Nieuws

Onderzoeker laat zien hoe je hackers kunt hacken

zondag 20 juni 2010, 11:16 door Redactie, 15 reacties

De Franse beveiligingsonderzoeker Laurent Oudot heeft dertien ernstige lekken in beruchte exploitkits ontdekt, waardoor slachtoffers van een webaanval hun aanvallers kunnen hacken. De dertien zero-day kwetsbaarheden werden onthuld tijdens de SyScan Singapore 2010 conferentie en bevinden zich in exploitkits zoals NEON,YES, LuckySploit, Liberty en Eleonore en de Sniper Web backdoor.

Wapen
Oudot wil slachtoffers op deze manier te wapens geven om terug te vechten. Via de kwetsbaarheden is het mogelijk om de applicatie of servers van de aanvallers over te nemen of uit te schakelen. "We hebben laten zien hoe je aanvallers die deze tools gebruiken kunt identificeren, exploiten, neutraliseren of vernietigen", aldus de onderzoeker.

"Dit is een manier geweest om te laten zien hoe je kunt reageren als je wordt aangevallen. We hopen dat dit voor een nieuwe manier zorgt om over IT-security na te denken, en het mensen van dienst kan zijn."

Details
Veel van de gevonden beveiligingslekken waren eenvoudig te vinden, zo laat Oudot weten. Hij waarschuwt wel dat het gebruik van de kwetsbaarheden voor juridische problemen kan zorgen. Veel van de exploitkits draaien vaak op gehackte websites en webservers. Details van de lekken en bijbehorende exploits zijn nog niet vrijgegeven.

Hirsch Ballin installeert zelf software op dienstlaptop

"Prijzen security-oplossingen veel te hoog"

Reacties (15)

20-06-2010, 13:11 door Security Scene Team

Waarom worden door deze hersenlozen 'Script kiddies' omschreven als Hackers. een Hacker die zijn volle verstand wel gebruikt, Gebruikt GEEEEEEEEEEEEEEEEEEEEEEEEEEEEEN Exploits kits (zoals Metasploit). de naam zegt het al, Exploit Kits (Kids)
aka Kiddys ofte wel Script kids.

begrijpelijk dat je hier tegen wil terug vechten, maar om nou gelijk te praten over wapens :-/

kijk milw0rm, Scripts geschreven op basis van C#, C+, C++, Perl, Python, Ruby, html, Javascripts enz.. worden gebruikt.
Een Kiddy die zich zelf omschrijft als hacker maar zijn belangrijkste 'Wapen' onthult als Metasploit is een Zwak persoon met een Zwak stel hersens. voor metasploit hoefje alleen wat te klikken, payloads bij voegen. En hoppa ! Systeem gehackt!

nou kids happy hacking!

rofl.

20-06-2010, 13:36 door Anoniem

hacker is nou eenmaal de favoriete term hier... hét stopwoord bij uitstek...

20-06-2010, 14:05 door Anoniem

Dat "echte" hackers geen tools als Metasploit gebruiken is natuurlijk bullshit. Waarom zou je het wiel opnieuw moeten uitvinden om je target te analyseren en in kaart te brengen? Dat de "echte" hacker na het vinden van een vulnerability vervolgens zijn eigen tools gaat schrijven om die op zijn eigen manier te exploiten is natuurlijk een tweede.

20-06-2010, 16:33 door Security Scene Team

Door Anoniem: Dat "echte" hackers geen tools als Metasploit gebruiken is natuurlijk bullshit. Waarom zou je het wiel opnieuw moeten uitvinden om je target te analyseren en in kaart te brengen? Dat de "echte" hacker na het vinden van een vulnerability vervolgens zijn eigen tools gaat schrijven om die op zijn eigen manier te exploiten is natuurlijk een tweede.

Je hebt een punt idd.
Maar programma's zoals Metasploit of Lucksploit halen het 'plezier' uit Vulns te herkennen en die uit te buiten..
Er is niks aan als het al gedaan is, en op die manier leer je er ook meer van lijkt mij?

Netzoals dit artiekeltje:
http://www.corelan.be:8800/index.php/2010/05/10/offensive-security-hacking-tournament-how-strong-was-my-fu/

directory traversal is al meerdere malen gedaan, maar het is leuker als je het zelf doet zonder Copy/past(nub style?)

lees het artiekel denk dat je dan begrijpt wat ik bedoel.

+1 voor jou ;)

20-06-2010, 17:04 door xy22

Lijkt mij dat iemand die in staat is om "terug te slaan" ook voldoende kennis heeft om te voorkomen dat hij of zij een rootkit op de computer krijgt.
Voor deze mensen is het "reageren" met een tegenactie dus niet nodig, voor degenen die Wel een rootkit hebben is dit onzinnig omdat zij meestal toch niet effectief die tegenaanval uit kunnen voeren.
Verder kun/moet je je afvragen hoe legitiem zo'n tegenaanval is....

20-06-2010, 19:57 door Didier Stevens

Technisch goed voor de tegenaanval, maar keerzijde van de medaille is dat je de exploit kit auteurs wijst op hun bugs en hun de kans geeft om deze te verhelpen. Juist die mensen moeten we geen secure coding aanleren.

20-06-2010, 23:09 door Anoniem

Endan krijg je 100 uur taakstraf wegens hacken :)

21-06-2010, 10:11 door Anoniem

Door Anoniem: Endan krijg je 100 uur taakstraf wegens hacken :)

A probeert B te hacken. A gebruikt Metasploit, en B exploit een vulnerability in metasploit van A.
Gaat A dan naar de politie om te zeggen: "Ik wilde B hacken, maar hij heeft me via mijn 'hacktools' teruggehackt"?

21-06-2010, 13:55 door [Account Verwijderd]

[Verwijderd]

21-06-2010, 14:23 door H.King

Door rookie: Een echte hacker is toch gewoon een erg goede programmer.

indd, indien deze goede programmeur ook nog eens creatief is

21-06-2010, 16:44 door Dev_Null

Precies "rookie"..
Weer een mooi staaltje media-geknutsel door te gooien met termen waarvan ze zelf de ware aard niet weten.
Voor die journalisten die "hun story straight" willen krijgen hier wat achtergrond research materiaal :-)
http://en.wikipedia.org/wiki/Hackers_Heroes_of_the_Computer_Revolution
http://en.wikipedia.org/wiki/Hacker_ethic

22-06-2010, 02:55 door ROT13

@ Security Scene Team
Je druk maken over journalisten die een script-kiddie hacker noemen is helaas een verloren strijd. De term is door de media geadopteerd om als containerbegrip te fungeren voor alles dat ook maar naar onrechtmatig computergebruik lijkt te neigen.

23-06-2010, 07:19 door Anoniem

Worden de termen hacker, cracker, scriptkiddie niet veel in de verkeerde context gebruikt zowat overal op het net?

23-06-2010, 09:28 door Anoniem

Door Security Scene Team: Waarom worden door deze hersenlozen 'Script kiddies' omschreven als Hackers. een Hacker die zijn volle verstand wel gebruikt, Gebruikt GEEEEEEEEEEEEEEEEEEEEEEEEEEEEEN Exploits kits (zoals Metasploit).

kijk milw0rm, Scripts geschreven op basis van C#, C+, C++, Perl, Python, Ruby, html, Javascripts enz.. worden gebruikt.

Arrogante bal. wat denk je dat er in Metasploit zit, kneus?

23-06-2010, 14:01 door Anoniem

Door Anoniem:

Arrogante bal. wat denk je dat er in Metasploit zit, kneus?

Kneus? jij begrijpt het princiepe wat er bedoelt wordt niet. het gebruiken van los staande scripts, zelf geschreven exploits, worden meer gebruikt dan Metasploit.(op kids zoals jij na) grappig om te zien dat je niks weet. JA het zit ook in Metasploit, en daar gaat het juist om. Security Scene Team dikke +1.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer