zou zeggen dat Dave dat niet op die
manier heeft willen zeggen. De meeste Linux distributies
hebben de mechanismen die er zijn nog niet opgenomen in hun
distributie.

In Linux is ook de afgelopen jaren een lange weg bewandeld
om te zorgen dat alle software gereed wordt gemaakt voor NX
en verschillende compiler aanpassingen. Alleen is daar het
probleem dat veel meer architecturen en een enorme
hoeveelheid software (8000+ pakketen) moeten worden
gecontroleerd en gedebugged. Door vaak een kleine
hoeveelheid ontwikkelaars, soms niet ondersteund door de
ontwikkelaars van de "foute" software, omdat ze het belang
niet inzien. Ook een vaak waargenomen reactie was dat de
fout in de NX technologie zou zitten in plaats van in het
proces wat werd afgesloten :)

Dit was bij windows met in principe 1 architectuur en de
"big bang" approach van SP2 iets makkelijker... Microsoft
heeft de vendors van software gedwongen om de wijzigingen te
maken. Ieder weet nu wel waar dit toe geleid heeft :)

Nou, ik geef hem helemaal gelijk.

Het is ook niet de taak van een ontdekker om de informatie
te delen. Het is echter wel vriendelijk of ethisch
verantwoord om het zo maar te noemen. Maar de taak ligt bij
de ontwikkelaars zelf.

De ontwikkelaars maken het zich er al makkelijk van af door
te zeggen dat ze onder een hoge tijdsdruk leven. Time to
market is een groot veiligheidslek. Ik zie een bouwopzichter
nog niet de boel afraffelen omdat de bewoners er op tijd in
moeten wonen. Dan moeten ook alle voorschriften nageleefd
worden want anders is de opzichter alsnog aansprakelijk
wanneer er iets fout gaat.

De ontwikkelaars moeten dus zelf de verantwoordelijkheid
nemen hun software zo dicht mogelijk te maken en progressief
op zoek te gaan naar gaten. Er zijn al zoveel basisprincipes
waarop gecontroleerd kan worden. Er zijn tools zat die
kunnen kijken of er geheugenlekken ontstaan enz.

Echter zijn er zoveel mensen die programmeren, maar niet
ontwikkelen omdat de abstractie is verhoogd maar de kennis
van de techniek niet meer wordt meegegeven.

Wie kan er programmeren in VB? Juist. Maar wie begrijpt er
exact wat er op de achtergrond gebeurd? Correct.

Zodra OSS projecten main stream worden, wordt de aandacht op
exploits en mogelijke fouten ook groter. Dit komt omdat men
graag een steentje bijdraagt aan de ontwikkeling van een
goed product. Is een project niet main stream, komt het niet
snel standaard in een distributie en is de kans klein dat
een blackhat de moeite neemt om een exploit te zoeken. Omdat
men gewoon de kans klein acht er iets mee uit te kunnen halen.

Het percentage exploits dat progressief wordt ontdekt door
de OSS gemeenschap zelf is hoger dan bij welk platform dan
ook. Een goed voorbeeld is OpenBSD.

Werknemers bij een software bedrijf krijgen meestal niet de
tijd om te zoeken naar exploits, ook niet achteraf, omdat
het te veel tijd kost. Laat de consument maar komen met
klachten, komt het te vaak voor, dan wil men er wel eens
naar kijken.

Dit is de kracht van de OSS, dat die wel de code beschikbaar
stelt en progressief laat zoeken naar lekken door de
gebruiker. De werking van de Cathedral en de Bazaar van Eric
Steven Raymond in werking.

- Unomi -

Dat doen wel meer mensen die security alleen voor hun eigen
gewin doen. Gelukkig zijn er meer socialere mensen op de
wereld die ook nog geven om anderen te helpen en steunen.
Helaas maken dit soort aasgieren daar dus flink misbruik
van. En dat noemen ze zelf dan redelijk.

In de "echte" wereld hebben we dat toch ook.
Het politiekeurmerk "veilig wonen" kost ook geld.
Ze komen dan langs en kijken waar je huis inbraakgevoelig is, vervolgens
krijg je een advies voor aanpassingen en als je die laat uitvoeren kost dat
ook weer geld. Daarna is alles "gepatched" en is je huis "veilig" voor
crackers/inbrekers. Of voor mensen die alleen maar aan je deur morrelen
en kijken of er een raam openstaat zonder iets kwaads in de zin te
hebben.....

Ik snap de commotie dus niet.

Daar is m.i. niks mis mee, waarom dan wel als het om IT-beveiliging gaat?

Inderdaad, sommige holbewoners die lopen nogal wat achter.

Als Dave Aitel het lef heeft om zijn smerige gezicht op What
The Hack te laten zien zullen we hem wel even wat laten
zien!@#!@#

gr0etjes
bl4ckh4ts un1t3d

STEP INTO OUR OVEN!@#!@#$#@$

Waar heb jij het nou weer over? Aitel doet security
*onderzoek* voor bedrijven die willen weten hoe goed
bepaalde produkten werkelijk zijn en marketing blurb niet
vertrouwen als het om security gaat. Kan je ze echt ongelijk
geven? En sinds wanneer is het de taak van de security
onderzoeker geworden om gratis QA te verrichten voor
nalatige vendors?

Trouwens, Aitel en co zijn bijzonder sociaal en delen heel
veel kennis en tools *GRATIS EN VOOR NIETS* met de rest van
de wereld. En jij hebt het lef om dat 'aasgieren' te noemen.
Dat ze niet gratis alle resultaten van hun onderzoeken met
jou willen delen maakt ze nog niet a-sociaal of onredelijk
(integendeel zelfs!)

Heb de boodschap doorgegeven. Hang er van af of we in Vegas
zitten ja/nee, dit jaar (blergh). Ik ben van 't jaar nog wel
in Nederland als 't goed is. Kunnen we afspreken :D Komt die
oven vanzelf vol.

pseudo-blackhat-netric-hacker-cracker-4-lyfe etc.

Groet'n,
Bas

Crap my cover is blown!

Nou jah, het bier staat voor je koud in onze tent dan ;-).