image

Nederlandse hacker waarschuwt Mitnick-aanvallers

vrijdag 31 juli 2009, 16:02 door Redactie, 11 reacties

Naast beveiligingsexperts Kevin Mitnick en Dan Kaminsky was ook de Nederlandse hacker en security-blogger Ronald van den Heetkamp het doelwit van "Zero for Owned", maar hij waarschuwt de aanvallers dat ze er niet zo gemakkelijk vanaf komen. Toch hadden de getroffen beveiligingsexperts betere maatregelen moeten treffen, zo laat hij Security.nl weten. Aanvallers wisten de servers van Mitnick en Kaminsky te hacken en plaatsten alle gevonden gegevens online. In het geval van Kamsinsky zat daar ook allerlei persoonlijke informatie bij.

Ook de hostingpartij waar Van den Heetkamp zijn site had ondergebracht werd door de aanvallers gekraakt. Hoewel de aanval een jaar geleden plaatsvond, lieten de aanvallers wel behoorlijke aanwijzingen achter. "Als jullie het misschien vergeten waren, ik bewaar al mijn logs, waaronder jullie bezoekjes op mijn nieuwe server om te zien of een bepaalde dir nog steeds aanwezig was." De hack kwam voor de Nederlandse hacker niet helemaal als een verrassing, aangezien hij zijn site bij een goedkope hostingpartij had ondergebracht. "Voor tien dollar kun je geen zwaar beveiligde server verwachten."

"Practice what you preach"
Toch verschilt zijn situatie met die van Kaminsky. "Ik wist dat ik kwetsbaar was omdat ik mijn hosting account niet in beheer had, maar ik had ook niets waardevol erop staan, de rest wel. Dat is een flink verschil." Inmiddels draait hij zijn eigen server thuis. "Iets wat ik ook zou verwachten van een Mitnick of Kaminsky." Van den Heetkamp noemt zich een hobbyist, terwijl Mitnick en Kaminsky professionals zijn. Het verwijt dat de twee beveiligingsexperts kregen omdat ze hun eigen adviezen niet opvolgden, vindt hij dan ook terecht. "Hun verantwoordelijkheid was veel groter, zeker met het hergebruik van wachtwoorden."

Wie er precies achter de aanvallen zitten is nog niet helemaal duidelijk, het zijn in ieder geval geen scriptkiddies, zo gaat de hacker verder. Hij heeft wel een waarschuwing voor ze. "Pas op als je de volgende keer inbelt, omdat je ook geen controle over je host of telco hebt. Je hebt mijn IP de afgelopen dagen misschien zien langskomen, omdat ik de ballen heb om me niet achter proxies te verstoppen. Als je mijn IP-adres hebt gezien, dan begrijp je dat ik weet uit wie jullie groep bestaat. Jullie hebben teveel kruimels achtergelaten, niet alleen in de logs, maar ook in je ZF0 magazine."

De aanvallers sloten het magazine, waarin alle gehackte informatie te vinden was, af met de opmerking dat de zomer nog niet voorbij is. En daar is Van den Heetkamp het helemaal mee eens. "Inderdaad, de zomer is nog niet voorbij, daar kun je zeker van zijn."

Reacties (11)
31-07-2009, 17:27 door Anoniem
Hahahaha! Net goed!
Zo zonde dat Ronald destijds zijn website uit de lucht heeft gehaald !
31-07-2009, 18:29 door KoekeBakker
Ik snap ook niet welk deel de hackers nou zo spannend vonden, een server van een hacker wijzigen? Aangezien het volgens Ronald niet zo heel moeilijk was om in zijn server te kruipen, vanwege de prijs die hij per maand betaalde.

Tevens ben ik het helemaal eens met Ronald, een professional hoort een eigen server te hebben als hij niet gehackt wilt worden. Vind ik hoor.

Je hebt een mooi bericht achtergelaten Ronald!
31-07-2009, 19:00 door Skyrez
Ik ben het ook met Ronald eens. Ze waren toch zo goed, ze hackten Mitnick en Kaminsky en vn den Heetkamp die pakt ze terug. Geweldig dit :) Ik twijfel er niet aan dat er nog nieuws gaat volgen hierover.
01-08-2009, 01:28 door oom agent
dat word oorlog tussen

Ronald en die scriptkiddie's

als je een server hackt het eerst wat je moet doen is je sporen uitwissen
01-08-2009, 15:40 door rob
Hij mag die IP adressen dan hebben. Het zal mij ten zeerste verbazen als het 'm lukt die lui te traceren... Op z'n minst verwacht ik dat ze zoiets als Tor hebben gebruikt voor anonimiteit. Daarnaast 1 of enkele andere gehackte systemen door te 'lussen', alvorens verder te gaan.

Je verwacht ook een betere beveiliging en monitoring als je de sites van dit soort mensen aanvalt.

Wat me ook opvalt in dat artikel van ze, dat ze zo afgeven op de 'high tech' bedreigingen. De kritiek van de hackers was dat de security industry namelijk zoveel gericht is op vergezochte bedreigingen, terwijl de low-tech bedreigingen al voldoende zijn om in te breken. (Vermoedelijk, slordigheden in beheer en dergelijke.. bijv)

Uit het zf0 artikel werd me niet helemaal duidelijk of ze nu gebruik hebben gemaken van simpele public bugs... of van 0days. Ze noemen in het artikel ook dat ze komende tijd weer rustig op zoek gaan met het ontdekken van nieuwe lekken.

Ik ben wel benieuwd of we nog te weten krijgen hoe de aanvallen precies zijn uitgevoerd.
01-08-2009, 19:14 door Anoniem
en wie de fuck is ronald dan ? nog nooit van gehoord, zijn website ziet er niet uit en wat hij post slaat technisch helemaal nergens op. en nee, ik ben niet 1 van zijn aggressors. dag ronald. n00b.
02-08-2009, 04:04 door Anoniem
@rob

Simpel weg bruteforce tools zijn ingezet over een periode van 1 jaar. (kun je nagaan) ik zag ze aan het werk maar kon ze niet stoppen omdat ik geen root toegang had. Ik vind het bizar dat een Kaminski of een Mitnick dit niet doorhadden, maar ja wie ben ik? Ook heb ik meerder malen toegegeven hoe ik mijzelf kon hacken, blijkbaar was dat voldoende.

@Anoniem
Maak je maar niet druk anoniempje, heb de eerste al gevonden niet middels IP's maar op basis van pure text analyse. Een uitdaging leek me wel op z'n plaats. iedereen heeft een zgn. "fixed vocabulary" waarmee het mogelijk is de auteur te achterhalen door verschillende technieken. Later meer daar over. En wat slaat technisch negens op? graag motiveren, anders kan ik je de logs aanbieden zodat je kunt zien wat een prutsers het waren. Ah, anoniem heh, lekker makkelijk .

/rvdh
03-08-2009, 09:17 door [Account Verwijderd]
[Verwijderd]
03-08-2009, 12:10 door Michel1973
Door H2os: @Anoniem:

Goeie reactie. Tijdens het lezen van de zf05 had ik ook het idee dat het niet zo zeer een hacking skills waren die geholpen hadden maar meer de laksheid van de gehackte. Plus het feit dat er steeds ongeveer een jaar tussen zit wil zeggen dat ze er erg veel tijd in hebben moeten stoppen...

Overigens vraag me toch een ding af: als jij geen shell access hebt hoe kom je dan bij je logs? En als je ze wel bezig zag, waarom heb je dan je hosting partij niet met de neus in de juiste richting geduwd?

Er zijn zat goedkope servers die wel access geven tot cpanel, en dus bij veel servers toch mogelijk om je logs te bekijken.
03-08-2009, 21:42 door Anoniem
Ik had inderdaad een cPanel admin accountje (virtueel), bij de goedkoopste hosting partij. En tja als je virtueel zit en je host niet eens de moeite neemt om je account in een jail te stoppen en waar safe_mode uitstond, kon je voor een klein prijsje bij al m'n bestanden. Heb dat ook vaak geroepen, voor hetzelfde bedrag kon je een account naast mij aanschaffen en had je direct toegang tot mijn account via PHP. Dit is helaas het geval met duizenden virtuele accounts.

Wist je trouwens dat de AIVD (weet of het nog zo is) 2 jaar geleden ook een virtueel account had? zat naast virus.nl hehe. ach ja, het is slecht gesteld dat mag nu wel duidelijk zijn.

Oja, nog een oproep aan Dhr. of Mevr. Bakker die via xs4all surft en zaterdag even langs kwam surfen; je weet dat het testen voor SQL injectie illegaal is he? ik zal xs4all niet inlichten hoor, zo ben ik ook wel weer. :o)

/rvdh
04-08-2009, 14:17 door Anoniem
Door Anoniem: en wie de fuck is ronald dan ? nog nooit van gehoord, zijn website ziet er niet uit en wat hij post slaat technisch helemaal nergens op. en nee, ik ben niet 1 van zijn aggressors. dag ronald. n00b.

http://www.security.nl/article/15140/1

Uit ZFO5:


As far as whitehats go Ronald is a pretty nice guy. Sometimes you find yourself
respecting a guy for the way he goes about his shit, Ronald is that kinda guy.
The comparison with the no talent asshat rsnake is obvious - both "specialize"
in this new form of security - "WEB APPLICATION SECURITY". Ronald was never
about the money, whereas rsnake is all about the hype, the drama, and seeing
his name in lights. Ronald quit the security scene some time ago, and despite
creating a new site it has been idle for a long time. So rather than let this
information go to waste, I figured I would share the security secrets of his
CMS/blog.

...snip...

Ronald said he'd had enough of security a while back, he had many wannabes who
worshipped him. He probably got to the stage at which he realised that what he
did does not require much intelligence. When you realise that and you have
people worshipping you - you get to wondering how dumb some of these people
are, and hence the security industry is. Ronald got to that point despite
lacking much security talent himself (see above) and focusing on just web
security. Credit to you for sticking to your guns and walking away Ronald, one
thing is for sure, there is more class in your slightly stretched (im sure)
dutch asshole than there is in Jeremiah Grossman and rsnake's brains.

Daag Anoniem. n00b.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.