Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Onderzoeker laat zien hoe je hackers kunt hacken

zondag 20 juni 2010, 11:16 door Redactie, 15 reacties

De Franse beveiligingsonderzoeker Laurent Oudot heeft dertien ernstige lekken in beruchte exploitkits ontdekt, waardoor slachtoffers van een webaanval hun aanvallers kunnen hacken. De dertien zero-day kwetsbaarheden werden onthuld tijdens de SyScan Singapore 2010 conferentie en bevinden zich in exploitkits zoals NEON,YES, LuckySploit, Liberty en Eleonore en de Sniper Web backdoor.

Wapen
Oudot wil slachtoffers op deze manier te wapens geven om terug te vechten. Via de kwetsbaarheden is het mogelijk om de applicatie of servers van de aanvallers over te nemen of uit te schakelen. "We hebben laten zien hoe je aanvallers die deze tools gebruiken kunt identificeren, exploiten, neutraliseren of vernietigen", aldus de onderzoeker.

"Dit is een manier geweest om te laten zien hoe je kunt reageren als je wordt aangevallen. We hopen dat dit voor een nieuwe manier zorgt om over IT-security na te denken, en het mensen van dienst kan zijn."

Details
Veel van de gevonden beveiligingslekken waren eenvoudig te vinden, zo laat Oudot weten. Hij waarschuwt wel dat het gebruik van de kwetsbaarheden voor juridische problemen kan zorgen. Veel van de exploitkits draaien vaak op gehackte websites en webservers. Details van de lekken en bijbehorende exploits zijn nog niet vrijgegeven.

Hirsch Ballin installeert zelf software op dienstlaptop
"Prijzen security-oplossingen veel te hoog"
Reacties (15)
20-06-2010, 13:11 door Security Scene Team
Waarom worden door deze hersenlozen 'Script kiddies' omschreven als Hackers. een Hacker die zijn volle verstand wel gebruikt, Gebruikt GEEEEEEEEEEEEEEEEEEEEEEEEEEEEEN Exploits kits (zoals Metasploit). de naam zegt het al, Exploit Kits (Kids)
aka Kiddys ofte wel Script kids.

begrijpelijk dat je hier tegen wil terug vechten, maar om nou gelijk te praten over wapens :-/

kijk milw0rm, Scripts geschreven op basis van C#, C+, C++, Perl, Python, Ruby, html, Javascripts enz.. worden gebruikt.
Een Kiddy die zich zelf omschrijft als hacker maar zijn belangrijkste 'Wapen' onthult als Metasploit is een Zwak persoon met een Zwak stel hersens. voor metasploit hoefje alleen wat te klikken, payloads bij voegen. En hoppa ! Systeem gehackt!

nou kids happy hacking!

rofl.
20-06-2010, 13:36 door Anoniem
hacker is nou eenmaal de favoriete term hier... hét stopwoord bij uitstek...
20-06-2010, 14:05 door Anoniem
Dat "echte" hackers geen tools als Metasploit gebruiken is natuurlijk bullshit. Waarom zou je het wiel opnieuw moeten uitvinden om je target te analyseren en in kaart te brengen? Dat de "echte" hacker na het vinden van een vulnerability vervolgens zijn eigen tools gaat schrijven om die op zijn eigen manier te exploiten is natuurlijk een tweede.
20-06-2010, 16:33 door Security Scene Team
Door Anoniem: Dat "echte" hackers geen tools als Metasploit gebruiken is natuurlijk bullshit. Waarom zou je het wiel opnieuw moeten uitvinden om je target te analyseren en in kaart te brengen? Dat de "echte" hacker na het vinden van een vulnerability vervolgens zijn eigen tools gaat schrijven om die op zijn eigen manier te exploiten is natuurlijk een tweede.

Je hebt een punt idd.
Maar programma's zoals Metasploit of Lucksploit halen het 'plezier' uit Vulns te herkennen en die uit te buiten..
Er is niks aan als het al gedaan is, en op die manier leer je er ook meer van lijkt mij?

Netzoals dit artiekeltje:
http://www.corelan.be:8800/index.php/2010/05/10/offensive-security-hacking-tournament-how-strong-was-my-fu/

directory traversal is al meerdere malen gedaan, maar het is leuker als je het zelf doet zonder Copy/past(nub style?)

lees het artiekel denk dat je dan begrijpt wat ik bedoel.

+1 voor jou ;)
20-06-2010, 17:04 door xy22
Lijkt mij dat iemand die in staat is om "terug te slaan" ook voldoende kennis heeft om te voorkomen dat hij of zij een rootkit op de computer krijgt.
Voor deze mensen is het "reageren" met een tegenactie dus niet nodig, voor degenen die Wel een rootkit hebben is dit onzinnig omdat zij meestal toch niet effectief die tegenaanval uit kunnen voeren.
Verder kun/moet je je afvragen hoe legitiem zo'n tegenaanval is....
20-06-2010, 19:57 door Didier Stevens
Technisch goed voor de tegenaanval, maar keerzijde van de medaille is dat je de exploit kit auteurs wijst op hun bugs en hun de kans geeft om deze te verhelpen. Juist die mensen moeten we geen secure coding aanleren.
20-06-2010, 23:09 door Anoniem
Endan krijg je 100 uur taakstraf wegens hacken :)
21-06-2010, 10:11 door Anoniem
Door Anoniem: Endan krijg je 100 uur taakstraf wegens hacken :)

A probeert B te hacken. A gebruikt Metasploit, en B exploit een vulnerability in metasploit van A.
Gaat A dan naar de politie om te zeggen: "Ik wilde B hacken, maar hij heeft me via mijn 'hacktools' teruggehackt"?
21-06-2010, 13:55 door [Account Verwijderd]
[Verwijderd]
21-06-2010, 14:23 door H.King
Door rookie: Een echte hacker is toch gewoon een erg goede programmer.

indd, indien deze goede programmeur ook nog eens creatief is
21-06-2010, 16:44 door Dev_Null
Precies "rookie"..
Weer een mooi staaltje media-geknutsel door te gooien met termen waarvan ze zelf de ware aard niet weten.
Voor die journalisten die "hun story straight" willen krijgen hier wat achtergrond research materiaal :-)
http://en.wikipedia.org/wiki/Hackers_Heroes_of_the_Computer_Revolution
http://en.wikipedia.org/wiki/Hacker_ethic
22-06-2010, 02:55 door ROT13
@ Security Scene Team
Je druk maken over journalisten die een script-kiddie hacker noemen is helaas een verloren strijd. De term is door de media geadopteerd om als containerbegrip te fungeren voor alles dat ook maar naar onrechtmatig computergebruik lijkt te neigen.
23-06-2010, 07:19 door Anoniem
Worden de termen hacker, cracker, scriptkiddie niet veel in de verkeerde context gebruikt zowat overal op het net?
23-06-2010, 09:28 door Anoniem
Door Security Scene Team: Waarom worden door deze hersenlozen 'Script kiddies' omschreven als Hackers. een Hacker die zijn volle verstand wel gebruikt, Gebruikt GEEEEEEEEEEEEEEEEEEEEEEEEEEEEEN Exploits kits (zoals Metasploit).

kijk milw0rm, Scripts geschreven op basis van C#, C+, C++, Perl, Python, Ruby, html, Javascripts enz.. worden gebruikt.

Arrogante bal. wat denk je dat er in Metasploit zit, kneus?
23-06-2010, 14:01 door Anoniem
Door Anoniem:
Door Security Scene Team: Waarom worden door deze hersenlozen 'Script kiddies' omschreven als Hackers. een Hacker die zijn volle verstand wel gebruikt, Gebruikt GEEEEEEEEEEEEEEEEEEEEEEEEEEEEEN Exploits kits (zoals Metasploit).

kijk milw0rm, Scripts geschreven op basis van C#, C+, C++, Perl, Python, Ruby, html, Javascripts enz.. worden gebruikt.

Arrogante bal. wat denk je dat er in Metasploit zit, kneus?

Kneus? jij begrijpt het princiepe wat er bedoelt wordt niet. het gebruiken van los staande scripts, zelf geschreven exploits, worden meer gebruikt dan Metasploit.(op kids zoals jij na) grappig om te zien dat je niks weet. JA het zit ook in Metasploit, en daar gaat het juist om. Security Scene Team dikke +1.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer
Vacature
Vacature

Privacy Officer / CISO

Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!

Lees meer

Poll: Controle thuiswerker met behulp van monitoring software:

13 reacties
Aantal stemmen: 754
Vacature
Vacature

Functionaris Gegevensbescherming (FG)

Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.

Lees meer
Certified Secure LIVE Online training
Pleeg je handel in voorkennis als je doet alsof je voorkennis verkoopt op het dark web?
07-04-2021 door Arnoud Engelfriet

Juridische vraag: Ik las dat in de VS een meneer aangeklaagd wordt voor handel in voorkennis, omdat hij op het dark web ...

5 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter