image

Black hat adviseert: huur een hacker met strafblad

donderdag 23 mei 2013, 13:29 door Redactie, 12 reacties

Bedrijven die hun netwerk willen beschermen kunnen het beste een hacker met een strafblad in dienst nemen, zo adviseert een 'black hat' hacker die jarenlang zich aan allerlei computermisdrijven schuldig maakte. De bekende beveiligingsonderzoeker Robert 'Rsnake' Hansen interviewde de cybercrimineel die zich nu op het rechte pad zou begeven.

Naar eigen zeggen verdiende de black hat met zijn activiteiten miljoenen dollars en ging hij jarenlang door omdat het zo eenvoudig was. De meeste kennis haalde de crimineel uit boeken, Google en mensen die hij op IRC-kanalen en fora tegenkwam.

"In tegenstelling tot de 1337 haxorz (lol) van vandaag, deelden we allemaal en hielpen we elkaar. Je had niet het gevoel dat je belachelijk werd gemaakt omdat je niet beter wist." De cybercrimineel hield zich met allerlei zaken bezig, zoals het opzetten van botnets en uitvoeren van DDoS-aanvallen.

Cross-Site Scripting
Cybercrime is een lucratieve bezigheid, aldus de crimineel. Met name DDoS-aanvallen waarbij websites werden aangevallen en gechanteerd.
Volgens de black hat zouden de meeste websites het gevraagde bedrag betalen om weer online te zijn. Ook zou er op grote schaal van zero-days gebruik worden gemaakt om computers te infecteren.

"Geld verdienen aan een botnet is eenvoudiger dan het poetsen van je tanden, zeker als je in de geautomatiseerde industrie zit." Veel malware-groepen zouden tegenwoordig veel taken automatiseren. De black hat was ook betrokken bij het hacken van websites. Was het voorheen vaak SQL Injection, tegenwoordig zou het voornamelijk Cross-Site Scripting zijn waardoor websites worden gehackt.

Strafblad
De cybercrimineel heeft ook een boodschap voor bedrijven die hun netwerk willen beschermen. Dat is namelijk het in dienst nemen van hackers met een strafblad. Een voorname oorzaak dat bedrijven gehackt worden is dat ze 'stupide systeembeheerders' in dienst hebben, aldus de cybercrimineel.

"Als ik de baas van een bedrijf was zou ik veel liever iemand met een strafblad in dienst nemen dan iemand die is afgestudeerd." Mensen met een crimineel verleden zouden namelijk echte kennis hebben van hoe aanvallers opereren, en niet alleen over boekenkennis beschikken.

Social engineering
Een ander probleem is social engineering, dat wordt vergroot doordat bedrijven ongetrainde en jonge weekendwerknemers de telefoon laten bemannen, die vervolgens eenvoudig zijn te social engineeren. Als laatste krijgen bedrijven het advies om in DDoS-bescherming te investeren, aangezien dat een grote impact op de activiteiten van cybercriminelen heeft.

Het interview bestaat uit drie delen, waarvan de eerste twee nu online zijn verschenen. De black hat gaat verder in op de veiligheid van browsers en de invloed van drugskartels op de activiteiten van cybercriminelen.

Reacties (12)
23-05-2013, 13:36 door Anoniem
Het strafblad bewijst vooral dat de hacker (zelfs) door justitie te vinden was ...

En dat moet als aanbeveling gelden ?
23-05-2013, 13:53 door Anoniem
"Als ik de baas van een bedrijf was zou ik veel liever iemand met een strafblad in dienst nemen dan iemand die is afgestudeerd." Mensen met een crimineel verleden zouden namelijk echte kennis hebben van hoe aanvallers opereren, en niet alleen over boekenkennis beschikken.

Wat een achterlijke redenatie alleen gezien vanuit zijn oogpunt met voldoende kennis van zaken om zelf zo'n persoon te controleren...

Een werkgever wil een aantoonbaar betrouwbaar persoon, omdat deze zelf niet de middelen heeft om te controleren of de infrastructuur gecompromiteerd word door de "hacker met strafblad".
Een real life trojaans paard in feite....
Wil niet zeggen dat anderen vertrouwd kunnen worden, we blijven mensen, maar je vat hem wel hoop ik.
23-05-2013, 14:04 door Anoniem
"1337 haxorz (lol)"

Ik zie de tegenstelling niet. Denkt'ie nou echt dat de "skiddies" van tegenwoordig wel beter weten?

Ik zie wel dat het een bekende hoedkleurlutser is die druk heeft meegeholpen creatief computeren te vercrimineliseren in het oog van het publiek en de wetgever. En nu roept'ie dat dat een goed idee was. Nou nee. Beter weten doet hij het ook niet, nee.

De weg naar veiligere systemen is niet door de spreekwoordelijke gatenkaas op te proppen met spuitkaas in de gaten. En laat hij nou niet meer dan dat te bieden hebben. Dit is wat er voor expert doorgaat tegenwoordig.
23-05-2013, 14:11 door WhizzMan
Wat heeft een strafblad er nou weer mee te maken? Straks moeten we Rickey nog huren...
23-05-2013, 14:26 door Anoniem
RSnake is overigens de beheerder van http://ha.ckers.org/, bekend van onder andere de "XSS Cheat Sheet".
23-05-2013, 14:46 door SphaZ
Doet me denken aan het verhaal tijdens de Madison Gurkha blackhat sessions waarin zo'n scriptkiddie gepakt was en die dat ook promote dat je dat soort mensen moet huren. Uiteindelijk bleek dat ie gepakt was omdat hij geen proxy/proxy's gebruikte (wat een sukkel).

Ja, dat soort mensen wil je vooral huren, mensen die dingen hebben gedaan die niet mogen en OOK gepakt zijn.
23-05-2013, 14:57 door Whacko
Inderdaad... je wilt toch juist iemand die nog nooit gepakt is? Dan weet je zeker dat ie goed is :P
23-05-2013, 15:09 door Preddie
inhuren is één, naar ze luisteren en er naar handelen is twee ..... en dat laatste is vaak een probleem ....
23-05-2013, 15:25 door Anoniem
Iemand met strafblad is prima, maar dan moet er wel een integer persoon over zijn schouder meekijken. Iemand met een strafblad installeert natuurlijk zo een backdoor.
23-05-2013, 16:01 door Mark de Jager
Ik huur K0eN wel in... Igg weet ik niet of je die wel kan vertrouwen..
23-05-2013, 16:34 door AcidBurn
Heuj, neem Sven! Die heeft binnenkort een aardig strafblad !
24-05-2013, 09:30 door Anoniem
Aangezien het overgrote deel van de malware gebruik maakt van bekende vulnerabilities waar wel degelijk patches voor zijn zie ik de redenering scheef gaan. Geen updates en verkeerde configuraties zorgen voor de meeste problemen. Bovendien zijn vooral exploit kits verantwoordelijk voor de meeste besmettingen. (http://blog.malwarebytes.org/intelligence/2013/02/tools-of-the-trade-exploit-kits/)

Het is dus zeker niet zo dat er een magisch antwoord is die in het bezit is van de blackhats op de problematiek van malware. Feitelijk klopt er eigenlijk weinig aan deze redenering omdat de grootste gave die je kunt hebben als security expert de gave is om het management ervan te overtuigen dat men moet investeren om de belangrijkste technische en proces risicos te mitigeren. Dat is op zich al een hele grote opgave. Dat je daarbij dan ook nog moet uitzoeken welke maatregelen het meest effectief zijn gezien de technische en organisatorische inrichting van een organisatie spreekt voor zich.

Een inbreker is echt niet de persoon die het meest geschikt is om een juwelier te beveiligen. Al was het maar omdat het zeer de vraag is of de persoon in kwestie vertrouwt kan worden de details en processen aangaande een ontworpen beveilging niet door te verkopen aan derden.

Voor wat betreft het aanbrengen van secure software development lifecycle processen en wat daarbij komt kijken aan politieke activiteiten zie ik een zeer technische hacker die wel in staat is 0days te schrijven nou ook niet als de meest geschikte persoon om dat concept te slijten bij de developers. Los van het feit dat dat dat werk ook een dergelijke persoon niet gelukkig gaat maken als beroep.

Indien een echte blackhat met echte capaciteiten geld wil verdienen gaat ie domweg exploit packs verkopen. Als een dergelijke persoon dat legaal wil doen zijn er voldoende bedrijven die dergelijke exploits opkopen. Helaas is het ontwikkelen van 0days slechts een deel van de skills die je nodig hebt om een echte security expert te zijn. Met ettelijke miljoenen aanvallen per dag op een gemiddelde high profile organisatie via web, email, etc is dat dus dan ook geen realistische strategie.

Het komt er op neer dat in een malware forensische of platform expertise rol een dergelijk blackhat zou kunnen functioneren. Maar een blackhat de leiding geven over een security programma is hetzelfde als de grootste crimineel van Amsterdam de chef van de politie maken. Dat doen we in bananenrepublieken maar toch niet in "beschaafde" landen mag ik hopen....

Ondanks het bovenstaande ben ik het wel eens met de gedachte dat er veel nono's rondlopen in security land die te weinig zelfkennis hebben en niet een keer durven zeggen: "Dat weet ik niet. Dat moet ik uitzoeken of navragen...". Ik merk dat regelmatig personen ongenunanceerde uitspraken doen terwijl men beter kan zeggen. Als u daar een volledig en toepasbaar antwoord op wil hebben moeten we dat voor u uitzoeken. Dat is de expertise die je verder brengt namelijk. Niet alleen nullen en enen maar ook de daadwerkelijke succesvolle operationalisering van maatregelen in de organisatie zelf. Dat is vaak waar het verkeerd gaat.

My two cents...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.