| Willkommen 38.107.191.102 | |
| Online | Gäste: 14
Mitglieder: 1, sergey
Auf dieser Seite: 2
Mitglieder: 3047, neuestes ist Billy Kalender |
| Neueste 5 Downloads |  Sophos A bis Z der Computersicherheit
Sophos, Allgemein (Dokumente), 20. Jul 08 : 12:10
Dieses Büchlein wird von Sophos zu Werbezwecken verdient. Es stellt in einem ersten Teil die Bedrohungen von A bis Z, wie man sie im Internet antrifft, vor. In gleicherweise werden im zweiten Teil Schutzmassnahmen erwähnt. Kurz und bündig wird so der Leser an die Materie herangeführt. Technische Details und weiterführende Diskussionen fehlen, so dass es wirklich nur als seichte Unterhaltung und Einführung gedacht ist.
eBay Hack (S.M.)
S.M. (aka. SevenUp), Social Hacking (Dokumente), 20. Jul 08 : 12:03
Dieses nicht unumstrittene Dokument bespricht Schritt für Schritt, wie ein technisch gestütztes Phishing per HTML-Email und PHP-Skript durchgeführt werden kann, um Login-Informationen für eBay abzufangen. Der Beitrag weist einige technische Fehler auf und ist zu grossen Teilen veraltet. Aus diesem Grund wird ihm primär nur noch historisches Interesse entgegengebracht.
Angriff und Verteidigung in Computernetzen
Alexander Koch, Allgemein (Dokumente), 20. Jul 08 : 11:57
Die leider etwas karge Präsentation beleuchtet verschiedene Gesetzesartikel, die auf Computerangriffe und Strike-Back-Verfahren angewendet werden können. Dabei werden sowohl die deutsche als auch die schweizerische Rechtssprechung berücksichtigt. Ein interessanter Beitrag, der die Gefahren von automatisierten Schutzmechanismen auf einer nicht-technischen Ebene zu verdeutlichen in der Lage ist.
Cross-Site Scripting (Compass)
Ivan Bütler, Webserver (Dokumente), 20. Jul 08 : 11:49
In diesem einfachen Artikel werden die Grundlagen von Cross Site Scripting-Attacken aufgezeigt. Dabei werden sowohl serverseitige als auch clientseitige Varianten besprochen und zudem darauf hingewiesen, dass sich dies mit jeglicher Art von Scripting (JavaScript, VBscript, etc.) durchsetzen lässt. Die Einfachheit des Papiers macht es vor allem für Einsteiger leicht zu lesen.
Internet Networking - Measuring Distance and Bandwidth between Hosts
Werner König, Netzwerke (Dokumente), 01. Apr 08 : 21:43
In dieser Seminararbeit werden diverse Algorithmen zur Berechnung von Bandbreiten bestimmter Verbindungen zwischen Hosts besprochen. Es werden Troughput, Pathchar und vor allem Packet Pair beschrieben sowie ihre Vor- und Nachteile dargestellt. Ein interessantes Gebiet, welches ausserhalb akademischer Bereiche fast keine Beachtung findet.
Zeige alle Downloads (902 Total) |
| Zitat des Augenblicks (id 110) | "Der meiste Schaden, den der Computer potenziell zur Folge haben könnte, hängt weniger davon ab, was der Computer tatsächlich kann oder nicht kann, als vielmehr von den Eigenschaften, die das Publikum dem Computer zuschreibt." - Joseph Weizenbaum
Zeige alle Zitate (246 Total) |
| An diesem Tag... |  1941: Geburtstag von Dennis Ritchie
1945: Der erste Computer-Bug wird dokumentiert
1979: Geburtstag von Nikki DeLoach
1992: Erstaufführung des Films "Sneakers"
1998: AMR wird veröffentlicht
2003: Ein Cracker des New York Times wird verurteilt
Zeige alle Einträge (711 Total) |
| Buchtipp | 
TCP/IP
von Mathias Hein |
| |
| Warum Skript-Kiddies keine Hacker sind (Montag, 14. Juni 2010 - 09:47:49) |
 [Marc's Blog] Ende der 90er Jahre ist ein wilder Streit um und in der Hacker-Kultur entbrannt. Es ging dabei nicht um technische Hintergründe, sondern um die soziokulturelle Wahrnehmung einer anarchistischen Subkultur. Die Begriffe Hacker und Cracker werden je nach sozialem Kontext anders verstanden. Für die Tagesmedien war jeder ein Hacker, der sich mit zwielichtigem Wissen und Vorgehen innerhalb technischer Mechanismen einen Vorteil verschafft bzw. anderen einen Nachteil beschert. Für die klassischen Hacker der alten Generation, die vorzugsweise aus Programmierern und Unix-Gurus bestand, waren dies jedoch die niederträchtigen Cracker. Ihr geliebter "Ehrentitel" wurde - so haben sie es jedenfalls wahrgenommen - durch die ignorante und oberflächliche Gesellschaft durch den Schmutz gezogen.
Im Rahmen dieser immerwährenden und nie enden wollenden Diskussionen um die Definition von Begriffen musste der Ausdruck "Skript-Kiddie" (Abk. SK) ebenfalls berücksichtigt werden. Dadurch wurden durch erfahrene Hacker (Programmierer, Netzwerker, Betriebssystemler) ein meist junger und unerfahrener Nutzer verstanden, der sich ohne Skepsis und Kritizismus auf die Arbeiten anderer verlässt. Namentlich die Tools und Exploits, die durch andere mühselig entwickelt wurden, werden durch Skript-Kiddies in selbstsüchtiger und stumpfsinniger Weise verwendet.
Natürlich habe auch ich eine Meinung zur Begriffsdefinition des klassischen Hackers, doch liegt mir eine Stabilisierung in diesem Bereich nicht so sehr am Herzen, alsdass ich hier nun umfassend argumentieren möchte. Worte sind Abbildungen von Gedanken und in erster Linie ist es mir wichtig zu verstehen, von was wird reden anstelle wie wir es benennen. Ob nun jemand Hacker oder Cracker sagt, ist für mich zwar nicht irrelevant (schliesslich kann man dadurch indirekt seine soziale Einbettung ableiten), jedoch zweitrangig. Viel mehr möchte ich diskutieren, was der Unterschied zwischen Skript-Kiddies und innovativen Hacks sind sowie welchen Einfluss diese Differenz bei professionellen Sicherheitsüberprüfungen haben kann.
So manchem Penetration Tester, dem ich in meinem Leben begegnet bin, hat eine komplett andere Auffassung unseres Berufs mitgebracht, weder dies bei mir der Fall ist. Ein Penetration Test ist für mich etwas Innovatives und Kreatives. So wird einem ein komplexes Gebilde vorgelegt, dessen Funktionsweise man möglichst schnell verstehen, die Interaktivität adaptieren und damit die bei der Entwicklung bzw. Umsetzung nicht bedachten Möglichkeiten erkennen muss. Umso individueller ein Testobjekt ausfällt, umso spannender. Denn dort findet sich die unendliche Individualität der Entwicklergruppe, die für sich das Ganze spannend macht, wieder.
Ein Skript-Kiddie ist jedoch nicht an dieser Individualität interessiert. Stattdessen werden bekannte Mechanismen und Muster eingesetzt, um bekannte Möglichkeiten und Schwachstellen zu finden. Dies hat nichts mit Innovativität oder Kreativität zu tun. Viel mehr erinnert es mich an Fliessbandarbeit, bei der stetig wiederkehrenden Handgriffen nachgekommen werden muss. Eine Arbeit, die im Zuge der Industrialisierung durch Maschinen und Roboter getan werden kann und soll.
Verwendet ein Skript-Kiddie eines seiner üblichen Werkzeuge aus seinem begrenzten Toolset, so ist der Erfolg dessen schon vor dem Einsatz absehbar. Ein Vulnerability Scanner, der keine Testmodule für VoIP, Kerberos, Citrix, Ajax, etc. bereitstellt, muss gar nicht erst auf eine entsprechende Installation angewendet werden. Viele Tester ohne Verständnis für das Testobjekt und ihre Testwerkzeuge tun es jedoch trotzdem. In der leisen Hoffnung, dass das Tool doch irgendwie per Zufall etwas Nützliches finden könnte. Vielleicht wäre Voodoo-Priester die bessere Berufswahl gewesen...
Als erfahrener Tester erkennt man Skript-Kiddies schnell. Umso mehr jemand über seine Tools und Exploits spricht, die er nur sammelt und nicht selber entwickelt, desto eher ist er der entsprechenden Kategorie zuzuordnen ("Welchen Portscanner benutzt Du?"). Alle anderen interessieren sich für generische Herangehensweisen, adaptive Methoden, individuelle Eigenschaften und situationsbezogene Tools. Der Weg ist das Ziel.
Doch was nützt es einem Dienstleister, wenn er die Scharlatanerie seiner Mitbewerber erkennen kann, ohne dass diese ebenfalls durch seine Kundschaft verstanden wird? Einmal mehr wird damit das wohl grösste Problem unserer Branche bewusst, dass der Kunde nur sehr schwer die Qualitäten eines guten Penetration Testers erkennen kann. Denn hierzu müsste er eigentlich schon fast selber ein solcher sein.
|
|
