Hei,

er blitt invitert av en bedriftsforening til å holde et miniforedrag om datasikkerhet. Er det noen som har gode lenker til sider med info om slikt? Hvordan hacke seg inn på en vanlig bedrift osv. osv.?

Er det samtidig noen her som kunne ta på seg et oppdrag med å hacke seg inn på noe? Altså ikke noe ulovlig, men på oppdrag fra meg for å vise dårlig sikkerhet? Hva slags ting kan være kjekt/enkelt å gjøre?

Har som dere kanskje merker ikke særlig peil på dette, så vet ikke hvorfor de kom til meg med forespørselen..men kanskje noen her kan hjelpe?

Hvorfor sa du ja når du ikke har peiling?

Meget enkelt: det gir gryn...

Kjør gjennom www.try2hack.nl og fortell hvor enkelt det var.
Vis screenshots av source osv.

Hva slags bedriftsforening? Det er stor forskjell på hjemmekontor og storbedrifter. Er det lokal 2-20 personers bedrifter? Litt mer info hadde gjort det litt lettere å gi råd.

Det du kan tenke på er i hvertfall

-Hvis det er "Hjemmekontor" folk:
Snakk om antivirus. Fortell hvor viktig det er å holde seg oppdatert. Vis dem hva netbus eller subseven kan gjøre. Det burde gi en fin "wow" faktor. Er det en avansert gruppe så kan du snakke om vpn teknologi osv. Kanskje også diskutere en enkel hardware firewall, gjerne med utgangspunkt i en billig smc bredbåndsruter. Kanskje en liten intro til generell sikkerthet. Exploits, 1337 script kiddies, porter, IDS, spoofing. You name it. Alt kommer an på nivået til deltakere og intresse.

-Er det snakk om bedrifter:
Legg vekt på litt mer management siden av saken. Snakk om hva en skikkelig pen-test kan gjøre for bedriften. Fortell litt om IDS, en SKIKKELIG firewall, liten intro til sikkerther her også. Fortell om social engineering. Fortell hvorfor det ikke alltid er nok å kjøre windows update(ikke pub exploits) osv. Gi dem en skikkelig lekse rundt backup, skikkelige rutiner innad i bedriften, hvor viktig logger er. Gi dem et eksempel på hva gode logger og en IDS kan gjøre etter at noen brøt seg inn på hele systemet med en exploit som IKKE har vært på bugtraq eller andre steder. Der er MANGE grupper som kan VELDIG mye der ute, og de deler ikke hva de finner med alle andre. En norsk bedrift med en grei linje er et yndet mål for crackere over hele verden. Vi bør ikke føle oss sikrere her i norge.

Det var deg jeg kom på med det første. Det er mye mer du kan dekke, men hvis du ikke kan så mye om dette fra før har du litt å gjøre. Du kan lære mye av et slikt oppdrag. Heldiggris. Får du penger og?

Hei seeker,

takk for nyttig info. Da er det bare å googlifisere litt og suge info etter alt du skrev. Kjempenyttig. Bedriftene er små ja, fra 2-15 personer, ca. 10 bedrifter som jeg mistenker for å ha svææært liten kompetanse på området (sikkert derfor de spurte meg...).

Vet ikke helt hvor mye gryn det gir, men alt er jo verdifullt for en gjerrigknark som meg selv...

Det er uansett litt fjernt og ta på seg ting du er helt grønn på da..

I værste fall så lærer du bort feil, og det blir iaffal teit.

Vel Ond^Sofa,

nå er jeg ganske lærenem. Sier heller ikke at jeg skal sitte og knote på try2hack for å bli hacker selv. Jeg skal videreformidle basic kunnskap som skal skremme bedriftsledere litt opp av Røkke-stolen. Å engasjere en proff hacker blir liksom på et annet plan.

Folkene i foreningen er bedriftsledere, administrative folk som ikke nødvendigvis har særlig mye peil på data. Så det tar jeg helt med ro, jeg har uansett mer peiling på data/internett enn de har...

bedriftsledere liker å høre tall og sånnt.. hvor mange milliarder som går til helvete pga virus og sånntno =)

Er du bedriftsleder mongob0ffel?

Developers, developers, developers
Fra spøk til revolver. Fortell om risken ved åpenbare passord (passord som faktisk betyr noe, tall og bokstaver og lignende), det kritiske ved å oppdatere systemer og poengter at kritisk info aldri må ligge koblet opp mot nettet. Fortell litt om hackermentalitet og slike ting, det finner du lett info om på nettet. Sjekk også astalavista for en del innsikt i hvordan mainstream undergrunnen virker og slikt.

- Fortell om ting som dem føler er relevante for dem (Firewall, linje, hvor usikkert adsl er)

-KOSTNADER! Fortell hvor mye gjenopprydning kan koste.

Fortell gjennom hvordan det har vært igjennom sikkerheten til sendmail i tidene "Ukens bug". Fortell hvor farlig det kan være for systemet om det er en feil i programmer osv. Hvor mange virus og backdoors som er blitt sluppet ut. ca. elns

-fortell hvor fælt og forfærdelig Microsofts systemer er, og hvorfor de heller må bruke en masse penger på linux.

fra spøk til alvor:

la dem selv forestille seg hvor ille det er om f.eks en konkurrent plutselig sitter på all informasjonen deres. om hvor mye de ansatte får i lønn, hvor mye firmaet omsetter for, kundelister, økonomi osv. fortell dem at om du først er infisert er det ikke sikkert du finner det ut. snakk om hvor farlig det kan være å ikke oppdage noe slikt, en hacker kan fint rote rundt i systemene, og det er ingenting som sier at han ikke kan få tilgang til resten av nettverket (selv laptopen til bedriftslederen) via serveren har kommer seg inn på.. Be dem få røska ræva til data-fyren opp av stolen og få ham til å gå igjennom alle sikkerhetsrutiner i går!

Meget bra, folkens. Gleder meg til å sette meg ned til helga og forfatte et flammende innlegg som rocker business-folket ut av gyngestolene ;-)

ja0k... si de må skaffe seg ordentlige netbsd servere som skal ha hardware firewall og IDS. filtrer trafikk og få dem til å leie folk som sjekker all trafikk på nettet deres. også må de selvfølgelig patche systemet... gi dem litt tall, intro osv. og få dem til å skjønne at det er viktig selv om de ikke kan en dritt om data.

rdxz: netbsd servere? haru røyka du eller? netbsd er et toaster-os, ikke firewall eller server. :P
Skal man ha server/firewall, så skal man ha free- eller openbsd. [/kverulant]

Uansett, det er nok smart å fortelle om RPC-dcom exploiten til windows, og for den saks skyld risken man tar ved å bruke outlook i kombinasjon med uerfarne ansatte.

Bare for å understreke, en hacker er ikke en cracker.
http://pinewo.ods.org/cgi-bin/jarl?query=hacker
http://pinewo.ods.org/cgi-bin/jarl?query=cracker

Ta noe sitat fra 'Kevin Mitnik - The art of deception', der det aller svakeste leddet i datasikkerhet blir tatt opp. Hvis du skal holde foredrag om datasikkerhet så bør du legge en del vekt på menneskene og ikke bare det fysiske.

openbsd er bæsj

debian servere går også an...

rdxz, fine argumenter du har! Utdype litt mer kanskje?