Voor de liefde van hackers

Inhoud

• Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
• Wordt systeembeveiliging beter?
• Hackers strekken hun vleugels uit
• Het komt neer op

Afhaal:

Er is een hacker ethische code. Helaas breken enkele hackers het al jaren, waardoor iedereen gevaar loopt.

The Hacker Ethic

• Toegang tot computers - en alles dat u iets kan leren over de manier waarop de wereld werkt - moet onbeperkt en totaal zijn. Geef altijd toe aan de hands-on imperatief!
• Alle informatie moet gratis zijn.
• Wantrouwen - bevordering van decentralisatie
• Hackers moeten worden beoordeeld op hacking, niet op criteria zoals graden, leeftijd, ras, geslacht of positie.
• Je kunt kunst en schoonheid creëren op een computer.
• Computers kunnen je leven ten goede veranderen.

(Steven Levy "Hackers")

Televisieverhalen en krantenberichten hebben tegenwoordig de neiging hackers af te schilderen als terroristen, virusschrijvers en criminelen. Maar als we "The Hacker Ethic" hierboven willen accepteren, is dat portret niet helemaal correct. Aan de andere kant hebben een paar hackers hun zaak in de loop van de jaren niet geholpen door illegale handelingen te verrichten, die hen in sommige gevallen naar de gevangenis hebben gestuurd. Desondanks heeft de hackergemeenschap altijd volgehouden dat illegale daden van echte hackers niets anders waren dan het betreden van inbreuken en dat een echte hacker nooit iets zou doen om schade aan te richten of om geld te verdienen. In hun vocabulaire hadden de mensen die zulke laffe daden hadden gedaan 'crackers' of gewoon 'computercriminelen' moeten worden genoemd.

De bekendste pleitbezorger voor hackers is Emmanuel Goldstein, redacteur en uitgever van 2600: The Hacker Quarterly en gastheer van het wekelijkse radioprogramma 'Off The Hook'. 2600 (genoemd naar 2600 megahertz, de frequentie van het analoge telefoonsysteem dat tussen 1960 en 1990 heerste) beschrijft regelmatig beveiligingslekken in bankzaken, creditcards, binnenlandse beveiliging en systemen die afhankelijk zijn van elektronica of codesystemen. (Bekijk een van de profielen die hackers vaak gebruiken op 6 Sneaky Ways die hackers uw wachtwoord kunnen ophalen.)

Toen hem voor een commissie van de Tweede Kamer werd gevraagd of zijn tijdschrift geen "handleiding voor computercriminaliteit" was, antwoordde Goldstein: "Nee, we stellen beveiligingsproblemen bloot, zodat consumenten hun risico's zullen begrijpen en bedrijven de gaten in de beveiliging zullen herstellen." Toen toen werd gevraagd waarom hij niet alleen bedrijven belde en hen vertelde over hun zwakke punten in de beveiliging, antwoordde Goldstein: "Omdat ze de zwakke punten ontkennen en niets doen." Goldstein wees er verder op dat de helft van zijn abonnees wetshandhavingsfunctionarissen en bedrijfsbeveiligingspersoneel waren.

Nergens was Goldstein's bewering meer onderbouwd dan in een aflevering van 1991 getoond op de "NBC Evening News met Tom Brokaw", waarin Goldstein een grote witte envelop gemarkeerd met "2600" in grote letters in een Federal Express pick-up box. Een hacker knielt dan voor de doos en breekt binnen 10 minuten de code op het zogenaamd onbreekbare slot met vijf knoppen.

Goldstein zei dat toen een student en hacker van de State University of New York, bezorgd over de beveiliging van de sloten nadat een andere student in haar kamer was aangevallen, het slot kon kraken, Goldstein de fabrikant Simplex belde om het probleem te melden. Er werd hem verteld dat hij onjuist was en dat de sloten, ook gebruikt op JFK Airport en op FedEx- en UPS-dozen, volledig veilig waren en "oneindige combinaties" hadden. Goldstein corrigeerde de woordvoerder en zei dat er echt 1.085 combinaties waren. De woordvoerder stemde met tegenzin in met het nummer, maar zei dat het minstens vier uur zou duren voordat een persoon met kennis van de codeerstructuren het slot begon te kraken.

De hacker die daadwerkelijk het slot heeft gekraakt, Scott Skinner, legde destijds de beveiligingsfout uit.

Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen

Je kunt je programmeervaardigheden niet verbeteren als niemand om softwarekwaliteit geeft.

"Terwijl Simplex mensen liever laat denken dat er een eindeloos aantal permutaties aan het slot is, zijn er eigenlijk maar 1.085," vertelde Skinner me in een stuk dat ik in 1991 voor Newsbytes schreef. "In de meeste gevallen is zelfs dit aantal sterk verminderd - als je weet dat er slechts drie knoppen worden gebruikt, verkleint dit de mogelijkheden tot 135. Bovendien ontdekten we dat, zodra we de combinatie hadden tot één Dropbox van Federal Express, deze werkte in elke andere knop die we probeerden in de regio New York ."

Wordt systeembeveiliging beter?

Dat was misschien al lang geleden in 1991, maar hoewel de technologie is veranderd, is één ding niet: bedrijven aarzelen om beveiligingslekken toe te geven, met het gevoel dat dergelijke opnames zullen leiden tot een gebrek aan klantvertrouwen en klanten wegjagen. Donald Delaney, senior onderzoeker van de staatspolitie van New York, zei destijds dat een van zijn grootste problemen was dat nadat een vertegenwoordiger van een bedrijf de staatspolitie zou bellen dat ze waren gehackt en degenen die verantwoordelijk waren voor de misdaad werden aangehouden, het bedrijf die het slachtoffer was geworden, zou er uiteindelijk voor kiezen om geen aangifte te doen.

"Het was buitengewoon vervelend," zei Delaney, "dat we de tijd en het geld van de belastingbetaler zouden besteden aan het uitvoeren van een strafrechtelijk onderzoek en dat, nadat het onderzoek met succes was afgerond en de daders waren gearresteerd, de klager van de zaak wilde weglopen." De NYSP begon al snel te eisen dat, als een bedrijf een klacht zou indienen, het zou moeten bevestigen dat het zou helpen bij de vervolging als het onderzoek succesvol was.

Dat is misschien meer dan 20 jaar geleden gebeurd, maar recenter nieuws suggereert dat er niet veel is veranderd. Op 23 oktober 2012 meldde The New York Times dat er in 63 Barnes & Nobles-winkels in het hele land een enorme diefstal van creditcardgegevens van klanten was geweest. En hier is de kicker: de inbreuk werd gevonden op 14 september, meer dan een maand voordat de informatie aan het publiek werd vrijgegeven.

Een woordvoerder van het bedrijf, die de inbreuk erkent, werd door The Times geciteerd en zei dat "klanten die hun creditcard uit voorzorg gebruikten bij een van de 63 Barnes & Noble-winkels waar informatie werd gestolen, hun pincodes moesten wijzigen en hun accounts moesten scannen ongeautoriseerde transacties. " Goed advies. Helaas kwam het vijf weken nadat duidelijk werd dat er een probleem was, hoewel er aanwijzingen waren dat hackers al informatie van de creditcards van sommige klanten hadden gebruikt om ongeautoriseerde aankopen te doen.

De reden van Barnes & Nobles om de informatie achter te houden aan haar klanten was dat het ministerie van Justitie hierom vroeg, zodat de FBI zou kunnen onderzoeken wie er achter de inbraak zit. Het bedrijf zei dat het twee brieven had ontvangen van het kantoor van de Amerikaanse procureur voor het zuidelijke district van New York en zei dat het de aanvallen niet aan zijn klanten hoefde te melden tijdens het onderzoek. Volgens minstens een van de brieven kon het bedrijf wachten tot 24 december om het klanten te vertellen. Voor deze sceptische waarnemer lijkt het erop dat het achterhouden van de informatie die lang zou slagen in het doen van ten minste één ding: voorkomen dat het schandaal de verkoop van vakanties beïnvloedt.

Hackers strekken hun vleugels uit

Helaas kan het op een grotere schaal hacken veel meer schade aanrichten dan alleen creditcarddiefstal. Op dezelfde dag dat het verhaal van Barnes & Noble verscheen, kwam er nieuws over hoe hackers, vermoedelijk Iraniërs, op 15 augustus een computervirus op Saudi Aramco, een van 's werelds meest waardevolle bedrijven, hebben ontketend. De hackers kozen 15 augustus omdat meer dan 55.000 werknemers van het bedrijf thuis waren van het werk ter voorbereiding op een belangrijke islamitische religieuze feestdag. Het virus zou gegevens op driekwart van Aramco's zakelijke pc's hebben gewist en de documenten, spreadsheets en andere bestanden vervangen door een afbeelding van een brandende Amerikaanse vlag.

Aanvankelijk onderzoek door Amerikaanse veiligheidsexperts leidde tot de overtuiging dat de aanval door Iraniërs werd gepleegd als vergelding voor de vermeende cyberaanval op Iran in 2010 met behulp van het Stuxnet-computervirus, dat centrifuges in een Iraanse nucleaire faciliteit vernietigde. (Meer informatie over dit type aanval in Advanced Persistent Threats: First Salvo in the Coming Cyberwar?)

Wat al deze verhalen gemeen hebben, is een voortdurend gebrek aan beveiliging in computersystemen wereldwijd. Als gevolg hiervan is de wereld dramatisch veranderd sinds de Koude Oorlog van de Berlijnse Muur en de Cubaanse rakettencrisis. Destijds wisten we allemaal wie de spelers waren: grote en krachtige landen. Het verschil kan zijn dat deze spelers onder controle werden gehouden, zo niet door ethiek, dan door het inzicht dat aanvallen wederzijdse vernietiging zouden veroorzaken.

Nu, zoals Richard Clarke, voormalig functionaris voor terrorismebestrijding van de Nationale Veiligheidsraad, werd geciteerd als zeggende: "Het (de cyberaanval op de Saoedische olieonderneming) bewees dat je niet verfijnd hoeft te zijn om veel schade aan te richten. Er zijn veel van doelen in de VS waar ze hetzelfde zouden kunnen doen. "

Met andere woorden, mensen met criminele of dodelijke bedoelingen hoeven zichzelf niet te bewapenen en hun eigen leven te riskeren om chaos te stelen en / of te plegen. Met de juiste kennis kunnen ze zwakke plekken in computersystemen misbruiken om schade aan te richten; ziekenhuissystemen, het elektriciteitsnet, luchtverkeersleidingssystemen, militaire verdedigingssystemen en onze financiële systemen kunnen allemaal kwetsbaar zijn.

Het komt neer op

Het is aan ons om te eisen dat onze overheid, bedrijven, zorginstellingen en alle openbare nutsbedrijven zo dicht mogelijk bij onbreekbare systemen installeren en onderhouden, misschien door "hackers" te betalen om die systemen voortdurend te kraken. Ons leven, evenals onze fortuinen, zijn in hun handen. Helaas lijken de meeste van deze organisaties het nu niet veel beter te doen dan decennia geleden.