Hacking, Cracking & Beyond Dietmar Provost

Security ?

Inleiding Cyberspace Oorzaken en gevolgen van een gebrek aan security Verantwoordelijkheid voor computerbeveiliging ? Paranoia: who to thrust?

Cyberspace(); Geen geografische / fysische grenzen. "Personal Web pages are the '90s equivalent of home video, except that you don't have to visit someone else's house to fall asleep - you can do so in the comfort of your own home. - R a y V a l d e s -"; "Harnad describes the status of Usenet aptly: a communication medium with revolutionary intellectual potential being used mostly as a global graffiti board. - H a r n a d (1991) -";

Oorzaken en gevolgen van gebrek aan security Onbekwaamheid Onveilige software, misconfiguraties Diefstal, vervalsing of vernietiging data Inbreuken op de privacy

Verantwoordelijkheid voor computerbeveiliging ? Software- en hardwarefabrikanten als Microsoft, Netscape, Intel en IBM zijn de grote aanwezigen in de discussie over de verantwoordelijkheid voor computerbeveiliging. Ze reageren over het algemeen pas nadat er een beveiligings- of privacylek in hun producten is aangetroffen, en proberen dan de ernst van de problemen te bagatelliseren. Intel heeft het publiek regelrecht voorgelogen toen de fabrikant in maart 1999 zei dat het een veilig programma had uitgebracht waarmee consumenten de omstreden unieke persoonlijke identificatie van de nieuwe Pentium III processor konden uitschakelen.

Paranoia: who to thrust? Verkoper uit lokale computerwinkel? Buurjongen die iets van computers afweet? Beveiligingsdeskundigen ? Boeken en tijdschriften ? Internet ?

Overzicht presentatie Hackers, Crackers, Users & Computers Het ontstaan van de ‘underground’ Het opduiken van hackergemeenschappen Machtsevenwicht: Drie supermachten Belang van hackers voor de internetgemeenschap Evoluties op gebied van veiligheid Enkele tips voor een beter beveiligingsbeleid Hacker-ethiek Het Hacker Manifest Conclusie

Hackers, Crackers, Users & Computers ‘onwetende’ gebruiker ‘cracker’ ‘script kiddy’ ‘hacker’ Beware of Programmers who carry screwdrivers. - L e o n a r d B r a n d w e i n -"

De 'onwetende' gebruiker Aanschaf van hard- en software Bestandsbeheer ? Kritisch denken / gebruiken van computers Verkeerd surfgedrag Slecht geinformeerd Weinig of niet geïntresseerd in security

De ‘Cracker’ Cybercrimineel. Verbergt identiteit achter een nickname. Verschil tussen goed en kwaad ? Hackers build things, crackers break them.

Script Kiddies (wannabes, hax0r’s, …)‏ Some guy: dUDE I"M sooooooo a L##T HAX0r>>>>> i JUSt haxed like frikin diabl0 stof. Other guy: Yeah.. meh too. The more serious of this group will spend hours and hours a day scanning the internet for computers that are vulnerable to a security hole. They will then exploit that hole (using some pre-made tool) and use what is known as a 'rootkit' to give them 'root' (or total control) over a computer.

Cracking Phreaking, War dialing DDoS Attacks Spoofing & Identity theft Hactivism Website Defacement Social Engineering Industriële spionage …

Gebruikte technieken Uitbuiten systeembronnen en andere toepassingen, security leaks Password cracking Sniffing, phishing, shoulder surfing Reverse engineering Man in the middle attack Session hijacking Sporen uit logboekbestanden wissen …

Malware Virussen Wormen Trojans Rootkits Spam Spyware... Elk Cloner: The program with a personality It will get on all your disks It will infiltrate your chips Yes it's Cloner! It will stick to you like glue It will modify RAM too Send in the Cloner!

Motieven hackers vs computercriminelen Zeer uiteenlopende redenen: Financieel winstbejag Persoonlijk gewin, macht, voor de ‘kick’ Intellectuele uitdagingen Mogelijkheden technologie verkennen Inzichten verkrijgen & ervaringen opdoen

Admin account Wat kan ik doen met het wachtwoord van de administrator ?

Win32/NT Admin Pwd Them:Important user, NT box, lost admin password, sad, sad, sad. Me:No problem, change password with magic linux disk, offline NT password editor. Them:No, no, no. Never work. NT secure. Get real. Me:Watch. (reboot) Them:Gasp! This floppy is dangerous! Where did you get it? Me:Internet. Been around forever. Them:How do we keep students from using this? Me:Can't. Migrate. Linux. Mac. Them:No, no, no. Just make NT safe. Me:Can't. NT inherently unsafe. Them:Must be safe. NT good. We have never seen problems. Me:You just saw one now. Them:No, no, no. NT good. Win2k better. Me:Win2k is NT. Same thing. Should I give this floppy to a student? Them:No, no, no. Give here. Me:Whatever. What do you want me to do? Them:Change admin password. Me:Fine. To what? Them:"p-a-s-s-w-o-r-d" Me:No, no, no. (David G. Wiseman)

De ‘Hacker’ Someone who makes furniture with an axe

De ‘Hacker’ Leergierig, creatief & idealist Diepgaande kennis van besturingssystemen en hardware Networking wizard Expert programmeur Being able to break security doesn’t make you a hacker more than being able to hotwire cars makes you an automotive engineer. "The sort of person who uses phrases like `incompletely socialized' usually thinks hackers are. Hackers regard such people with contempt when they notice them at all." ;

Kenmerken van hackers Vertonen een eigenaardige minachting voor grafische gebruikersinterfaces. Houden er soortgelijke opvattingen op na. Zijn allemaal even woedend op de onwetendheid van de media.

Bekwaamheid van hackers Hackers waren een symbool voor wat een mens kan bereiken. Hackers bezaten talenten die de agenten konden gebruiken, ze hadden hen liever aan hun kant, dan als tegenstander.

Virusmakers vs Hackers Virusmakers hebben hun eigen subcultuur, die geen deel uitmaakt van de hackercultuur. Toch zijn de overeenkomsten tussen hackers en virusmakers groter dan we zelf vaak denken: De motieven van de gemiddelde virus schrijver: verveling, nieuwsgierigheid en het willen exploreren van overvloedig aanwezige technologie

De ‘Underground’ Releasegroups Software Piraterij

Het opduiken van hackergemeenschappen Hadden wel op elk denkbaar vakgebied een expert in huis met bepaalde ‘skillz’.

Drie supermachten De brede internetgemeenschap De hackersgemeenschap De overheid

Het belang van hackers voor de veiligheid van de internetgemeenschap Als één van de drie supermachten in het geheim offensieve hack-tools kon ontwikkelen, dan zou het machtsevenwicht verstoord wordt in het voordeel van één groep, vooral als die ene groep die alle tools bezat de overheid was. Het onthouden van kennis over hacken aan één groep kon leiden tot een felle opstand en tot de ontwikkeling van gevaarlijkere hack-tools. Toelaten dat de waarheid verborgen wordt was onaanvaardbaar. Hackers moesten een erkende partij worden.

Evoluties op gebied van veiligheid De tijd dat hackers te sterk waren voor onwetende system adminstrators is voorbij. Tegenwoordig zijn admins zelf bijdehante, doorgewinterde hackers, getrained en getest in de praktijk. Je kunt niet gewoon een script nemen, het activeren en kijken hoe systemen uitvallen zonder opgespoord en opgepakt te worden.

Enkele tips voor een beter beveiligingsbeleid Maak gebruik van sterke wachtwoorden Verander je passwoord regelmatig Wijzig factory default paswoorden Installeer enkel software afkomstig van een betrouwbare bron Maak gebruik van een firewall en configureer deze correct Scan je HDD’s regelmatig met antivirussoftware Het belangrijkste is de gebruiker en zijn computerkennis. Daar staat of valt de veiligheid van een systeem mee.

Hacker-ethiek Information should be free. "If you lie to the compiler, it will get its revenge. - Henry Spencer -"

Hacker Manifest De meeste mensen geloven dat alle hackers misdadige bedoelingen hebben. Dat is – vergeef me mijn taalgebruik – een hoop gezeik en duidelijk de ideeën / wartaal van de slechtst geïnformeerde mensen op het net. Mensen zijn altijd bang geweest voor wat ze niet begrepen, voor het onbekende. Je kent ons niet. Je begrijpt ons niet. Sommigen hebben ons bestempeld als terroristen, anderen als misdadigers. Oké, doe maar. Verwijder de misdadigers en de terroristen die voor jouw rechten strijden. Wanneer je de strijd verloren hebt, omdat je zelf je soldaten de laan uit hebt gestuurd, dan zul je alleen jezelf verwijten kunnen maken. Wij vechten met de beste wapens die er zijn, ons verstand en onze moed. In het algemeen geloven wij in een gemeenschappelijk belang. We geloven dat mensen die ons monddood proberen te maken of onze acties … The Social Base of the Hacker The Genocide2600 Manifesto

Misbruik van de hacker-ethiek Wordt als dekmantel gebruikt om bepaalde acties te trachten rechtvaardigen. De media kent nog steeds het verschil niet tussen de termen die ze gebruiken. De ene keer schilderen ze hackers af als inbrekers en misdadigers, de andere keer als buitengewoon slimme whizzkids die het opnemen tegen het etabishment.

Conclusie Informatie die eenmaal op het net is gezet, verdwijnt nooit meer. Internet laat zich niet censureren.

Dankwoord Deze presentatie werd mede mogelijk gemaakt met dank aan alle Hackers, Whizzkids en Übergeeks.

Referenties How to become a hacker ?(Eric Steven Raymond) ‏ Dagboek van een hacker(Dan Verton) ISBN: (1e druk )‏ Internet Jungle (Marie-José Klaver)‏ ISBN: (2001)‏ Hackers Guide (Anoniem)‏ ISBN: (2e editie )‏

Fun stuff (1/2)‏ “How many MS engineers does Bill need to change a bulb? None, he declares darkness an Industry Standard."; "In a world without fences, who needs Gates?" - Scott McNealy, CEO of Sun -'; The software said "requires Windows 95 or better", so I installed Linux'; The day Microsoft makes something that doesn't suck is probably the day they start making vacuum cleaners. "Q: How do you stop Bill Gates from drowning? A: Shoot him.";

Fun stuff (2/2)‏ 'There was once a young man who, in his youth, professed his desire to become a great writer. - When asked to define "great" he said, "I want to write stuff that the whole world will read, stuff that people will react to on a truly emotional level, stuff that will make them scream, cry, howl in pain and anger!" - He now works for Microsoft, writing error messages.';

Kritiek op besturingssystemen Echte kenners zijn kritisch over alle besturingssystemen, dus evenzeer op gebied van unix/linux, macintosh, … als wat microsoft windows betreft.

Vragen of opmerkingen ??