"Pentesters te afhankelijk van exploit tools"
Steeds meer security auditors, pentesters en beveiligingsprofessionals zijn voor het hacken van systemen afhankelijk van geautomatiseerde exploit tools, terwijl goede beveiligers ook hun hersens voor het hacken moeten gebruiken. Pentesting tools kunnen nooit alle lekken vinden. "Mensen moeten hun kop voor het hacken van dingen gebruiken, niet alleen een programma," zegt de bekende beveiligingsonderzoeker en Metasploit ontwikkelaar HD Moore.
Volgens Moore missen pentesters, als ze zich alleen op exploits en beveiligingslekken richten, meer basale gaten in de infrastructuur. "Pen-tests moeten bijna altijd gerichte aanvallen tegen specifieke services, applicaties of mensen zijn. Een quick scan gevolgd door een exploit tool is geen pen-test."
Moore zal deze week tijdens de Black Hat conferentie demonstreren hoe je zonder exploits kunt hacken. "Het gaat om tactische aanvalsmethodes die geen typische exploitcode gebruiken. "Het gaat om het binnenkomen zonder het misbruiken van standaard lekken. Bijvoorbeeld het misbruiken van vertrouwensrelaties, profilen van een service om te bepalen wanneer een actie wordt uitgevoerd, om dan een kwetsbaarheid in het protocol aan te vallen."
pentesting/hacking daarnaast zegt niet HD Moore maar jij dat
iemand dan een sukkel is, HD Moore geeft gewoon aan dat als
je enkel tools gebruikt jegeen correcte pentest doet waar ie
wat mij betreft 100% gelijk in heeft.
-Jeroen
engineering ? Of skippen ze dat voor het gemak.
Resumé: Als je niet doet wat hij doet ben je een sukkel
Als je alleen maar vertrouwt op bestaande exploits is het
alsof je een willekeurige sleutel in de hand hebt, hiermee
10.000 deuren langs gaat op zoek naar een deur die open
gaat, en vervolgens zegt: Zie je wel, die deur is slecht
beveiligd.
Moore bedoelt meer (als je het over fysieke sloten blijft
hebben) de lockpickers die zonder schade en met alleen wat
gereedschap en hun kennis over sloten sloten gaan proberen
te openen zonder hier verder schade aan toe te brengen.
pentesting uit meer bestaat dan het draaien van een scanner.
Maar dat wisten we toch al?
Met open deuren intrappen kun je tegenwoordig nieuws maken. Als
iemand met een bekende naam (berucht of beroemd) het roept, is het
nieuws.
Ik vind Moore een beetje arrogant
Ik heb m vandaag live horen spreken en live demo's zien
geven. Pretty impressive. Hij mag arrogant zijn.
Hij vertelt gewoon de waarheid, en daarmee heeft hij een punt. Mocht
dat arrogant overkomen, so be it....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
