Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

'Professionele' hackers?

Pagina: 1
Acties:
  • 380 views sinds 30-01-2008
  • Reageer

woensdag 19 december 2007 11:21

Acties:
  • Xandrios
  • Registratie: Februari 2001
  • Laatst online: 30-11 00:19

Xandrios

Topicstarter
Voor een project ben ik op zoek naar een bedrijf dat een website kan testen op veiligheid. Er zijn een redelijk aantal bedrijven die iets doen in deze richting, probleem is dat zonder referenties het erg moeilijk is om hier een keuze te maken. Daarom ben ik op zoek naar ervaringen :)

Eisen:
- Applicatie test, geen systeem/hardware test
- 'Goal' is het proberen om achterliggende (backend) systemen te bereiken.
- Bedrijf moet 'established' zijn aangezien het om sensitive data gaat.
- Kosten is niet direct bepalend

Waar ik dus niet naar op zoek ben is een van de 'hack safe' resellers. Het gaat er echt om dat een persoon met goede kennis van security een dag/een aantal dagen besteedt aan het handmatig doporbreken van de webinterface.

Heeft iemand hier ervaring mee, en zou deze willen delen?

woensdag 19 december 2007 22:08

Acties:
  • M@rijn
  • Registratie: December 2001
  • Laatst online: 00:29

M@rijn

Fox-it is dacht ik wel 1 van de grootste op dat gebied.

woensdag 19 december 2007 22:12

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

http://www.madison-gurkha.com/

ik heb hier wel eens wat workshops van gezien, erg netjes gedaan.
ook met demoo'tjes.

zou zoiets btw zelf graag willen leren, enig idee waar dat kan (behalve de praktijk) op net niveau?

donderdag 20 december 2007 11:57

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 25-11 15:05

lordgandalf

Voor dit soort onderzoeken kan men zich het beste richten tot bedrijven zoals:
Fox-IT
4itrust

zijn twee bedrijven die dat soort zaken doen

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 20 december 2007 12:07

Acties:
  • sh4d0wman
  • Registratie: April 2002
  • Nu online

sh4d0wman

Attack | Exploit | Pwn

Ik zou persoonlijk tussen Fox of Madison kiezen aangezien beiden een goede reputatie hebben op dit gebied. Waar ze in verschillen weet ik niet en ik heb helaas geen ervaringen met ze. Zou er wel voor willen werken though :P

@ Boudewijn: kijk eens bij eccounsil naar CEH (certified ethical hacker) of LPT (licensed penetration tester), deze bieden met name het technische deel. CISA en CISSP zijn ook een optie maar ik geloof dat je dan al werkzaam moet zijn in het IT security vakgebied. Fox-IT biedt ook wel workshops aan dacht ik.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

vrijdag 21 december 2007 10:13

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 25-11 15:05

lordgandalf

fox-it bied inderdaad workshops aan.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

vrijdag 21 december 2007 10:23

Acties:
  • killercow
  • Registratie: Maart 2000
  • Laatst online: 28-11 15:56

killercow

eth0

Pine heeft eens wat code van mij getest,
Doen dit erg uitgebreid, en vonden gelukkig vrij weinig (op een local port scan via een ajax script binnen de DMZ na dan :P )

pine.nl dus.

openkat.nl al gezien?

vrijdag 21 december 2007 10:55

Acties:
  • JPS
  • Registratie: April 2000
  • Niet online

JPS

Goede ethical hackers zijn schaars. De certificering CEH zegt naar mijn mening niet zo veel, het is niet erg moeilijk om die te bemachtigen en daarmee (vind ik) dat je niet kan zeggen dat je een goede penetratietest kunt uitvoeren. Je kunt dan met wat tooltjes spelen. Ethical hacking is namelijk een puzzlekunst op zich.

Je zou eens kunnen kijken naar Seneca Risk & Security. Die zijn naar mijn ervaring gewend om met zeer vertrouwelijk materiaal om te gaan, zijn technisch sterk, maar kijken duidelijk verder en plaatsen aangetroffen kwetsbaarheden/risico's in een bedrijfscontext. http://srs.seneca.nl/smartsite869.htm

CISA/CISSP zijn wat sterkere certificeringen die een indicatie van beveiligingsprofessionaliteit geven, maar staar je daar ook niet blind op.

vrijdag 21 december 2007 10:56

Acties:
  • JohnStaakke
  • Registratie: Oktober 2007
  • Laatst online: 28-11 20:14

JohnStaakke

Vanuit mijn bedrijf werken we met Madison en Ghurka, voornamelijk voor auditing.
Goeie ervaringen mee.

vrijdag 21 december 2007 11:12

Acties:
  • JPS
  • Registratie: April 2000
  • Niet online

JPS

Boudewijn schreef op woensdag 19 december 2007 @ 22:12:
http://www.madison-gurkha.com/

ik heb hier wel eens wat workshops van gezien, erg netjes gedaan.
ook met demoo'tjes.

zou zoiets btw zelf graag willen leren, enig idee waar dat kan (behalve de praktijk) op net niveau?
Daar zijn geen echte cursussen voor. Meestal leer je het door zelf veel te hobby'en en van collega's te leren. Die CEH training is aardig, maar zoals ik hierboven al zei leer je niet meer dan met wat tooltjes te spelen. 'Echt' hacken is fingerspitzengefuhl, en dat is niet voor iedereen weggelegd. Je hebt daarvoor een sterke technische kennis nodig, maar moet vooral ook geduld en fijnzinnigheid hebben. Het is niet voor niets zo dat veel goede ethical hackers ook lockpicking als hobby hebben.

Je zou eens met backtrack kunnen spelen, maar pas er mee op. Ga niet zomaar wat op een productienetwerk aanklooien; voor je het weet gooi je de boel plat >:)

vrijdag 21 december 2007 11:30

Acties:
  • orf
  • Registratie: Augustus 2005
  • Laatst online: 23:04

orf

killercow schreef op vrijdag 21 december 2007 @ 10:23:
Pine heeft eens wat code van mij getest,
Doen dit erg uitgebreid, en vonden gelukkig vrij weinig (op een local port scan via een ajax script binnen de DMZ na dan :P )

pine.nl dus.
Hier hetzelfde. Applicatie voor een gemeente is getest door Pine bij ons. Erg goed verslag en een aantal aanbevelingen gekregen.

vrijdag 21 december 2007 11:31

Acties:
  • sh4d0wman
  • Registratie: April 2002
  • Nu online

sh4d0wman

Attack | Exploit | Pwn

CEH en dergelijke certificeren zullen uiteraard niet volstaan om een ethical hacker te worden. Belangrijkste zijn toch wel diverse eigenschappen die je moet bezitten anders raak je op den duur toch gefrustreerd denk ik. Voorbeelden, vasthoudendheid/doorzettingsvermogen (er is altijd wel een manier om ergens binnen te komen, deze vinden kan echter zeer veel tijd kosten), creatief (out of the box denken en nieuwe dingen uit durven te voeren), nauwkeurig werken (je zal maar opeens een host hacken die buiten je scope viel ;)) etc. Ook vind ik netwerken een belangrijk onderdeel, ken de juiste mensen en je hoort informatie voordat het algemeen gepubliceerd is. (als het uberhaupt gepubliceerd wordt)

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

vrijdag 21 december 2007 11:43

Acties:
  • Juup
  • Registratie: Februari 2000
  • Niet online

Juup

Ik weet natuurlijk niet HOE goed je het getest wilt hebben maar ik zou nooit maar 1 persoon van 1 bedrijf er 1 keer naar laten kijken. Ik heb wel eens met wat madison-gurka lui gewerkt en hoewel het zeer aardige mensen zijn heb ik niet het gevoel dat hun skills op niveau "echte hacker" waren.

Als ik het nu zou moeten doen zou ik 2 of 3 bedrijven inhuren en er een competitie-element aan toevoegen. Dus: wie het eerste op server x als user y iets kan runnen, die krijgt een noemenswaardige bonus.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 21 december 2007 12:13

Acties:
  • JPS
  • Registratie: April 2000
  • Niet online

JPS

Juup schreef op vrijdag 21 december 2007 @ 11:43:
Als ik het nu zou moeten doen zou ik 2 of 3 bedrijven inhuren en er een competitie-element aan toevoegen. Dus: wie het eerste op server x als user y iets kan runnen, die krijgt een noemenswaardige bonus.
Natuurlijk, nodig meerdere partijen uit. Maar het competitie-element, hoe leuk dat ook lijkt, zou ik achterwege laten. Dan gaat iedereen met grof geschut op zoek naar de quick-win, maar daarmee heb je geen enkel zicht op al je kwetsbaarheden, zeker niet de geraffineerde. Het beperkt ook nadrukkelijk het o-zo-belangrijke out-of-the-box denken, zoals hierboven is beschreven. Een hacker moet veel verder denken dan die ene quick-win.

vrijdag 21 december 2007 12:22

Acties:

Verwijderd

JPS schreef op vrijdag 21 december 2007 @ 12:13:
[...]
Een hacker moet veel verder denken dan die ene quick-win.
Klopt, ik heb ooit een profesionele firewall moeten testen. Zat erg goed in elkaar. Kon er niet rechtstreeks in komen. Heb toen via een backdoor op de logging ingebroken. Kreeg automatisch een bericht dat alles open stond, toen de beheerder de logging ging bekijken. 8)

vrijdag 21 december 2007 13:15

Acties:
  • Ivo
  • Registratie: Juni 2001
  • Laatst online: 14-01 18:01

Ivo

Boudewijn schreef op woensdag 19 december 2007 @ 22:12:
http://www.madison-gurkha.com/

ik heb hier wel eens wat workshops van gezien, erg netjes gedaan.
ook met demoo'tjes.

zou zoiets btw zelf graag willen leren, enig idee waar dat kan (behalve de praktijk) op net niveau?
Ik ga me inschrijven voor de master Information Security Technology aan de TU/e. Een 2-jarige masteropleiding die je voorbereid op onderzoek in informatiebeveiliging (protocollen, encryptie), maar ook werken als security consultant.

donderdag 10 januari 2008 12:53

Acties:

Verwijderd

Je zou eens kunnen kijken bij www.securitymasterclass.nl, verzorgen trainingen en certificeringstrajecten van Mile2. Zeer goede trainers, voeren zelf pen testen uit bij o.a. de NSA
Boudewijn schreef op woensdag 19 december 2007 @ 22:12:
http://www.madison-gurkha.com/

ik heb hier wel eens wat workshops van gezien, erg netjes gedaan.
ook met demoo'tjes.

zou zoiets btw zelf graag willen leren, enig idee waar dat kan (behalve de praktijk) op net niveau?

donderdag 10 januari 2008 14:23

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Ivo schreef op vrijdag 21 december 2007 @ 13:15:
[...]

Ik ga me inschrijven voor de master Information Security Technology aan de TU/e. Een 2-jarige masteropleiding die je voorbereid op onderzoek in informatiebeveiliging (protocollen, encryptie), maar ook werken als security consultant.
Nice, ik neem aan dat daar al een flinke dot UNIX kennis aan vooraf dient te gaan?
* Boudewijn gaat eerst zijn msc in ST maar eens afmaken btw :P
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq