Nederlandse hacker waarschuwt Mitnick-aanvallers
Naast beveiligingsexperts Kevin Mitnick en Dan Kaminsky was ook de Nederlandse hacker en security-blogger Ronald van den Heetkamp het doelwit van "Zero for Owned", maar hij waarschuwt de aanvallers dat ze er niet zo gemakkelijk vanaf komen. Toch hadden de getroffen beveiligingsexperts betere maatregelen moeten treffen, zo laat hij Security.nl weten. Aanvallers wisten de servers van Mitnick en Kaminsky te hacken en plaatsten alle gevonden gegevens online. In het geval van Kamsinsky zat daar ook allerlei persoonlijke informatie bij.
Ook de hostingpartij waar Van den Heetkamp zijn site had ondergebracht werd door de aanvallers gekraakt. Hoewel de aanval een jaar geleden plaatsvond, lieten de aanvallers wel behoorlijke aanwijzingen achter. "Als jullie het misschien vergeten waren, ik bewaar al mijn logs, waaronder jullie bezoekjes op mijn nieuwe server om te zien of een bepaalde dir nog steeds aanwezig was." De hack kwam voor de Nederlandse hacker niet helemaal als een verrassing, aangezien hij zijn site bij een goedkope hostingpartij had ondergebracht. "Voor tien dollar kun je geen zwaar beveiligde server verwachten."
"Practice what you preach"
Toch verschilt zijn situatie met die van Kaminsky. "Ik wist dat ik kwetsbaar was omdat ik mijn hosting account niet in beheer had, maar ik had ook niets waardevol erop staan, de rest wel. Dat is een flink verschil." Inmiddels draait hij zijn eigen server thuis. "Iets wat ik ook zou verwachten van een Mitnick of Kaminsky." Van den Heetkamp noemt zich een hobbyist, terwijl Mitnick en Kaminsky professionals zijn. Het verwijt dat de twee beveiligingsexperts kregen omdat ze hun eigen adviezen niet opvolgden, vindt hij dan ook terecht. "Hun verantwoordelijkheid was veel groter, zeker met het hergebruik van wachtwoorden."
Wie er precies achter de aanvallen zitten is nog niet helemaal duidelijk, het zijn in ieder geval geen scriptkiddies, zo gaat de hacker verder. Hij heeft wel een waarschuwing voor ze. "Pas op als je de volgende keer inbelt, omdat je ook geen controle over je host of telco hebt. Je hebt mijn IP de afgelopen dagen misschien zien langskomen, omdat ik de ballen heb om me niet achter proxies te verstoppen. Als je mijn IP-adres hebt gezien, dan begrijp je dat ik weet uit wie jullie groep bestaat. Jullie hebben teveel kruimels achtergelaten, niet alleen in de logs, maar ook in je ZF0 magazine."
De aanvallers sloten het magazine, waarin alle gehackte informatie te vinden was, af met de opmerking dat de zomer nog niet voorbij is. En daar is Van den Heetkamp het helemaal mee eens. "Inderdaad, de zomer is nog niet voorbij, daar kun je zeker van zijn."
Zo zonde dat Ronald destijds zijn website uit de lucht heeft gehaald !
Tevens ben ik het helemaal eens met Ronald, een professional hoort een eigen server te hebben als hij niet gehackt wilt worden. Vind ik hoor.
Je hebt een mooi bericht achtergelaten Ronald!
Ronald en die scriptkiddie's
als je een server hackt het eerst wat je moet doen is je sporen uitwissen
Je verwacht ook een betere beveiliging en monitoring als je de sites van dit soort mensen aanvalt.
Wat me ook opvalt in dat artikel van ze, dat ze zo afgeven op de 'high tech' bedreigingen. De kritiek van de hackers was dat de security industry namelijk zoveel gericht is op vergezochte bedreigingen, terwijl de low-tech bedreigingen al voldoende zijn om in te breken. (Vermoedelijk, slordigheden in beheer en dergelijke.. bijv)
Uit het zf0 artikel werd me niet helemaal duidelijk of ze nu gebruik hebben gemaken van simpele public bugs... of van 0days. Ze noemen in het artikel ook dat ze komende tijd weer rustig op zoek gaan met het ontdekken van nieuwe lekken.
Ik ben wel benieuwd of we nog te weten krijgen hoe de aanvallen precies zijn uitgevoerd.
Simpel weg bruteforce tools zijn ingezet over een periode van 1 jaar. (kun je nagaan) ik zag ze aan het werk maar kon ze niet stoppen omdat ik geen root toegang had. Ik vind het bizar dat een Kaminski of een Mitnick dit niet doorhadden, maar ja wie ben ik? Ook heb ik meerder malen toegegeven hoe ik mijzelf kon hacken, blijkbaar was dat voldoende.
@Anoniem
Maak je maar niet druk anoniempje, heb de eerste al gevonden niet middels IP's maar op basis van pure text analyse. Een uitdaging leek me wel op z'n plaats. iedereen heeft een zgn. "fixed vocabulary" waarmee het mogelijk is de auteur te achterhalen door verschillende technieken. Later meer daar over. En wat slaat technisch negens op? graag motiveren, anders kan ik je de logs aanbieden zodat je kunt zien wat een prutsers het waren. Ah, anoniem heh, lekker makkelijk .
/rvdh
Goeie reactie. Tijdens het lezen van de zf05 had ik ook het idee dat het niet zo zeer een hacking skills waren die geholpen hadden maar meer de laksheid van de gehackte. Plus het feit dat er steeds ongeveer een jaar tussen zit wil zeggen dat ze er erg veel tijd in hebben moeten stoppen...
Overigens vraag me toch een ding af: als jij geen shell access hebt hoe kom je dan bij je logs? En als je ze wel bezig zag, waarom heb je dan je hosting partij niet met de neus in de juiste richting geduwd?
Er zijn zat goedkope servers die wel access geven tot cpanel, en dus bij veel servers toch mogelijk om je logs te bekijken.
Wist je trouwens dat de AIVD (weet of het nog zo is) 2 jaar geleden ook een virtueel account had? zat naast virus.nl hehe. ach ja, het is slecht gesteld dat mag nu wel duidelijk zijn.
Oja, nog een oproep aan Dhr. of Mevr. Bakker die via xs4all surft en zaterdag even langs kwam surfen; je weet dat het testen voor SQL injectie illegaal is he? ik zal xs4all niet inlichten hoor, zo ben ik ook wel weer. :o)
/rvdh
http://www.security.nl/article/15140/1
Uit ZFO5:
As far as whitehats go Ronald is a pretty nice guy. Sometimes you find yourself
respecting a guy for the way he goes about his shit, Ronald is that kinda guy.
The comparison with the no talent asshat rsnake is obvious - both "specialize"
in this new form of security - "WEB APPLICATION SECURITY". Ronald was never
about the money, whereas rsnake is all about the hype, the drama, and seeing
his name in lights. Ronald quit the security scene some time ago, and despite
creating a new site it has been idle for a long time. So rather than let this
information go to waste, I figured I would share the security secrets of his
CMS/blog.
...snip...
Ronald said he'd had enough of security a while back, he had many wannabes who
worshipped him. He probably got to the stage at which he realised that what he
did does not require much intelligence. When you realise that and you have
people worshipping you - you get to wondering how dumb some of these people
are, and hence the security industry is. Ronald got to that point despite
lacking much security talent himself (see above) and focusing on just web
security. Credit to you for sticking to your guns and walking away Ronald, one
thing is for sure, there is more class in your slightly stretched (im sure)
dutch asshole than there is in Jeremiah Grossman and rsnake's brains.
Daag Anoniem. n00b.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
