Beveiligingsexperts Mitnick en Kaminsky gehackt
De wereldbekende ex-hacker Kevin Mitnick en DNS-goeroe Dan Kaminsky zijn het doelwit van hackers geworden, die websites van de twee wisten te hacken, persoonlijke informatie buitmaakten en vervolgens online publiceerden. Volgens de aanvallers zijn de twee beveiligingsexperts blaaskaken, die zichzelf graag op de voorgrond plaatsen, zonder dat ze dingen echt iets veiliger maken. De reden voor de hack was te vinden in een bestand dat op de site van Kaminsky was geplaatst, inclusief zijn wachtwoorden en een lijst van dingen die hij had gedownload over dating en andere onderwerpen. "Oh shit, Dan Kaminsky is 0wned and fUcked Up. Check doxpara.com/zf05.txt", zo was op het blog van de DNS-goeroe, doxpara.com, te lezen.
Ook het gebruik van een onveilige bloggingdienst en hosting services, waardoor de aanvallers eenvoudig toegang tot de gegevens kregen, kwamen Kaminsky en Mitnick op kritiek te staan. Wat ook geldt voor de wachtwoordkeuze van Kaminsky, zoals fuck.hackers, 0hn0z (root account van zijn e-mail), fuck.omg, fuck.vps, ohhai. "Een root wachtwoord van vijf karakters? Niiiiiice", aldus de aanvallers. In de mysql_history vonden ze: "SET PASSWORD FOR 'root'@'localhost' = PASSWORD('fuck.mysql')." "Zie je het patroon?"
Kaminsky verving de tekst in het bestand, waarin hij de aanvallers feliciteerde met hun aanval. Hoewel hij niet zo blij was met alle persoonlijke informatie die ze publiceerden, wilde hij toch een biertje met ze drinken tijdens de Defcon hackerconferentie. Via Twitter merkt hij op dat het inderdaad vervelend is, maar "als je je op het slagveld begeeft, kun je worden neergeschoten."
Koekje van eigen deeg
Voor de tweede keer in korte tijd was ook meesterhacker Kevin Mitnick het slachtoffer. De aanvallers bekenden ook achter de eerste aanval eind juni te hebben gezeten. Toen werd de website via een DNS-aanval vervangen door een pornografische foto van Mitnick met drie mannen. "Het was een schitterend uitgevoerd social engineering experiment dat perfect werkte en ons een aantal fantastische quotes opleverden." Verwijzend naar de excuses van Mitnick.
Die kreeg wereldbekendheid vanwege het gebruik van social engineering om vertrouwelijke gegevens te achterhalen. Hij schreef er zelfs een boek over, wat de aanvallers ook hebben gelezen. "Wat kan ik zeggen, The Art of Deception was een van de boeiendste boeken die ik ooit heb gelezen." Mitnick gaf als excuus dat zijn provider was gehackt, iets dat de aanvallers hem aanrekenen. "Laat me iets duidelijk maken Kevin, www.kevinmitnick.com is jouw verantwoordelijkheid om te beveiligen. Je leidt een security auditing bedrijf, wat ging er mis?" Verder krijgt de man die eind vorige eeuw het gezicht van hackers was, het verwijt dat hij zichzelf helemaal niet meer als hacker ziet en ook geen banden meer met de hackergemeenschap heeft. "Kevin vervuilt de media met zijn onzin. Het feit is dat hij zijn eigen systemen niet kan beveiligen omdat hij niet weet hoe." Vervolgens volgt een lijst van alle bestanden op de server van kevinmitnick.com, waar de aanvallers volledige toegang toe wisten te krijgen.
Naast Mitnick en Kaminsky werd ook een aantal andere mensen en fora gehackt, waaronder vijf Nederlanders wier inloggegevens in het tekstbestand zijn te vinden, wat de aanvallers als magazine publiceerden. In totaal werden er via de gehackte fora en sites meer dan 75.000 wachtwoorden bemachtigd.
"De beveiligingsindustrie is verkloot"
Volgens de aanvallers zouden ze goed kunnen verdienen door beveiliging te verkopen aan mensen die beveiliging verkopen. "Het laat hun werk er wel heel slecht uitzien als ze niet eens zichzelf kunnen beveiligen. Natuurlijk zou hun eigen beveiliging net zo waardevol zijn als dat van hun klanten." De aanvallers zien er vanaf, omdat ze verwachten gearresteerd te worden.
Ook beveiligingsbedrijf Matasano krijgt er flink van langs. "De security scene is verkloot. Je hebt Dan Kaminsky die lezingen geeft over hoe DNS poisoning het einde van de wereld betekent. Je hebt Matasano die talent hamstert en iedereen bekritiseert, en dan Ptacek die alleen met een grafische firewall management client komt. En als toppunt is het jullie nog steeds niet gelukt om Kevin Mitnick kwijt te raken. De industrie maakt het ene jaar zich druk om virtualisatie en het andere jaar over iPhones, waarbij het elk jaar de lessen vergeet die het een jaar eerder had moeten oppikken."
Update 21:53
De vorige link naar "Zero for Owned 5", het magazine waarin alle informatie staat, werkte niet meer. Deze link doet het nog wel.
Update 13:58 - 30 juli
Ook vorige jaargangen zijn te downloaden.
zf01.txt
zf02.txt
zf03.txt
zf04.txt
zf05.txt
Maar is het je niet opgevallen dat het allemaal *nix systemen zijn? Je weet wel, dat OS wat zoveel veiliger is en zo moeilijk te kraken.
Maar is het je niet opgevallen dat het allemaal *nix systemen zijn? Je weet wel, dat OS wat zoveel veiliger is en zo moeilijk te kraken.
.... en wat heeft dat met PEBKAC te maken ?!
Maar is het je niet opgevallen dat het allemaal *nix systemen zijn? Je weet wel, dat OS wat zoveel veiliger is en zo moeilijk te kraken.
.... en wat heeft dat met PEBKAC te maken ?!
Maar is het je niet opgevallen dat het allemaal *nix systemen zijn? Je weet wel, dat OS wat zoveel veiliger is en zo moeilijk te kraken.
Als je ook maar een beetje verstand ervan had, en het artikel had kunnen begrijpen, dan zou je dat niet zeggen. Losstaand of het wel of niet waar is dat linux veilig of onveilig is. In het artikel staat niets waaruit je dat kunt concluderen. Het is allemaal het kraken van wachtwoorden of andere onveilige configuraties.
Slecht server management, zwakke wachtwoorden en het niet bij houden van patches is niet per definitie een probleem wat zich alleen voordoet bij Windows gebruikers. Uit dit akkefietje blijkt dat ook bij de alternatieve OS'en het toch vooral de gebruikers/beheerders zijn die uiteindelijk bepalen hoe (on)veilig het systeem is.
Dit was/is de crux van de discussie (en de sneer richting Eerde mijnerzijds hier) rondom het bericht dat een kwart van de Nederlandse bedrijven stijf staat van de malware. Als 25% nu al niet eens hun systemen op orde weet te krijgen en niet op tijd patcht waarom zouden ze dat met een ander OS wel doen?
Maar is het je niet opgevallen dat het allemaal *nix systemen zijn? Je weet wel, dat OS wat zoveel veiliger is en zo moeilijk te kraken.
.... en wat heeft dat met PEBKAC te maken ?!
Slecht server management, zwakke wachtwoorden en het niet bij houden van patches is niet per definitie een probleem wat zich alleen voordoet bij Windows gebruikers. Uit dit akkefietje blijkt dat ook bij de alternatieve OS'en het toch vooral de gebruikers/beheerders zijn die uiteindelijk bepalen hoe (on)veilig het systeem is.
Oooooh je bent FreeBSD fanboy, niets gezegd, dan is het goed..... ;)
Dit ben ik met je eens, maar ik moet zeggen ik was ook verbaast toen ik zag dat ze root access op een FBSD 7 b0x hadden!, maar....misschien was het wachtwoord daar wel 'fuck.mailserver' (of iets in die richting) van, dat hebben ze er niet bij geschreven.
FreeBSD is echt wel veiliger in dat het beter te beveiligen is.. Je hebt het veel meer zelf in de hand.
Je moet kijken naar de manier hoe men inbreekt.
Je kan in een bunker met dikke muren wonen. Maar als je verder enige security bewustheid ontbreekt, dan ben je net zo onveilig. Dat wil nog niet zeggen dat de bunker slecht gebouwd is.
Vroeger was het nog zo dat veel administrators van *nix systemen ook nog begrepen hoe *nix security bedoeld was. Maarja, als je lekke PHP scripts erop installeert, en world-writable scriptjes rond laat slingeren die uitgevoerd worden door root, dan maak je het er zelf naar.
Ik denk dat je op security gebied wel kunt zeggen dat malware zoals je dat kent op Windows niet op Linux/Unix servers een rol zal spelen. Conficker achtige taferelen enzo, verwacht ik niet meer op *nix. Dat is 30 jaar geleden al gebeurd. De monocultuur van Windows werkt malware in de hand. Daarbij komt nog het gemiddelde niveau van Windows gebruikers, en het uitnodigende karakter van windows om mensen vooral dom te laten.
Dat Linux/Unix systemen hacker-vrij zijn heb je nog nooit een autoritatief persoon horen zeggen. Dat zijn alleen enkele bijstanders die dat roepen. Hoewel er wel een kern van waarheid in zit, gezien de blunders die microsoft in het verleden heeft gemaakt op gebied van security.
FreeBSD is echt wel veiliger in dat het beter te beveiligen is.. Je hebt het veel meer zelf in de hand.
Je moet kijken naar de manier hoe men inbreekt.
Je kan in een bunker met dikke muren wonen. Maar als je verder enige security bewustheid ontbreekt, dan ben je net zo onveilig. Dat wil nog niet zeggen dat de bunker slecht gebouwd is.
Vroeger was het nog zo dat veel administrators van *nix systemen ook nog begrepen hoe *nix security bedoeld was. Maarja, als je lekke PHP scripts erop installeert, en world-writable scriptjes rond laat slingeren die uitgevoerd worden door root, dan maak je het er zelf naar.
Ik denk dat je op security gebied wel kunt zeggen dat malware zoals je dat kent op Windows niet op Linux/Unix servers een rol zal spelen. Conficker achtige taferelen enzo, verwacht ik niet meer op *nix. Dat is 30 jaar geleden al gebeurd. De monocultuur van Windows werkt malware in de hand. Daarbij komt nog het gemiddelde niveau van Windows gebruikers, en het uitnodigende karakter van windows om mensen vooral dom te laten.
Dat Linux/Unix systemen hacker-vrij zijn heb je nog nooit een autoritatief persoon horen zeggen. Dat zijn alleen enkele bijstanders die dat roepen. Hoewel er wel een kern van waarheid in zit, gezien de blunders die microsoft in het verleden heeft gemaakt op gebied van security.
Heb je dat quoten nu al onder de knie ?
de paar die roepen dat *nix/*ux os'en onhackbaar zijn hebben ongelijk. dat weet iedereen. daar hoeft nog weinig over gezegd te worden.
dat het opvalt dat het allemaal niet-windows systemen zijn (want daar gaat het zo te zien toch om bij jou) is weinig verrassend. al deze mensen hebben de kennis om niet-windows systemen te gebruiken (wat op zich al niet veel meer moet zijn in deze tijd). hoewel aangetoond is dat ze niet het hoogtepunt van security zijn, is hun kennis toch groter dan die van de wel-windows gebruiker. je kan je dus ook afvragen : "waarom gebruiken deze mensen, die meer kennis hebben van it, geen windows systemen?"
of kort samengevat :
het maakt niet uit wat ze hadden draaien. ze gingen achter personen, niet achter types systemen. ze hadden tijd en opereerden in groep. binnengeraken zouden ze sowieso doen.
Heeft iemand de moeite gedaan om die files te bekijken?
De inhoud is nogal vervelend voor de betrokkenen en derden.
Er staan wel wat paswoorden in voor verschillende chats.
De keuze van paswoorden is zeker interessant, zoals in het artikel staat.
Sommige paswoorden zijn zwak, sommige zijn "merkwaardig", en andere zijn alleen maar sterk
zolang je de generatiemethode niet kent (zie er één, ken ze allemaal).
"doe als je zegt" is dit niet helemaal.
Ook de commentaren ivm sommige "ethical hacking" zijn nogal sterk (en terecht, imho).
Verder wat leuke dingen ivm het speaker circuit, voor de geinteresseerden.
De interpersoonlijke verhoudingen zijn ok niet allemaal zo vriendelijk.
Dit kan ieder van ons overkomen bij een hack: wil je deze info op de straat gegooid zien?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.