Suche Team

Die technologischen Aspekte mal außen vor - sich ohne Rücksicht auf Verluste zum Fachidioten zu machen gleicht, gerade in Berufsbereichen wo das lebenslange Lernen zentraler Bestandteil ist, dem Schaufeln des eigenen Grabes.

Zweifelsohne sind "Experten" notwendig, und natürlich ist Arbeitsteilung eine der größten Erfindungen der Menschheit - aber es liegt nunmal in der Natur der Dinge dass sich die Anforderungen und Bestandteile des (beruflichen) Alltags ändern.

Das trifft nur auf sehr wenige Bereiche noch mehr zu als in der IT.

Diese Achterbahnfahrt an Anforderungsanpassung kann man nur schaffen, wenn man auf ein möglichst breites Fundament an Basiswissen zurückblicken kann.
 
Deinen Blog-Beitrag lese ich mir demnächst mal durch. Klingt wirklich interessant und vielleicht kann ich auch für diese Techiken einen Weg finden. Und mit Snort hast du mich auch neugierig gemacht :P.

Das Problem ist, dass ich dafür keinen sinnvollen Einsatz finde und nur für das Lab fehlt mir der Reiz sich dahinter zu klemmen. Das ist wie mit Nagios, das habe ich aufgesetzt kurz mit rumgespielt aber dann auch genauso schnell fallen gelassen weil es Sinnlos ist sein Heimnetz zu monitoren.

Damit wirst du zum Fachidioten und nicht zum Hacker. ;) Die Hacker, die ich als solche bezeichnen würde, zeichnen sich dadurch aus, dass sie ein sehr breites Wissensspektrum haben und sich binnen kurzer Zeit sehr tief in einzelne Bereiche davon einarbeiten können. Will man dieses breite Wissensspektrum auf eine Crew verteilen, führt der Ausfall eines Crew-Mitglieds dazu, dass elementares Wissen fehlt. Das ist also nicht nur ineffizient sondern auch reichlich blöd. Das wäre wie ein Team von Sysadmins, wo jeder Sysadmin nur bestimmte Server im Netzwerk verwalten kann, weil nur er den Zugang dazu hat. Fällt einer der Sysadmins aus, könnten seine Server nicht mehr verwaltet werden. SO funktionieren Teams NICHT. Sinn von Crews ist u.a. das Knowhow-Sharing. Wenn sich einer durch dicke Bücher zu einem Thema gequält hat, kann er das gesammelte Wissen den anderen in kurzer und ggf. praktischer Form vermitteln. Gemeinsam lernen spart nunmal Zeit.
Zum Vergrößern anklicken....
Das sehe ich nicht anders, manchmal verstehe ich nicht warum wir diskutieren. :D Ich gebe zu dass ich schon etwas dazu neige ein "Fachidiot" zu werden. Aber ich habe doch in meinem Post davor geschrieben, dass ich mein Wissen in anderen Bereichen auf geringem Niveau halte. Vielleicht ist "gering" das falsche Wort. Zum einen weil mein Wissen von Fachbereich zu Fachbereich variiert und zum anderen weil ich "gering" anders definiere als manch anderer.
Wenn ihr euch ein Urteil darüber erlauben wolltet, müsste ich erst mal aufzählen was ich womit schon gemacht habe!
 
1337geek hat gesagt.:
Das Problem ist, dass ich dafür keinen sinnvollen Einsatz finde und nur für das Lab fehlt mir der Reiz sich dahinter zu klemmen.
Zum Vergrößern anklicken....

Da zitiere ich einfach mal aus einem anderen Beitrag in meinem Blog:

Weiss ich nun aber, wer mich dort angreift, kann ich auch entsprechend darauf reagieren. Und hier beginnt ein grosser Denkfehler, den die meisten Hacker machen. Sie unterschätzen die Angreifbarkeit ihrer eigenen Tools und allzu gern nehmen wir einen Crash einen Tools als Bug hin und kümmern uns nicht weiter darum.

Na, klingelts? Genau… weiss das Ziel welcher Schritt der nächste bei einem Angriff ist, kann es entsprechend darauf reagieren. Es kann z.B. die Antworten des angegriffenen Systems so gestalten, dass Sicherheitslücken in dem verwendeten Tool ausgenutzt werden, die dann zum Einschleusen von Schadcode beim Angreifer genutzt werden können. Ist nun klar, warum man den “related Traffic” auch immer durch ein IDS schicken sollte? Ich hoffe doch.
Zum Vergrößern anklicken....

Dadurch dürfte hoffentlich klar sein, warum ein IDS in jedem Fall Sinn macht um sich selbst zu schützen.
 
An sich ja sehr schön, aber hast du jemals ein Angreifer-System mit Schadcode infiziert? Es gibt so verdammt viele Exploits und so verdammt viele Tools, diese müsstest du alle einpflegen und updaten.

Ich sehe da wenig Chancen auf einen Erfolg. Wenn es aber klappen sollte, würde das mein neues Hobby werden :D ...
 
1337geek hat gesagt.:
An sich ja sehr schön, aber hast du jemals ein Angreifer-System mit Schadcode infiziert? Es gibt so verdammt viele Exploits und so verdammt viele Tools, diese müsstest du alle einpflegen und updaten.

Ich sehe da wenig Chancen auf einen Erfolg. Wenn es aber klappen sollte, würde das mein neues Hobby werden :D ...
Zum Vergrößern anklicken....

Die Exploits kann man zentral in einer Datenbank pflegen oder einfach Anlaufpunkte wie Packetstormsecurity nutzen. Selbiges gilt für die Tool-Erkennung/das Fingerprinting, wobei die Signatur-Pflege zugegebenermaßen relativ aufwendig ist. Dennoch sind die meisten IDS schon von Haus aus in der Lage Standard-Tools wie nmap u.ä. zu erkennen, so dass dann z.B. nicht mehr "ICMP Destination Unreachable Communication Administratively Prohibited" gemeldet wird sondern "ICMP PING NMAP". Weiss das System nun, dass nmap gegen OpenSSL, PCRE und LUA gelinkt ist (das sind Standard-Abhängigkeiten dieses Tools), kann es z.B. auch Lücken in diesen Libs nutzen und passende Exploits dagegen abfeuern bzw. den Response-Traffic so manipulieren, dass der Scan entweder unterbunden wird (Crash von nmap herbeiführen) oder gleich damit eine Payload eingeschleust wird.

Sowas kann man natürlich in the wild nicht testen, da es nicht legal ist. In Testumgebungen funktioniert das aber sehr gut. Und wie wir wissen: Nur weil etwas nicht legal ist, heisst das nicht, dass es nicht von diversen Stellen trotzdem gemacht wird.

However: Du musst selbst wissen wie viel Schutz du für notwendig erachtest. Die Erfahrung zeigt aber, dass gerade jene Leute, die immer sagen "Sowas macht doch keiner" irgendwann genau durch "sowas" erwischt werden. Ich jedenfalls hab meine Gründe warum auf meinem Rechner immer ein IDS mitläuft, da ich weiss, was möglich ist und mich gegen Möglichkeiten gern absicher.
 
Echt nicht übel. Trotzdem braucht es noch ziemlich viel Glück dass die Rückschläge funktionieren. Exploits sind meist an spezielle Versionen gebunden und wer sein System pflegt hat die meisten Lücken geschlossen.

Aber an sich verdammt clever :D.

In deinem Netz würde ich nicht rumlungern wollen :D:D:D.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben