Hoofdcategorieën

[RSS] Index » Nieuws » Core » Software » Commotie om hack-handboek door beveiligingsexperts

Commotie om hack-handboek door beveiligingsexperts

Door Jeroen P Hira, dinsdag 16 maart 2004 23:48
Bron: Computerworld, views: 13.711

Er is commotie ontstaan over een handboek voor hacken door beveiligingsexperts. Het nieuwe boek The Shellcoder's Handbook: Discovering and Exploiting Security Holes is een uitgebreid handwerk voor het schrijven van software-exploits. Het boek is in eerste instantie bedoeld voor systeem- en netwerkbeheerders die zelf lekken van hun systeem willen dichten. Om deze openingen te kunnen dichten zal men eerst wel kennis moeten hebben, hoe men gebruik kan maken van zo'n gat. Door werkende code en hiervoor nog niet gepubliceerde technieken te gebruiken is er beroering ontstaan, omdat het nu wel erg makkelijk wordt om gebruik te maken bestaande beveiligingslekken.

Will hack for food (illustratie werk) Het boek zelf is nog niet uitgebracht, dat staat voor 22 maart op de rol, maar intussen heeft het dus al voor flink wat opschudding gezorgd. Zo wordt bijvoorbeeld beschreven wat shellcode precies inhoudt, en waarvoor en hoe het toegepast kan worden. Daarnaast worden ook de verschillende gaten van Windows- besturingssystemen besproken en uitgeprobeerd. De auteurs zijn zich van geen kwaad bewust, zo wordt aangegeven dat het boek de lezer leert hoe men exploits kan schrijven, dus uiteraard staan er dan werkende voorbeelden van in. Verder is dit soort informatie essentieel voor een systeembeheerder als hij zijn systeem dicht wil hebben en zorgt deze kennis ervoor dat de beheerder beter in staat is de ernst van bepaalde lekken in te zien, aldus de co-auteur Dave Aitel.

Volgende 23:49
Vorige 23:32
Gesponsorde link
Arjen (House) logo ICT nog slimmer inzetten?

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 32 reacties zichtbaar320 Off-topic / Irrelevant: 31 reacties zichtbaar31+1 On-topic: 27 reacties zichtbaar27+2 Informatief: 12 reacties zichtbaar12+3 Must-read: 4 reacties zichtbaar4
«  1  2  »

Door MandersOnline, dinsdag 16 maart 2004 23:54

Score: 2
Waar zeuren ze over, Er zijn zat boeken waar in staat hoe je moet hacken. Dit word veelal gebruikt voor het voorkomen van hacken. Dit is precies hetzelfde ik vind het wel goed. Misschien worden ze bij microsoft daar ook beetje wakker van dat ze sneller een patch uit brengen dan 1x per maand, met hun bewering binnen 24 uur een patch klaar te hebben moet er alleen een maandje op wachten.

Door WhiteDog, dinsdag 16 maart 2004 23:57

Score: 0
die patch is er ook binnen de 24uur hoor. Ze beginnen er alleen pas na 6 maand aan :Y)

Even serieus, MS doet echt wel hun best om security holes zo snel mogelijk te fixen. Het probleem ligt meer bij de gebruikers die 6 maand nodig hebben om ze te installeren :7

Door scorpie, woensdag 17 maart 2004 00:14

Score: 2
Ik snap de commotie niet zo.. echte hackers krijgen nu meer inzage in technieken die ze dan weer kunnen gebruiken om programma's en besturingssystemen veiliger te maken.

Een handjevol crackers zal er machines mee rooten en gebruiken om te ddossen of soortgelijke lame dingen.

En leken op het gebied van beveiliging (huis tuin en keuken gebruikers)(want dat is de eerste stap naar het hacken) die snappen toch geen kont van zo'n boek dat (uitgebreid) op shellcodes ingaat. (om nog maar te zwijgen over het feit of dit onderwerp ze uberhaupt boeit).

Laatste groep valt zowieso af dus, en tjah, alleen is het nu maar te hopen dat de whitehat hackers sneller exploits vinden dan blackhat hackers.

Maar nog maakt dat niet veel uit, daar alle die hards allang weten wat shellcodes inhouden etc.

Door mjtdevries, woensdag 17 maart 2004 12:11

Score: 1
Lees nu je eigen reactie nog eens opnieuw door.

In eerste instantie geef je aan de commotie niet te begrijpen.

Vervolgens vertel je dat de diehard goedaardige hackers toch niets aan dit boek hebben omdat ze dat allemaal al kunnen.
En dat leken er ook niets mee kunnen.

En dat dus de enige mensen die iets aan dit boek hebben de kwaadaardige hackers/crackers zijn.

Dan zou je toch juist wel de commotie moeten begrijpen?
(Tenzij je denkt dat het een goede zaak is dat de kwaadaardige figuren meer kennis krijgen)

Door Haan, woensdag 17 maart 2004 15:36

Score: 0
Waar lees jij dat alleen kwaadaardige hackers wat aan het boek hebben? Scorpster heeft het alleen over die hards, van beide kanten dus.. of zie ik dat verkeerd :?

Door Teckna, woensdag 17 maart 2004 00:15

Score: 3
Ik vind het raar dat een dergelijke boek meteen verboden zou moeten worden, zeker gezien het feit dat er al zeer veel publiekelijke boeken aanwezig zijn met het betrekken tot (linux/shell) Hacking zoals de volgende boeken welk bij mij hier op de plank liggen.
- Hackers guide
- Hacking Exposed
- Hacking Linux Exposed
- The Art of Deception
Ik zie dan ook niet in wat er zo vernieuwend aan dit specifieke boek zal wezen, veel informatie is namelijk reeds online beschikbaar via bijvoorbeeld sites als cert of security focus. of complete sites waar kant en klare shellscripts staan voor iedere willekeurige script kiddie om op te pakken. Juist dit soort boeken zorgt voor de awareness van security binnen een bedrijf of bij een persoon. Daarnaast nog steeds het oude gezegde, It takes a criminal to catch a criminal. Je zult eerst moeten weten hoe je ergens binnenkomt om deze lekken optimaal te dichten. vandaar dat deze 'hack' boeken evendicht bij black als whitehat mensen liggen.

Door So Solid, woensdag 17 maart 2004 09:52

Score: 1
Ik vind het raar dat een dergelijke boek meteen verboden zou moeten worden
We moeten niet vergeten dat Microsoft behalve een software fabrikant ook een sterke lobby is. In het boek staan heel wat aantal exploits uitgelegd en voorgedaan op Windows operating systems, hier zal Microsoft alles behalve blij mee zijn. Eerlijk gezegd begin ik me al af te vragen waarom Microsoft geen rechtzaak is begonnen :? (een standaard actie van het bedrijf meen ik).

Door dion_b, woensdag 17 maart 2004 00:30

Score: 3
Obscurity != Security :o

Een bedrijf of individu wiens systemen kwetsbaar zijn voor de in dit boek vermelde exploits heeft met of zonder dit boek een probleem. Degenen die hier zo hard over lopen te klagen zouden die energie beter kunnen steken in het dichten van de gaten.

Angst vloeit direct voort uit gebrek aan kennis. Verspreiding van kennis belemmeren wakkert angst alleen maar aan en maakt makkelijkere prooi van mensen :X

Door lzandman, woensdag 17 maart 2004 00:31

Score: 3
Al die commotie is zeer waarschijnlijk allemaal onderdeel van een hype die gecreeerd is door de uitgevers van het boek. De verkoopcijfers van dat boek zullen hierdoor wel weer omhoog gaan en de wereld is weer een hacking-boek rijker, waar de echte hacker toch niets aan heeft.

Door AaroN, woensdag 17 maart 2004 11:26

Score: 0
Gewoonweg een marketingstunt inderdaad: Iedere beginnende systeembeheerder denkt dat hij het boek nodig heeft om zich tegen de 'geheime hacks' te kunnen beveiligen.

Conclusie en Gevolg: Hoge verkopen en patches tegen de exploits voor zover het waar is wat de schrijvers melden, alhoewel ik daar een hard hoofd in heb.

Voor de mensen die er een beetje in willen komen zal het toch wel een aardig boek zijn, omdat inzicht het belangrijkste is in de hack wereld.

Door Wolfboy, woensdag 17 maart 2004 01:56

Score: 1
ach degene die zich hier mee bezig houden hebben dit boek niet nodig want ze zouden het zelf kunnen schrijven.

het is leuk dat er staat hoe je exploits kan schrijven maar die exploits zijn dan toch al ontdekt en dus (mag ik hopen tenminste) verholpen
wat is dan het gevaar eraan?
dat iemand zijn systeem niet up2date heeft en gehackt kan worden hierdoor?
dat is dan toch echt zijn schuld, ik weet ook genoeg sites waar je zo het laatste tooltje kan downloaden voor de nieuwste exploits

het probleem ligt bij de gebruikers die gewoon niet updaten, of het dan via zo'n boek bekend word of niet maakt weinig uit, die exploits zijn bekend en ze worden gebruikt

Door Metal Baron, woensdag 17 maart 2004 07:51

Score: 1
Zoals gewoonlijk worden de rollen weer eens omgedraaid. Laten OS-bouwers hun systeem maar gewoon veilig maken, dan zou er niks aan de hand zijn.

Door juniz, woensdag 17 maart 2004 08:49

Score: 2
Sorry maar het is onzin om alle security-issues toe te wijzen aan 'fouten' van OS-bouwers.
Verkeersongelukken zijn toch ook niet allemaal toe te wijzen aan auto-bouwers.

Veel netwerken zijn niet veilig geconfigureerd en shell script kunnen hiervan gebruik maken. Een dergelijk boek is ervoor bedoeld om beheerders (en eventueel ontwerpers) een idee te geven wat ze kunnen doen om systemen veiliger te maken.

Door Afterlife, donderdag 18 maart 2004 21:51

Score: 1
Shellcode heeft helemaal niets met shell scripts te maken.
Een redelijk accurate definitie van shellcode uit deze link
Writing shellcode:

Shellcode can be seen as a list of instructions that has been developed
in a manner that allows it to be injected in an application during runtime.

Injecting shellcode in application can be done trough many different security
holes of which buffer overflows are the most popular ones.

Erg interessant leesvoer trouwens, voor de liefhebber...

Door hamsteg, donderdag 18 maart 2004 12:05

Score: 2
Gesproken door iemand die geen software schrijft.

Software van deze grootte is niet waterdicht te krijgen. Ik heb ooit eens les gehad van iemand die, in een paar regels code (heel simpel) en volgens de hele zaal aanwezigen goede code, in no time een aantal zeer critische fouten naar boven toverde.

Ook een auto rijdt niet altijd en daarover hoor ik ook niemand zo flamen. We moeten accepteren dat software fouten bevat en daar als mens eens naar handelen (virus scanners up-to-date houden, alle niet gebruikte poorten dicht zetten, backup-en maken, patches installeren, passwoorden niet onder het toetsenbord leggen etc.etc.etc); kort samengevat: bewust met de computer bezig zijn en niet de schuld bij die computer/software neerleggen.
edit:
Natuurlijk ontslaat dit de software fabrikant niet van hun kwaliteits-rol

Door Bigs, woensdag 17 maart 2004 08:41

Score: 2
Boeien, dit is niks erger dan 'The Art of Deception' van Kevin Mitnick. Dit doet uitgebreid allerlei social engineering technieken uit de doeken, ook alleen maar om mensen the helpen om zich daar beter tegen te beschermen.
Social Engineering is net zo serieus als het hacken d.m.v. exploits.

Door Dommel, woensdag 17 maart 2004 09:26

Score: 1
Dat boek van Kevin Mitnick ken ik en zou door veel bedrijven eens verwerkt moeten worden in een of andere training. Als je in dat boek leest hoe gemakkelijk hij aan bepaalde dingen kan komen door er gewoon om te vragen dan sta je echt versteld dat mensen zomaar alles geven.

Hacken blijkt in dat geval niet alleen een kwestie van de juiste exploit maar ook op de juiste manier mensen te woord staan. Kun je beide goed dan ben je heel goed.

Door vGnp, woensdag 17 maart 2004 09:44

Score: 2
Snap geen zak van deze commotie. Heb onlangs nog een boek gekocht over exact hetzelfde onderwerp, namelijk "Hacking: The Art of Exploitation" (http://www.thinkgeek.com/books/nonfiction/6637/)
Pracht boek, goede voorbeelden (tot in detail met correcte uitleg) Gaat over allerlei soorten buffer-, stack- en andere soorten overflow en hoe hier slim gebruik van te maken bij een exploit.
Maar heb ook al diverse boeken over social engineering. En zie niet in waarom dit soort boeken verboden zouden moeten worden.
Sterker nog: Ik snap de klagers niet helemaal. Als je al een handboek krijgt aangereikt door "de community" over hoe ze een OS hacken, dan heb je toch een pracht van een document over wat je moet verbeteren in je OS? Wat willen ze nou nog meer dan?

* 786562 vGnp

Door MayteeR3D, woensdag 17 maart 2004 09:53

Score: 1
precies.... maar men is bang dat er zo meer hackers zullen opstaan..

Ik denk dat een boek over ' hoe houd ik mijn computer up to date' voor sommige, in dit geval de tegenhangers van het boek, een goed alternatief is :)

Door Het.Draakje, woensdag 17 maart 2004 11:09

Score: 1
Bang dat een hacker op zal staan ?

Nou graag, doe mij er maar eentje. Ik heb dat boekje (Exploitation) dan ook aan mijn zoontje gegeven voor zijn verjaardag. Hoeft hij tenminste niet te snuffelen in die ongure hoeken.

Hadden ze niet het ISBN nummer kunnen noteren ? Vaderdag komt eraan en dan is het wat makkelijker kopen voor mijn vrouw.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 23:49
Vorige 23:32
VNU Media logo Powered by True

© 1998 - 2009 Tweakers.net - Alle rechten voorbehouden - Uw Privacy - Algemene Voorwaarden

Uitgever van: