Nieuwe dreiging voor beveiliging

Op ZDNet is te lezen dat er een nieuwe techniek is die programma's die zijn bedoeld om bedrijfsnetwerken te kraken, kan camoufleren. Deze techniek werd door hacker 'K2' aan het publiek getoond. De techniek is erop gericht de patroonherkenning-intelligentie die veel Intrusion Detection Systems (IDS'en) normaal gesproken gebruiken in de war te brengen.

De reactie van beveiligingsexperts was verdeeld. Sommigen vatten het op als het zoveelste scenarion in de strijd tussen aanvallers en verdedigers. Andere beveiligingsexperts maken zich daarentegen wel zorgen. Gedurende de tijd die ze nodig hebben om de IDS'en aan te passen kunnen online vandalen hun gang gaan. Hieronder een gedeelte uit het artikel van ZDNet:

Als een er een gat in de beveiliging van een bedrijfsnetwerk is gevonden, vinden hackers meestal verschillende manieren om dat uit te buiten. Om de aanvallen te beheersen passen de makers van de IDS'en voortdurend hun software aan om nieuwe varianten op een bekend thema bij te houden. Volgens K2 is de balans nu verstoord. Met de nieuwe techniek kunnen hackers de structuur van hun code op zo'n manier wijzigen, dat ze de IDS'en voor de gek kunnen houden.

Door Robin van Rootseler

Developer

Feedback • 03-04-2001 15:32 18

03-04-2001 • 15:32

18

Bron: ZDNet

Lees meer

Def Con hackers conventie in Las Vegas
Def Con hackers conventie in Las Vegas Nieuws van 17 juli 2001
Bedrijfsnieuws

Reacties (18)

-Moderatie-faq
18
18
18
7
3
0
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 3 april 2001 15:51
Ik denk eerder dat dit een manier is om bestaande aanvallen, of varianten daarvan, op zo'n manier te versturen zodat ze veel en veel meer lijken op "normaal" netwerk verkeer, op die manier moet men de IDS systemen zeer scherp afstellen waardoor bij ieder http 404 bij wijze van spreke ene allert gegenereerd wordt. Op die manier zie je door de tientallen (honderden,duizenden?) "gewone" errors de attacks niet meer.. DIt kan dus zeker wel een gevaar opleveren!
Verwijderd 3 april 2001 21:06
dit is niets nieuws.

er was al z'n tool uit onder de naam stick.
http://www.eurocompton.net/stick/

waar het op neer komt is dat je een IDS 'flood' met signatures waardoor ie over de zeik gaat.

door de overvloed aan signatures (die gematched worden door de IDS) kan een attacker zijn echte aanval maskeren. that's all. princiepe was allang bekend.
kalizec 3 april 2001 19:22
Het verschil is dat dit geen virus is maar een methode van hacken. Het verschil tussen een virus en een hack-poging is dat een hack-poging op afstand gedaan wordt en een virus locaal draait.

Een virus zou bv dmv van E-Mail binnen moeten komen en vervolgens via een bug in OE zichzelf kunnen starten. Vervolgens kan het virus zijn pay-load uitvoeren.

Een hack-poging is het dmv van een bug/fout in de beveiliging binnendringen in een systeem en dan kan een hacker doen wat ie wil (meestal met een paar beperkingen maar niet altijd). Dus de payload is niet van tevoren bepaald.

Dit bericht betreft een nieuwe methode om een hack-poging te doen.
Sharky 3 april 2001 15:46
ik vind dit nu niet echt supergevaarlijk klinken. een hacker vind altijd een gaatje en maakt er gebruik van, nu gaat hij gewoon iets anders te werk.
de experts ontwikkelen weer iets dat dit moet voorkomen en zo gaan we nog wel ff door.

* 786562 sharkyOnline

ik behoor overigens ook niet echt tot de doelgroep van hackers.
botoo @Sharky3 april 2001 18:53
Dat jij het niet gevaarlijk vind klinken is omdat het (zoals je het zelf al aangeeft) niet meteen tegen jou gericht zal zijn. Maar zodra er een script van te krijgen is zullen de scriptkiddies dat ook te pakken vinden, en of jouw beveiliging dan nog blijft staan moet je nog maar afwachten.
TheGhostInc @botoo3 april 2001 22:48
Het is toch een kat en muis spelletje, er is nu weer een nieuwe techniek bedacht die ervoor zorgt dat de software makers weer even goed moeten nadenken.

* 786562 TheGhostInc
Verwijderd @botoo4 april 2001 10:41
Met het noemen van het woord "scriptkiddies" sla je de plank i.m.h.o. helaas mis. We hebben het hier over technieken om IDS-en, Intrusion Detection Systems, te omzeilen. Dingen zoals firewalls en packet filters worden dus door het slim in elkaar zetten van TCP-ip pakketjes voor de gek gehouden.

Een van de gesiteerde personen in het artikel, Martin Roesch, is de maker van Snort, een pakketje waarmee je kan kijken wat voor een verdacht verkeer je netwerk binnenkomt op tcp-ip pakket niveau. Is beschikbaar in zowel *nix als windows smaken, en zeker de moeite van het bekijken waard. En is GNU-opensource ;)
Verwijderd @Sharky3 april 2001 19:01
Als ik me niet vergis gaat het bij dit virus om de camouflage wat inhoud dat het moeilijk buiten te houden is omdat het gewoonweg niet gevonden wordt.

Het polymorph echter heeft de leuke eigenschap te veranderen in iets wat op zijn beurt wel weer makkelijk gevonden wordt.
(zwaar iritant als dit vaak gebeurt is want de naam moet natuurlijk wel bij de verdediging bekend zijn)

// IMPORTANT //
mijn excuses voor het foutief plaatsen van dit bericht dit bericht is een reactie op de gebruiker Aaargh!
// IMPORTANT //
ThE_ED 3 april 2001 16:37
er bestaan toch ook al stealth virussen? Dit is gewoon eenzelfde idee alleen dan is het ontwerp 1 niveau hoger uitgewerkt. Lijkt me...?
Bobco @ThE_ED3 april 2001 19:05
Dit is gewoon eenzelfde idee alleen dan is het ontwerp 1 niveau hoger uitgewerkt
Of juist een niveau lager. Een IDS is meestal een soort aangeklede packetsniffer die het netwerkverkeer analyseert en bij een 'verdacht' patroon alarm slaat. Je let dus niet op de vorm van het programma, maar op de vorm van het dataverkeer.

Als dit verzinsel in staat is om een aanval te laten lijken op 'gewoon' dataverkeer dan kun je een behoorlijk probleem hebben.

Kijk eens op http://www.snort.org voor wat meer informatie over een implementatie van een IDS.
Verwijderd 3 april 2001 21:33
Dit is niet een hack-programma/script of een virus. Dit is hooguit een methode om een hack-prog/script te verbergen voor het slachtoffer.

Gevaarlijk? Voor een gebruiker die geen services draait imo sowieso niet, die kan z'n firewall domweg zo instellen dat je alleen verkeer krijgt waar je om gevraagt hebt (heb je wel een statefull firewall nodig).

Voor iemand die wel services draait.. tsja.. 't is geen hack op zich, maar geeft de hacker wel veel tijd om ongestoord je systeem proberen te hacken..
Verwijderd @Verwijderd4 april 2001 01:38
Gevaarlijk? Voor een gebruiker die geen services draait imo sowieso niet, die kan z'n firewall domweg zo instellen dat je alleen verkeer krijgt waar je om gevraagt hebt (heb je wel een statefull firewall nodig).


wat heeft statefull zijn van een firewall ermee temaken dat een gebruiker alleen verkeer wilt waar hij om vraagt...

statefull inspection is niets anders dan rekening houden met al bestaande sessies (dus je rules worden toegepast op het initieele pakket, waarna je de rest van de pakketjes (in de betreffende sessie) niet nog eens hoeft te controleren), zodat er bij het processen minder overhead is waardoor een statefull inspection meestal sneller is dan een normale packet filter.
Verwijderd 3 april 2001 15:47
Dat werkt net als bepaalde visrusscanners die ook naar een patroon zoeken die vinden ook weleens virussen die er niet zijn.
Verwijderd 3 april 2001 15:49
Leuk is natuurlijk dat de nieuwe updates voor de IDS-en dit wel weer zullen detecteren. Net als virusscanners dus.
Dus als je als sysadmin netjes bijblijft met je updates...... :)
cappie 3 april 2001 15:52
Dit riekt naar abuse door scriptkiddies..
Wilfred 3 april 2001 15:55
Dat is natuurlijk wel erg gevaarlijk. Denk je dat je je hebt beschermd tegen een gevaarlijk hacker programma komt hetzelfde programma je gewoon weer om je oren slaan! Incognito!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq