Black hat adviseert: huur een hacker met strafblad
Bedrijven die hun netwerk willen beschermen kunnen het beste een hacker met een strafblad in dienst nemen, zo adviseert een 'black hat' hacker die jarenlang zich aan allerlei computermisdrijven schuldig maakte. De bekende beveiligingsonderzoeker Robert 'Rsnake' Hansen interviewde de cybercrimineel die zich nu op het rechte pad zou begeven.
Naar eigen zeggen verdiende de black hat met zijn activiteiten miljoenen dollars en ging hij jarenlang door omdat het zo eenvoudig was. De meeste kennis haalde de crimineel uit boeken, Google en mensen die hij op IRC-kanalen en fora tegenkwam.
"In tegenstelling tot de 1337 haxorz (lol) van vandaag, deelden we allemaal en hielpen we elkaar. Je had niet het gevoel dat je belachelijk werd gemaakt omdat je niet beter wist." De cybercrimineel hield zich met allerlei zaken bezig, zoals het opzetten van botnets en uitvoeren van DDoS-aanvallen.
Cross-Site Scripting
Cybercrime is een lucratieve bezigheid, aldus de crimineel. Met name DDoS-aanvallen waarbij websites werden aangevallen en gechanteerd.
Volgens de black hat zouden de meeste websites het gevraagde bedrag betalen om weer online te zijn. Ook zou er op grote schaal van zero-days gebruik worden gemaakt om computers te infecteren.
"Geld verdienen aan een botnet is eenvoudiger dan het poetsen van je tanden, zeker als je in de geautomatiseerde industrie zit." Veel malware-groepen zouden tegenwoordig veel taken automatiseren. De black hat was ook betrokken bij het hacken van websites. Was het voorheen vaak SQL Injection, tegenwoordig zou het voornamelijk Cross-Site Scripting zijn waardoor websites worden gehackt.
Strafblad
De cybercrimineel heeft ook een boodschap voor bedrijven die hun netwerk willen beschermen. Dat is namelijk het in dienst nemen van hackers met een strafblad. Een voorname oorzaak dat bedrijven gehackt worden is dat ze 'stupide systeembeheerders' in dienst hebben, aldus de cybercrimineel.
"Als ik de baas van een bedrijf was zou ik veel liever iemand met een strafblad in dienst nemen dan iemand die is afgestudeerd." Mensen met een crimineel verleden zouden namelijk echte kennis hebben van hoe aanvallers opereren, en niet alleen over boekenkennis beschikken.
Social engineering
Een ander probleem is social engineering, dat wordt vergroot doordat bedrijven ongetrainde en jonge weekendwerknemers de telefoon laten bemannen, die vervolgens eenvoudig zijn te social engineeren. Als laatste krijgen bedrijven het advies om in DDoS-bescherming te investeren, aangezien dat een grote impact op de activiteiten van cybercriminelen heeft.
Het interview bestaat uit drie delen, waarvan de eerste twee nu online zijn verschenen. De black hat gaat verder in op de veiligheid van browsers en de invloed van drugskartels op de activiteiten van cybercriminelen.
En dat moet als aanbeveling gelden ?
Wat een achterlijke redenatie alleen gezien vanuit zijn oogpunt met voldoende kennis van zaken om zelf zo'n persoon te controleren...
Een werkgever wil een aantoonbaar betrouwbaar persoon, omdat deze zelf niet de middelen heeft om te controleren of de infrastructuur gecompromiteerd word door de "hacker met strafblad".
Een real life trojaans paard in feite....
Wil niet zeggen dat anderen vertrouwd kunnen worden, we blijven mensen, maar je vat hem wel hoop ik.
Ik zie de tegenstelling niet. Denkt'ie nou echt dat de "skiddies" van tegenwoordig wel beter weten?
Ik zie wel dat het een bekende hoedkleurlutser is die druk heeft meegeholpen creatief computeren te vercrimineliseren in het oog van het publiek en de wetgever. En nu roept'ie dat dat een goed idee was. Nou nee. Beter weten doet hij het ook niet, nee.
De weg naar veiligere systemen is niet door de spreekwoordelijke gatenkaas op te proppen met spuitkaas in de gaten. En laat hij nou niet meer dan dat te bieden hebben. Dit is wat er voor expert doorgaat tegenwoordig.
Ja, dat soort mensen wil je vooral huren, mensen die dingen hebben gedaan die niet mogen en OOK gepakt zijn.
Het is dus zeker niet zo dat er een magisch antwoord is die in het bezit is van de blackhats op de problematiek van malware. Feitelijk klopt er eigenlijk weinig aan deze redenering omdat de grootste gave die je kunt hebben als security expert de gave is om het management ervan te overtuigen dat men moet investeren om de belangrijkste technische en proces risicos te mitigeren. Dat is op zich al een hele grote opgave. Dat je daarbij dan ook nog moet uitzoeken welke maatregelen het meest effectief zijn gezien de technische en organisatorische inrichting van een organisatie spreekt voor zich.
Een inbreker is echt niet de persoon die het meest geschikt is om een juwelier te beveiligen. Al was het maar omdat het zeer de vraag is of de persoon in kwestie vertrouwt kan worden de details en processen aangaande een ontworpen beveilging niet door te verkopen aan derden.
Voor wat betreft het aanbrengen van secure software development lifecycle processen en wat daarbij komt kijken aan politieke activiteiten zie ik een zeer technische hacker die wel in staat is 0days te schrijven nou ook niet als de meest geschikte persoon om dat concept te slijten bij de developers. Los van het feit dat dat dat werk ook een dergelijke persoon niet gelukkig gaat maken als beroep.
Indien een echte blackhat met echte capaciteiten geld wil verdienen gaat ie domweg exploit packs verkopen. Als een dergelijke persoon dat legaal wil doen zijn er voldoende bedrijven die dergelijke exploits opkopen. Helaas is het ontwikkelen van 0days slechts een deel van de skills die je nodig hebt om een echte security expert te zijn. Met ettelijke miljoenen aanvallen per dag op een gemiddelde high profile organisatie via web, email, etc is dat dus dan ook geen realistische strategie.
Het komt er op neer dat in een malware forensische of platform expertise rol een dergelijk blackhat zou kunnen functioneren. Maar een blackhat de leiding geven over een security programma is hetzelfde als de grootste crimineel van Amsterdam de chef van de politie maken. Dat doen we in bananenrepublieken maar toch niet in "beschaafde" landen mag ik hopen....
Ondanks het bovenstaande ben ik het wel eens met de gedachte dat er veel nono's rondlopen in security land die te weinig zelfkennis hebben en niet een keer durven zeggen: "Dat weet ik niet. Dat moet ik uitzoeken of navragen...". Ik merk dat regelmatig personen ongenunanceerde uitspraken doen terwijl men beter kan zeggen. Als u daar een volledig en toepasbaar antwoord op wil hebben moeten we dat voor u uitzoeken. Dat is de expertise die je verder brengt namelijk. Niet alleen nullen en enen maar ook de daadwerkelijke succesvolle operationalisering van maatregelen in de organisatie zelf. Dat is vaak waar het verkeerd gaat.
My two cents...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
