image

Is het inhuren van ex-hackers verstandig?

donderdag 28 september 2006, 11:55 door Redactie, 10 reacties

Het begrijpen hoe hackers denken kan handig zijn in het afslaan van aanvallen. Toch hebben veel bedrijven hun bedenkingen om voormalige of hervormde blackhat hackers in te huren. En terecht zegt Paul Ducklin van Sophos: "Het veroorzaken van ellende is veel eenvoudiger dan het achterhalen van de oorzaak van problemen en met een oplossing te komen".

Een goede anti-virusonderzoeker of iemand die werkt om kwaadaardige code te stoppen heeft veel meer vaardigheden nodig dan een blackhat hacker. "In tegenstelling tot security professionals hoeven black hats hun produkten niet te ondersteunen of absoluut betrouwbaar te zijn" gaat Ducklin verder, die laat weten dat met zorg, aandacht en opleiding er ook van een blackhat een goede onderzoeker gemaakt kan worden.

Een goede hacker is nog geen goede beveiligingsconsultant, zegt Aloysius Cheang van PIPC. Consultants moeten risico's kunnen managen, integer zijn en op een discrete manier met informatie van de klant omgaan. Kiest een bedrijf er toch voor om hervormde blackhat hackers als beveiligingsonsultant in te huren, dan moet men die "langzaam" in de organisatie opnemen. Begin met niet belangrijke onderdelen en bouw een vertrouwensrelatie op voordat men toegang tot belangrijke bedrijfsgegevens krijgt.

Reacties (10)
28-09-2006, 12:13 door awesselius
Een echte hacker is iemand met een mentaliteit. Dat is niet
tot ex-hacker om te turnen. Je bent het en je blijft het.

Hacken is een manier van denken en dat blijf je doen. Je
blijft zelf gaten zien in bestaande systemen waardoor dingen
mogelijk worden die er niet bij het ontwerp doordacht waren.

Als je het probleem ziet, de mentaliteit hebt, dan weet je
meestal ook de oplossing. Daar kun je je in trainen
natuurlijk, maar dat is een kwestie van willen.

De echte hacker heeft een passie voor techniek, voor puzzels
etc. Als je dat als white-hat doet, kun je het nuttig
toepassen. Als je dat als black-hat doet dan doe je dat om
de boel in chaos te brengen zodat je er zelf beter van wordt
(gevoel of materie).

Als je echt een vertrouwensprobleem hebt, dan moet je dat
gewoon monitoren. Kun je dat niet, dan is de hacker niet je
grootste probleem.

http://www.claimyourrights.eu/
http://www.thinkfree.ca/

- Unomi -
28-09-2006, 13:12 door Anoniem
Door Un0mi

Als je echt een vertrouwensprobleem hebt, dan moet je dat
gewoon monitoren. Kun je dat niet, dan is de hacker niet je
grootste probleem.

- Unomi -

Sinds wanneer is monitoren voldoende om risico's af te
dekken? Is een IDS plotseling toch weer DE oplossing voor
alle beveiligingsproblemen? En wie moet die IDS dan gaan
installeren voor je? De hacker?
28-09-2006, 14:39 door Anoniem
<quote>
Een goede anti-virusonderzoeker of iemand die werkt om kwaadaardige
code te stoppen heeft veel meer vaardigheden nodig dan een blackhat
hacker.
</quote>

Dit is weer typisch een zin om de "goede" jongens beter te laten lijken dan
de "slechte". Dat een script kiddie beduidend minder kennis heeft dan een
virusonderzoeker, zonder meer mee eens. Maar een blackhat die exploits
kan vinden in bestaande binaire code heeft toch zonder meer duidelijke
skills die je niet moet onderschatten. Ik denk dat het inhuren van ex-
hackers niet altijd een probleem hoeft te zijn, daar het vinden van het
probleem altijd de eerste stap tot het vinden van de oplossing is.
28-09-2006, 15:22 door Anoniem
"Een goede anti-virusonderzoeker of iemand die werkt om kwaadaardige
code te stoppen heeft veel meer vaardigheden nodig dan een blackhat
hacker."

Wat een onzin. Er wordt voor het gemak maar even vergeten dat een anti-
virusonderzoeker geen pro-active houding hoeft aan te nemen. Iets wat
imho toch een zeer belangrijke eigenschap voor een auditor is. Daarbij
komt nog het feit dat anti-virus onderzoekers veelal alleen op de applicatie
laag werken.

Nu zeg ik niet dat bedrijven gelijk (voormalige) blackhats in moet gaan
huren, ik geloof best dat je niet echt vrolijk wordt als Mitnick je netwerk en
applicaties moet auditten, maar om nou te zeggen dat anti-virus
onderzoekers deze taak beter kunnen vervullen..... nee!
28-09-2006, 23:02 door Anoniem
Volgens mij vergeet men gemakshalve dat anti-virus bedrijven bestaan bij
de gratie van infrastructuur die hackers hebben gemaakt.

Geen internet, geen anti-virus bedrijven.

Ook vergeet men gemakshalve dat er geen security professionals die op
lowlevel nivo code begrijpen en meer dan 10 jaar ervaring hebben die
geen HACKERS achtergrond hebben.

Dit om het simpele feit dat tot 10 jaar geleden er gewoon geen opleidingen
bestonden die je voldoende bagage meegaf om een rol van betekenis te
kunnen spelen op lowlevel nivo.

Ik denk dat men verder moet stoppen met hoaxen en fud verspreiden want
inderdaad daarvoor kan je geen hackers gebruiken daar die zich tot de
feiten beperken.

Wellicht word het hoogtijd dat men mechanismen ontwerpt die anti-virus
scanners overbodig maakt, in theorie is dat niet zo moeilijk, nu alleen
realiseren ervan. Ik hoor Sophos en CO al roepen, dat zal niet door een
hacker ontworpen zijn :-)
28-09-2006, 23:20 door Constant
Je kunt het vergelijken met je huis laten beveiligen door een voormalig
inbreker. En een paar weken later is er doorgaans toch ingebroken, want
eens een dief altijd een dief. Zo ook met de vele voormalige computer
criminelen, die zal ik nooit vertrouwen. Die mensen moet je geen minuut
alleen laten met je waardevolle spullen (digitaal of niet digitaal).

Hackers hoeven trouwens maar een paar truuks te kennen om te kunnen
hacken, beveiligers moeten honderden truuks kennen alvorens ze
kunnen stellen dat hun systeem redelijk dicht is. Hackers hoeven dus
niet persé goede beveiligers te zijn, net zoals pyromanen vaak geen
brandjes kunnen blussen (aansteken is makkelijker dan blussen). Zo
ook zie ik beveiligen (muv die ene procent van de hackers die echt tot in
de details weten hoe een bepaald systeem werkt).

Kiest een bedrijf er toch voor om hervormde blackhat hackers als
beveiligingsonsultant in te huren, dan moet men die "langzaam" in de
organisatie opnemen
van die mythe moeten we ook maar een
keer af, de meeste interne boeven (zie bijv. de fraude statistieken van
Hoffman bedrijfsrechercheurs) werken meer dan een jaar voor een
bedrijf. De meeste boefjes hebben best veel geduld, dus langzaam
iemand opnemen, nou mooi verhaal maar niet genoeg om een boefje te
bekeren.
28-09-2006, 23:59 door Anoniem
Als een "hacker" voor een bedrijf gaat werken zijn er 2
mogelijkheden:

1. De persoon was nooit een echte hacker, maar is gewoon een
kapitalistische corporate whore met hackskills. Deed het
niet voor de passie voor technologie, maar voor het geld.

2. De persoon was een hacker, en blijft een hacker. Hij is
blij met alle nieuwe macht die hij gekregen heeft door deze
baan, en hij wordt er ook nog eens voor betaalt.

Either way, is het niet echt een goed idee. Sowieso zien
veel hackers het ook als een enorm verraadt tegenover "the
scene", om eerst alles van hun te leren. Om je vervolgens
tegen hun te keren.
29-09-2006, 09:57 door Anoniem
Een hacker kan door de gewijzigde justitiele aanpak en andere factoren
best bekeerd zijn.

Gevangenis straf als beloning kan best afschrikwekkend zijn en de
meeste hackers van vroeger hebben tegenwoordig een gezin en baan en
dit soort types gaan echt dit soort zaken niet meer op het spel zetten.

Daarnaast kan het ook een bevlieging zijn geweest van een aantal jaar en
is de fun er totaal af.

Vind het een beetje kortzichtig om dan te denken dat je dat soort mensen
niet meer kan vertrouwen.

Het is absoluut niet eens een boefje altijd een boef ik vind dat een
gedachtengang die absoluut niet klopt.

De wereld is niet zwart wit maar grijs.

Maar goed dit is mijn persoonlijke mening.

Stelling:

Wellicht zul je juist de mensen die gescreend zijn en beweren te
vertrouwen zijn je extra moeten screenen. Die zijn met name zeer
interessant om gebruikt te worden door criminelen. Want ze zijn toch al
gescreend. en wellicht is zo'n gescreende beveiligings jongen wel
gefrustreerd omdat die te weinig verdiend wat hem extra vatbaar maakt
voor criminelen.

Kortom het gaat om je inborst en ja die kan veranderen zowel positief als
negatief. En je kan niet alles over 1 kam scheren dat is generaliseren. elk
individu is verschillend. Dat zie je bij de politie toch ook? De kranten
berichten de laatste tijd spreken boekdelen.

Daarbij is denk de scope verkeerd. Al die managers b.v. die beschikken
over info waar je eng van wordt. En er zal heus wel wat meer op de
golfbaan besproken worden dan een 1 in hole. Dat soort gesprekken
waarbij vertrouwelijk info wordt gelekt kon wel eens meer impact hebben
op een bedrijf.

Bedoel maar en zo kunnen wel doorgaan met dit soort hypotheses. Maar
voorzichtigheid is een goede zaak natuurlijk maar om nou iedereen over 1
kam te scheren?? Niet elke nederlander loopt op klompen toch?
29-09-2006, 13:47 door Anoniem
Door Constant
Je kunt het vergelijken met je huis laten beveiligen door een voormalig
inbreker. En een paar weken later is er doorgaans toch ingebroken, want
eens een dief altijd een dief. Zo ook met de vele voormalige computer
criminelen, die zal ik nooit vertrouwen. Die mensen moet je geen minuut
alleen laten met je waardevolle spullen (digitaal of niet digitaal)..

Ik vind dat je wel hackers in kan huren... Ikzelf zie ook snel lekken in
software/spellen, om zo op een niet bedoelde manier de trial te omzeilen,
of goede spullen in spellen te krijgen. dat doe ik alleen voor de lol, en om
geld uit te sparen met software kopen...

Als een bedrijf zijn gemaakte software eerst door hackers laat testen, en ze
kraken het, kan je daarna een beveiliging daartegen maken voordat je het
uitbrengt. Dan kost het wat om een paar hackers in te huren, maar als ze
de software eerst releashen, en dan leven hackers zich er pas op uit, en
releashen een publieke crack, kost het ze veel mee.
25-05-2007, 13:17 door Anoniem
Door Un0mi
Een echte hacker is iemand met een mentaliteit. Dat is niet
tot ex-hacker om te turnen. Je bent het en je blijft het.

Hacken is een manier van denken en dat blijf je doen. Je
blijft zelf gaten zien in bestaande systemen waardoor dingen
mogelijk worden die er niet bij het ontwerp doordacht waren.

Als je het probleem ziet, de mentaliteit hebt, dan weet je
meestal ook de oplossing. Daar kun je je in trainen
natuurlijk, maar dat is een kwestie van willen.

De echte hacker heeft een passie voor techniek, voor puzzels
etc. Als je dat als white-hat doet, kun je het nuttig
toepassen. Als je dat als black-hat doet dan doe je dat om
de boel in chaos te brengen zodat je er zelf beter van wordt
(gevoel of materie).

Als je echt een vertrouwensprobleem hebt, dan moet je dat
gewoon monitoren. Kun je dat niet, dan is de hacker niet je
grootste probleem.

- Unomi -

Een whitehat is een stropdas dragend communicatief sterk, en
commerciel balletje wat goed met managers overweg kan en blackhat
kennis toepast, maar niet de kunde heeft om het zelf te genereren.
Of engisinds iets toevoegd aan de hacking scene. En er wel als een
bloedzuiger van leeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.