"Pentesters te afhankelijk van exploit tools"
Steeds meer security auditors, pentesters en beveiligingsprofessionals zijn voor het hacken van systemen afhankelijk van geautomatiseerde exploit tools, terwijl goede beveiligers ook hun hersens voor het hacken moeten gebruiken. Pentesting tools kunnen nooit alle lekken vinden. "Mensen moeten hun kop voor het hacken van dingen gebruiken, niet alleen een programma," zegt de bekende beveiligingsonderzoeker en Metasploit ontwikkelaar HD Moore.
Volgens Moore missen pentesters, als ze zich alleen op exploits en beveiligingslekken richten, meer basale gaten in de infrastructuur. "Pen-tests moeten bijna altijd gerichte aanvallen tegen specifieke services, applicaties of mensen zijn. Een quick scan gevolgd door een exploit tool is geen pen-test."
Moore zal deze week tijdens de Black Hat conferentie demonstreren hoe je zonder exploits kunt hacken. "Het gaat om tactische aanvalsmethodes die geen typische exploitcode gebruiken. "Het gaat om het binnenkomen zonder het misbruiken van standaard lekken. Bijvoorbeeld het misbruiken van vertrouwensrelaties, profilen van een service om te bepalen wanneer een actie wordt uitgevoerd, om dan een kwetsbaarheid in het protocol aan te vallen."
pentesting/hacking daarnaast zegt niet HD Moore maar jij dat
iemand dan een sukkel is, HD Moore geeft gewoon aan dat als
je enkel tools gebruikt jegeen correcte pentest doet waar ie
wat mij betreft 100% gelijk in heeft.
-Jeroen
engineering ? Of skippen ze dat voor het gemak.
Resumé: Als je niet doet wat hij doet ben je een sukkel
Als je alleen maar vertrouwt op bestaande exploits is het
alsof je een willekeurige sleutel in de hand hebt, hiermee
10.000 deuren langs gaat op zoek naar een deur die open
gaat, en vervolgens zegt: Zie je wel, die deur is slecht
beveiligd.
Moore bedoelt meer (als je het over fysieke sloten blijft
hebben) de lockpickers die zonder schade en met alleen wat
gereedschap en hun kennis over sloten sloten gaan proberen
te openen zonder hier verder schade aan toe te brengen.
pentesting uit meer bestaat dan het draaien van een scanner.
Maar dat wisten we toch al?
Met open deuren intrappen kun je tegenwoordig nieuws maken. Als
iemand met een bekende naam (berucht of beroemd) het roept, is het
nieuws.
Ik vind Moore een beetje arrogant
Ik heb m vandaag live horen spreken en live demo's zien
geven. Pretty impressive. Hij mag arrogant zijn.
Hij vertelt gewoon de waarheid, en daarmee heeft hij een punt. Mocht
dat arrogant overkomen, so be it....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!