Blackhats vs. Whitehacks- bekannte “White-Hats” entblößt

31. Juli 2009 Kategorien:

Blackhats – das sind nicht “die Guten” (können daher also nicht bei Google arbeiten :) ), Whitehats, das sind die Menschen im IT-Security Umfeld, die sich zwar mit Angriffen beschäftigen, früher vielleicht auch mal Blackhats waren, aber jetzt “brav” geworden sind. Also keine Systemeinbrüche mehr ohne Auftrag, möglichst präsent sein in der Welt und Geld mit IT-Security verdienen. Das führt auch dazu, dass keine 0day-Exploits (Scripte/Programme zum Ausnutzen von Schwachstellen) von diesen mehr veröffentlich werden, sondern erst nach Rücksprache mit dem Hersteller (ja, auch wir machen das so..)

Für echte Blackhats ein Frevel und daher gab es parallel zur aktuell laufenden Black-Konferenz in Las Vegas (ja, heißt Blackhat, ist aber eigentlich für Whitehats) eine neue Version des beliebten Zero for 0day Magazins zu lesen.

Systeme vieler sehr bekannter Vertreter der Whitehat-Szene sind übernommen worden, Passwörter von Foren ausgelesen (im Klartext), etc. Kritisiert werden soll damit, dass die Whitehats nur noch auf Geld verdienen aus sind und z. T. sich auf ollen Kamellen (siehe Kevin Mitnick) ausruhen, aber selbst nicht in der Lage sind ihre Systeme und Anwendungen sicher zu halten.

Um mal aus ZF0 zu zitieren

Let me set something straight Kevin, www.kevinmitnick.com is your
responsibility to secure. You run a security auditing company – what went
wrong?

Spannend finde ich die verschiedenen Ansatzpunkte für die Angriffe. Bei einigen kommt man tatsächlich ins Grübeln (ein fünf Zeichen langes Root-Passwort?!), andere zeigen, dass man häufig von der Sicherheit einer Gesamtumgebung abhängig ist (hosts-Datei beim Shared Hosting Provider) und nicht selbst für immanente Sicherheit der Verbindungen sorgt, z. B. durch Ende-zu-Ende Verschlüsselung.

Und die Moral von der Geschicht? Vielleicht, dass das Wissen über IT-Security nicht ausreicht, um auch Betreiber von sicheren Systemen zu sein. Immerhin muss man sich da permanent kümmern und nicht nur einmalig mit guten Vorgaben und Regularien. Und das fünf Zeichen lange Passwörter einfach keine gute Idee sind :D

/gt

Einen Kommentar schreiben