mboost-dp1
No Thumbnail
Det er den eneste rigtige måde at undervise i sikkerhed på... Den bedste måde at teste sikkerheden er ved at prøve at bryde gennem den... Det gælder ikke kun hacking, men faktisk alt der har med sikkerhed at gøre.
Det er noget pjat. Det er en af de første ting man lærer, under overskriften "The 10 most stupiest thoughts in computer security...".
Man bliver ikke bedre til at beskytte sit system ved at studere hacking. Der er altid en hacker der er bedre end en selv, så hvis man bruger den taktik, så har man med sikkerhed tabt. Derudover er det også tåbeligt at tro at man kan lære bare en brøkdel af det en hacker kan, på et par lektioner på et universitet. Med lidt held kan man lære at blive script kiddy.
Man bliver ikke bedre til at beskytte sit system ved at studere hacking. Der er altid en hacker der er bedre end en selv, så hvis man bruger den taktik, så har man med sikkerhed tabt. Derudover er det også tåbeligt at tro at man kan lære bare en brøkdel af det en hacker kan, på et par lektioner på et universitet. Med lidt held kan man lære at blive script kiddy.
#8 Du har kun delvist ret, for hvilket middel er bedre til at forebygge angreb? At oprette et kursus som dette er i mine øjne udmærket til at forbedre folks evner til at sætte sine systemer ordentligt op, men uanset hvad man gør, bliver man aldrig 100% sikker. Derfor behøver man vel ikke sætte sig på halen og give op?
Ideen er fin nok, men jeg vil tvivle på kvaliteten af denne uddannelse. Nogle blackhat kredse med tilknyttelse til "pr0j3kt m4yh3m" fik engang fat i noget materiale som blev uddannet på et "hacking kursus" i frankrig som kostede flere tusinde euros, der viste sig at være almindelig web-hacking og latterlige tricks som at bruge net send og udnyttelse af SMB servicen i Windows. Hvis man vil lære at hacke, så starter man med at lære C, perl og Assembly, hvorefter man finder ud af hvordan man benytter sig af diverse teknikker som eksempelvis buffer overflows.
#2
Nej, det er netop det modsatte.
#8
Hvordan vil du ellers foreslå at man lærer at sikre sine systemer?
Den bedste, og eneste, måde at lære at sikre sine systemer på, er at vide hvordan man kan blive angrebet. Hvis man bare putter en Linux server på nettet og tænker "Linux er jo et sikkert styresystem", så bliver man angrebet inden for et par dage.
#2
Nej, det er netop det modsatte.
#8
Hvordan vil du ellers foreslå at man lærer at sikre sine systemer?
Den bedste, og eneste, måde at lære at sikre sine systemer på, er at vide hvordan man kan blive angrebet. Hvis man bare putter en Linux server på nettet og tænker "Linux er jo et sikkert styresystem", så bliver man angrebet inden for et par dage.
#13 -
21. jun. 2006 09:09
Der står man vil undersøge studenterne grundigt efter efterretningstjenestens retningslinjer. Hvordan skal det forstås? Muslimer/negre/jøder ingen adgang? Straffeattest?
Måske kunne man lave en formular ligesom dem man skriver under på ved indrejse til USA. "Har du tænkt dig at begå terrorisme? [ ]ja [ ]nej"
Åndsvagt!
Måske kunne man lave en formular ligesom dem man skriver under på ved indrejse til USA. "Har du tænkt dig at begå terrorisme? [ ]ja [ ]nej"
Åndsvagt!
hvis man selv har opsat et system, web-applikation, klient-applikation eller server kender man da altid svaghederne... Jeg kan da til enhver tid cracke nogle de systemer jeg har opsat, hvis ikke jeg/man kan det, er det jo fordi kender de ting man har lavet i dybden...
Nogen der er frisk på at være med til at starte et online kursus for os danskere - inden for emnet.. ? :) Kunne da være spændende.. Bare en bette ide..
#10: Hvordan kan det her være det modsatte af et modtræk til sto? (Se indlæg 2)
At man lærer folk at beskytte sig, ved at lære dem hvordan man angriber, må vel, pr. definition, være det modsatte af at sige, at man ikke oplyser om kendte fejl, fordi folk så kan udnytte dem....eller hvad?
At man lærer folk at beskytte sig, ved at lære dem hvordan man angriber, må vel, pr. definition, være det modsatte af at sige, at man ikke oplyser om kendte fejl, fordi folk så kan udnytte dem....eller hvad?
Kom nu gutter, hacking er en tåbelig ting at studere.
Hvorfor bruge måneder på at lære hvordan man udnytter bufferoverruns, når man kan lære at undgå dem på 10 min?
Hvor bruge måneder på at lære hvordan man sætter klæmmer på netværkskabler for derefter at kigge GB af data igennem for at finde brugbare ting, når man på få timer kan lære at kryptere sine data?
Hvorfor bruge måneder på at hacke krypteret data, når man på få timer kan lære hvordan man får dekrypteringstiden op på >1000år?
Og sådan forsætter det. Alle former for hacking tager super lang tid, både at udføre og at lære. Men at lære at beskytte sig er forholdsvis hurtigt. I kan starte med at tage de her råd til Jer: The Six Dumbest Ideas in Computer Security
Tag nu eksempelvis de stakkels folk der bruger 4 år på at lære at hacke: Hvis man har noget data, der virkelig er værd at beskytte, så lås computeren inde i et tykvægget værelse, med sluse, uden vinduer, riv netværksstikket ud, ansæt en døvstum person til at arbejde med dataen, sæt et face recognition password (password bestående af ansigter) på hver dør og udskift dem begge en gang om måneden og luk desuden hele systemet ned hvis man taster galt 3 gange.
De stakkels hackere er nu nødt til via tegnsprog at overtale den døvstumme til at åbne dørene for dem. (Face passwords kan ikke overføres fra en person til en anden.)
Men man kan jo selfølgelig også komme langt med en pistol, hvad angår den slags.
På 5 min har nu reduceret de 4 år uddannede hackere, til et erhverv, som selv huleboere kan udføre ;)
Hvorfor bruge måneder på at lære hvordan man udnytter bufferoverruns, når man kan lære at undgå dem på 10 min?
Hvor bruge måneder på at lære hvordan man sætter klæmmer på netværkskabler for derefter at kigge GB af data igennem for at finde brugbare ting, når man på få timer kan lære at kryptere sine data?
Hvorfor bruge måneder på at hacke krypteret data, når man på få timer kan lære hvordan man får dekrypteringstiden op på >1000år?
Og sådan forsætter det. Alle former for hacking tager super lang tid, både at udføre og at lære. Men at lære at beskytte sig er forholdsvis hurtigt. I kan starte med at tage de her råd til Jer: The Six Dumbest Ideas in Computer Security
Tag nu eksempelvis de stakkels folk der bruger 4 år på at lære at hacke: Hvis man har noget data, der virkelig er værd at beskytte, så lås computeren inde i et tykvægget værelse, med sluse, uden vinduer, riv netværksstikket ud, ansæt en døvstum person til at arbejde med dataen, sæt et face recognition password (password bestående af ansigter) på hver dør og udskift dem begge en gang om måneden og luk desuden hele systemet ned hvis man taster galt 3 gange.
De stakkels hackere er nu nødt til via tegnsprog at overtale den døvstumme til at åbne dørene for dem. (Face passwords kan ikke overføres fra en person til en anden.)
Men man kan jo selfølgelig også komme langt med en pistol, hvad angår den slags.
På 5 min har nu reduceret de 4 år uddannede hackere, til et erhverv, som selv huleboere kan udføre ;)
Der er også et kursus på DAIMI som behandler nogen af de samme problemstillinger: http://www.daimi.au.dk/dSik/
Vidste I forøvrigt at omkring 80% af alt hacking laves via social engineering?
Hvilket derfor også må betyde at de bruger ret meget tid på det, på det pågældende universitet. Tænk engang at blive uddannet i at tale i telefon med tilfældige folk, for at få dem til at udlevere deres password. (Der er åbenbart ingen grænser for hvad man kan studere nu om dage.) En teknik som man forøvrigt næppe blive bedre til at beskytte sine systemer af at lære.
Igen er løsningen til denne form for hacking meget hurtigere end angrebet. Den lyder sådan her: "Hør her folkens! Hvis I nogensinde udtaler Jeres passwords eller skriver dem ned, så er I fyret på stedet."
Med mindre man er dybt skizofren, så er denne teknik også en sikker vinder hvis man vil bryde ind i sit eget system ;)
Hvilket derfor også må betyde at de bruger ret meget tid på det, på det pågældende universitet. Tænk engang at blive uddannet i at tale i telefon med tilfældige folk, for at få dem til at udlevere deres password. (Der er åbenbart ingen grænser for hvad man kan studere nu om dage.) En teknik som man forøvrigt næppe blive bedre til at beskytte sine systemer af at lære.
Igen er løsningen til denne form for hacking meget hurtigere end angrebet. Den lyder sådan her: "Hør her folkens! Hvis I nogensinde udtaler Jeres passwords eller skriver dem ned, så er I fyret på stedet."
Med mindre man er dybt skizofren, så er denne teknik også en sikker vinder hvis man vil bryde ind i sit eget system ;)
Man uddanner formodentlig ikke flere hackere/crackere ved at gøre dette. Derudover findes mange sikkerhedskurser på universiteter rundt omkring. En af de første øvelser i datasikkerhed på DTU var at skrive et passwd-crack program i C, og afprøve det på databar-systemet.
Man forventer, at folk benytter deres viden forsvarligt, ligesom indenfor andre retninger. Farmaceuter lærer også at lave designer-drugs, og låsesmede lærer at bryde ind hos folk...
Man forventer, at folk benytter deres viden forsvarligt, ligesom indenfor andre retninger. Farmaceuter lærer også at lave designer-drugs, og låsesmede lærer at bryde ind hos folk...
#23 - du ændrer mening når du kommer ud i den virkelige verden :)
Tænk på at det du foreslår koster Kassen (tm) men konfigurering af systemer udført med en forståelse for IT-sikkerhed som udgangspunkt intet koster....
Jeg arbejder selv professionelt med IT sikkerhed og har bla. taget et par certificeringer hos Protego (nu PWC) som CPSA og CPSP - Jeg kan varmt anbefale undervisning af denne type da den selv om man måske nok kender mange af principperne i forvejen får en helt anden indgangsvinkel til IT sikkerhed ved at man begynder at tænke - hvad ville jeg selv gøre for at få adgang til dette system..
Tænk på at det du foreslår koster Kassen (tm) men konfigurering af systemer udført med en forståelse for IT-sikkerhed som udgangspunkt intet koster....
Jeg arbejder selv professionelt med IT sikkerhed og har bla. taget et par certificeringer hos Protego (nu PWC) som CPSA og CPSP - Jeg kan varmt anbefale undervisning af denne type da den selv om man måske nok kender mange af principperne i forvejen får en helt anden indgangsvinkel til IT sikkerhed ved at man begynder at tænke - hvad ville jeg selv gøre for at få adgang til dette system..
Jeg var på et hackerkursus i søndags - og tro mig - selvom jeg kører som rundt som systemkonsulent til daglig og efterhånden har høstet en del erfaring, bliver man alligevel lettere paranoid over hvor simpelt det er at hacke sig ind på en anden computer.
Antivirus? Tjaa - dem kan man til dels stole på, lige indtil man via reverse engineering ændrer på den signatur som antivirusprogrammet kigger på, og vupti - med et program der smelter fx et billede og en trojaner sammen, har du inficeret en anden PC.
Og ja, 20% teknik, og 80% psykologi...
Jeg er næsten begyndt at hive mit netstik ud om aftenen.... ;o)
Antivirus? Tjaa - dem kan man til dels stole på, lige indtil man via reverse engineering ændrer på den signatur som antivirusprogrammet kigger på, og vupti - med et program der smelter fx et billede og en trojaner sammen, har du inficeret en anden PC.
Og ja, 20% teknik, og 80% psykologi...
Jeg er næsten begyndt at hive mit netstik ud om aftenen.... ;o)
Desværre, som min erfaring med "interessante" fag på universiteter, er det en lærer som stadigt tror man hacker som man gjorde i mid 90'erne.
Hvis de havde været rigtigt seje så havde de ansat nogle rigtige "friske" ex-hackere.
Hvis de havde været rigtigt seje så havde de ansat nogle rigtige "friske" ex-hackere.
#30.
Nej, det er kun Dem Der Er Udenfor (tm) som benytter sig af disse betegnelser. Inden for hackerverdenen er der to slags hackere - Blackhat og Whitehat hackere. Whitehat hackere kalder sig selv for "security experts". Blackhat hackere kalder sig for blackhats eller bare for "hackere".
#31
0% psykologi hvis man faktisk kan finde ud af det tekniske. Social engineering er kun en "last resort" som man benytter sig af hvis andre tilgangsmåder er for besværlige til at det er dét værd.
Nej, det er kun Dem Der Er Udenfor (tm) som benytter sig af disse betegnelser. Inden for hackerverdenen er der to slags hackere - Blackhat og Whitehat hackere. Whitehat hackere kalder sig selv for "security experts". Blackhat hackere kalder sig for blackhats eller bare for "hackere".
#31
0% psykologi hvis man faktisk kan finde ud af det tekniske. Social engineering er kun en "last resort" som man benytter sig af hvis andre tilgangsmåder er for besværlige til at det er dét værd.
#33: Du har lige præcis fat i noget. "Dem der er indenfor" bruger nemlig andre betegnelser end "Dem der er udenfor". Jeg kommer stadigvæk til at tænke på at fjerne kopibeskyttelser fra spil, når folk siger "cracker". Ligesom at jeg stadigvæk holder fast i at en fil på en kilobyte er 1024 bytes og ikke 1000.
PS: i dag er det sankt hans, så i har lov til at brænde mig på bålet! ;)
PS: i dag er det sankt hans, så i har lov til at brænde mig på bålet! ;)
#34
Jep. Patches til programmer så de ikke tigger dig om at registrere dem og No-CD patches til spil hedder "cracks" og laves af "application crackers", eller bare "crackers", fordi de enten "knækker" en beskyttelse/kode, eller bare "knækker" behovet for registreringen.
Og en fil *er* 1024 bytes.
Jep. Patches til programmer så de ikke tigger dig om at registrere dem og No-CD patches til spil hedder "cracks" og laves af "application crackers", eller bare "crackers", fordi de enten "knækker" en beskyttelse/kode, eller bare "knækker" behovet for registreringen.
Og en fil *er* 1024 bytes.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund