image

Is het trainen van hackers het trainen van de vijand?

vrijdag 23 juli 2004, 15:35 door Redactie, 12 reacties

Een "ethische hacker" kan omschreven worden als iemand die dezelfde gereedschappen en technieken als een kwaadaardige aanvaller gebruikt, maar hij beschadigt niet het systeem en steelt ook geen informatie. Hij evalueert het getroffen systeem, meldt de lekken aan de eigenaar en geeft instructies hoe de lekken gedicht kunnen worden. Het trainen van information security professionals neemt echter het risico met zich mee dat ethische en kwaadaardige hackers naast elkaar getraind worden. Dit artikel beschrijft ethisch hacking, legt uit hoe ethisch hacken wordt gegeven, identificeert de risico's die met deze training geassocieerd en geeft suggesties om de risico's te beperken.

Reacties (12)
23-07-2004, 16:26 door Anoniem
Hmmm... dit is een beetje de zelfde discussie als: we leiden
rechercheurs op, maar die weten zo goed hoe opsporing in
zijn werk gaat... maken we dan geen halve misdadigers van
ze? Of: We leiden forensisch specialisten op... maken we
geen halve misdadigers van ze omdat ze zo goed weten hoe
sporen vermeden kunnen worden?

Beetje een onzinnige discussie... het al dan niet vertonen
van crimineel gedrag is behoorlijk afhankelijk van de
persoon in kwestie.
23-07-2004, 19:11 door Wodan
kwaadaardige hackers

bestaat dat ? ik dacht dat we voor mensen die systemen beschadigen hele
andere namen hebben.
23-07-2004, 20:10 door Anoniem
hackers = IT and beveilig experts (nie allemaal maar de meeste hackers zijn
dat)

script kiddies zijn meestal iets anders
23-07-2004, 20:30 door Anoniem
Hacker / Crackers / Script kiddies. 1000 en 2 namen voor iemand die iets
doet. Een hacker is niet iemand die in de IT hoeft te werken. Een hacker is
een persoon die gewoon veel weet op gebied van IT, en hier gebruik van
maakt. Hackers zijn er als je het goed wilt noemen in 2 soorten. whitehat en
blackhat. De whitehat doen het voor de eer. Het vinden van exploits etc. een
Blackhat doet het voor het geld. Niet het geld dat hij krijgt van de organistatie
omdat het zo vriendelijk is om het te melden, nee geld voor afpersing, diefstal
of beschadigingen die hij aanbrengt.

Script Kiddies zijn gewoon mensen die geen achtergrond of een beginnende
achtergrond hebben in de IT / Hacking. Iemand die niet weet hoe hij een
exploit moet schrijven, hij download deze scripts (script kiddie). Een Echter
Hacker heeft dit niet nodig. die schrijft indien nodig zijn eigen variant op de
exploit in kwestie.
Hoe vaker we iets noemen hoe minder de indruk is. Bijna iedereen noemt
zichzelf een hacker als hij ooit een keer een probleem heeft opgelost of door
stom toeval eens een wachtwoord heeft weten te achterhalen. Dit zijn mooie
verhalen op verjaardagsfeestjes, En het voelt goed als een leek je een
hacker noemt. Maar vergeet niet dat een hacker meer weet dan een
gemiddelde IT / Security specialist.
23-07-2004, 22:50 door Anoniem
mja wel beetje onterecht.. want coden en hacken is wel ff iets anders dus je
eigen sploits maken vind ik meer bij coden horen maja..
23-07-2004, 23:21 door Anoniem
Door Anoniem
Hacker / Crackers / Script kiddies. 1000 en 2 namen voor
iemand die iets
doet. Een hacker is niet iemand die in de IT hoeft te
werken. Een hacker is
een persoon die gewoon veel weet op gebied van IT, en hier
gebruik van
maakt. Hackers zijn er als je het goed wilt noemen in 2
soorten. whitehat en
blackhat. De whitehat doen het voor de eer. Het vinden van
exploits etc. een
Blackhat doet het voor het geld. Niet het geld dat hij
krijgt van de organistatie
omdat het zo vriendelijk is om het te melden, nee geld voor
afpersing, diefstal
of beschadigingen die hij aanbrengt.

Script Kiddies zijn gewoon mensen die geen achtergrond of
een beginnende
achtergrond hebben in de IT / Hacking. Iemand die niet weet
hoe hij een
exploit moet schrijven, hij download deze scripts (script
kiddie). Een Echter
Hacker heeft dit niet nodig. die schrijft indien nodig zijn
eigen variant op de
exploit in kwestie.
Hoe vaker we iets noemen hoe minder de indruk is. Bijna
iedereen noemt
zichzelf een hacker als hij ooit een keer een probleem heeft
opgelost of door
stom toeval eens een wachtwoord heeft weten te achterhalen.
Dit zijn mooie
verhalen op verjaardagsfeestjes, En het voelt goed als een
leek je een
hacker noemt. Maar vergeet niet dat een hacker meer weet dan
een
gemiddelde IT / Security specialist.


Een mooi stukje voor een kiddie : praten op
verjaardagfeestjes? ? Het voelt goed als je een hacker
genoemd wordt ? LMAO
24-07-2004, 00:21 door Wodan
een echte hacker is een computer liefhebber die graag alles wilt weten van
netwerk protocols en beveiligingen die meestal gepaard gaan met wat
ervaring in programeren.
en sommigen gebruiken het om om gaten te vinden in de beveiliging van
systemen to zo ver is het nog steeds een hacker.
Er zijn er ook bij die inbreken voor informatie zoals source codes van
programmas of zelfs operating systems en zolang ze er niks anders mee
doen dan ervan te leren vind ik het nog steeds een hacker.

Waar de redactie hier de fout in is gegaan is het noemen van kwaadaardige
hackers.
Dat bestaat niet de meeste mensen zien virus schrijvers of mensen die
ergens inbreken en systemen beschadigen als hackers dit is ook fout.
Dit soort mensen worden meestal crackers genoemd en de virus schrijvers
mja noem ze gewoon virus schrijvers al denk ik dat de meeste virussen
geproduceert worden door de antivirus bedrijven.

anyway over dit onderwerp kan je lang doorgaan alleen elke keer dat je een
hacker vergelijkd met een cracker of een virus schrijver of iets anders wat je
systeem beschadigd is fout
24-07-2004, 04:26 door Anoniem
Door Anoniem
een Blackhat doet het voor het geld. Niet het geld dat hij
krijgt van de organistatie omdat het zo vriendelijk is om
het te melden, nee geld voor afpersing, diefstal of
beschadigingen die hij aanbrengt.
Ik denk niet dat je blackhats alleen kan omschrijven als
mensen die alleen maar geld willen. In princiepe ben je een
al een blackhat hacker als je bijvoorbeeld nieuwe exploits
schrijft, die je niet published op security-sites en ook de
betreffende bug niet aan de vendor meld (0days). Het komt
uiteraard voor dat deze exploits soms worden verkocht aan
scriptkids.
Een blackhat hacker zal ook sneller voor de lol schadelijke
programma's schrijven. Blackhats zijn tevens vaak
opmerkelijk close binnen hun eigen kleine donkere hackers
community.
24-07-2004, 09:48 door Anoniem
Ik zie die cursussen meer als een awareness training voor IT-beheer
personeel. Zo'n cursus kan niet betaald worden door scriptkiddies. Blackhats
zijn meestal al lang het niveau van de aangeboden cursussen voorbij, dus die
volgen dergelijke cursussen ook niet. Dan blijft over, het IT-personeel dat de
hackers buiten de deur moet houden.

Ik zie het risico niet van het geven van dergelijke trainingen. Met een beetje
moeite is bijna alles op dit gebied te vinden op Internet. Tegenwoordig heeft
de boekhandel ook een uitgebreid assortiment boeken over dit onderwerp.
Kennis over hacken is tegenwoordig dus goed beschikbaar voor iedereen.
Met een beetje moeite en voor weinig geld is het eenvoudig om zelfstandig
het niveau te halen wat zo'n cursus nastreeft.

Waar ik me wel weer aan erger is dat in het artikel weer naar 911 wordt
gerefereerd. Alles op het gebied van security schijnt met 911 te maken te
hebben....
24-07-2004, 10:10 door Anoniem
Er zijn verschillende definities van woorden zoals 'hacker'.
Daar hebben we mee te leven. Uit de context is in 99% van de
gevallen gewoon prima duidelijk wat er bedoeld wordt. Zullen
we alleen in de overige 1% om verduidelijking vragen?
(overigens wordt in het artikel zelfs expliciet aandacht
besteed aan wat ze daar verstaan onder 'hacker').

Verder, meer on-topic: ik vind 'hacken' in opdracht van een
bedrijf wel ethisch verantwoord, ook als de afdeling
systeembeheer niet op de hoogte is. 'Hacken' uit eigen
beweging is lastiger: aan de ene kant vind ik dat een beetje
klooien 'moet kunnen', zolang je geen echte schade aanricht.
Daar zit echter direct een probleem: als iets krukkig in
elkaar zit en in elkaar dondert omdat de hacker iets
onverwachts deed, kan ik me best situaties voorstellen
waarbij dat toch echt de 'schuld' van de hacker is. 'Dan
hadden ze het systeem maar beter moeten maken' vind ik geen
steekhoudend argument.

Stelling: als je als 'ethische hacker' ongevraagd een
netwerk/machine onder handen neemt, moet je je ervan bewust
zijn dat je (onbedoeld, maar toch door jouw schuld) dingen
stuk kan maken, en moet je bereid zijn voor de (reeele)
kosten aansprakelijk gesteld te worden.
24-07-2004, 18:43 door Anoniem
uh,
[font=courier][color=green][size=+4]"Because I could"[/size][/
color][/font]
26-07-2004, 09:03 door Anoniem
Wat niemand schijnt te weten is dat een hacker helemaal niets met
computers te maken hoeft te hebben.
Volgens mij word de term hacker hier goed gebruikt. Tegenwoordig is de
term hacker nogal algemeen. Whitehats, blackhats, phreakers enzo vallen
onder de grote noemer hacker.
De eerste hackers hadden helemaal niks met computers te maken. De
eerste hackers waren mensen die thuis treintjes hadden, en deze
opvoerden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.