Ook backdoor in Fragroute en dsniff
Vandaag werd bekend dat in het programmas Fragroute en Dsniff enige tijd een backdoor heeft gezeten. De backdoor werd aangebracht door nog onbekende indringers, die door middel van een gat in de IRC-client van 1 van de beheerders toegang tot het systeem waar Fragroute is te downloaden wist binnen te dringen. Dit meldt beveiligingsspecialist Dug Song op de Bugtraq mailinglist. Het lijkt er op dat dezelfde mensen die de backdoor in IRSSI aanbrachten ook voor deze backdoor verantwoordelijk zijn.
Dit is nou een sprekend voorbeeld van waarom Security Professionals in de VS geen 'hacker-tools' (mogen) gebruiken om hun werk te doen, en Nederlandse Security bedrijven er wel pap van lusten, van al die 'gratis' goodies van het internet.
Want wij Hollanders weten alles beter toch?
Dan kan je maar beter een beetje meer betalen vooraf aan de licentie van een echte industriele tool, dan achteraf via de achterdeur.
Dit bericht is meer aan de ontvangers van security diensten gericht dan aan de aanbieders - wie de schoen past, trekke hem aan..
Dit is nou een sprekend voorbeeld van waarom Security Professionals in de VS geen 'hacker-tools' (mogen) gebruiken om hun werk te doen, en Nederlandse Security bedrijven er wel pap van lusten, van al die 'gratis' goodies van het internet.
=precies al die gratis goodies met source, die je kan controleren als security "professional", zijn vele malen slechter dan de binary only distributions, die kunnen immers geen backdoor bevatten, en als hij er inzit weet niemand ervan, 100% security.
Dan kan je maar beter een beetje meer betalen vooraf aan de licentie van een echte industriele tool, dan achteraf via de achterdeur.
= Of voor beide natuurlijk. met het verschil dat je opensource can controleren en binary only code niet (of iig met veel meer moeite + tijd + geld).
= Als herinnering: Borland interbase .. en (maar dat is natuurlijk niet van belang voor de serieuze security "professional") Quake ..
= wat het volgens mij vooral bewijst is dat security gebaseerd op flawless software niet werkt, het zij door on ontdekte bugs hetzij door backdoors.
P.S. "professional": Aangezien het jezelf tot professional benoemen je nog geen professional maakt, en er op de security mailing-lists, conferenties e.d. er door "professionals" de grootst mogelijk onzin wordt gepresenteerd.
Met het verschil dat de makers van proprietary software hun sources meestal niet op het internet ter beschikking stellen - wat misbruik natuurlijk ernstig vermindert zoals in dit geval, in combinatie met een goede activation-key structuur voor de gelicenseerde software. En diezelfde makers leveren zeer regelmatig de sources erbij. Ik denk ook dat makers van proprietary software in de regel meer te verliezen hebben als zoiets zou gebeuren. In het geval van sources op een ftp-site kan men altijd een hack claimen, en de eigen handen wassen. En wie zal het kunnen controleren?
Wie zichzelf overigens benoemd tot professional moet dat vind ik zelf weten. Zo is er in iedere beroepsgroep wel wat te vinden. Het kaf scheidt zich wel op den duur van het koren. Niets om je over op te winden in ieder geval beste "professional" ;-) Wie zonder zonden is werpe de eerste steen. En nee, ik ben geen geestelijke.
Het is in ieder geval ook niet "professional" om anoniem te posten vind ik. Een beetje flauw. Open Vizier toch? Maar daar zal wel een reden voor zijn <gn>..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.