Beetje rare vraag misschien maar op een clubsite (mx5club.nl) is een nieuwe site geplaatst door ClassLogic. Zij claimen (begrijp ik uit het forum van de nieuwe site) dat de site NIET te kraken is (staat totale ledenbestand op met diverse info zoals rekeningnummers en zo)

Is dat een claim die je zo kan stellen of is het onzin?

M.a.w. is het waar wat ze claimen, heb hier absoluut geen verstand van.

Alles wat bereikbaar is via internet is openbaar te krijgen :)

Haha zeggen dat je site/server onkraakbaar is, is een teken van arrogantie (in iedergeval iets te veel zelfvertrouwen). Mensen die dit soort claims doen zou ik niet graag als collega willen hebben. Je moet die claim dus met een pot zout nemen :)

FF van hun site gehaald (ClassLogic)

Beveiliging van data-communicatie en authenticatie
Packet Sniffers zijn applicaties die door Hackers gebruikt worden voor het achterhalen van passwords. De applicaties luisteren via een netwerk kaart naar dataverkeer dat langs een komputer komt. Het is namelijk zo dat data naar alle computers op een netwerk-subnet gestuurd word. Normaal gesproken doet alleen de eindbestemmings computer iets met het verstuurde data. Packet Sniffers luisteren naar data-verkeer dat bedoeld is voor andere computers en onderscheppen daarmee de leesbare 'Plain Text' passwords zoals die door web-based applicaties gebruikt worden.

Web-based applicaties zetten hun sourcecode in het HTML document, wat via elke web-browser te bekijken is, dus ook eventule encryptie algoritmen (als ze die al hebben). Web-based applicaties zetten de deur wijd open voor hackers die graag voor u uw website willen aanpassen.

Oplossing in CMS-Logic:
In tegenstelling tot web-based applicaties kunnen de passwords van CMS-Logic niet gelezen worden door Packet Sniffers. CMS-Logic gebruikt data-encryptie voor het beveiligen van de communicatie tussen Client en Server. De data kan wel onderschept worden, maar niet gelezen worden door derden (hackers). De applicatie sourcecode is niet te bekijken wat ten goede komt aan de beveiliging. Derden hebben geen inzage in de encryptie-algoritmen van CMS-Logic.

Alles valt te kraken...

Valt te zien hoeveel tijd ze erin willen steken....

Als de sites van Microsoft, FBI, om er maar eens een paar te noemen, worden 'gekraakt', is het een illusie te denken dat een 'huis- tuin- en keukensite' niet gekraakt zou kunnen worden.

Wat iemand maakt, kan altijd door iemand anders gekraakt worden. Misschien is de website goed gescript en moeilijk te kraken.
Een veel slimmere methode is dan om via de server binnen te komen ;).

Maarja, we gaan hier geen hack lessen geven :D.

Het is idd kraakbaar, de keten is maar even sterk als de zwakste schakel. Zoiets claimen is vragen om ellende. Iedereen die iets van security afkent weet dat zoiets om problemen vragen is, zegt dit veel over hun kennis van zake ??

Waarom denkt iedereen nou zo moeilijk.. de sourcecode is niet beschikbaar, de applicatie draait op de server en is niet op internet beschikbaar, packetsniffers TUSSEN server en client kunnen niet doen..

Al eens gedacht om gewoon hun BIND of Apache te exploiten en root te verkrijgen, mooi weg alle beveiligingen :) Denk ook eens aan een andere website die op de server draait welke je kunt kraken en zo hun bestanden kunt inlezen bijvoorbeeld, of hun server via een andere pagina exploiten dmv bv Awstats met remote code execution, tada :)

Origineel geplaatst door Senna
FF van hun site gehaald (ClassLogic)

Beveiliging van data-communicatie en authenticatie
Packet Sniffers zijn applicaties die door Hackers gebruikt worden voor het achterhalen van passwords. De applicaties luisteren via een netwerk kaart naar dataverkeer dat langs een komputer komt. Het is namelijk zo dat data naar alle computers op een netwerk-subnet gestuurd word. Normaal gesproken doet alleen de eindbestemmings computer iets met het verstuurde data. Packet Sniffers luisteren naar data-verkeer dat bedoeld is voor andere computers en onderscheppen daarmee de leesbare 'Plain Text' passwords zoals die door web-based applicaties gebruikt worden.

Hier hebben ze al -1- misvatting.
Je kan natuurlijk met packet sniffers ook de complete authenticatie procedure reverse engineeren.
Als hier fouten inzitten schept dat natuurlijk perspectieven.

Verder doet het feit of een wachtwoord encrypted of plaintxt is weinig tot niet aan de orde.
Als webapplicaties naar encrypted passwords luisteren, ben je tenslotte de Plain Text versie in beginsel in zijn geheel niet meer nodig. ;)
De reden om toch voor encrypted passwords te gaan zit hem dan ook meer in het feit dat het encrypted exemplaar onder geen beding te herleiden tot het plain text exemplaar behoort te zijn, wat onwenselijk kan zijn wanneer mensen het wachtwoord voor meerdere diensten gebruiken.

Natuurlijk is dit weer een beetje kort door de bocht.
Je kan natuurlijk ook gebruik maken van encrypted data stromen, goed doordachte authenticatie procedure's etc. etc. ;)

Zoals reeds gezegt de keten zo sterk zijn als de zwakste schakel.
Waarbij het ook leuk is om te weten dat er maar relatief weinig "nieuwe" fouten worden gemaakt. ;)

Origineel geplaatst door WH-Tim
Waarom denkt iedereen nou zo moeilijk.. de sourcecode is niet beschikbaar, de applicatie draait op de server en is niet op internet beschikbaar, packetsniffers TUSSEN server en client kunnen niet doen..

Dat de sourcecode niet beschikbaar is, betekend natuurlijk niet dat je het niet kunt exploiten.
Exploits zijn vaak weinig uniek, buffer overflows, SQL injection etc. etc. ;)
Allemaal fouten die reeds eerder gemaakt zijn en in de toekomst nog veel vaker gemaakt zullen worden. ;)

Dat een sniffer tussen de client en server snift is geen beletsel.
In sommige gevallen kan dit erg interessante informatie opleveren.

Het toepassen van exploits op andere services welke op een server draaien doet natuurlijk in zijn geheel niet ter zake.
Er wordt immers door mensen geclaimd dat zij een onkraakbare site hebben.
Niet dat andere services op de server onkraakbaar zijn.

Ik vind dit een beetje uitlokking van, om zoiets op de site te zetten.

Origineel geplaatst door Senna

Oplossing in CMS-Logic:
In tegenstelling tot web-based applicaties kunnen de passwords van CMS-Logic niet gelezen worden door Packet Sniffers. CMS-Logic gebruikt data-encryptie voor het beveiligen van de communicatie tussen Client en Server. De data kan wel onderschept worden, maar niet gelezen worden door derden (hackers). De applicatie sourcecode is niet te bekijken wat ten goede komt aan de beveiliging. Derden hebben geen inzage in de encryptie-algoritmen van CMS-Logic.

En daarom doe je je voor als de betreffende server en geef je zelf een SSL cert. uit...
En je hebt de data die je wilt.. ;)

Alles is te kraken :P lijkt me knap pas is een server van de nasa gehackt en dan zou zo'n gewone niet te kraken zijn :D Lijkt me lache

Origineel geplaatst door ikkeweer
Alles is te kraken :P lijkt me knap pas is een server van de nasa gehackt en dan zou zo'n gewone niet te kraken zijn :D Lijkt me lache
Het gaat hier natuurlijk niet om het kraken van de server, maar om het kraken van een set scripts, in dit geval een CMS.
Kan natuurlijk best zijn dat zij foutloos gescript hebben, maar dat valt natuurlijk te bezien voor iets meer meer functionaliteit als een hello world example. ;)

Alles wat door een mens gemaakt wordt...kan door een mens gekraakt worden!!!

Er bestaat geen onkraakbaar iets. Je kunt van alles uithalen om het zo moeilijk mogelijk te maken om je site te kraken, en dat moet je ook doen. Er is een grens aan wat je kunt doen, 24 uurs persoonlijke bewaking en alle processen in de gaten houden zit er vast niet in.....

En om zoiets te gaan beweren is natuurlijk enorme grootspraak...... Vraag je je af of ze over meer dingen de werkelijkheid mooier voorstellen dan dat hij is...

Sterker nog, het maakt mensen onvoorzichtiger, de site is immers toch niet te hacken, dus waarom zou ik vorzichtig doen met gegevens.....

OpenVMS van HP is in een veilige omgeving nog nooit gehacked. :)

Origineel geplaatst door Domenico
OpenVMS van HP is in een veilige omgeving nog nooit gehacked. :)

Met veilige omgeving wordt zeker bedoeld dat er geen netwerk aan gekoppeld is ;)

Bedankt voor al jullie reacties, het is mij wel duidelijk.

Als je het kabeltje naar de server loskoppelt is ie 100% veilig, alleen dan is je downtime ook 100% ;) .


Maarree, wat vinden jullie nou van die mx5club.nl (http://www.mx5club.nl) site ?

Origineel geplaatst door Triloxigen


Met veilige omgeving wordt zeker bedoeld dat er geen netwerk aan gekoppeld is ;)

Ehm nee, gewoon dat hackers geen fysieke toegang hebben tot de server wat eigenlijk in de meeste gevallen zo is. Anyways, ga maar zoeken als je het niet gelooft.

Ik werd er weer aan herinnert door een artikel wat ik er van de week over heb gelezen. Echt nog niet gehacked, ook op DEFCON 9 niet met prompt access (login en wachtwoord).

Ik zal kijken of ik het artikel nog ergens kan vinden.

http://deathrow.vistech.net/hpworld.txt

"As for OpenVMS, the OS has been hacked only through social engineering, and has been the subject of fewer vulnerability alerts in a quarter century than Windows amasses in a calendar quarter. VMS was designed with security in mind right from the get-go, and while the OS lacks dancing paperclips and cleverly embedded flight simulator programs, it is virtually immune to the viruses, worms, and other subhuman-made cyberdiseases that plague lesser OSes. Malware is a term foreign to SKHPC, but we’d bet that OpenVMS is impervious to this pestilence, too. Perhaps OpenVMS was excluded from the study, because its presence would skew the results--just as a comparison of a Yugo and a Trabant would be skewed if a BMW850i was added to an evaluation of automotive econoboxes."

http://itmanagement.earthweb.com/erp/article.php/3380341

"The unhackable claim was validated at the DefCon 9 Hacker Conference where OpenVMS did so well they never invited it back. It beat out NT, XP, Solaris and Linux, and then was graded as unhackable by the best hackers in the business."

Of je loopt DC binnen met de mededeling dat je je pass kwijt bent, etc, en copied de hele schijf? ;)

gewoon een brute force op de admin gooien -.-

Kan wel 10 jaar duren maar heb je em wel -.-

Origineel geplaatst door robinvanraan
gewoon een brute force op de admin gooien -.-

Kan wel 10 jaar duren maar heb je em wel -.-
Maar dan heb je hem nog niet gehackt. ;)

Origineel geplaatst door robinvanraan
gewoon een brute force op de admin gooien -.-

Kan wel 10 jaar duren maar heb je em wel -.-

10 jaar lang remote brute forcen? :)
:rolleyes:

Jullie hebben er een mooi Topic van gemaakt. Bedankt.
Maar wat ik begrijp is dat het zeg maar moeilijk is.

Daar kan ik inkomen. Maar wat hebben ze gedaan?

Ze hebben een login naam aangemaakt die je NIET kan wijzigen. En de login Name is niet zo moeilijk te raden.

En dan staat de logincode (die kan je wel wijzigen, maar dat zullen er veel niet doen vrees ik) op elke envelop en mailing die je krijgt van de club. zeker 8 a 10 per jaar.

Wat heeft solid security (bedenk het waar je bijstaat) dan voor zin, denk ik. Denk ik toch goed dan?

Tjsa, zoals iedereen al heeft gezegd... niets is onkraakbaar. Maar met een vaste loginnaam wordt alles al een stuk makkelijker. Persoonlijk vind ik bijvoorbeeld de beveiliging van de rabobank heel degelijk. Met een hardware apparaat een code genereren maakt het voor kwaadwillenden een stuk moeilijker om zichzelf toegang te verschaffen tot een systeem.

Origineel geplaatst door Remigius
Met een hardware apparaat een code genereren maakt het voor kwaadwillenden een stuk moeilijker om zichzelf toegang te verschaffen tot een systeem.
Doet de Postbank ook hoor.
Alleen de Postbank print even voorgecalculeerde codes voor je uit. ;)

Doet de Postbank ook hoor.
Ongetwijfeld, maar de postbank is een pauper bank ;). Nee serieus, ik gaf alleen de Rabobank aan omdat dat het eerste was wat mij te binnen schoot. Postbank, ABN, etc. ze zullen het allemaal wel doen.

Beveiliging is niet een kwestie van "onmogelijk" maken, want dat kan niet. Je moet het alleen zo verdomde moeilijk maken dat het niet meer rendabel is om erin proberen te komen.

Je moet het uiteraard zoveel dichttimmer als in je macht ligt, daarnaast moet je het zo moeilijk maken om via eventuele zwakke/gevoelige plekken (lees oa user-input) binnen te komen. Mocht iemand ergens binnenkomen, zorg dan dat ze maar in een bepaald gebied komen. Dus niet overal bij kunnen.

Vb.

Kom je bij de ABN binnen, dan zorgen ze wel dat je alleen bij de gegevens van die persoon kan, en niet bij de rest.
Het minimaliseren en beperken van de schade om het mooi te zeggen.

Beveiligen van (web)apps is een vak apart, zeg nooit dat et niet mogelijk is om te kraken. Er hoeft maar een verdwaalde zwerver in de colo te komen en weg met uber beveiligde programma

Origineel geplaatst door roland
Beveiligen van (web)apps is een vak apart, zeg nooit dat et niet mogelijk is om te kraken. Er hoeft maar een verdwaalde zwerver in de colo te komen en weg met uber beveiligde programma
En dan is het nog niet gekraakt. ;)