Ook backdoor in Fragroute en dsniff
Vandaag werd bekend dat in het programmas Fragroute en Dsniff enige tijd een backdoor heeft gezeten. De backdoor werd aangebracht door nog onbekende indringers, die door middel van een gat in de IRC-client van 1 van de beheerders toegang tot het systeem waar Fragroute is te downloaden wist binnen te dringen. Dit meldt beveiligingsspecialist Dug Song op de Bugtraq mailinglist. Het lijkt er op dat dezelfde mensen die de backdoor in IRSSI aanbrachten ook voor deze backdoor verantwoordelijk zijn.
Dit is nou een sprekend voorbeeld van waarom Security Professionals in de VS geen 'hacker-tools' (mogen) gebruiken om hun werk te doen, en Nederlandse Security bedrijven er wel pap van lusten, van al die 'gratis' goodies van het internet.
Want wij Hollanders weten alles beter toch?
Dan kan je maar beter een beetje meer betalen vooraf aan de licentie van een echte industriele tool, dan achteraf via de achterdeur.
Dit bericht is meer aan de ontvangers van security diensten gericht dan aan de aanbieders - wie de schoen past, trekke hem aan..
Dit is nou een sprekend voorbeeld van waarom Security Professionals in de VS geen 'hacker-tools' (mogen) gebruiken om hun werk te doen, en Nederlandse Security bedrijven er wel pap van lusten, van al die 'gratis' goodies van het internet.
=precies al die gratis goodies met source, die je kan controleren als security "professional", zijn vele malen slechter dan de binary only distributions, die kunnen immers geen backdoor bevatten, en als hij er inzit weet niemand ervan, 100% security.
Dan kan je maar beter een beetje meer betalen vooraf aan de licentie van een echte industriele tool, dan achteraf via de achterdeur.
= Of voor beide natuurlijk. met het verschil dat je opensource can controleren en binary only code niet (of iig met veel meer moeite + tijd + geld).
= Als herinnering: Borland interbase .. en (maar dat is natuurlijk niet van belang voor de serieuze security "professional") Quake ..
= wat het volgens mij vooral bewijst is dat security gebaseerd op flawless software niet werkt, het zij door on ontdekte bugs hetzij door backdoors.
P.S. "professional": Aangezien het jezelf tot professional benoemen je nog geen professional maakt, en er op de security mailing-lists, conferenties e.d. er door "professionals" de grootst mogelijk onzin wordt gepresenteerd.
Met het verschil dat de makers van proprietary software hun sources meestal niet op het internet ter beschikking stellen - wat misbruik natuurlijk ernstig vermindert zoals in dit geval, in combinatie met een goede activation-key structuur voor de gelicenseerde software. En diezelfde makers leveren zeer regelmatig de sources erbij. Ik denk ook dat makers van proprietary software in de regel meer te verliezen hebben als zoiets zou gebeuren. In het geval van sources op een ftp-site kan men altijd een hack claimen, en de eigen handen wassen. En wie zal het kunnen controleren?
Wie zichzelf overigens benoemd tot professional moet dat vind ik zelf weten. Zo is er in iedere beroepsgroep wel wat te vinden. Het kaf scheidt zich wel op den duur van het koren. Niets om je over op te winden in ieder geval beste "professional" ;-) Wie zonder zonden is werpe de eerste steen. En nee, ik ben geen geestelijke.
Het is in ieder geval ook niet "professional" om anoniem te posten vind ik. Een beetje flauw. Open Vizier toch? Maar daar zal wel een reden voor zijn <gn>..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
