[Penetratie-Test] Hack on Demand

stuur je email adres even per mail, ik heb misschien een oplossing voor je.

mrFreeZe schreef op 25 November 2002 @ 11:08:
stuur je email adres even per mail, ik heb misschien een oplossing voor je.

Zou je dat niet even hier neer kunnen zetten ?
De topicstarter vraagt namelijk om bedrijven, dus dan is het geen spam.

En ik ben namelijk ook wel geintresseert in bedrijven die dat doen.

Er zijn heel veel goede (en veel slechte) bedrijven die dit doen. Op http://computer-beveiliging.pagina.nl/ staat geloof ik een hele lijst. Het grootste probleem is dat bij 'hacken' er vaak erg veel kennis nodig is van het betreffende systeem, software pakket, configuratie ed. Veel bedrijven hebben wel de kennis om een systeem te hacken, maar dit is dan vaak beperkt tot bepaalde methode en niet op alle gebieden.

Je mag me mailen, afhankelijk waar het precies omgaat kan ik je misschien wel helpen.

[ Voor 12% gewijzigd door Verwijderd op 25-11-2002 11:36 ]

lol dat die pagina ook werkt

misschien ook gepenetreerd

[ Voor 5% gewijzigd door imthecool1 op 25-11-2002 11:30 ]

system-force doet dat ook, ze noemen dat een Vulnerability Scan
je kunt ook meerdere andere scans doen.

Kijk eens op www.system-force.nl (tabblad security)

ps. ik werk er niet dus geen spam.

Tis trouwens niet goedkoop.

[ Voor 5% gewijzigd door Verwijderd op 25-11-2002 12:04 ]

Verwijderd schreef op 25 november 2002 @ 11:20:
(b.t.w. e-mail adres staat in profile)

Echt niet

maar doe het toch maar in dit topic, ik ben ook wel benieuwd
KPMG en ITSX
doen het ook.
www.itsx.nl

[ Voor 26% gewijzigd door xychix op 25-11-2002 13:11 ]

lekker email adresje vragen om alvast van start te gaan met hacken....
want daar is email wel goed voor ... direkt het IP address !!

ik wil maar effe zegge stuur geen email vanuit de pc die je wil laten testen op security!

[ Voor 27% gewijzigd door Verwijderd op 25-11-2002 13:16 ]

Verwijderd schreef op 25 november 2002 @ 13:14:
lekker email adresje vragen om alvast van start te gaan met hacken....
want daar is email wel goed voor ... direkt het IP address !!

wat blaat jij nou ? (NOFI, maar ik kan je niet volgen, zal wel aan mijn zeer beperkte kennis liggen )
je zult wel zijn planet email adres bedoelen ? het planet domein wijst vast niet naar zijn server, dus mocht je er ip's bij zoeken krijg je die van de mailserver van planet... offuu

Verwijderd schreef op 25 november 2002 @ 13:14:
ik wil maar effe zegge stuur geen email vanuit de pc die je wil laten testen op security!

ok nu ikke snap

[ Voor 57% gewijzigd door xychix op 25-11-2002 13:20 ]

Bij een klant hebben ik deloite en touche over de vloer gehad. Zij hebben hier ook een afdeling voor. Deze gasten hebben bij mij niet echt een super indruk achter gelaten.
Wat zij gedaan hebben had ik zelf ook gekunt.

Zij hebben met ISS het netwerk af gescanned en geroepen dat wel een ander departement met een firewall moesten gaan afschermen van ons netwerk(duh!)

[ Voor 3% gewijzigd door Tazzy op 25-11-2002 13:20 . Reden: Typo ]

www.madison-gurkha.com

Heb ik erg goede ervaringen mee.

Bij zo wat elke mail zit een ip-adres bij. als jij een mailtje stuurt naar mij, kan ik je IP address uit mail halen en dat is zo ongeveer het meest belangrijke gegeven om op een pc binnen te hacken. Wanneer je dan dat IP address hebt begin je met Port Scanning ...
T'is me nog ni dikwijls gelukt hoor. Ooit 2 maal bij een vriend binnen geraakt (hij was op de hoogte!)

Bindview - www.bindview.com. Een van de betere security service providers.

Verwijderd schreef op 25 November 2002 @ 13:20:
Bij zo wat elke mail zit een ip-adres bij. als jij een mailtje stuurt naar mij, kan ik je IP address uit mail halen en dat is zo ongeveer het meest belangrijke gegeven om op een pc binnen te hacken. Wanneer je dan dat IP address hebt begin je met Port Scanning ...
T'is me nog ni dikwijls gelukt hoor. Ooit 2 maal bij een vriend binnen geraakt (hij was op de hoogte!)

Ik snap onderhand wat je bedoeld, maar als ik vanaf mijn pc achter isdnlijn vie de mailserver van hetnet een mailtje stuur hoef ik me echt niet druk te maken.
maargoed ik snap wat je bedoelde.

Met ITSX waren de ervaringen niet super, ze doen een nette OS / Servers scan (ala Nessus.org, een goed gratis tool) daarnaast kwamen ze met wat cross site scripting dingen aan, echte kennnis van specifieke apps was er echter niet. maarja dat kan ook haast niet.

[ Voor 17% gewijzigd door xychix op 25-11-2002 13:27 ]

Verwijderd schreef op 25 november 2002 @ 13:20:
Bij zo wat elke mail zit een ip-adres bij. als jij een mailtje stuurt naar mij, kan ik je IP address uit mail halen en dat is zo ongeveer het meest belangrijke gegeven om op een pc binnen te hacken. Wanneer je dan dat IP address hebt begin je met Port Scanning ...
T'is me nog ni dikwijls gelukt hoor. Ooit 2 maal bij een vriend binnen geraakt (hij was op de hoogte!)

Dit slaat dus echt nergens op.

Als ik mijn server wil laten testen op de veiligheid MOET je het ip-adres wel hebben, anders valt er helemaal niets te testen.

Verder kun je met die mailheader doen wat je wilt, maar het staat natuurlijk nergens dat je je mail opstelt op de machine die je wilt laten testen.

zowel ip-address van server als van de client van waaruit de mail vertrekt bevinden zich in de header... of kijk ik nu echt zo scheel

Jij hebt het over de server, maar er kunnen er wel 20 staan.

Waar het om gaat, is dat de mailserver/client niet de machine hoeft te zijn die je wilt laten testen (we hebben het hier over een professionele omgeving, en niet een of andere thuis pc).

daar zit natuurlijk ook iets in

Avensus (www.avensus.nl) doet het ook.
Is het trouwens ook spam als dezwe info op verzoek wordt geleverd????

Verwijderd schreef op 25 november 2002 @ 14:01:
Omdat ik ook wel snap dat een IP-adres het startpunt is voor een hack zorg ik er natuurlijk voor dat ik de mail niet stuur vanuit onze eigen mailserver maar vanuit planet.nl, zo ver was ik dan toch weer........

Verder heb ik ondertussen al een paar bedrijven gehad waaronder ITSX en FOX-IT, beiden zeggen ze rond de 4-6 dagen nodig te hebben a ongeveer 1200 pleuro's per dag. dus zit je toch snel al op zo'n 7000 pleuro's.

Maar we blijven zoeken en jullie tips blijven zeer wekom.

B.t.w. onlang op een security seminar geweest en daar maakte ITSX toch wel een zeer goede indruk, maar die prijs he ............

ik heb een rapport gelezen van ITSX die onze webserver wel even om zouden leggen, we werden alleen geattendeerd op mogelijke XSS bugs, verder een Nmap uitdraai (ff mooit gemaakt) en aan het vehaal te lezen hebben ze een Nessus output genomen en hier een verhaal van gemaakt.

en dat kostte idd ook zoveel... €60.000 oid.
voor de helft had ik het ook gekund!

Als je zelf handig bent met Nessus kun je ook al een eind komen.
toch???

bc_vortex schreef op 25 november 2002 @ 14:13:
Als je zelf handig bent met Nessus kun je ook al een eind komen.
toch???

ben ik het mee eens, nessus erop, en je weet al een boel van je os en services. vervolgens iemand/zelf achter crosssite scripting bugs aan gaa rennen en bij exotische software op bugs checken (dat is het moeilijkst)

maar als het je 60k bespaart vind ik de keuze snel gemaakt

bc_vortex schreef op 25 November 2002 @ 14:29:
maar als het je 60k bespaart vind ik de keuze snel gemaakt

Idd. maar maak dat het "grote" bedrijf waar ik werk maar eens wijs...

bij ons heeft pinkroccade (hoe schrijf je dat ) een testje gedaan. stelde niks voor maar ja de manager vind dat niet de eigen systeembeerder het moet doen maar een "prof. bedrijf"

het rapport:
- ping uitdraai
- traceroute uitdraai
- nmap uitdraai

uikomst: jullie zijn veilig
kosten: wil je niet weten

hmm vraag je baas eens wat het hem waard is als jij dat rapport omver stoot !..

Ik heb zelf wel goede ervaringen met sentia.nl

linux bakkie in een extern netwerk...kan natuurlijk ook intern, maar dan moet je wel ff buitenlangs je testjes uitvoeren (dus via inbel ofzo).

Het ging hier om een professionele penetratietest en de ervaringen die mensen hiermee hebben, niet om een amateur met een poortscannertje.

_{Mind my accent.}

Verder is dit topic alweer bijna twee weken stil, dus reken niet te veel op een serieuze reaktie van de topicstarter.

PS, mijn IP-adres is 62.45.64.240, maar wat je daar mee wilt?

Precies dat bedoelde ik. Je kunt helemaal niks met een IP adres. Elke simpele firewall blokkeert inkomende hack pogingen.

Verwijderd schreef op 25 November 2002 @ 13:14:
lekker email adresje vragen om alvast van start te gaan met hacken....
want daar is email wel goed voor ... direkt het IP address !!

ik wil maar effe zegge stuur geen email vanuit de pc die je wil laten testen op security!

net of dat je met een IP echt iets kan doen verder, niet bepaald veel iig..

imthecool1 schreef op 25 November 2002 @ 11:30:
lol dat die pagina ook werkt

misschien ook gepenetreerd

http://computerbeveiliging.pagina.nl/

mrFreeZe schreef op 25 November 2002 @ 11:08:
stuur je email adres even per mail, ik heb misschien een oplossing voor je.

Dit is dus niet de bedoeling. Riekt zwaar naar spam !

Ik heb btw flink wat MSN/bullshit/offtopic reply's getrashed. Het is NIET de bedoeling dat we hier nu gaan discussieren over hoe je wel niet kan hacken.
Ervaringen van bedrijven die het aanbieden, dat is waar deze draad voor is.

Met zone-alarm pro kun je de computer toch tegen dit soort activiteiten beschermen?

Verwijderd schreef op 05 December 2002 @ 12:35:
Het ging hier om een professionele penetratietest en de ervaringen die mensen hiermee hebben, niet om een amateur met een poortscannertje.

_{Mind my accent.}

Verder is dit topic alweer bijna twee weken stil, dus reken niet te veel op een serieuze reaktie van de topicstarter.

Cutebritney schreef op 05 December 2002 @ 14:19:

Ik heb btw flink wat MSN/bullshit/offtopic reply's getrashed. Het is NIET de bedoeling dat we hier nu gaan discussieren over hoe je wel niet kan hacken.
Ervaringen van bedrijven die het aanbieden, dat is waar deze draad voor is.

thanks voor het trashen.... zal het belangrijkste nog ff opnieuw typen...


de dimensie die ik aan deze discussie wilde toevoegen is:

3 nerds vragen een kvk en veel geld voor een penetratie test, is dit automatisch van betere kwaliteit dan (dezelfde) 3 nerds die het voro hun lol doen zonder kvk....

ik denk van niet...

dus wanneer er iemand aanwezig is met kijk op security... iemand die zichzelf expert durf te noemen en nogal bescheiden in elkaar zit.
geef deze persoon een laptop, ip, internet en een week tijd. beloof hem een flinke beloning als hij binnenkomt en je hebt de perfecte blackbox test.

wil je gaan grey/white box testen dan wil je vaak geen externe partijen hebben die met hun neus in jou source code duiken (bijv in banksitutaties) om fouten te zoeken.

waar ik naartoe wil is het volgende,

security is een hype (beginnende hype) aan het worden en er zijn nu al bedrijven die erop meeliften. er komen er nog meer!

bv. deamon noemt nu firewalls en beveiliging in hun reclame... nooit eerder gedaan. Zelfs microsoft durft in haar radio commercial het woord beveiliging in de mond te nemen!

beveiliging = future..

dus, ben je nerd en IT-opleiding aan het volgen... duik de beveiliging in, word echt echt echt goed en zorg ervoor dat je communicatieve vaardigheden ook goed/voldoende zijn.
wanneer je dat voor elkaar krijgt dan kom je er wel.

ga nu niet allemaal schreeuwen dat dit bullshit is en dat dit altijd al zo was want dat is niet zo !
die comm. vaardigheden wel. een poosje terug was je DE man als je een beetje design en html kon. daarvoor was je DE man als je OO beheerste.. verder kan ik niet terug kijken want da heb ik niet meegemaakt (toen zat ik op de havo wardial-variant proggies te schrijven in QuickBasic )

conclusie om niet offtopic te gaan
als bedrijf moet je overwegen of het uit kan een beveiligins expert (lees: een nerd, en niet zomaar iemand met een grote bek) in dienst te nemen.
je wilt een penetratie test toch niet eenmalig doen.
je kunt dan misschien een systeembeheerder schrappen.

voordelen hiervan:
je hoeft niet "te" veel per scan te betalen
geen "vreemden" in je source (bij white/grey box)

[ Voor 21% gewijzigd door xychix op 05-12-2002 19:45 ]

Verwijderd schreef op 25 November 2002 @ 13:20:
www.madison-gurkha.com

Heb ik erg goede ervaringen mee.

Zelf nog geen ervaringen mee, maar ik heb wel een sessie van die lui gevolgd (Leuk trouwens dat verhaaltje over waar de naam vandaan komt)

Ik denk dat het op zich wel goed is als een bedrijf wat kennis heeft op dat specifieke gebied, namelijk waar het allemaal fout kan gaan in je web-applicaties, en de rest van de pc er eens naar kijkt, en aan de hand daarvan adviezen geeft hoe je het beter kunt doen.

Verder moet er natuurlijk ook in het gewone onderwijs meer aandacht aan worden besteed dat het allemaal wel leuk is dat internet, maar dat er ook wel wat veiligheidsrisico's aan vast zitten. Op school/cursus/handleiding zou een samenvatting met de meest standaard beveiligingsfouten niet misstaan.