Vandaag exploit voor ernstig DNS-lek
Als we beveiligingsonderzoeker HD Moore mogen geloven zal er vandaag een exploit voor het ernstige DNS-lek verschijnen waarvan de details inmiddels al bekend zijn. De exploit zal dan aan de hackertoolkit Metasploit worden toegevoegd, wat misbruik een stuk eenvoudiger maakt. Inmiddels heeft ook Kaminsky zich over de situatie uitgelaten. Wat zijn moment had moeten worden tijdens de Blackhat Conferentie lijkt inmiddels een formaliteit.
Toch is dat niet hetgeen dat hem op dit moment bezighoudt. "Dit draait niet om mij. Het gaat er om dat mensen patchen." Volgens de onderzoeker is het een zeer ernstig probleem dat alle websites treft die internetgebruikers bezoeken. "Ik kan nu ruzie met allerlei mensen maken en dat gaat mogelijk nog gebeuren! Maar het leidt af van wat we hebben bereikt. Dertien dagen was de patch beschikbaar zonder dat de bug publiekelijk bekend was."
Op de vraag dat sommige onderzoekers de details van het lek wilden weten, omdat ze anders niet zouden patchen, laat Kaminsky weten dat de details nu wel bekend zijn. Verder gaat hij er niet op in, wat wel op het blog van Matasano gebeurt. Daar is een felle discussie ontstaan tussen mensen die vonden dat de details meteen beschikbaar hadden moeten zijn en mensen die dit totale onzin vinden.
"Als elke grote IT-vendor in de wereld, een geloofwaardige beveiligingsonderzoeker en de meest ervaren mensen op het gebied van DNS zeggen dat dit een ernstig probleem is, dan zou dat genoeg reden moeten zijn om te patchen, ongeacht of jij en de rest van de wereld de exploit code in handen krijgent," zegt "Tokumei".
Aanvallen kwestie van tijd
Kaminsky laat in dit interview met Wired weten dat veel onderzoekers die het lek uiteindelijk ook wisten te achterhalen hem gemaild hebben, zonder de publiciteit op te zoeken. "Dat zegt veel." Terwijl de mensen die klaagden over het gebrek aan informatie het niet lukte om de kwetsbaarheid te ontdekken. "Uiteindelijk is elke ongepatchte nameserver kwetsbaar en zal vroeger of later worden aangevallen. De aanval is gewoon te goed en te gemakkelijk. Mijn oma zal tijdens de presentatie op Blackhat in het publiek zitten en zij zal de bug begrijpen."
downloaden..
lijkt me interesant om eens mee te spelen....
toch vraag ik me af, waar ik zo'n hackerstoolkit kan
downloaden..
lijkt me interesant om eens mee te spelen....
toch vraag ik me af, waar ik zo'n hackerstoolkit kan
downloaden..
lijkt me interesant om eens mee te spelen....
Boeiend? Sockschain gebruiken er de digitale recherche kan erna fluiten.
toch vraag ik me af, waar ik zo'n hackerstoolkit kan
downloaden..
lijkt me interesant om eens mee te spelen....
Niet per definitie. Als hij het in een prive omgeving uit
test ter leer en vermaak is er niets aan de hand.
toch vraag ik me af, waar ik zo'n hackerstoolkit kan
downloaden..
lijkt me interesant om eens mee te spelen....
Niet per definitie. Als hij het in een privé omgeving uit
test ter leer en vermaak is er niets aan de hand.
toch vraag ik me af, waar ik zo'n hackerstoolkit kan
downloaden..
lijkt me interesant om eens mee te spelen....
Ach gut, Ach gut, Ach gut, een CDA-Stemmer zeker ?
Alsof iedereen die dit download het ook meteen misbruikt.
toch vraag ik me af, waar ik zo'n hackerstoolkit kan
downloaden..
lijkt me interesant om eens mee te spelen....
toch vraag ik me af, waar ik zo'n hackerstoolkit kan
downloaden..
lijkt me interesant om eens mee te spelen....
Gebruiken = legaal
Misbruiken = illegaal
[url=http://www.metasploit.com/]Metasploit[/url] is niet moeilijk te vinden hoor.
router hebt?
Of is de fabrikant van de router verantwoordelijk hiervoor?
Maw, dient er een firmware update te komen?
Wat als de fabrikant dit niet doet? Zijn ze dan aansprakelijk?
testen bijvoorbeeld.. maar daar was moraalridder Nescio
zeker nog niet opgekomen.
toch vraag ik me af, waar ik zo'n hackerstoolkit kan
downloaden..
lijkt me interesant om eens mee te spelen....
Metasploit staat ook op de bekende Backtrack-distro.
Ik zou 'm ook graag willen hebben om mijn eigen servers te
testen bijvoorbeeld.
Als je vanaf een machine komt die jouw nameserver recursief
kan gebruiken (dus meestal je interne netwerk) kun je het
volgende gebruiken:
dig @X.X.X.X +short porttest.dns-oarc.net TXT
Je krijgt dan iets als (als het goed is):
X.X.X.X is GOOD: 26 queries in 4.1 seconds from 26 ports
with std dev 21015.19
Op die manier kun je ook de nameservers van je provider test.
Peter
toch vraag ik me af, waar ik zo'n hackerstoolkit kan
downloaden..
lijkt me interesant om eens mee te spelen....
Ach gut, Ach gut, Ach gut, een CDA-Stemmer zeker ?
Alsof iedereen die dit download het ook meteen misbruikt.
middelbareschooltieners met een grote bek! Ga eerst maar eens leren hoe je
met de grote mensen mag meespelen.
toch vraag ik me af, waar ik zo'n hackerstoolkit kan
downloaden..
lijkt me interesant om eens mee te spelen....
Boeiend? Sockschain gebruiken er de digitale recherche kan erna fluiten.
toch vraag ik me af, waar ik zo'n hackerstoolkit kan
downloaden..
lijkt me interesant om eens mee te spelen....
Gebruiken = legaal
Misbruiken = illegaal
[url=http://www.metasploit.com/]Metasploit[/url] is niet moeilijk te vinden hoor.
lang geleden bekend gemaakt. De wet is daar duidelijk in. Met een pistool
mag je ook niet zomaar schieten, ook al bedreig je er verder niemand mee.
toch vraag ik me af, waar ik zo'n hackerstoolkit kan
downloaden..
lijkt me interesant om eens mee te spelen....
Ach gut, Ach gut, Ach gut, een CDA-Stemmer zeker ?
Alsof iedereen die dit download het ook meteen misbruikt.
middelbareschooltieners met een grote bek! Ga eerst maar eens leren hoe je
met de grote mensen mag meespelen.
beledigen en schelden een wat dikkere huid zo je sieren.
toch vraag ik me af, waar ik zo'n hackerstoolkit kan
downloaden..
lijkt me interesant om eens mee te spelen....
Boeiend? Sockschain gebruiken er de digitale recherche kan erna fluiten.
Lol, jij bent echt dom. Volgens mij is de gemiddelde nederlandse fxp kiddo
nog slimmer dan jou.
Wie daarmee gaat knoeien, begaat gewoon een misdaad. Dat is nog niet zo lang geleden bekend gemaakt. De wet is daar duidelijk in.
misbruiken kan mij geen hond wat maken.
Daarbij, zo'n dingis altijd handig om tekijken of je systeem
zelf de nodig lekken heeft..
Zeg, wil jij voortaan je beledigingen voor je houden? Ik hou
niet van puisterige middelbareschooltieners met een grote bek! Ga eerst maar
eens leren hoe je met de grote mensen mag meespelen.
Ach, is meneer gepikeerd nu ?
Waarschijnlijk een apple user die vinden zichzelf altijd heel wat.
En ik hou niet van enge, vieze, oude mannen in strakke leren
pakkies ;/
Wie daarmee gaat knoeien, begaat gewoon een misdaad. Dat is
nog niet zo lang geleden bekend gemaakt. De wet is daar
duidelijk in.
volstrekt legaal. Dat de tool misbruikt wordt om ergens in
te breken doet daar niets aan af. Het inbreken is de
misdaad, het gebruik van deze tool (om je eigen spullen te
testen) is dat niet.
metasploit. Zie Wetboek van Strafrecht Artikel 139d. Het
verweer dat je dit alleen gebruikt om je eigen spullen te
testen kan wat mager zijn....
@ spatieman doe eens googlen spatieman heus je kunt het
@Nomen Nescio stel je niet aan man je lijkt wel een cda-er :P
@ mezelf ..ga werken man
te leggen als voor
metasploit. Zie Wetboek van Strafrecht Artikel 139d. Het
verweer dat je dit alleen gebruikt om je eigen spullen te
testen kan wat mager zijn....
Dat artikel stelt toch duidelijk dat het alleen geldt als je
het "oogmerk hebt (...)". Als ik dus metaploit los laat op
de paar 100.000 werkplekken en servers waarvoor ik
verantwoordelijk ben dan is er niets aan de hand. Gisteren
nog enkele tientallen ongepatchte servers gevonden waarbij
men voor de resolving dus niet de standaard (gepatchte)
servers gebruikte, maar zelf queries verstuurde.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
