Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties
Bron: Computerworld

Er is commotie ontstaan over een handboek voor hacken door beveiligingsexperts. Het nieuwe boek The Shellcoder's Handbook: Discovering and Exploiting Security Holes is een uitgebreid handwerk voor het schrijven van software-exploits. Het boek is in eerste instantie bedoeld voor systeem- en netwerkbeheerders die zelf lekken van hun systeem willen dichten. Om deze openingen te kunnen dichten zal men eerst wel kennis moeten hebben, hoe men gebruik kan maken van zo'n gat. Door werkende code en hiervoor nog niet gepubliceerde technieken te gebruiken is er beroering ontstaan, omdat het nu wel erg makkelijk wordt om gebruik te maken bestaande beveiligingslekken.

Will hack for food (illustratie werk) Het boek zelf is nog niet uitgebracht, dat staat voor 22 maart op de rol, maar intussen heeft het dus al voor flink wat opschudding gezorgd. Zo wordt bijvoorbeeld beschreven wat shellcode precies inhoudt, en waarvoor en hoe het toegepast kan worden. Daarnaast worden ook de verschillende gaten van Windows- besturingssystemen besproken en uitgeprobeerd. De auteurs zijn zich van geen kwaad bewust, zo wordt aangegeven dat het boek de lezer leert hoe men exploits kan schrijven, dus uiteraard staan er dan werkende voorbeelden van in. Verder is dit soort informatie essentieel voor een systeembeheerder als hij zijn systeem dicht wil hebben en zorgt deze kennis ervoor dat de beheerder beter in staat is de ernst van bepaalde lekken in te zien, aldus de co-auteur Dave Aitel.

Moderatie-faq Wijzig weergave

Reacties (32)

Ik vind het raar dat een dergelijke boek meteen verboden zou moeten worden, zeker gezien het feit dat er al zeer veel publiekelijke boeken aanwezig zijn met het betrekken tot (linux/shell) Hacking zoals de volgende boeken welk bij mij hier op de plank liggen.
- Hackers guide
- Hacking Exposed
- Hacking Linux Exposed
- The Art of Deception
Ik zie dan ook niet in wat er zo vernieuwend aan dit specifieke boek zal wezen, veel informatie is namelijk reeds online beschikbaar via bijvoorbeeld sites als cert of security focus. of complete sites waar kant en klare shellscripts staan voor iedere willekeurige script kiddie om op te pakken. Juist dit soort boeken zorgt voor de awareness van security binnen een bedrijf of bij een persoon. Daarnaast nog steeds het oude gezegde, It takes a criminal to catch a criminal. Je zult eerst moeten weten hoe je ergens binnenkomt om deze lekken optimaal te dichten. vandaar dat deze 'hack' boeken evendicht bij black als whitehat mensen liggen.
Ik vind het raar dat een dergelijke boek meteen verboden zou moeten worden
We moeten niet vergeten dat Microsoft behalve een software fabrikant ook een sterke lobby is. In het boek staan heel wat aantal exploits uitgelegd en voorgedaan op Windows operating systems, hier zal Microsoft alles behalve blij mee zijn. Eerlijk gezegd begin ik me al af te vragen waarom Microsoft geen rechtzaak is begonnen :? (een standaard actie van het bedrijf meen ik).
Obscurity != Security :o

Een bedrijf of individu wiens systemen kwetsbaar zijn voor de in dit boek vermelde exploits heeft met of zonder dit boek een probleem. Degenen die hier zo hard over lopen te klagen zouden die energie beter kunnen steken in het dichten van de gaten.

Angst vloeit direct voort uit gebrek aan kennis. Verspreiding van kennis belemmeren wakkert angst alleen maar aan en maakt makkelijkere prooi van mensen :X
Al die commotie is zeer waarschijnlijk allemaal onderdeel van een hype die gecreeerd is door de uitgevers van het boek. De verkoopcijfers van dat boek zullen hierdoor wel weer omhoog gaan en de wereld is weer een hacking-boek rijker, waar de echte hacker toch niets aan heeft.
Gewoonweg een marketingstunt inderdaad: Iedere beginnende systeembeheerder denkt dat hij het boek nodig heeft om zich tegen de 'geheime hacks' te kunnen beveiligen.

Conclusie en Gevolg: Hoge verkopen en patches tegen de exploits voor zover het waar is wat de schrijvers melden, alhoewel ik daar een hard hoofd in heb.

Voor de mensen die er een beetje in willen komen zal het toch wel een aardig boek zijn, omdat inzicht het belangrijkste is in de hack wereld.
Ja en sites als astalavista moeten opgedoekt worden!

Onzin natuurlijk hacking is per definitie undeground. Dus het stukje publieke informatie wegnemen is het kind met het badwater weggooien. Dan heeft de niet hacker nl niet eens meer de mogelijkheden om zelfs maar een poging te ondernemen om z'n belager te begrijpen, die natuurlijk z'n eigen niet publieke kanalen heeft en houdt! Zelfs werkende exploits in script formaat dienen OOK een legitiem doel, nl de scepticus overtuigen. Niet in de laatste plaats omdat veel exploits niet altijd en overal werken.

En wat de script kiddies betreft, degenen die andermans scrippie nodig hebben om uberhaupt wat te bereiken, ach die moeten het toch al hebben van de groep die zich helemaal niet bezig houdt met security.
Hadden ze niet het ISBN nummer kunnen noteren ? Vaderdag komt eraan en dan is het wat makkelijker kopen voor mijn vrouw.
ISBN: 0764544683
...__ .... __..... __
=/....\ =/....\ =/.... \ t(h)anks
..0000...0000...0000

Scheelt mij weer googlen.

Ik zal volgende keer de smiley zetten bij mijn opmerking. :)
Snap geen zak van deze commotie. Heb onlangs nog een boek gekocht over exact hetzelfde onderwerp, namelijk "Hacking: The Art of Exploitation" (http://www.thinkgeek.com/books/nonfiction/6637/)
Pracht boek, goede voorbeelden (tot in detail met correcte uitleg) Gaat over allerlei soorten buffer-, stack- en andere soorten overflow en hoe hier slim gebruik van te maken bij een exploit.
Maar heb ook al diverse boeken over social engineering. En zie niet in waarom dit soort boeken verboden zouden moeten worden.
Sterker nog: Ik snap de klagers niet helemaal. Als je al een handboek krijgt aangereikt door "de community" over hoe ze een OS hacken, dan heb je toch een pracht van een document over wat je moet verbeteren in je OS? Wat willen ze nou nog meer dan?

* 786562 vGnp
precies.... maar men is bang dat er zo meer hackers zullen opstaan..

Ik denk dat een boek over ' hoe houd ik mijn computer up to date' voor sommige, in dit geval de tegenhangers van het boek, een goed alternatief is :)
Bang dat een hacker op zal staan ?

Nou graag, doe mij er maar eentje. Ik heb dat boekje (Exploitation) dan ook aan mijn zoontje gegeven voor zijn verjaardag. Hoeft hij tenminste niet te snuffelen in die ongure hoeken.

Hadden ze niet het ISBN nummer kunnen noteren ? Vaderdag komt eraan en dan is het wat makkelijker kopen voor mijn vrouw.
Ik snap de commotie niet zo.. echte hackers krijgen nu meer inzage in technieken die ze dan weer kunnen gebruiken om programma's en besturingssystemen veiliger te maken.

Een handjevol crackers zal er machines mee rooten en gebruiken om te ddossen of soortgelijke lame dingen.

En leken op het gebied van beveiliging (huis tuin en keuken gebruikers)(want dat is de eerste stap naar het hacken) die snappen toch geen kont van zo'n boek dat (uitgebreid) op shellcodes ingaat. (om nog maar te zwijgen over het feit of dit onderwerp ze uberhaupt boeit).

Laatste groep valt zowieso af dus, en tjah, alleen is het nu maar te hopen dat de whitehat hackers sneller exploits vinden dan blackhat hackers.

Maar nog maakt dat niet veel uit, daar alle die hards allang weten wat shellcodes inhouden etc.
Lees nu je eigen reactie nog eens opnieuw door.

In eerste instantie geef je aan de commotie niet te begrijpen.

Vervolgens vertel je dat de diehard goedaardige hackers toch niets aan dit boek hebben omdat ze dat allemaal al kunnen.
En dat leken er ook niets mee kunnen.

En dat dus de enige mensen die iets aan dit boek hebben de kwaadaardige hackers/crackers zijn.

Dan zou je toch juist wel de commotie moeten begrijpen?
(Tenzij je denkt dat het een goede zaak is dat de kwaadaardige figuren meer kennis krijgen)
Waar lees jij dat alleen kwaadaardige hackers wat aan het boek hebben? Scorpster heeft het alleen over die hards, van beide kanten dus.. of zie ik dat verkeerd :?
Boeien, dit is niks erger dan 'The Art of Deception' van Kevin Mitnick. Dit doet uitgebreid allerlei social engineering technieken uit de doeken, ook alleen maar om mensen the helpen om zich daar beter tegen te beschermen.
Social Engineering is net zo serieus als het hacken d.m.v. exploits.
Dat boek van Kevin Mitnick ken ik en zou door veel bedrijven eens verwerkt moeten worden in een of andere training. Als je in dat boek leest hoe gemakkelijk hij aan bepaalde dingen kan komen door er gewoon om te vragen dan sta je echt versteld dat mensen zomaar alles geven.

Hacken blijkt in dat geval niet alleen een kwestie van de juiste exploit maar ook op de juiste manier mensen te woord staan. Kun je beide goed dan ben je heel goed.
Waar zeuren ze over, Er zijn zat boeken waar in staat hoe je moet hacken. Dit word veelal gebruikt voor het voorkomen van hacken. Dit is precies hetzelfde ik vind het wel goed. Misschien worden ze bij microsoft daar ook beetje wakker van dat ze sneller een patch uit brengen dan 1x per maand, met hun bewering binnen 24 uur een patch klaar te hebben moet er alleen een maandje op wachten.
die patch is er ook binnen de 24uur hoor. Ze beginnen er alleen pas na 6 maand aan :Y)

Even serieus, MS doet echt wel hun best om security holes zo snel mogelijk te fixen. Het probleem ligt meer bij de gebruikers die 6 maand nodig hebben om ze te installeren :7
(linux/shell) Hacking zoals de volgende boeken welk bij mij hier op de plank liggen.
- Hackers guide
- Hacking Exposed
- Hacking Linux Exposed
- The Art of Deception
Mijn eerste gedachte was inderdaad, ja lekker, ga die scriptkiddys en wannabe hackers/crackers het nog makkelijker maken.

Maar toen ik het web doorzocht op gelijkluidende onderwerpen.....zo! daar komt toch een boel boven.
In dat licht gezien is de uitgave van een nieuwe hackers guide, niet spraakmakend genoeg voor deze commotie.

Zou het kunnen wezen dat virii en aanverwanten onderwerpen de laatste tijd veel aandacht hebben gekregen van de media?
Zou kunnen.....

Is het mogelijk dat er tegenwoordig meer en meer op scholen informatica wordt gegeven en dat dat weer uitmond in expierimenteel ingestelde studenten? Hun prikkel om grenzen te onderzoeken wordt lager en lager.
Zou kunnen.....

Ik beleef het internet als een medium van ongelimiteerde kennis. Niet gebonden aan land/streek of (geloofs)overtuiging etc.
Ja daar zitten voor en nadelen aan.
Dit is een van de nadelen, echter ook voordelen. Ja ik denk hier ambivalent over.
Enerzijds zie ik hier de gevaren van specialistische kennis die wordt aangeboden op het web, in een uiterst vriendelijke gebruikers vorm (scripts ed), en anderzijds, doordat de verantwoordelijke personen, voor een stabiele en veilige digitale werkomgeving horen te zorgen.

Ik mag graag denken, het digitale tijdperk, zoals wij het nu ervaren, is relatief gezien, jong.
De afgelopen 20 jaar zijn de uiterst complexe digitale systemen, bijna ongelimiteerd, van toepassing geweest van alle bedrijven die veel terugkerende handelingen hebben geautomatiseerd door middel van "personal Computers".

En nu hebben wij ( om even snel to the point te komen), te maken met mensen die hun grenzen verleggen maar nog niet weten wat hun akties nu precies voor leed met zich mee brengt.
Yep, vervelend is dat. Nog vervelender is om diezelfde personen die kennis aan te bieden wat zij nodig denken te hebben, om succesvol, hun ervaring/kennis uit te breiden. En aldoende een paar virri/wormen/trojaanse volbloeden etc aan de internet community aanbieden/verspreiden.

Zoals ik aan het begin al heb aangeduid. Er is zoveel te vinden op het net dat verbieden van 1 of meerdere "schadelijke" iie, substantieel geen reet uitmaakt.

Als ik verhuis van een crimineel vrije plek naar een plek met meer criminaliteit.....dan pas ik mij aan. Door schade wijs geworden of logisch vooruitdenkend, maakt niet uit. Ik verander dus, waar kom ik terecht? Veiligheid is mijn verantwoording.

Op het gevaar af............
Ja, laat dit alsjeblieft voortduren. De vrijheid van vergaren van ongelimiteerde infotmatie vs restricties/verboden staat geheel in het voordeel van ongelimiteerde kennis vergaring.( mijn overtuiging)

Er zijn, zo mag ik graag denken, voldoende mensen op deze aardkloot die snel hun kennis kunnen gebruiken en inzetten om eventuele lekken/bedreingen te pareren.

Juist de openheid van "sharen" van inormatie, schept een band die veel verder gaat dan grenzen en culturen etc. Beperken van informatie, dat vind ik te kort door de bocht.

Samenvattend......Met een hamer kan ik ook iemand pijn doen, maar als die persoon ziet/weet wat jij uitspookt met je hamer.........dan neemt hij maatregelen daar voor. Zodat het niet meer op deze manier kan gebeuren.....

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True