Monthly Archives: January 2011

Password cracking

Kraken van wachtwoorden is het proces van het herstellen van wachtwoorden van gegevens die zijn opgeslagen in of overgebracht door een computersysteem. Een gemeenschappelijke aanpak is om herhaaldelijk te proberen gissingen voor het wachtwoord. Het doel van het kraken van wachtwoorden zou kunnen zijn om te helpen een gebruiker te herstellen van een vergeten wachtwoord (al is het installeren van een geheel nieuwe wachtwoord is minder een gevaar voor de veiligheid, maar gaat om systeembeheer privileges), om ongeautoriseerde toegang tot een systeem te krijgen, of als een preventieve maatregel door systeembeheerders om te controleren voor het eenvoudig kraken wachtwoorden. Op een file-by-file basis, is met een wachtwoord kraken gebruikt om toegang tot digitale bewijs voor dat een rechter heeft toegang, maar het bepaald bestand de toegang is beperkt toegestaan ​​te krijgen.

De tijd die nodig is voor wachtwoord gezocht

De tijd om een ​​wachtwoord te kraken is gerelateerd aan wat kracht (zie wachtwoord kracht), die een maat is van de informatie het wachtwoord van de entropie. De meeste methodes van kraken van wachtwoorden vereisen de computer voor veel kandidaat-wachtwoorden, die elk wordt gecontroleerd produceren. Brute-force kraken, waarbij een computer probeert elke mogelijke sleutel of het wachtwoord totdat het lukt, is de grootste gemene deler van het wachtwoord kraken. Meer gemeenschappelijke methoden van kraken van wachtwoorden, zoals dictionary-aanvallen, patroon controleren, woordenlijst substitutie, enz., poging om het aantal benodigde tests te verminderen en zal meestal worden geprobeerd voordat brute kracht. Hogere wachtwoord beetje kracht exponentieel het aantal kandidaat-wachtwoorden die moet worden gecontroleerd, gemiddeld, om te herstellen van de wachtwoord en verkleint de kans dat het wachtwoord wordt in een scheuren woordenboek.

De mogelijkheid om wachtwoorden te kraken met behulp van computerprogramma’s is ook een functie van het aantal mogelijke wachtwoorden per seconde die kunnen worden gecontroleerd. Als een hash van de doel-wachtwoord is beschikbaar voor de aanvaller, kan dit aantal worden behoorlijk groot. Zo niet, het is afhankelijk van de vraag of de authenticatie software grenzen hoe vaak een wachtwoord kan worden berecht, hetzij door vertragingen, captcha, of gedwongen uitsluitingen na een aantal mislukte pogingen. Een andere situatie waar een snelle gissen mogelijk is, wanneer het wachtwoord wordt gebruikt om een ​​cryptografische sleutel te vormen. In dergelijke gevallen kan een aanvaller snel om te kijken of een geraden wachtwoord met succes decodeert versleutelde gegevens te zien. Bijvoorbeeld, een commercieel product beweert te testen 103.000 WPA PSK wachtwoorden per seconde .

Individuele desktop computers kunnen testen ergens tussen de een miljoen tot vijftien miljoen wachtwoorden per seconde tegen een wachtwoord hash voor zwakkere algoritmen, zoals DES of LanManager. Zie: John the Ripper benchmarks Een door de gebruiker geselecteerde acht-karakter wachtwoord met cijfers, gemengde geval, en symbolen, bereikt een geschatte 30-bit kracht, aldus NIST.. 230 is slechts een miljard permutaties en zou een gemiddeld 16 minuten duren om te kraken. Toen de gewone desktop computers zijn gecombineerd in een kraak-inspanning, zoals kan worden gedaan met botnets, de mogelijkheden van wachtwoord kraken aanzienlijk worden uitgebreid. In 2002, distributed.net succes vond een 64-bit RC5 sleutel in vier jaar, in een poging met meer dan 300.000 verschillende computers op verschillende momenten opgenomen, en die een gemiddelde van meer dan 12 miljard sleutels per seconde gegenereerd. Grafische processoren versnellen wachtwoord kraken met een factor van 50 tot 100 boven de algemene doelstelling computers. Met ingang van 2011, commerciële producten beschikbaar die aanspraak maken op de mogelijkheid om maximaal test 2800000000 wachtwoorden een seconde op een standaard desktop computer met behulp van een high-end grafische processor. Een dergelijk apparaat kan kraken een 10 letter single-case wachtwoord in een dagen. Merk op dat het werk kan worden verdeeld over een groot aantal computers voor een extra speedup evenredig met het aantal beschikbare computers met vergelijkbare GPU’s.

Ondanks hun mogelijkheden, desktop CPU’s zijn langzamer in het kraken van wachtwoorden dan speciaal gebouwde wachtwoord breken machines. In 1998 heeft de Electronic Frontier Foundation (EFF) bouwde een speciale password cracker met behulp van FPGA’s, in tegenstelling tot de algemene CPU’s. Hun machine, Deep Crack, brak een DES 56-bits sleutel in 56 uur, het testen van meer dan 90 miljard sleutels per seconde. In 2010, het Georgia Tech Research Institute een methode ontwikkeld voor het gebruik van GPGPU om wachtwoorden te kraken, het bedenken van een minimale veilig wachtwoord lengte van 12 tekens.

Misschien is de snelste manier om wachtwoorden te kraken is door het gebruik van pre-berekende tabellen, die vinden het juiste wachtwoord in een kwestie van seconden. Maar deze aanpak kan worden geblokkeerd door het gebruik van cryptografische zout, een reeks van data die wordt toegevoegd aan elk wachtwoord voorafgaand aan de hashing die niet geheim, maar waarschijnlijk is verschillend voor elke wachtwoord. Als zout wordt niet gebruikt in het wachtwoord systeem, kan de aanvaller pre-hash berekenen waarden voor de gemeenschappelijke wachtwoorden varianten en voor alle wachtwoorden korter dan een bepaalde lengte, waardoor zeer snel herstel. Lange lijsten met pre-berekende password hashes efficiënt kunnen worden opgeslagen in rainbow tabellen. Dergelijke tabellen zijn beschikbaar op het internet voor enkele veelvoorkomende wachtwoord authenticatie systemen, zoals Windows LAN Manager en MD5, die wordt gebruikt zonder zout in een aantal toepassingsprogramma’s en databases. Zelfs als tabellen zijn niet beschikbaar zijn, kunnen meerdere ongezouten wachtwoord hashes worden getest op hetzelfde moment, waardoor de verwachte tijd ten minste een van hen terug te krijgen.

Makkelijk te onthouden, moeilijk te raden

Hoe gemakkelijker een wachtwoord is voor de eigenaar om te onthouden over het algemeen betekent dat het gemakkelijker voor een aanvaller te raden . Wachtwoorden die moeilijk te onthouden is de beveiliging van een systeem te verminderen, omdat (a) gebruikers nodig heeft om op te schrijven of elektronisch slaan het wachtwoord, (b) de gebruikers zullen regelmatig resetten van wachtwoorden en (c) de gebruikers hebben meer kans om opnieuw te gebruiken hetzelfde wachtwoord. Ook de strengere eisen voor wachtwoord sterkte, bijv. “Een mix van hoofdletters en kleine letters en cijfers ‘of’ veranderen maandelijks”, hoe groter de mate waarin gebruikers het systeem ondermijnen .

In “The memorability en veiligheid van wachtwoorden”, Jeff Yan et al.. onderzoeken het effect van de adviezen van de gebruikers over een goede keuze van wachtwoord. Zij vonden dat wachtwoorden op basis van het denken van een zin en het nemen van de eerste letter van elk woord zijn net zo memorabel als naïef geselecteerd wachtwoorden, en net zo moeilijk te kraken als willekeurig gegenereerde wachtwoorden. De combinatie van twee niet-verwante woorden is een andere goede methode. Het hebben van een persoonlijk ontworpen “algoritme” voor het genereren van obscure wachtwoorden is een andere goede methode.

Echter, met de vraag gebruikers om een ​​wachtwoord dat bestaat uit een “mix van hoofdletters en kleine letters” onthouden is gelijk aan hen te vragen om een ​​opeenvolging van bits onthouden: moeilijk te onthouden, en alleen een klein beetje moeilijker te kraken (bijvoorbeeld slechts 128 keer moeilijker te crack voor 7-letter wachtwoorden, minder als de gebruiker eenvoudig kapitaliseert op een van de letters). Vraagt ​​gebruikers om te gebruiken “zowel letters als cijfers” zal vaak leiden tot een gemakkelijk te raden substituties zoals ‘E’ -> ’3 ‘en’ I ‘-> ’1′, vervangingen die goed bekend zijn aanvallers. Zo ook het typen van het wachtwoord een toetsenbord rij hoger is een veel voorkomende truc bekend aanvallers.

Incidenten

Op 16 juli 1998, CERT rapporteerde een incident waarbij een aanvaller had gevonden 186.126 gecodeerde wachtwoorden. Tegen de tijd dat ze werden ontdekt, had ze al gebarsten 47.642 wachtwoorden .

In december 2009, een belangrijke wachtwoord schending van de Rockyou.com website opgetreden die leidde tot de vrijlating van 32 miljoen wachtwoorden. De hacker dan lekte de volledige lijst van de 32 miljoen wachtwoorden (met geen andere identificeerbare informatie) naar het internet. Wachtwoorden werden opgeslagen in leesbare tekst in de databank en werden geëxtraheerd door middel van een SQL-injectie kwetsbaarheid. De Imperva Application Defense Center (ADC) heeft een analyse van de sterkte van de wachtwoorden .

In juni 2011, de NAVO (Noord-Atlantische Verdragsorganisatie) kende een inbreuk op de beveiliging die leidde tot de publieke release van de eerste en de laatste namen, gebruikersnamen en wachtwoorden voor meer dan 11.000 geregistreerde gebruikers van hun e-Bookshop. De gegevens waren uitgelekt, als onderdeel van Operatie AntiSec, een beweging die Anoniem, LulzSec, evenals andere hacking groepen en individuen omvat. Het doel van AntiSec is om persoonlijke, gevoelige en vertrouwelijke informatie bloot te stellen aan de wereld, met alle mogelijke middelen .

Op 11 juli 2011, Booz Allen Hamilton, een groot Amerikaans adviesbureau dat een aanzienlijke hoeveelheid werk voor het Pentagon doet, hadden hun servers gehackt door Anonymous en gelekt op dezelfde dag. “Het lek, genaamd ‘Militaire Kernsmelting maandag,’ omvat 90.000 logins van militair personeel, waaronder personeel van USCENTCOM, SOCOM, het Marine Corps, diverse Air Force faciliteiten, Homeland Security, State Department personeel, en wat lijkt op private sector aannemers.” Deze gelekte wachtwoorden geliquideerd worden hashed in SHA1, en werden later gedecodeerd en geanalyseerd door de ADC team van Imperva, waaruit blijkt dat zelfs militair personeel op zoek naar snelkoppelingen en manieren om het wachtwoord te eisen .

Op 18 juli 2011, Microsoft Hotmail verboden het wachtwoord: “. 123456″

Preventie

De beste methode om het voorkomen van kraken van wachtwoorden is ervoor te zorgen dat de aanvallers niet zelfs toegang krijgen tot de hashed wachtwoord. Bijvoorbeeld, op het Unix-besturingssysteem, werden hashed wachtwoorden oorspronkelijk opgeslagen in een publiek toegankelijke bestand / etc / passwd. Op moderne Unix (en vergelijkbare) systemen, aan de andere kant, worden ze opgeslagen in het bestand / etc / shadow, dat alleen toegankelijk is voor programma’s die met een verbeterde privileges (dat wil zeggen, ‘systeem’ privileges). Dit maakt het moeilijker voor een kwaadwillende gebruiker de hashed wachtwoorden te verkrijgen in de eerste plaats. Helaas zijn veel voorkomende netwerkprotocollen versturen wachtwoorden in leesbare tekst of gebruik zwakke challenge / response systemen.

Moderne Unix-systemen zijn vervangen traditionele DES-gebaseerde wachtwoord hashing met sterkere methoden op basis van MD5 en Blowfish. Andere systemen zijn ook begonnen om deze methoden vast te stellen. Bijvoorbeeld, de Cisco IOS oorspronkelijk een omkeerbare Vigenère cipher om wachtwoorden te versleutelen, maar nu maakt gebruik van md5-crypt met een 24-bit zout als de “enable secret” commando wordt gebruikt. Deze nieuwere methoden gebruiken grote zout waarden die voorkomen aanvallers van een efficiënte montage van offline aanvallen tegen meerdere gebruikersaccounts tegelijk. De algoritmes zijn ook veel langzamer uit te voeren die drastisch de tijd die nodig is om een ​​succesvolle offline aanval kunnen inzetten toeneemt .

Veel hashes worden gebruikt voor het opslaan van wachtwoorden, zoals MD5 en SHA van de familie, zijn ontworpen voor een snelle berekening en efficiënte implementatie in hardware. Met de toets stretching algoritmes, zoals PBKDF2, om wachtwoord hashes vorm kan aanzienlijke vermindering van de snelheid waarmee wachtwoorden kunnen worden getest.

Oplossingen zoals een security token geven een formeel bewijs te beantwoorden door constant verschuiven wachtwoord. Die oplossingen abrupt te verminderen het tijdschema voor de brute forcing (aanvaller moet breken en gebruik van de wachtwoord binnen een enkele shift) en ze de waarde van de gestolen wachtwoorden te verminderen vanwege de korte tijd geldigheid.

Software

Er zijn vele password cracking software tools, maar de meest populaire zijn Kaïn en Abel, John the Ripper, Hydra, ElcomSoft en Lastbit. Veel ondersteuning bij juridische geschillen softwarepakketten ook wachtwoord kraken functionaliteit. De meeste van deze pakketten maken gebruik van een mengsel van scheurvorming strategieën, met brute kracht en woordenboek aanvallen blijkt te zijn de meest productieve.

Cracking of wireless networks

Kraken van draadloze netwerken is de penetratie van draadloze netwerken. Een draadloos netwerk kan binnendringen in een aantal manieren. Deze manieren variëren sterk in het niveau van de computer vaardigheden en toewijding die zij nodig hebben. Eenmaal binnen een netwerk, kan een ervaren hacker te wijzigen software-, netwerk-instellingen, andere veiligheidsdiensten items en nog veel meer. Voorzorgsmaatregelen kunnen echter worden genomen.

Het verkrijgen van een WEP-sleutel is het belangrijkste doel voor sommige hackers. Verschillende methoden worden gebruikt om dit te bereiken. Een WEP-sleutel kunnen worden verkregen binnen enkele minuten.

   Methoden

Kraken van draadloze netwerken meestal begint met het vinden van draadloze netwerken, en dan het verzamelen van zo veel mogelijk informatie over hen mogelijk te maken. Dit is de zogenaamde netwerk opsomming. Draadloze netwerken zijn vaak te vinden terwijl ze mobiel, met behulp van het netwerk discovery software zoals Kismet of Network Stumbler. Meer informatie wordt vervolgens verzameld door afluisteren een geselecteerd netwerk met een netwerk analyzer of een sniffer. Een sniffer controleert de data-pakketten die door een draadloos netwerk. De informatie die sniffers opbrengst SSID's, IP's, aantal computers zenden op het netwerk, soorten encryptie en MAC-adressen op te nemen. Bovendien kan het netwerk mappers gebruikt worden om de servers te identificeren op het netwerk en hun besturingssystemen . SSIDSniff, Blade Software IDS Informer, en opdrachten zoals ArPing kunnen worden gebruikt om IP-adressen te verzamelen. Dit zal vooral handig als het netwerk gebruik maakt van MAC-adresfiltering . Wanneer informatie over het merk en model van het access point is gevonden, kan de hacker contact op met een online handleiding voor de standaard SSID's en wachtwoorden van het apparaat, waardoor de toegang tot het netwerk wanneer deze instellingen niet zijn gewijzigd. Websites die standaardinstellingen voor onder andere CIRT.net. Standaardinstellingen kunnen ook worden gevonden met een zoekmachine zoals Google of zelfs met een programma dat een zoekopdracht naar deze instellingen automatiseert, bijvoorbeeld SiteDigger).

De volgende stap is een vulnerability assessment. Dit wordt gedaan met een netwerk scanner zoals nessus, nmap, wireshark of Mognet. De kwetsbaarheid van de firmware van het access point kan ook worden onderzocht met behulp van tools zoals Pong.

Op basis van de uitkomst van de vulnerability assessment, de hacker bepalend voor een manier van binnenkomst. Hij of zij kan:

Voordoen als een legitieme gebruiker, met behulp van een port / dienst die is open / beschikbaar is. Dit vereist van het draadloze netwerk van de authentieke SSID, BSSID, en WiFi-kanaal. Deze kunnen worden ingesteld met het pakket Wireless tools voor Linux. Het kan ook eisen dat een geldig MAC-adres. Dit kan worden ingesteld met SMAC MAC Address Changer, of met commando's als iproute2 of ifconfig.

Gebruik het netwerk encryptie kraken van software.

Gebruik van een man-in-the-middle-aanval.

Gebruik een queensland aanval.

Gebruik ARP spoofing.

Maak een null-sessie, op voorwaarde dat het besturingssysteem van de beoogde computer is Windows. Een null-sessie is een verbinding met een vrij toegankelijke externe share genaamd IPC $, het verstrekken van lees en schrijf toegang met Windows NT/2000 en lees de toegang met Windows XP en 2003 .

Maken gebruik van een gecombineerde aanval (bijv. een aanval in combinatie met DoS-aanvallen op specifieke servers om verkeer om te leiden, met behulp van een packet injector) .

Na authenthication als een legitieme gebruiker, toegang tot een hele netwerk mogelijk nog niet bereikt. In te breken in nog beveiligde delen van het netwerk, kan de hacker gebruik password crackers.

   Opsporing

Wanneer een hacker de radiokanalen bestemd voor draadloze netwerken voor de activiteit scans, kan dit niet worden gedetecteerd, omdat de scanner alleen luistert naar signalen. Alleen wanneer de hacker voegt pakketjes in het netwerk dat hij of zij kan worden gedetecteerd en zijn of haar locatie kan worden onderzocht.

Een hacker kan alleen maar beperkte informatie te verkrijgen uit snuiven een netwerk. Om meer informatie die hij of zij moet beginnen met het sonderen van de netwerk, waardoor detectie mogelijk te maken.

   Het voorkomen

Een onbeveiligd draadloos netwerk is uiterst onzeker. Vanaf elke plek binnen de broadcast-bereik, kan iemand afluisteren of starten via het netwerk. Daarom werd de IEEE 802.11-standaard voor draadloze netwerken vergezeld van Wired Equivalent Privacy (WEP). Dit beveiligingsprotocol zorgt voor het volgende:

authenticatie: zekerheid dat alle deelnemers zijn wie ze staat ze zijn, en worden toegelaten tot het netwerk te gebruiken

vertrouwelijkheid: bescherming tegen afluisteren

integriteit: zekerheid van de gegevens die worden ongewijzigd

WEP is bekritiseerd door beveiligingsexperts ondersteund. De meeste experts beschouwen het als ineffectief door nu.

In 2004 werd een ontwerp voor een betere veiligheid protocol verscheen, en het werd opgenomen in de IEEE 802.11-standaard in 2007. Dit nieuwe protocol, WPA2, maakt gebruik van een AES cipher block in plaats van het RC4-algoritme en heeft een betere procedures voor authenticatie en sleutel distributie. WPA2 is veel veiliger dan WEP, maar WEP was nog steeds veel gebruikt in 2009.

Veel draadloze routers ondersteunen ook het controleren van de MAC-adressen van computers die gemachtigd zijn om een ​​draadloos netwerk te gebruiken. Deze maatregel kan een buurman effectief te stoppen van het gebruik van het netwerk, maar ervaren indringers zal niet gestopt worden. MAC-filtering kan aangevallen worden, omdat een MAC-adres kan gemakkelijk worden vervalst.

In het verleden heeft het uitschakelen van de uitzending van de SSID ook gedacht om de beveiliging te geven aan een draadloos netwerk. Dit is echter niet het geval. Vrij beschikbare tools bestaan ​​die al snel een SSID die niet wordt uitgezonden ontdekken. Microsoft heeft ook bepaald dat het uitschakelen van de uitzending van de SSID leidt tot minder veiligheid. Details zijn te vinden in niet-uitgezonden draadloze netwerken met Microsoft Windows.

Terugkerend naar encryptie, de WEP-specificatie op enig coderingsniveau niet in staat is bepaald hacken staan. Daarom is Wi-Fi Protected Access (WPA), afkomstig van WEP. Software-upgrades zijn vaak beschikbaar. De nieuwste apparaten die voldoen aan de 802.11g-of 802.11n normen ondersteunen ook WPA2. (WPA maakt gebruik van de TKIP-codering, WPA2 maakt gebruik van de sterkere AES-methode.) Het is aanbevolen om alleen hardware te gebruiken die ondersteuning bieden voor WPA of WPA2.

   Praktische informatie

Praktische informatie is te vinden in de boeken "Wireless LAN middelen voor Linux", "Wireless Access Points en ARP Vergiftiging", en "Official Wireless Howto". Meer informatie kan worden verzameld uit het boek "Hacking draadloze netwerken voor Dummies". Dit boek is bedoeld om netwerken te beveiligen en voor het "ethisch kraken", dit is inbreuk op om een ​​WLAN te beveiligen beter achteraf.

Er zijn ook websites verstrekken van basisinformatie over het kraken van draadloze netwerken, zoals OLPC wiki, AirMagnet de kwetsbaarheid van papier en sites met video's over de manier waarop WEP-beveiligde netwerken kunnen worden gekraakt met specifieke (doel-gebouwde) programma's.

Volledige Linux-gebaseerde oplossingen bestaan. Een dergelijke oplossing is BackTrack Linux en kan worden gedownload naar een bootable cd-rom te branden. De software is gelicentieerd met de GPL en gratis te downloaden.

Mensen landmeetkundige WLAN's hebben bepaald de coördinaten van de vele WLAN's, met behulp van GPS. Deze coördinaten zijn te vinden op websites zoals Wigle.

   Theoretische informatie

Theoretische informatie kan worden verzameld uit de volgende documenten.

Hacking technieken in wireless netwerken door Prabhaker Mateti, 2005.

Break WEP sneller met statistische analyse door Rafik Chaabouni, 2006.

Breaking 104 bit WEP in minder dan 60 seconden door Erik Tews, Ralf-Philipp Weinmann en Andrei Pyshkin, 2007.

Aanvallen op het WEP-protocol door Erik Tews, 2007

Praktische aanvallen tegen WEP-en WPA door Martin Beck en Erik Tews, 2008.

Cryptanalyse van de IEEE 802.11i TKIP door Finn Halvorsen Michael en Olav Haugen, 2009.

   Wettigheid

   In Nederland

Door gebruik te maken van andermans draadloze access point of draadloze router te verbinden met het internet – zonder toestemming van de eigenaar op enigerlei wijze – is niet strafbaar door het strafrecht in Nederland. Dit geldt zelfs als het apparaat maakt gebruik van een bepaalde vorm van toegang tot bescherming. Om door te dringen computer van iemand anders zonder toestemming van de eigenaar wordt bestraft met het strafrecht wel.

   Gerelateerde artikelen

Kraken van draadloze netwerken is tegen af ​​te sluiten, waardoor de volgende artikelen te worden gerelateerd.

Computer onzekerheid

Intrusion Detection System

Intrusion Prevention System

Netwerkbeveiliging

Wireless Intrusion Prevention System

Draadloze LAN-beveiliging

Draadloze beveiliging

Kraken van draadloze netwerken kan het gevolg zijn van verschillende intenties, waardoor de volgende artikelen te worden gerelateerd.

Hacker (computer security)

Rechtmatigheid van piggybacking

Meeliften (internettoegang) (parasitaire het gebruik van draadloze netwerken voor toegang tot internet te verkrijgen)

Kraken van draadloze netwerken kunnen worden gespecialiseerd zijn op verschillende manieren, waardoor de volgende artikelen te worden gerelateerd.

Brute-force aanval

Dictionary attack

Wachtwoord kraken

Spoofing-aanval

Hacker (computer security)

In computerbeveiliging en omgangstaal, een hacker is iemand die inbreekt in computers en computernetwerken. Hackers kunnen worden gemotiveerd door een veelheid van redenen, waaronder winst, protest, of vanwege de uitdaging. De subcultuur die geëvolueerd is rond hackers wordt vaak aangeduid als de computer onder de grond, maar het is nu een open gemeenschap.

Terwijl andere vormen van gebruik van het werk hacker bestaan ​​die niet gerelateerd zijn aan computerbeveiliging, worden ze zelden gebruikt in de reguliere context. Ze zijn onderworpen aan de reeds lang bestaande hacker definitie controverse over de ware betekenis van de term hacker. In deze controverse, is de term hacker teruggevorderd door de computer programmeurs die beweren dat iemand te breken in computers is beter heet een cracker, en niet het maken van een verschil tussen de computer van criminelen ('zwarte hoeden ") en computer security experts (" witte petten "). Sommige witte hoed hackers claimen dat zij ook de titel hacker verdienen, en dat alleen zwarte hoeden genoemd moet worden crackers.

   Geschiedenis

Bruce Sterling sporen deel van de wortels van de computer metro naar de Yippies, een jaren 1960 tegencultuur beweging die de technologische Assistance Program (TAP) nieuwsbrief gepubliceerd. TAP is een telefoon phreaking nieuwsbrief die de technieken die nodig zijn voor het ongeoorloofd exploratie van de telefoon-netwerk onderwezen. Veel mensen uit de phreaking gemeenschap zijn ook actief in het hacken gemeenschap ook vandaag nog, en vice versa.

   Artefacten en douane

De computer ondergrondse heeft zijn eigen jargon en verschillende vormen van ongewone alfabet te gebruiken, bijvoorbeeld 1337speak. Politieke houding omvat meestal uitzicht op voor de vrijheid van informatie, vrijheid van meningsuiting, een recht voor de anonimiteit en de meeste hebben een sterke oppositie tegen het auteursrecht. Schrijven van programma's en het uitvoeren van andere activiteiten om deze opvattingen te ondersteunen wordt aangeduid als hacktivisme. Sommigen zo ver gaan als het zien van illegale kraak ethisch gerechtvaardigd is om dit doel te bereiken, een veel voorkomende vorm is de website defacement. De computer ondergrondse wordt vaak vergeleken met het Wilde Westen. Het is gebruikelijk bij hackers om aliassen te gebruiken voor het doel te verbergen identiteit, in plaats van onthullen hun echte namen.

   Hacker groepen en congressen

De computer ondergronds wordt ondersteund door regelmatige real-world bijeenkomsten genoemd hacker verdragen of "hacker tegens". Die trekken veel mensen per jaar, inclusief SummerCon (zomer), DEF CON, HoHoCon (Kerstmis), ShmooCon (februari), BlackHat, Hacker gestopt, en HOPE . In de vroege jaren 1980 Hacker groepen populair werd, Hacker groepen gebruiken die de toegang tot informatie en middelen, en een plek om te leren van andere leden. Hackers kunnen ook winnen geloofwaardigheid door zich aangesloten bij een elite-groep.

   Hacker houdingen

Verschillende subgroepen van de computer ondergrondse met verschillende houdingen en heeft als doel gebruiken verschillende termen om zich af te bakenen van elkaar, of om een ​​specifieke groep, waarmee zij het niet eens uit te sluiten proberen. Eric S. Raymond (auteur van Dictionary The New Hacker's) bepleit dat de leden van de computer ondergrondse genoemd moet worden crackers. En toch, die mensen zien zichzelf als hackers en zelfs proberen om de standpunten van Raymond in wat zij zien als een breder hacker cultuur, een visie hard afgewezen door Raymond zelf te nemen. In plaats van een hacker / cracker tweedeling, geven ze meer nadruk op een spectrum van verschillende categorieën, zoals witte hoed, grijze hoed, zwarte hoed en script kiddie. In tegenstelling tot Raymond, zijn ze meestal reserveren de term cracker. Volgens (Clifford RD 2006) een cracker of een gebarsten is om "te krijgen onbevoegde toegang tot een computer om een ​​ander misdrijf, zoals het vernietigen van gegevens in dat systeem commit". Deze subgroepen kunnen ook worden gedefinieerd door de wettelijke status van hun activiteiten.

Witte hoed

Een witte hoed hacker breekt zekerheid voor niet-kwaadaardige doeleinden, bijvoorbeeld het testen van hun eigen veiligheid systeem. Deze classificatie omvat ook personen die penetratietesten en de kwetsbaarheid van assessments uit te voeren binnen een contractuele overeenkomst. Vaak is dit type van hacker 'witte hoed "noemde een ethische hacker. De Internationale Raad van Electronic Commerce Consultants, ook wel bekend als de EG-Raad heeft ontwikkeld certificeringen, courseware, klassen, en online training met betrekking tot de diverse arena van Ethical Hacking.

Zwarte hoed

Een Black Hat Hacker is een hacker die "computerbeveiliging schendt voor weinig reden die buiten kwaadaardigheid of voor persoonlijk gewin" (Moore, 2005). Black Hat Hackers zijn "de belichaming van alles wat het publiek angst in een computer crimineel". Black Hat Hackers breken in beveiligde netwerken om gegevens te vernietigen of het netwerk onbruikbaar voor degenen die bevoegd zijn om het netwerk gebruik te maken. De manier waarop Black Hat Hackers kiezen voor de netwerken die ze gaan breken in is door een proces dat kan worden onderverdeeld in twee delen. Dit is de zogenaamde pre-hacking fase.

Deel 1 Targeting Targeting is wanneer de hacker bepaalt wat het netwerk in te breken in. Het doelwit kan zijn van bijzonder belang voor de hacker, of de hacker kan "Port Scan" een netwerk om te bepalen of het kwetsbaar is voor aanvallen. Een poort wordt gedefinieerd als "een opening waardoor de computer gegevens ontvangt via het netwerk". Open poorten zal een hacker toegang tot het systeem.

Deel 2 Onderzoek en Informatie verzamelen Het is in dit stadium dat de hacker zal bezoeken of contact opnemen met het doel een of andere manier in de hoop op het vinden van essentiële informatie die hen zal helpen toegang tot het systeem. De belangrijkste manier waarop hackers krijgen de resultaten van deze fase is de gewenste van Social Engineering, die hieronder zal worden uitgelegd. Afgezien van Social Engineering hackers kunnen ook gebruik maken van een techniek genaamd dumpster diving. Dumpster Diving is wanneer een hacker zal letterlijk een duik nemen in een container in de hoop om documenten die gebruikers weg te hebben gegooid, die hen zal helpen toegang te krijgen tot een netwerk te vinden.

Grijze hoed

Een grijze hoed hacker is een combinatie van een zwarte hoed en een witte hoed Hacker. Een Grijze Hat Hacker kan surfen op het internet en inbreken in een computersysteem voor het enige doel van de kennisgeving van de beheerder dat hun systeem is gehackt, bijvoorbeeld. Dan kunnen zij aanbieden aan hun systeem te herstellen tegen een kleine vergoeding.

Elite hacker

Een sociale status onder hackers, is elite gebruikt om de meest bekwame beschrijven. Nieuw ontdekte exploits in omloop zullen zijn tussen deze hackers. Elite-groepen zoals Masters of Deception verleende een soort van geloofwaardigheid aan hun leden.

Script kiddie

Een script kiddie is een niet-deskundige, die in de computersystemen breekt met behulp van pre-packaged geautomatiseerde tools geschreven door anderen, meestal met weinig begrip van de onderliggende concept-vandaar de term script (dat wil zeggen een vooraf afgesproken plan of reeks van activiteiten) kiddie (dat wil zeggen kind, kind-een individueel gebrek aan kennis en ervaring, onvolwassen).

Nieuweling

Een neofiet, "n00b" of "newbie" is iemand die nieuw is voor hacken of phreaking en heeft bijna geen kennis of ervaring van de werking van de technologie, en hacking.

Blauwe hoed

Een blauwe hoed hacker is iemand van buiten de computer security consulting firma die wordt gebruikt om bug te testen van een systeem voorafgaand aan de lancering, op zoek naar exploits, zodat ze kunnen worden afgesloten. Microsoft maakt ook gebruik van de term BlueHat te vertegenwoordigen een reeks van security briefing gebeurtenissen.

Hacktivist

Een hacktivist is een hacker die gebruik maakt van technologie aan te kondigen een maatschappelijke, ideologische, religieuze of politieke boodschap. In het algemeen, de meeste hacktivisme impliceert website defacement of denial-of-service aanvallen.

   Aanvallen

Een typische aanpak in een aanval op het internet aangesloten systeem is:

Netwerk opsomming: Het ontdekken van informatie over de beoogde doelgroep.

Kwetsbaarheidsanalyse: Het identificeren van mogelijke manieren van aanvallen.

Exploitatie: Proberen om het systeem te compromitteren door gebruik te maken van de kwetsbaarheden gevonden door de kwetsbaarheid-analyse.

Om dit te doen, zijn er verschillende terugkerende instrumenten van de handel en de technieken die worden gebruikt door de computer criminelen en security experts.

   Beveiliging exploits

Een zekerheid te exploiteren is een bereid applicatie die gebruik maakt van een bekende zwakte. Voorkomende voorbeelden van security exploits zijn SQL-injectie, Cross Site Scripting en Cross Site Request Forgery die misbruik gaten in de beveiliging die kunnen voortvloeien uit substandard programmering praktijk. Andere mogelijkheden zouden kunnen worden gebruikt door middel van FTP, HTTP, PHP, SSH, Telnet en een aantal web-pagina's. Deze zijn zeer vaak in website / domein hacken.

   Technieken

Vulnerability scanner

Een vulnerability scanner is een instrument dat wordt gebruikt om snel te controleren computers in een netwerk voor bekende zwakke punten. Hackers ook vaak gebruiken poort scanners. Deze controleren om te zien welke poorten op een bepaalde computer zijn "open" of ter beschikking van de computer toegang tot, en soms zal detecteren welk programma of service luistert op die poort, en het versienummer. (Merk op dat firewalls computers te beschermen tegen indringers door het beperken van de toegang tot havens / machines zowel inkomend als uitgaand, maar kan nog steeds worden omzeild.)

Wachtwoord kraken

Kraken van wachtwoorden is het proces van het herstellen van wachtwoorden van gegevens die zijn opgeslagen in of overgebracht door een computersysteem. Een gemeenschappelijke aanpak is om herhaaldelijk te proberen gissingen voor het wachtwoord.

Packet sniffer

Een packet sniffer is een applicatie die datapakketten, die kan worden gebruikt om wachtwoorden en andere gegevens vast te leggen in transit over het netwerk vangt.

Spoofing-aanval (phishing)

Een spoofing aanval bestaat een programma, systeem of website succesvol voordoet als een ander door vervalsen van gegevens en daarmee wordt behandeld als een vertrouwd systeem door een gebruiker of een ander programma. Het doel hiervan is meestal om programma's, systemen of gebruikers te neppen te onthullen van vertrouwelijke informatie, zoals gebruikersnamen en wachtwoorden, naar de aanvaller.

Rootkit

Een rootkit is ontworpen om het compromis van de beveiliging van een computer te verbergen, en kan vertegenwoordigen elk een set van programma's die werken aan de controle van een operating systeem te ondermijnen van zijn legitieme exploitanten. Meestal zal een rootkit obscure de installatie ervan en proberen om de verwijdering te voorkomen door een ondermijning van de standaard beveiliging van het systeem. Rootkits kunnen vervangers voor het systeem binaries zodat het onmogelijk is voor de legitieme gebruiker voor de aanwezigheid van de indringer te detecteren op het systeem door te kijken naar proces tafels.

Social engineering

Social engineering Als een Hacker, meestal een zwarte hoed, is in de tweede fase van de targeting-proces, zal hij of zij meestal wel wat social engineering tactieken om genoeg informatie te krijgen toegang tot het netwerk. Een gemeenschappelijke werkwijze voor hackers die gebruik maken van deze techniek, is de systeembeheerder contact en de rol van een gebruiker die geen toegang krijgen tot zijn of haar systeem te spelen. Hackers die gebruik maken van deze techniek worden heel savvy en de woorden die ze gebruiken zorgvuldig te kiezen, om de systeembeheerder truc tot het geven van informatie. In sommige gevallen slechts een dienst helpdesk gebruiker zal antwoord geven op de telefoon en ze zijn over het algemeen gemakkelijk te misleiden. Een ander typisch hacker benadering is voor de hacker op te treden als een heel boos en toen de begeleider zijn / haar gezag in twijfel wordt getrokken zullen zij de helpdesk gebruiker met hun baan in gevaar brengen. Social Engineering is zo effectief omdat gebruikers het meest kwetsbare deel van een organisatie. Alle zekerheid apparaten en programma's in de wereld zal niet houden van een organisatie veilig als een werknemer verraadt een wachtwoord. Black Hat Hackers profiteren van dit feit. Social Engineering kan ook worden opgesplitst in vier sub-groepen. Dit zijn intimidatie, hulpvaardigheid, technische, en naam-dropping.

Intimidatie Zoals hierboven vermeld, met de boze promotor, de hacker aanvallen van de persoon die de telefoon antwoorden met bedreigingen voor hun baan. Veel mensen op dit punt zal accepteren dat de hacker is een begeleider en geef ze de benodigde informatie.

Behulpzaamheid Tegenover intimidatie, is hulpvaardigheid gebruik te maken van een persoon natuurlijk instinct om iemand te helpen met een probleem. De hacker zal niet boos worden in plaats daarvan te handelen zeer bedroefd en bezorgd. De helpdesk is het meest kwetsbaar voor deze vorm van Social Engineering, omdat zij over het algemeen hebben de bevoegdheid om te wijzigen of te resetten wachtwoorden en dat is precies wat de hacker nodig heeft.

Name-Dropping Simpel gezegd de hacker maakt gebruik van de namen van de gevorderde gebruikers als "sleutelwoorden", en krijgt de persoon die de telefoon aanneemt om te geloven dat ze deel uitmaken van het bedrijf als gevolg van dit. Sommige informatie, zoals de webpagina's eigendom, gemakkelijk kan worden verkregen op het web. Andere informatie, zoals president en vice-president namen zou moeten worden verkregen via dumpster duiken.

Met behulp van technische technologie om informatie te krijgen is ook een geweldige manier om het te krijgen. Een hacker kan een fax of een e-mail naar een legitieme gebruiker in de hoop om een ​​antwoord met daarin vitale informatie te krijgen. Vele malen de hacker zal gedragen als hij / zij is betrokken bij de rechtshandhaving en de behoeften van bepaalde gegevens voor het bijhouden doeleinden of onderzoek.

Trojaanse paarden

Een Trojaans paard is een programma dat lijkt te doen een ding, maar is eigenlijk het ander doen. Een Trojaans paard kan worden gebruikt voor het opzetten van een achterdeur in een computersysteem zodanig dat de indringer toegang tot later krijgen. (De naam verwijst naar het paard uit de Trojaanse oorlog, met een conceptueel vergelijkbare functie te misleiden verdedigers in om een ​​indringer binnen.)

Virussen

Een virus is een zichzelf vermenigvuldigende programma dat zich verspreidt door kopieën van zichzelf in andere uitvoerbare code of documenten. Daarom is een computer virus zich gedraagt ​​op een manier die vergelijkbaar is met een biologisch virus, dat zich verspreidt door zich in levende cellen.

Terwijl sommige zijn onschuldig of alleen maar hoaxes de meeste computervirussen worden beschouwd als kwaadaardig.

Wormen

Net als een virus, een worm is ook een self-replicerende programma. Een worm verschilt van een virus in dat het met behulp van computernetwerken zich voortplant zonder tussenkomst van de gebruiker. In tegenstelling tot een virus, is het niet nodig om zich te hechten aan een bestaand programma. Veel mensen vermengen de termen "virus" en "worm", waarbij ze allebei op een zichzelf voortplantende programma te beschrijven.

Keyloggers

Een key logger is een tool ontworpen om op te nemen ('log'), elke toetsaanslag op een getroffen machine voor later op te halen. Het doel is meestal om de gebruiker van deze tool om de toegang tot vertrouwelijke informatie getypt op de getroffen machine, zoals het wachtwoord van een gebruiker of een andere persoonlijke gegevens te krijgen. Enkele belangrijke loggers maakt gebruik van virus-, trojan-en rootkit-achtige methoden om actief te blijven en verborgen. Er zijn echter een aantal key loggers wordt gebruikt in legitieme manieren en soms zelfs te verbeteren computer beveiliging. Als voorbeeld kan een bedrijf een key logger op een computer gebruikt op een punt van verkoop en gegevens verzameld door de key logger kan worden gebruikt voor het vangen van werknemer fraude.

   Opmerkelijke beveiliging hackers

Kevin Mitnick is een computer security consultant en auteur, voorheen de meest gezochte crimineel computer in de Verenigde Staten de geschiedenis.

Eric Corley (ook bekend als Emmanuel Goldstein) is het al lang bestaande uitgever van 2600: The Hacker Quarterly. Hij is ook de oprichter van het H.O.P.E. conferenties. Hij heeft deel uitgemaakt van de hacker gemeenschap sinds het eind van de jaren '70.

Gordon Lyon, bekend bij de handgreep Fyodor, auteur van het Nmap Security Scanner evenals vele netwerkbeveiliging boeken en websites. Hij is een van de oprichters van het Honeynet Project en vice-president van de Computer Professionals for Social Responsibility.

Solar Designer is het pseudoniem van de stichter van de Openwall Project.

Rafael Núñez aka Rafa was een beruchte meest gezochte hacker door de FBI sinds 2001.

Michal Zalewski (lcamtuf) is een vooraanstaande security-onderzoeker.

Gary McKinnon is een Britse hacker geconfronteerd met uitlevering aan de Verenigde Staten om lasten van plegen van wat is beschreven als de 'grootste militaire hack computer aller tijden "gezicht.

   Hacken en de media

   Hacker tijdschriften

De meest opvallende hacker-georiënteerde tijdschrift publicaties Phrack, Hakin9 en 2600: The Hacker Quarterly. Terwijl de informatie vervat in hacker tijdschriften en e-zine was vaak verouderd, verbeterden ze de reputatie van degenen die bijgedragen door het documenteren van hun successen.

   Hackers in fictie

Hackers tonen vaak een belang in fictieve cyberpunk en cybercultuur literatuur en films. Absorptie van fictieve pseudoniemen, symbolen, waarden en metaforen van deze fictie is heel gebruikelijk.

Boeken uitbeelden hackers:

De cyberpunk romans van William Gibson – vooral de Sprawl Trilogy – zijn erg populair bij hackers.

Merlin, de hoofdpersoon van de tweede serie in The Chronicles of Amber van Roger Zelazny is een jonge onsterfelijke hacker-mage vorst, die het vermogen heeft om schaduw afmetingen doorkruisen.

Hackers (korte verhalen)

Snow Crash

Helba van het. Hack manga en anime series.

Little Brother van Cory Doctorow

Rice Tea door Julien McArdle

Lisbeth Salander in The Girl with the Dragon Tattoo door Stieg Larsson

Films ook portretteren hackers:

Cijferschrift

WarGames

The Matrix-serie

Hackers

Zwaardvis

Het Net

Het Net 2,0

Antitrust

Enemy of the State

Gympen

Untraceable

Firewall

Die Hard "4": Live Free or Die Hard

Eagle Eye

Neerhalen

Weird Science

Pirates of Silicon Valley (met betrekking tot hacker, zoals Steve Jobs, geen crackers)

   Non-fictie boeken

Hacking: De kunst van exploitatie, Second Edition door Jon Erickson

De Hacker Crackdown

De kunst van het Intrusion van Kevin D. Mitnick

The Art of Deception van Kevin D. Mitnick

Takedown

De Hacker's Handbook

The Cuckoo's Egg door Clifford Stoll

Underground door Suelette Dreyfus

   Fictie boeken

Ender's Game

Neuromancer

Evil Genius (roman)

Snow Crash

Malwarebytes’ Anti-Malware

Malwarebytes 'Anti-Malware (MBAM) is een computertoepassing die vindt en verwijdert malware. Gemaakt door Malwarebytes Corporation, werd uitgebracht in januari 2008. Het is verkrijgbaar in een gratis versie, die scant en verwijdert malware toen handmatig gestart, en een betaalde versie, die geplande scans, real-time bescherming en een flash-geheugen scanner biedt.

Overzicht

MBAM is bedoeld om malware die andere anti-virus en spyware programma's in het algemeen, missen ook valse beveiligingssoftware, adware en spyware te vinden.

MBAM is beschikbaar in zowel een gratis en een betaalde versie. De gratis versie moet handmatig worden uitgevoerd, terwijl de betaalde versie kan automatisch regelmatig scans uitvoeren. De betaalde versie voegt ook real-time bescherming, op IP gebaseerde afscherming aan toegang tot schadelijke websites en een flash-geheugen scan optie, die alleen scant de open diensten, programma's en drivers te voorkomen.

  MBAM is beschikbaar in het Arabisch, Wit-Russisch, Bosnisch, Bulgaars, Catalaans, Vereenvoudigd Chinees, Traditioneel Chinees, Kroatisch, Tsjechisch, Deens, Nederlands, Engels, Ests, Fins, Frans, Duits, Grieks, Hebreeuws, Hongaars, Italiaans, Japans, Koreaans, Lets, Macedonisch, Noors, Pools, Portugees, Roemeens, Russisch, Servisch, Slowaaks, Sloveens, Spaans, Zweeds en Turks.

Ontvangst

PC 's Werelds Preston Gralla schreef dat "Het gebruik Malwarebytes' Anti-Malware is de eenvoud zelve".

CNET aangehaald Malwarebytes als zijnde nuttig tegen de MS Antivirus malware. CNET bekroond met het april 2009 Editor's Choice samen met 25 andere computertoepassingen

Bleeping Computer heeft een lijst Malwarebytes 'Anti-Malware als een methode voor het verwijderen valse beveiligingstoepassingen zoals MS Antivirus

Mark Gibbs van Network World gaf Malwarebytes 'Anti-Malware 4 van de 5 en schreef dat "Het is het werk doet en alleen het ontbreken van een gedetailleerde uitleg van wat het heeft gevonden stopt hij van het krijgen van 5 op 5."

PC Magazine gaf Malwarebytes 'Anti-Malware 3.5 out of 5, erop te wijzen dat, hoewel het product is goed in het verwijderen van malware en scareware, het viel kort op het verwijderen van keyloggers en rootkits.

Controverse

Op 2 november 2009, Malwarebytes beschuldigd rivaal IOBit van het opnemen van de database van Malwarebytes 'Anti-Malware (en een aantal producten van andere leveranciers, die niet werden genoemd) in zijn beveiligingssoftware IObit Security 360. IOBit ontkende de beschuldiging en stelde dat de database is gebaseerd op de gebruiker inzendingen, en soms dezelfde handtekening namen die in Malwarebytes krijgen geplaatst in de resultaten. Ze zeiden dat ze niet de tijd om te filteren op de handtekening namen die vergelijkbaar zijn met Malwarebytes hebben. IOBit verklaarde ook dat Malwarebytes geen overtuigend bewijs heeft, en beloofde dat de databases niet werden gestolen. Na de verklaring van IOBit, Malwarebytes antwoordde dat ze niet overtuigd zijn van het argument van IOBit. Malwarebytes beweert te hebben gediend DMCA inbreuk mededelingen tegen CNET, Download.com en MajorGeeks.com om de download sites verwijder de IOBit software. IObit zei dat met ingang van versie 1.30, de database is bijgewerkt om de beschuldigingen van diefstal van intellectuele eigendom eerder gemaakt door Malwarebytes adres.

Blue Screen of Death

De Blauwe scherm of Death (ook wel BSoD Blue scherm of bluescreen), officieel bekend als een Stop fout of een bug controleren, is de fout het scherm weergegeven door de Microsoft Windows-familie van besturingssystemen wanneer hij een kritieke fout van een niet- -terugwinning, die ervoor zorgt dat het systeem "crash". De term is vernoemd naar de kleur van het scherm gegenereerd door de fout. In UNIX-gebaseerde besturingssystemen, een soortgelijke term is kernel panic.

Stop fouten zijn meestal hardware of driver gerelateerd, waardoor de computer niet meer reageert in om schade te voorkomen aan de hardware, waarna, in de nieuwste versies van Windows, het scherm bevat informatie voor diagnostische doeleinden, die is verzameld als het besturingssysteem uitgevoerd een bug te controleren.

   Betekenissen

De BSOD geeft foutcodes die uitleggen wat er net gebeurd in de kernel. De STOP-fout toont vier gehele getallen in de vorm 0×00 (0×00, 0×00, 0×00, 0×00), waar de eerste is 32 bits en de rest is het beetje grootte van de machine (32-bits of 64-bit). Het eerste getal is een opsomming waarde die een specifieke fout is, terwijl de anderen zijn parameters die verschillende betekenissen voor elke fout hebben.

   Geschiedenis

De term Blue Screen of Death is ontstaan ​​tijdens de ontwikkeling van de IBM OS / 2 besturingssysteem op Lattice Inc, de makers van vroege Windows en OS / 2 compilers. Ontwikkelaars in aanraking met de fout scherm wanneer bugs in de software van de besturingssysteem (meestal null pointers) glipte door de net tijdens de beta testing. In de reacties op IBM, een bedrijf dat informeel bekend als 'Big Blue', de ontwikkelaars humoristisch beschreven de Stop-scherm als de 'Blue Screen of Death' als gevolg van de kleur, van de vereniging van die kleur met IBM, en van de finaliteit van de fout (waardoor de computer te hangen, zonder enige mogelijkheid van herstel, waarbij een handmatige herstart).

   Details

Indien geconfigureerd om dit te doen, zal de computer uitvoeren van een "core dump" en sla alle gegevens in het geheugen in ruwe vorm op een schijf bestand (bekend als een "dump file") voor later op te halen, om in de analyse te staan ​​door een deskundige technicus van de oorzaken van de fout.

Blauwe schermen worden meestal veroorzaakt door software fouten in de drivers: in NT-gebaseerde Windows-systemen door slecht geschreven apparaatstuurprogramma's, en in de Windows 9x familie van besturingssystemen door incompatibele DLL-driver-bestanden of bugs in de software kernel van het besturingssysteem. Ze kunnen ook worden veroorzaakt door fysieke hardware storingen, zoals defecte RAM-geheugen of voedingen, oververhitting van componenten, of hardware die wordt gerund buiten zijn grenzen specificatie ("overklokken").

Deze fouten zijn aanwezig in alle Windows-besturingssystemen vanaf Windows 3.1. OS / 2 te lijden onder de Zwarte Screen of Death (BSOD ook), en vroege versies van Windows Vista verschijnt een Red Screen of Death te wijten aan een bootloader fout.

   Windows 1.0 en 2.0

De eerste blauwe scherm des doods werd aangetroffen bij het opstarten in Windows 1.0, en vervolgens Windows 2.0, en bestond uit schijnbaar willekeurige gegevens ("garbage"), bestaande uit code pagina 437 symbolen, gepresenteerd tegen een blauwe achtergrond. Wanneer Windows 1.0 alle MS-DOS-gerelateerde kritieke systeemfouten aangetroffen, maar toonde een zwart scherm van de dood plaats.

   Windows 3.x, 95, 98 en ME

De eerste blauwe scherm dat er een fout scherm leek was in het Windows 3.x-serie. Soortgelijke fout schermen verscheen in Windows 95, Windows 98 en Windows ME. Deze presenteerde een foutmelding tegen een all-blauwe achtergrond, in 80-kolom van 25 regels tekst-mode. De fout-scherm werd weergegeven toen er een kritieke fout opstarten (zoals toegang tot een hardware driver-bestand dat niet meer bestond), of in het geval van een aantal andere ernstige fout, zoals een niet-afgehandelde fout die zich binnen een VxD hardware driver-bestand. De BSOD ook opgetreden tijdens het systeem te gebruiken als een device driver moest een modaal dialoogvenster voor de gebruiker, zoals wanneer een verwisselbare schijf is verwijderd uit het station, terwijl een bestand werd gelezen of geschreven. Windows ME was bekend om de Blue Screen grotendeels optreden als gevolg van een groot aantal fouten met de ME op basis van zowel C # en C + + taal ontvangen van Windows 2000 en DOS-emulatie van eerdere versies.

Tijdens een demonstratie van een beta-versie van Windows 98 door Microsoft Bill Gates, op COMDEX op 20 april 1998, een SE incident in het openbaar. De computer crashte met een blauw scherm toen zijn assistent (Chris Capossela, momenteel corporate VP van Microsoft in de Informatie Working business unit) aangesloten een scanner van Windows 98's ondersteuning voor Plug en Play-apparaten aan te tonen. Dit bracht applaus van de menigte, en Gates zei na een pauze: "Dat moet … eh … dat moet worden waarom we niet de scheepvaart Windows 98 nog niet"

   Windows NT

In Windows NT-gebaseerde besturingssystemen, de Stop-fout treedt op wanneer de kernel, of een bestuurder draait in de kernel-modus, ontmoetingen eventuele fouten, waaruit kan niet herstellen. Dit wordt meestal veroorzaakt door een ongeldige bewerking wordt uitgevoerd, waarbij de enige veilige werking van het besturingssysteem kan nemen is om de computer opnieuw opstarten. Als gevolg hiervan gegevens kunnen verloren gaan, omdat de gebruiker dan niet in de gelegenheid om alle opgeslagen gegevens op de harde schijf op te slaan. In tegenstelling tot die versies van Windows op basis van Windows 95, is de Stop-fout gereserveerd voor waar het systeem is te wijten aan een foutencontrole stilgelegd. Andere modale berichten worden niet weergegeven met een Stop-fout.

De tekst op de fout scherm bevat een fout nummer, samen met vier error-afhankelijke waarden, geleverd aan een software engineer te helpen om de oorzaak op te lossen. Afhankelijk van het foutnummer, kan het display van de geheugen adres waar het probleem zich voordeed, samen met het identificeren van de details van de driver geladen, op dat adres. Onder Windows NT en 2000, kunnen de tweede en derde deel van het scherm een ​​lijst van alle momenteel geladen stuurprogramma's en weergeven van alle geheugen data (een 'stack dump "), respectievelijk. De bestuurder informatie zal een lijst van de disk-adres van de bestuurder bestand, het bestand aanmaakdatum (zoals een Unix timestamp), en de naam van het bestand.

Windows XP-gebaseerde geldautomaat het weergeven van een stopfout

Standaard Windows NT gebaseerde systemen maken een memory dump bestand als een Stop-fout optreedt. Afhankelijk van de versie van het besturingssysteem, kan dit variëren van een mini-dump 64kB om een ​​volledige dump van het geheugen dat de gehele actieve inhoud van het RAM-geheugen opslaat. Het resulterende bestand kan dus later worden geanalyseerd. Een kernel debugger software programma kan worden gebruikt om een ​​stack trace (het identificeren van bepaalde informatie over het geheugen) te verkrijgen om de ware oorzaak van de fout te vinden, aangezien de informatie op het scherm is beperkt en kan de ware oorzaak te verbergen.

Een Stop fout kan ook veroorzaakt worden door een kritische bootloader fout, waar het besturingssysteem niet in staat is uit te gaan van de opstartbare schijf te wijten aan de aanwezigheid van een onjuiste schijfstuurprogramma, een beschadigd bestandssysteem of een soortgelijk probleem. In dergelijke gevallen geen geheugen dump wordt opgeslagen.

Rootkit

Een rootkit is software dat de aanhoudende bevoorrechte toegang mogelijk maakt om een ​​computer aan terwijl de aanwezigheid te verbergen van de beheerders van het ondermijnen van standaard functionaliteit van het besturingssysteem of andere toepassingen. De term rootkit is een aaneenschakeling van "root" (de traditionele naam van de bevoorrechte account op Unix-besturingssystemen) en het woord "kit" (dat verwijst naar de software componenten die de tool implementeren). De term "rootkit" heeft een negatieve bijklank door zijn associatie met malware.

Typisch, een aanvaller installeert een rootkit op een computer na de eerste het verkrijgen van root-niveau van toegang, hetzij door het uitbuiten van een bekende kwetsbaarheid of door het verkrijgen van een wachtwoord (hetzij door het kraken van de encryptie, of door middel van social engineering). Zodra een rootkit is geïnstalleerd, is het mogelijk een aanvaller aan de lopende inbraak masker en bevoorrechte toegang tot de computer te behouden door te omzeilen normale authenticatie en autorisatie mechanismen. Hoewel rootkits kunnen een verscheidenheid aan doelen te dienen, hebben ze opgedaan bekendheid vooral als malware, het verbergen van applicaties die geschikt IT-middelen of wachtwoorden te stelen zonder de kennis van beheerders en gebruikers van de getroffen systemen. Rootkits kunnen richten firmware, een hypervisor, de kernel, of-meestal-user-mode applicaties.

Rootkit detectie is moeilijk omdat een rootkit in staat zijn om de software die bedoeld is om het te vinden ondermijnen. Detectiemethoden zijn het gebruik van een alternatieve, vertrouwde besturingssysteem, gedrag-gebaseerde methoden; handtekening scannen; verschil scannen, en het geheugen dump-analyse. Verwijdering kan worden gecompliceerd of praktisch onmogelijk, zeker in gevallen waarin de rootkit woont in de kernel, herinstallatie van het besturingssysteem kan de enige beschikbare oplossing voor het probleem.

   Geschiedenis

De eerste gedocumenteerde computer virus op de PC-platform, ontdekt in 1986, gebruikt cloaking technieken om zichzelf te verbergen doel: de Brain virus onderschept pogingen om de bootsector gelezen en doorgestuurd deze elders op de schijf, waar een kopie van de originele bootsector werd gehouden. Na verloop van tijd, DOS-virus cloaking methoden werd verfijnd, met geavanceerde technieken, waaronder het aansluiten van de INT 13H application programming interface (API) oproepen om onbevoegde wijzigingen te verbergen bestanden.

De term rootkit of root kit verwees oorspronkelijk naar een kwaadwillig aangepaste set van de administratieve tools voor een Unix-achtig besturingssysteem dat "root" toegang verleend. Als een indringer kon de standaard beheerprogramma's op een systeem te vervangen door een rootkit, de indringer kon root access te krijgen over het systeem en tegelijkertijd verbergt deze activiteiten uit het legitieme systeembeheerder. Deze eerste generatie rootkits triviaal waren om te detecteren met behulp van tools als Tripwire die niet waren aangetast om dezelfde toegang tot informatie. Lane Davis en Steven Dake schreef de vroegst bekende rootkit in 1990 voor Sun Microsystems 'SunOS UNIX-besturingssysteem. Ken Thompson van Bell Labs, een van de makers van Unix, omver geworpen van de C-compiler in een Unix-distributie en besproken de exploit in de lezing die hij gaf op het ontvangen van de Turing Award in 1983. De gewijzigde compiler zou detecteren pogingen om de Unix "login" commando te compileren en het genereren van code veranderd dat niet alleen de gebruiker juiste wachtwoord zou accepteren, maar een extra wachtwoord bekend is bij de aanvaller. Bovendien zou de compiler pogingen detecteren om een ​​nieuwe versie van de compiler te compileren, en zou dezelfde exploits te voegen in de nieuwe compiler. Een overzicht van de source code voor de "login" commando of de bijgewerkte compiler zou niet gebleken dat er een kwaadaardige code. Deze exploit was gelijk aan een rootkit.

De eerste kwaadaardige rootkit voor het besturingssysteem Windows NT verscheen in 1999: een trojan genaamd NTRootkit gemaakt door Greg Hoglund. Het werd gevolgd door HackerDefender in 2003. De eerste rootkit gericht op Mac OS X verscheen in 2009, terwijl de Stuxnet worm was de eerste die programmeerbare logische controllers (PLC) doel.

   Sony BMG kopieerbeveiliging rootkit schandaal

In 2005 heeft Sony BMG verschenen cd's met kopieerbeveiliging en digital rights management software genaamd Extended Copy Protection, gecreëerd door software bedrijf First 4 Internet. De meegeleverde software een muziekspeler, maar stil installeerde een rootkit die de gebruiker in staat is om de CD toegang beperkt is.

Software engineer Mark Russinovich, die schiep de rootkit detectie tool RootkitRevealer, ontdekte de rootkit op een van zijn computers. De daaruit voortvloeiende schandaal verhoogde het publiek bewust te maken van rootkits.

Om mantel zelf, de rootkit verborgen voor de gebruiker een bestand dat begint met "$ sys $". Al snel na het rapport Russinovich's, malware verschenen die profiteerde van die kwetsbaarheid van getroffen systemen.

Een BBC-analist noemde het een "public relations nachtmerrie." Sony BMG patches uitgebracht om de rootkit te verwijderen, maar bloot gebruikers een nog ernstiger kwetsbaarheid. Het bedrijf uiteindelijk herinnerde aan de cd's. In de Verenigde Staten, was een class-action rechtszaak tegen Sony BMG.

   Griekse aftappen case 2004-2005

De Griekse aftappen geval van 2004-2005, ook wel aangeduid als de Griekse Watergate, de betrokken illegale aftappen van meer dan 100 mobiele telefoons op het Vodafone-netwerk Griekenland behoren meestal tot de leden van de Griekse regering en de top-ranking ambtenaren. De kranen begon ergens aan het begin van augustus 2004 en werden verwijderd maart 2005, zonder het ontdekken van de identiteit van de daders.

Met het oog op de uitvoering van het aftappen, de indringers installeerde een rootkit dat Ericsson's AXE telefooncentrale gericht. Volgens de IEEE Spectrum, was dit 'de eerste keer dat een rootkit is waargenomen op een special-purpose-systeem, in dit geval een Ericsson telefooncentrale. " De rootkit werd ontworpen om het geheugen van de uitwisseling patch, terwijl deze actief is, aftappen terwijl het uitschakelen van audit logs, patch de commando's mogelijk is dat die lijst van actieve processen en actieve data blokken, en wijzigen van de gegevens te blokkeren checksum verificatie commando. Een backdoor mag een exploitant met een sysadmin-status voor de uitwisseling van de transactielogboek en alarmen uit te schakelen, en toegang commando's die verband houden met de wettige onderscheppen vermogen. De rootkit werd ontdekt nadat de indringers geïnstalleerd, een defecte update, waardoor SMS teksten worden niet geleverde, wat leidt tot een automatische storingsmelding worden gegenereerd. Ericsson ingenieurs waren ingeschakeld om de storing te onderzoeken, en op dit punt ontdekte de verborgen data blokken met de lijst met telefoonnummers wordt bewaakt, samen met de rootkit en illegale monitoring software die was geïnstalleerd.

   Gebruikt

Moderne rootkits niet verheffen toegang, maar worden gebruikt om andere software laadvermogen niet op te sporen door de toevoeging van stealth-mogelijkheden. De meeste rootkits worden geclassificeerd als malware, omdat de ladingen ze gebundeld met zijn kwaadaardig. Bijvoorbeeld, kan een nuttige lading heimelijk te stelen wachtwoorden van gebruikers, credit card informatie, IT-middelen, of die andere ongeautoriseerde activiteiten. Een klein aantal rootkits kan worden beschouwd nut toepassingen door hun gebruikers: bijvoorbeeld een rootkit zou mantel een CD-ROM-emulatie driver, waardoor video game gebruikers anti-piraterij maatregelen die het inbrengen van de originele installatie media moet verslaan in een fysieke optische drive om te controleren of de software legitiem is gekocht.

Rootkits en hun ladingen hebben veel toepassingen:

Zorg voor een aanvaller met volledige toegang via een achterdeur, waardoor onbevoegde toegang tot, bijvoorbeeld, stelen of vervalsen documenten. Een van de manieren om dit uit te voeren is te ondermijnen de login-mechanisme, zoals de / bin / login programma op Unix-achtige systemen of GINA op Windows. De vervanging lijkt normaal te functioneren, maar accepteert ook een geheime login combinatie die een aanvaller directe toegang tot het systeem met beheerdersrechten kan, het omzeilen van standaard authenticatie en autorisatie mechanismen.

Verbergen andere malware, met name wachtwoorden stelen key loggers en computervirussen.

Van toepassing, de gecompromitteerde machine als een zombie computer voor aanvallen op andere computers. (De aanval is afkomstig van het gecompromitteerde systeem of het netwerk, in plaats van het systeem van de aanvaller.) "Zombie" computers zijn meestal lid zijn van grote botnets die kunnen lanceren denial-of-service aanvallen en distribueren e-mail spam.

Handhaving van digital rights management (DRM).

In sommige gevallen, rootkits leveren nuttige functionaliteit, en opzettelijk mag worden geïnstalleerd door de computer eigenaar:

Verbergen bedrog in online games van software zoals Warden.

Detecteren aanvallen, bijvoorbeeld in een honeypot.

Verbeter emulatie-software en beveiligingssoftware. Alcohol 120% en Daemon Tools zijn commerciële voorbeelden van niet-vijandig rootkits gebruikt om de kopieerbeveiliging mechanismen zoals SafeDisc en SecuROM te verslaan. Kaspersky Antivirus software maakt ook gebruik van technieken die lijkt op rootkits om zichzelf te beschermen tegen kwaadaardige acties. Het laadt zijn eigen machinisten om het systeem activiteit onderscheppen, en daarna voorkomt dat andere processen van het doen van schade aan zichzelf. De processen zijn niet verborgen, maar kan niet worden beëindigd door standaard methoden.

Anti-diefstal beveiliging: Laptops kunnen BIOS-gebaseerde rootkit software die regelmatig zal rapporteren aan een centrale autoriteit hebben, waardoor de laptop te bewaken, uitgeschakeld of gewist van de informatie in het geval dat deze is gestolen.

Het omzeilen van Windows Product Activation

   Soorten

Er zijn ten minste vijf soorten rootkit, variërend van die op het laagste niveau in de firmware (met de hoogste privileges), tot de minst bevoorrechte gebruiker op basis van varianten die actief zijn in de Ring 3. Hybride combinaties van deze spanning kan optreden, bijvoorbeeld, user mode en kernel-modus.

   User-mode

User-mode rootkits draaien in Ring 3, samen met andere toepassingen als gebruiker, in plaats van low-level-systeem processen. Ze hebben een aantal mogelijke installatie vectoren te onderscheppen en wijzigen van de standaard gedrag van application programming interfaces (API's). Sommige injecteren een dynamisch-linked library (zoals een DLL-bestand op Windows, of een dylib bestand op Mac OS X..) In andere processen, en zijn daardoor in staat om uit te voeren binnen elk doel proces om het te spoofen, anderen met voldoende privileges gewoon overschrijven het geheugen van een doeltoepassing. Injectie mechanismen omvatten:

Gebruik van de leverancier geleverde applicatie extensies. Bijvoorbeeld Windows Explorer is de publieke interfaces waarmee derde partijen de functionaliteit uit te breiden.

Het onderscheppen van berichten.

Debuggers.

Exploitatie van beveiligingsproblemen.

Functie haken of patching van de meest gebruikte API's, bijvoorbeeld om een ​​lopend proces of bestand dat zich op een bestandssysteem masker.

… Sinds user mode applicaties draaien allemaal in hun eigen geheugen ruimte, de rootkit moet deze patch uit te voeren in het geheugen van elke actieve toepassing. Daarnaast is de rootkit moet controleren het systeem voor alle nieuwe toepassingen die uit te voeren en patch deze programma's 'geheugenruimte voor ze volledig uit te voeren.

-Windows Rootkit Overzicht, Symantec

   Kernel-mode

Kernel-mode rootkits lopen met de hoogste besturingssysteem privileges (Ring 0) door het toevoegen van code of vervangen van delen van de kern besturingssysteem, met inbegrip van zowel de kernel en de bijbehorende stuurprogramma's. De meeste besturingssystemen ondersteunen kernel-modus apparaatstuurprogramma's, die uit te voeren met dezelfde privileges als het besturingssysteem zelf. Als zodanig veel kernel-mode rootkits zijn ontwikkeld als device drivers of belastbare modules, zoals de kernel laadbare modules in Linux of device drivers in Microsoft Windows. Deze klasse van rootkit heeft onbeperkte toegang tot de veiligheid, maar is moeilijker om te schrijven. De complexiteit maakt bugs vaak voor, en eventuele bugs in de code werken op de kernel niveau kan ernstige gevolgen hebben voor stabiliteit van het systeem, wat leidt tot ontdekking van de rootkit. Een van de eerste alom bekende kernel rootkits is ontwikkeld voor Windows NT 4.0 en uitgebracht in phrack magazine in 1999 door Greg Hoglund.

Kernel rootkits kan vooral moeilijk op te sporen en te verwijderen, omdat ze werken op hetzelfde beveiligingsniveau als het besturingssysteem zelf, en zijn dus in staat te onderscheppen of ondermijnen de meest betrouwbare besturingssysteem operaties. Alle software, zoals antivirussoftware, die op het gecompromitteerde systeem is net zo kwetsbaar. In deze situatie kan geen enkel deel van het systeem te vertrouwen.

Een rootkit kan gegevens wijzigen structuren in de Windows-kernel met behulp van een methode die bekend staat als de directe kernel object modificatie (DKOM). Deze methode kan haak kernel functies in de System Service Descriptor Table (SSDT), of wijzigen de poorten tussen de user mode en kernel-modus, om de mantel zelf. Zo ook voor het Linux-besturingssysteem, kan een rootkit wijzigt de system call tafel om kernel-functionaliteit ondermijnen. Het is niet ongewoon voor een rootkit om een ​​verborgen, versleutelde bestandssysteem waarin het kan andere malware of originele exemplaren van de bestanden die het heeft geïnfecteerd verbergen.

Operating systemen zijn in ontwikkeling om de dreiging van kernel-mode rootkits tegen te gaan. Bijvoorbeeld, 64-bits versies van Microsoft Windows nu uitvoeren verplichte ondertekening van alle kernel-level drivers om ervoor te zorgen het moeilijker voor niet-vertrouwde code uit te voeren met de hoogste privileges in een systeem.

   Bootkits

Een kernel-mode rootkit variant genaamd een bootkit wordt voornamelijk gebruikt om de volledige disk encryptie systemen aan te vallen, zoals bijvoorbeeld in de "Evil Maid Attack", waarin een bootkit de legitieme bootloader vervangt met een gecontroleerd door een aanvaller, meestal de malware loader blijft door de overgang naar beveiligde modus wanneer de kernel heeft loaded.The bootkit aanvallen voor het eerst werden aangetoond in het jaar 2007 op blackhat conferentie. Alle versies / varients van bootkits ondermijnen het systeem met behulp van een gecompromitteerde bootloader. x64 bootkits hebben met succes ondermijnd de eis voor 64-bit kernel-mode driver ondertekening in Windows 7 door het wijzigen van de master boot record.

De enige bekende verdediging tegen bootkit aanvallen zijn het voorkomen van ongeoorloofde fysieke toegang tot het systeem een ​​probleem voor draagbare computers of het gebruik van een Trusted Platform Module geconfigureerd om de boot weg te beschermen.

   Hypervisor niveau

Rootkits zijn gecreëerd als Type II hypervisors in de academische wereld als bewijzen van concept. Door gebruik te maken hardware-virtualisatie kenmerken, zoals Intel VT of AMD-V, dit soort rootkit loopt in Ring -1 en gastheren het doel besturingssysteem als een virtuele machine, waardoor de rootkit te onderscheppen hardware oproepen van de oorspronkelijke besturingssysteem. In tegenstelling tot normale hypervisors, hoeven ze niet te laden voordat het besturingssysteem, maar kan in een besturingssysteem te laden voordat het bevorderen van het in een virtuele machine. Een hypervisor rootkit hoeft geen wijzigingen aan te brengen in de kern van het doel om het te ondermijnen, maar dat wil niet zeggen dat het niet kan worden gedetecteerd door de gast-besturingssysteem. Kan bijvoorbeeld timing verschillen aantoonbaar in CPU-instructies. De "SubVirt 'laboratorium rootkit, gezamenlijk ontwikkeld door Microsoft en de Universiteit van Michigan onderzoekers, is een academisch voorbeeld van een virtuele machine op basis van rootkit (VMBR), terwijl Blue Pill is een andere.

In 2009 hebben onderzoekers van Microsoft en North Carolina State University toonde een hypervisor-laag anti-rootkit genaamd Hooksafe, die generiek bescherming tegen kernel-mode rootkits biedt.

   Hardware / firmware

Een firmware-rootkit maakt gebruik van het apparaat of platform firmware om een ​​hardnekkige malware beeld in hardware, zoals een netwerkkaart, harde schijf, of het systeem-BIOS. De rootkit verborgen in de firmware, want firmware is meestal niet gecontroleerd op code integriteit. John Heasman aangetoond dat de levensvatbaarheid van firmware rootkits, zowel in ACPI firmware routines en in een PCI-uitbreidingskaart ROM.

In oktober 2008, criminelen geknoeid met de Europese credit-card-leesmachines voordat ze werden geïnstalleerd. De apparaten onderschept en credit card gegevens verzonden via een gsm-netwerk. In maart 2009, onderzoekers Alfredo Ortega en Anibal Sacco publiceerde details van een BIOS-niveau Windows rootkit die in staat was op de harde schijf vervangen en het besturingssysteem opnieuw installeren overleven. Een paar maanden later vonden ze dat sommige laptops worden verkocht met een legitieme rootkit, bekend als CompuTrace of LoJack voor laptops, geïnstalleerd in het BIOS. Dit is een anti-diefstal systeem dat technologie onderzoekers toonden aan gedraaid kan worden om kwaadaardige doeleinden.

   Installatie en cloaking

Rootkits maken gebruik van een verscheidenheid aan technieken om de controle over een systeem te krijgen, de aard van de rootkit beïnvloedt de keuze van aanvalsvector. De meest gebruikte techniek maakt gebruik van beveiligingsproblemen te bereiken stiekem privilege escalatie. Een andere benadering is om een ​​Trojaans paard te gebruiken, te bedriegen een computergebruiker in vertrouwen van de rootkit van de installatie van het programma als goedaardige, in dit geval, social engineering overtuigt een gebruiker die de rootkit heilzaam is. De installatie taak is gemakkelijker als het principe van de minste privilege niet wordt toegepast, aangezien de rootkit dan niet hoeft te expliciet verzoek verhoogde (administrator-niveau) privileges. Andere klassen van rootkits kan alleen worden geïnstalleerd door iemand met fysieke toegang tot het doelsysteem.

De installatie van kwaadaardige rootkits is commercieel gedreven, met een Pay-Per-Install (PPI) compensatie methode typisch voor distributie.

Eenmaal geïnstalleerd, een rootkit actieve maatregelen neemt om zijn aanwezigheid obscure binnen de host-systeem door middel van subversie of-ontduiking van de standaard beveiliging van het besturingssysteem tools en API's worden gebruikt voor de diagnose, scannen en monitoring. Rootkits dit te bereiken door aanpassing van het gedrag van de kern onderdelen van een besturingssysteem op een laad-code in andere processen, de installatie of wijziging van stuurprogramma's of kernel modules. Obfuscation technieken omvatten verbergen lopende processen
van systeem-monitoring mechanismen en verbergen van systeembestanden en andere configuratiegegevens. Het is niet ongewoon voor een rootkit te schakelen het vastleggen van gebeurtenissen vermogen van een besturingssysteem, in een poging om het bewijs van een aanval te verbergen. Rootkits kunnen, in theorie, te ondermijnen elk besturingssysteem activiteiten. De "perfecte rootkit" kan worden gezien als vergelijkbaar met een 'perfecte misdaad': een dat niemand zich realiseert heeft plaatsgevonden.

Rootkits ook een aantal maatregelen voor hun overleving tegen detectie en reiniging door antivirus software te waarborgen in aanvulling op algemeen installatie in Ring 0 (kernel-mode), waar zij hebben volledige toegang tot een systeem. Deze omvatten polymorfisme, stealth technieken, regeneratie en uitschakelen van anti-malware software.

   Opsporing

Het fundamentele probleem met rootkit-detectie is dat als het besturingssysteem is ondermijnd, met name door een kernel-level rootkit, het niet vertrouwd kan worden om onbevoegde wijzigingen aan zichzelf of zijn onderdelen te vinden. Acties, zoals het aanvragen van een lijst van draaiende processen, of een lijst met bestanden in een directory, kan niet worden vertrouwd om zich te gedragen zoals verwacht. Met andere woorden, rootkit detectors die werken tijdens het uitvoeren van op geïnfecteerde systemen zijn alleen effectief tegen rootkits, dat een defect in hun camouflage, of die worden uitgevoerd met een lagere user-mode privileges dan de detectie software in de kernel hebben. Net als met computervirussen, de detectie en verwijdering van rootkits is een voortdurende strijd tussen de beide zijden van dit conflict.

Detectie kan een aantal verschillende benaderingen, met inbegrip handtekeningen (bv. antivirus software), integriteits controle (bijvoorbeeld digitale handtekeningen), verschil-gebaseerde detectie (vergelijking van de verwachte versus werkelijke resultaten), en gedragsmatige opsporing (bijv. bewaking CPU-gebruik of het netwerkverkeer ).

Unix rootkit detectie-aanbod omvat Zeppoo, chkrootkit, rkhunter en OSSEC. Voor Windows, detectie-instrumenten zijn Microsoft Sysinternals RootkitRevealer, Avast! Antivirus, Sophos Anti-Rootkit, F-Secure, Radix en GMER. Eventuele rootkit detectoren die effectief blijkt uiteindelijk bijdragen aan hun eigen ineffectiviteit, als malware schrijvers aan te passen en te testen hun code om detectie te ontsnappen door goed gebruikte tools.

   Alternatief vertrouwde medium

De beste en meest betrouwbare methode voor het besturingssysteem-niveau rootkit detectie is het afsluiten van de computer van besmetting verdachte, en vervolgens naar de opslag te controleren door het opstarten van een alternatieve vertrouwde medium (bijvoorbeeld een rescue CD-rom of USB flash drive). De techniek is effectief omdat een rootkit kan niet actief te verbergen zijn aanwezigheid als het niet actief is.

   Behavioral op basis van

De gedragsmatige aanpak van het opsporen van rootkits pogingen om de aanwezigheid van een rootkit afleiden door te zoeken naar rootkit-achtige gedrag. Bijvoorbeeld door het profileren van een systeem, kunnen verschillen in het tijdstip en de frequentie van de API-oproepen of de totale CPU-gebruik toe te schrijven aan een rootkit. De methode is complex en wordt gehinderd door een hoge incidentie van false positives. Defecte rootkits kunnen soms introduceren heel duidelijk veranderingen aan een systeem: de Alureon genoemd rootkit crashte Windows-systemen na een beveiligingsupdate blootgesteld een ontwerpfout in de code.

Logs van een packet analyzer, firewall of intrusion prevention systeem kan de huidige gegevens van de rootkit gedrag in een netwerkomgeving.

   Handtekeningen gebaseerde

Antivirus-producten hoeven zelden te vangen alle virussen in het openbaar tests, ook al leveranciers van beveiligingssoftware rootkit-detectie op te nemen in hun producten. Mocht een rootkit poging om te verbergen tijdens een antivirus scan, kan een stealth-detector bericht, als de rootkit probeert zich tijdelijk lossen uit het systeem, handtekening-detectie (of 'fingerprinting') nog vinden. Deze gecombineerde aanpak dwingt aanvallers tegenaanval mechanismen, of "retro" routines, die proberen om antivirusprogramma's te beëindigen implementeren. Signature-gebaseerde detectie methodes effectief kan zijn tegen de goed-gepubliceerd rootkits, maar in mindere mate tegen de speciaal ontworpen, custom-root rootkits.

   Verschil op basis van

Een andere methode die kan detecteren rootkits vergelijkt 'vertrouwde' ruwe data met een "besmet" inhoud teruggestuurd door een API. Bijvoorbeeld, binaries aanwezig op de harde schijf kan worden vergeleken met de kopieën binnen werkgeheugen (zoals de in-memory afbeelding moet identiek zijn aan de on-disk image), of de resultaten terug uit bestandssysteem of Windows-register API's kunnen worden getoetst rauw structuren op de onderliggende fysieke schijven-echter, in het geval van de voormalige, sommige geldig verschillen kunnen worden geïntroduceerd door het besturingssysteem mechanismen zoals geheugen verhuizing of shimming. Verschil-gebaseerde detectie werd gebruikt door Russinovich 's RootkitRevealer instrument om de Sony DRM rootkit te vinden.

   Integriteit te controleren

Een cryptografische hash-functie kan worden gebruikt om een ​​"vingerafdruk", of digitale handtekening, die kunnen helpen bij het opsporen latere onbevoegde wijzigingen aan op de schijf code libraries te berekenen. Echter, onbedorven's alleen controleren of de code is gewijzigd sinds vrijgave door de "uitgever", subversieve activiteiten vóór die tijd is niet aantoonbaar. De vingerafdruk moet worden hersteld elke keer dat er wijzigingen worden aangebracht aan het systeem: bijvoorbeeld, na het installeren van beveiligingsupdates of een service pack. De hash-functie maakt een message digest, een relatief korte code berekend op basis van elke bit in het bestand met behulp van een algoritme dat grote veranderingen in de message digest creëert met zelfs kleine wijzigingen aan het originele bestand. Door opnieuw te berekenen en vergelijken van de message digest van de geïnstalleerde bestanden op regelmatige tijdstippen tegen een vertrouwde lijst van vingerafdrukken, kunnen veranderingen in het systeem worden gedetecteerd en bewaakt, zolang de oorspronkelijke basislijn vingerafdruk is gemaakt voordat de malware werd toegevoegd. Meer-geavanceerde rootkits in staat zijn om het verificatieproces te ondermijnen door het presenteren een ongewijzigde kopie van het bestand voor inspectie, of door het maken van wijzigingen alleen in het geheugen, in plaats van op de schijf. De techniek kan dus effectief worden alleen tegen onbedorven rootkits, bijvoorbeeld degenen die Unix binaries te vervangen, zoals "ls" om de aanwezigheid van een bestand masker.

Op dezelfde manier kan de detectie in de firmware worden bereikt door het berekenen van een cryptografische hash van de firmware en te vergelijken met een witte lijst van verwachte waarden, of door uitbreiding van de hash-waarde in Trusted Platform Module (TPM)-configuratie registers, die later worden vergeleken met een witte lijst van het verwachte waarden. De code die presteert hash, vergelijken, of uit te breiden operaties moeten ook beschermd worden in deze context, het idee van een onveranderlijke wortel-van-vertrouwen houdt in dat de eerste code om de beveiliging eigenschappen van een systeem te meten moet zelf worden vertrouwd om ervoor te zorgen dat de een rootkit of bootkit het systeem niet compromis in zijn meest fundamentele niveau.

   Geheugendumps

Dwingen een volledige dump van het virtuele geheugen zal het nemen van een actieve rootkit (of een kernel dump in het geval van een kernel-mode rootkit), waardoor offline analyse worden uitgevoerd met een debugger tegen het resulterende dump-bestand, zonder dat de rootkit te kunnen nemen eventuele maatregelen om de mantel zelf. Deze techniek is zeer gespecialiseerd, en kunnen verlangen dat de toegang tot niet-openbare broncode of debugging symbolen. Geheugendumps geïnitieerd door het besturingssysteem kan niet worden gebruikt om een ​​hypervisor-gebaseerde rootkit, die in staat is te onderscheppen en ondermijnen het laagste niveau pogingen om het geheugen-een hardware-apparaat, lees zoals een die een niet-Maskable onderbreken implementeert detecteren, is nodig is om het geheugen in dit scenario dump.

   Verwijdering

Handmatig verwijderen van een rootkit is vaak te moeilijk voor de gemiddelde computer gebruiker, maar een aantal security-software leveranciers bieden tools om automatisch te detecteren en te verwijderen rootkits, meestal als onderdeel van een antivirus suite. Met ingang van 2005 , de maandelijkse schadelijke Microsoft's Software Removal Tool is in staat om te detecteren en te verwijderen sommige klassen van rootkits. Sommige antivirus scanners kunnen omzeilen bestandssysteem API's, die kwetsbaar zijn voor manipulatie door een rootkit. In plaats daarvan, zij direct toegang tot rauwe bestandssysteem structuren, en deze informatie gebruiken om de resultaten uit het systeem te valideren API's om eventuele verschillen die kunnen worden veroorzaakt door een rootkit te identificeren.

Er zijn deskundigen Die geloven dat de enige betrouwbare manier om ze te verwijderen is het opnieuw installeren van het besturingssysteem van vertrouwde media. Dit komt omdat antivirus en malware removal tools draaien op een niet-vertrouwde systeem kan effectief worden tegen goed geschreven kernel-mode rootkits. Het opstarten een alternatief besturingssysteem van vertrouwde media kan toestaan ​​dat een geïnfecteerd systeem volume dat moet worden gemonteerd en veilig mogelijk schoongemaakt en kritieke gegevens te kopiëren off-of, als alternatief, een forensisch onderzoek uitgevoerd. Lichtgewicht besturingssystemen zoals Windows PE, Windows Recovery Console, Windows Recovery Environment, BartPE, of Live Distributies kan worden gebruikt voor dit doel, zodat het systeem te reinigen.

Zelfs als de soort en de aard van een rootkit bekend is, kan handmatige reparatie onpraktisch, terwijl het opnieuw installeren van het besturingssysteem en applicaties is veiliger, eenvoudiger en sneller.

   Publieke beschikbaarheid

Net als veel malware gebruikt door aanvallers, zijn veel rootkit implementaties gedeeld en zijn gemakkelijk te vinden op het internet. Het is niet ongewoon om te zien een gecompromitteerd systeem waarin een verfijnde, publiekelijk beschikbare rootkit verbergt de aanwezigheid van een onervaren wormen of aanval tools schijnbaar geschreven door onervaren programmeurs.

De meeste van de rootkits beschikbaar op het Internet is ontstaan ​​als exploits of als academische "proofs of concept" om aan te tonen verschillende methoden van verborgen dingen binnen een computersysteem en van het nemen van ongeoorloofde controle over. Vaak niet volledig geoptimaliseerd voor stealth, zoals rootkits soms onbedoeld verlaten bewijs van hun aanwezigheid. Toch, wanneer dergelijke rootkits worden gebruikt in een aanval, ze zijn vaak effectief. Andere rootkits met keylogging functies zoals GameGuard worden geïnstalleerd als onderdeel van de online commerciële games.

   Defences

System hardening is een van de eerste lagen van de verdediging tegen een rootkit, om te voorkomen dat te kunnen installeren. Het toepassen van security patches, toepassing van het beginsel van de minste privilege, waardoor de aanval oppervlak en de installatie van antivirus software zijn een aantal standaard security best practices die effectief zijn tegen alle klassen van malware. Zodra deze maatregelen zijn genomen, is routinematige controle vereist.

Hacker (term)

Hacker is een term die is gebruikt om een ​​verscheidenheid van verschillende dingen in de informatica betekenen. Afhankelijk van de context, kan de term verwijst naar een persoon in een van een aantal verschillende (maar niet geheel disjuncte) gemeenschappen en subculturen:

Mensen hecht waarde aan het omzeilen van computerbeveiliging. Dit betreft vooral ongeautoriseerde externe computer inbraak via een communicatie-netwerken zoals het internet (zwarte hoeden), maar ook degenen die te debuggen of te repareren security problemen (witte hoeden), en de moreel dubbelzinnige Grey hoeden. Zie Hacker (computer security).

Een gemeenschap van enthousiaste computer programmeurs en ontwerpers-systemen, ontstond in de jaren 1960 rond het Massachusetts Institute of Technology 's (MIT's) Tech Model Railroad Club (TMRC) en de MIT Artificial Intelligence Laboratory. Deze gemeenschap wordt gekenmerkt door de lancering van de vrije software beweging. Het World Wide Web en het internet zelf zijn ook hacker artefacten. De Request for Comments RFC 1392 versterkt deze betekenis als " persoon die lekkernijen in het hebben van een intieme kennis van de interne werking van een systeem, computers en computernetwerken in het bijzonder." Zie Hacker (programmeur subcultuur).

De hobbyist thuiscomputers gemeenschap, met de nadruk op hardware in de late jaren 1970 (bijvoorbeeld de Homebrew Computer Club) en software (computer games, software kraken, de demoscene) in de 1980s/1990s. De gemeenschap opgenomen Steve Jobs, Steve Wozniak en Bill Gates en creëerde de personal computing-industrie. Zie Hacker (hobbyist).

Vandaag de dag, mainstream gebruik van "hacker" verwijst vooral naar de computer van criminelen, als gevolg van de massamedia gebruik van het woord sinds de jaren 1980. Dit geldt ook voor wat hacker slang noemt "script kiddies", mensen breken in computers met behulp van programma's geschreven door anderen, met zeer weinig kennis over de manier waarop ze werken. Dit gebruik is zo overheersend dat het grote publiek is niet van bewust dat verschillende betekenissen bestaan. Terwijl de zelf-aanwijzing van hobbyisten als hackers wordt erkend door alle drie soorten van hackers, en de computer beveiliging hackers te accepteren alle vormen van gebruik van het woord, mensen van de programmeur subcultuur rekening houden met de computer binnendringen gerelateerde gebruik van onjuist, en benadrukken het verschil tussen de twee door te bellen met security breakers 'crackers' (analoog aan een safecracker).

   Hacker definitie controverse

Op dit moment, "hacker" wordt gebruikt in twee tegenstrijdige manieren, als iemand die een computer beveiliging (aangeduid als de "pejoratief" of "negatieve zin" hier), en een ontwricht als lid van een subcultuur of een programmering die gebruik maakt van een dergelijke een stijl van software of hardware ontwikkeling (aangeduid als de "positieve zin" hier).

De controverse is meestal gebaseerd op de veronderstelling dat de term oorspronkelijk iemand die knoeien met iets in positieve zin, dat wil zeggen met behulp van speelse slimheid om een ​​doel te bereiken betekende. Maar dan wordt verondersteld, de betekenis van de term verschoven in de afgelopen decennia, omdat het eerst in gebruik werd genomen in een computer context en werd verwezen naar de computer criminelen. Naarmate het gebruik is meer gespreid, de voornaamste betekenis van de nieuwere gebruikers conflicten met de oorspronkelijke primaire nadruk. In de populaire gebruik en in de media, computer indringers of criminelen is de exclusieve betekenis vandaag de dag, met de bijbehorende pejoratieve bijklank. (Bijvoorbeeld: "Een Internet 'hacker' brak door deelstaatregering beveiligingssystemen in maart.") In de computerwereld gemeenschap, de primaire betekenis is een gratis beschrijving voor een bijzonder briljante programmeur of technisch deskundige. (Bijvoorbeeld: 'Linus Torvalds, de bedenker van Linux, wordt door sommigen gezien als een hacker te zijn. ") Een groot deel van de technische gemeenschap erop aandringen dat laatste is de" juiste "gebruik van het woord (zie de Jargon File definitie ). De mainstream media 's het huidige gebruik van de term kan worden herleid tot de vroege jaren 1980. Wanneer de term is ingevoerd om de samenleving door de mainstream media in 1983, ook die in de wereld van computers genoemd computervredebreuk als "hacking", maar niet als het exclusieve gebruik van dat woord. In reactie op de toenemende media-gebruik van de term uitsluitend met de criminele connotatie, de wereld van computers begonnen hun terminologie te onderscheiden. Alternatieve termen als "cracker" werden bedacht in een poging om onderscheid te maken tussen die vasthouden aan de historische gebruik van de term "hack" binnen de programmeur Gemeenschap en die het uitvoeren van computer inbraak. Verdere termen als "black hat", "witte hoeden 'en' grijze petten" ontwikkeld wanneer wetten tegen te breken in computers van kracht geworden, om criminele activiteiten en die waarvan de activiteiten legaal waren te onderscheiden. Echter, omdat het netwerk nieuws gebruik van de term betroffen in de eerste plaats naar de criminele activiteiten, ondanks deze poging door de technische gemeenschap te behouden en te onderscheiden van de oorspronkelijke betekenis, de mainstream media en het grote publiek nog steeds naar de computer van criminelen te beschrijven met alle niveaus van technische verfijning als 'hackers "en het algemeen geen gebruik maakt van het woord in een van de niet-strafrechtelijke connotaties. Leden van de media lijken soms niet bewust van het onderscheid, groepering legitiem "hackers", zoals Linus Torvalds en Steve Wozniak, samen met criminele "crackers".

Als gevolg van dit verschil, de definitie is het onderwerp van verhitte controverse. De bredere dominantie van de pejoratieve connotatie is woordigd door velen die bezwaar maken tegen de term genomen uit hun culturele jargon en negatief gebruikt, ook degenen die historisch gezien de voorkeur hebben gegeven om zichzelf te identificeren als hackers. Veel voorstander van het gebruik van de meer recente en genuanceerd alternatieve termen bij het beschrijven van criminelen en anderen die negatief gebruik maken van beveiligingslekken in software en hardware. Anderen geven de voorkeur aan gemeenschappelijke populaire gebruik te volgen, met het argument dat de positieve vorm is verwarrend en het is onwaarschijnlijk verder te verspreiden in het grote publiek. Een minderheid nog steeds koppig gebruik maken van de term in zowel de originele betekenissen, ondanks de controverse, waardoor context te verduidelijken (of dubbelzinnig te verlaten), welke betekenis bedoeld is. Het is opmerkelijk, echter dat de positieve definitie van hacker op grote schaal werd gebruikt als de meest voorkomende vorm voor vele jaren duren voordat de negatieve definitie werd gepopulariseerd. "Hacker" kan dus worden gezien als een sjibbolet, het identificeren van degenen die de technisch georiënteerde zin (in tegenstelling tot de uitsluitend inbraak-georiënteerde zin) te gebruiken als de leden van de computer-gemeenschap.

Een mogelijke middenweg positie is voorgesteld, gebaseerd op de observatie dat "hacking" een verzameling van vaardigheden die door hackers van beide beschrijvingen gebruikt worden voor verschillende redenen beschrijft. De analogie wordt verwezen naar hang-en sluitwerk, in het bijzonder het plukken sloten, die – afgezien van dat het een vaardigheid met een vrij hoge tropisme naar 'klassieke' hacking – is een vaardigheid die kan worden gebruikt voor goed of kwaad. De primaire zwakte van deze analogie is het opnemen van script kiddies in de populaire gebruik van "hacker", ondanks het ontbreken van een onderliggende vaardigheden en kennis. Soms ook hacker is gewoon gebruikt synoniem aan geek:. "Een echte hacker is niet een groep iemand Hij is een persoon die graag de hele nacht, hij en de machine in een haat-liefde verhouding … Het zijn kinderen die de neiging om briljante, maar niet erg geïnteresseerd zijn in de conventionele doelen Het is een term van spot en het ultieme compliment. "

Fred Shapiro denkt dat "de gangbare theorie dat 'hacker' was oorspronkelijk een goedaardige termijn en de kwaadaardige connotaties van het woord waren een later perversie niet waar is." Hij kwam erachter dat de kwaadaardige connotaties aanwezig waren bij het MIT al in 1963 (met vermelding van het Tech, een MIT Student Magazine) en vervolgens als bedoeld om onbevoegde gebruikers van het telefoonnetwerk, dat wil zeggen de phreaker beweging die zich ontwikkeld tot de computer beveiliging hacker subcultuur van vandaag.

   Computer beveiliging hackers

Bruce Sterling, auteur van The Hacker Crackdown

In computer beveiliging, een hacker is iemand die zich richt op de beveiliging mechanismen van computer-en netwerksystemen. Terwijl ook degenen die zich inspannen om dergelijke mechanismen te versterken, wordt het vaker gebruikt door de massa media en populaire cultuur om te verwijzen naar hen die zoeken toegang ondanks deze veiligheidsmaatregelen. Dat wil zeggen, de media portretteert de 'hacker' als een schurk. Toch, delen van de subcultuur zien hun doel in het corrigeren van veiligheidsproblemen en gebruiken het woord in positieve zin. Ze werken onder een code, die erkent dat inbreken in andermans computer slecht is, maar dat het ontdekken en exploiteren van beveiligingsmechanismen en het inbreken in computers is nog steeds een interessante activiteit die kan ethisch en juridisch worden gedaan. Daarom is de term draagt ​​sterke connotaties die gunstig of pejoratieve, afhankelijk van de context.

De subcultuur rond dergelijke hackers is genoemd netwerk hacker subcultuur, hacker scene of computer onder de grond. Het aanvankelijk ontwikkeld in het kader van phreaking tijdens de jaren 1960 en de microcomputer BBS scène van de jaren 1980. Het is betrokken met 2600: The Hacker Quarterly en de alt.2600 nieuwsgroep.

In 1980, een artikel in het augustusnummer van Psychology Today (met commentaar van Philip Zimbardo) gebruikt de term "hacker" in de titel: "The Hacker Papers". Het was een uittreksel uit een Stanford Bulletin Board discussie over de verslavende aard van de computer te gebruiken. In de 1982 film TRON, Kevin Flynn (Jeff Bridges) beschrijft zijn bedoelingen in te breken in de computer Encom systeem, zei: "Ik ben al een beetje hacken hier doen". CLU is de software die hij gebruikt voor deze. In 1983, had hacken in de zin van het breken van computerbeveiliging al in gebruik als computer jargon, maar er was geen publiek bewust te maken van dergelijke activiteiten. Echter, de release van de film WarGames dat jaar, met een computer inbraak in NORAD, verhoogde het publiek geloven dat een computer beveiliging hackers (vooral tieners) kan een bedreiging vormen voor de nationale veiligheid. Deze bezorgdheid werd echt als, in hetzelfde jaar, een bende van hackers tiener in Milwaukee, Wisconsin, bekend als The 414s, ingebroken in computersystemen in de Verenigde Staten en Canada, waaronder die van Los Alamos National Laboratory, Sloan-Kettering Cancer Center en Security Pacific Bank. De zaak groeide al snel uit media-aandacht, en de 17-jarige Neal Patrick naar voren als de woordvoerder van de bende, inclusief een cover verhaal in Newsweek de titel "Let op: Hackers in het spel", met foto's Patrick's op de cover. De Newsweek artikel lijkt te zijn het eerste gebruik van het woord hacker door de mainstream media in de pejoratieve zin.

Onder druk van de media, congreslid Dan Glickman riep op tot een onderzoek in en begon te werken aan nieuwe wetten tegen de computer hacking. Neal Patrick getuigde voor het Amerikaanse Huis van Afgevaardigden op 26 september 1983 over de gevaren van computer hacken, en zes facturen met betrekking tot computercriminaliteit werden geïntroduceerd in de Tweede Kamer dat jaar. Als gevolg van deze wetten tegen computer criminaliteit, witte hoed, grijze hoed en zwarte hoed hackers proberen om zich te onderscheiden van elkaar, afhankelijk van de rechtmatigheid van hun activiteiten. Deze morele conflicten worden uitgedrukt in The Mentor 's "The Hacker Manifesto", gepubliceerd 1986 in Phrack.

Het gebruik van de term hacker betekenis computer crimineel werd ook bevorderd door de titel "Stalking het Wily Hacker", een artikel van Clifford Stoll in het mei 1988 nummer van de Communications of the ACM. Later dat jaar, de release door Robert Tappan Morris, Jr van de zogenaamde Morris worm veroorzaakt de populaire media om dit gebruik te verspreiden. De populariteit van het boek van Stoll The Cuckoo's Egg, een jaar later gepubliceerd, verder verschanst de term in het bewustzijn van het publiek.

   Programmeur subcultuur van hackers

In de programmeur subcultuur van de hackers, een hacker is een persoon die volgt op een speelse geest van slimheid en houdt van programmering. Het wordt gevonden in een oorspronkelijk academische beweging los van computerbeveiliging en het meest zichtbaar in verband met vrije software en open source. Het heeft ook een hacker ethiek, gebaseerd op het idee dat het schrijven van software en het delen van het resultaat op vrijwillige basis is een goed idee, en dat de informatie vrij zou moeten zijn, maar dat het niet aan de hacker om het vrij te maken door te breken in prive- computersystemen. Deze hacker ethiek was bekend en misschien is ontstaan ​​in Steven Levy 's Hackers: Heroes of the Computer Revolution (1984). Het bevat een codificatie van de principes.

De programmeur subcultuur van hackers distantieert van pejoratieve gebruik maken van de massamedia van de 'hacker' van het woord verwijst naar computerbeveiliging, en meestal de voorkeur aan de term 'kraker' voor die betekenis. Klachten over vermeende mainstream misbruik begon al in 1983, toen de media gebruikt "hacker" te verwijzen naar de computer criminelen die betrokken zijn bij de 414s geval.

In de programmeur subcultuur van de hackers, een computer hacker is een persoon die geniet van software en het bouwen van programma's te ontwerpen met een gevoel voor esthetiek en speelse slimheid. De term hack in deze zin kan worden teruggevoerd op "beschrijven de uitgebreide college grappen dat … studenten regelmatig zou bedenken" (Levy, 1984 blz. 10). Te worden beschouwd als een 'hack' was een eer onder gelijkgestemde collega's als 'te kwalificeren als een hack, moet de prestatie worden doordrongen met innovatie, stijl en technische virtuositeit' (Levy, 1984 p. 10) De MIT 's Tech Model Railroad Club Dictionary gedefinieerd hack in 1959 (nog niet in een computer context) als "1) een artikel of project zonder constructieve einde, 2) een project uitgevoerd op slechte zelf-advies; 3) een entropie booster, 4) te produceren, of poging om te produceren, een hack (3). " "Hacker" werd gedefinieerd als "iemand die hacks, of ze maakt." Een groot deel van jargon van de TMRC werd later geïmporteerd naar vroege computers cultuur, omdat de club gestart met een DEC PDP-1 en toegepast zijn lokale modelbaan slang in deze computer context. Ondanks het feit dat onbegrijpelijk voor buitenstaanders, de slang werd populair bij het berekenen van het MIT-omgevingen buiten de club. Andere voorbeelden van jargon uit de club zijn 'verliezen' "als een apparaat niet werkt 'en' vervormd '" als een stuk van apparatuur is geruïneerd ".

Volgens Eric S. Raymond, de Open source en gratis software hacker subcultuur ontwikkeld in de jaren 1960 onder de 'academische hackers' werken op de vroege minicomputers in de computerwereld omgevingen in de Verenigde Staten.

Hackers werden beïnvloed door en geabsorbeerd veel ideeën van de belangrijkste technologische ontwikkelingen en de mensen die met hen verbonden. Het meest opvallend is de technische cultuur van de pioniers van het Arpanet, te beginnen in 1969. De PDP-10 machine AI aan het MIT, dat was het uitvoeren van de ITS-besturingssysteem en die is aangesloten op het Arpanet, in een vroeg stadium hacker ontmoetingspunt. Na 1980 de subcultuur samengevoegd met de cultuur van Unix. Sinds het midden van de jaren 1990, is het grotendeels samenvalt met wat nu heet de vrije software en open source-beweging.

Veel programmeurs hebben het label "grote hackers", maar de details van die dat label is van toepassing op is een kwestie van mening. Zeker belangrijke bijdrage aan de informatica, zoals Edsger Dijkstra en Donald Knuth, evenals de uitvinders van de populaire software zoals Linus Torvalds (Linux), en Dennis Ritchie en Ken Thompson (de C-programmeertaal) zullen waarschijnlijk worden opgenomen in een dergelijke lijst, zie ook Lijst van programmeurs. Mensen vooral bekend om hun bijdragen aan het bewustzijn van de programmeur subcultuur van hackers zijn Richard Stallman, de oprichter van de vrije software beweging en het GNU-project, voorzitter van de Free Software Foundation en auteur van de beroemde Emacs tekstverwerker evenals de GNU Compiler Collection (GCC), en Eric S. Raymond, een van de oprichters van het Open Source Initiative en schrijver van de beroemde tekst De Cathedral and the Bazaar en vele andere essays, beheerder van de Jargon File (die eerder werd gehandhaafd door Guy L . Steele, Jr).

Binnen de computer programmeur subcultuur van hackers, is de term hacker ook gebruikt voor een programmeur die een doel bereikt door gebruik te maken van een reeks van wijzigingen aan bestaande code of middelen uit te breiden. In die zin kan het een negatieve connotatie van het gebruik van onelegante omzeilingen noodgedwongen de programmering taken die zijn snel, maar lelijk, onelegante, moeilijk uit te breiden bereiken, moeilijk te onderhouden en te inefficiënt. Deze afwijkende vorm van het zelfstandig naamwoord "hack" is afgeleid van het alledaagse Engels zin "te snijden of door of als vorm door ruwe of meedogenloze slagen" en zelfs wordt gebruikt bij de gebruikers van de positieve zin van "hacker", die produceert "cool" of "nette" hacks. Met andere woorden: de "hack" op een originele creatie, als met een bijl, is om het te dwingen, passen in zijn bruikbaar voor een taak die niet bedoeld door de oorspronkelijke maker, en een "hacker" zou iemand die dit doet gewoonlijk. (De originele maker en de hacker kan dezelfde persoon zijn.) Dit gebruik gebruikelijk is, zowel in programmering en engineering. Bij het programmeren, hacking in deze zin lijkt te worden getolereerd en gezien als een noodzakelijk compromis in vele situaties. Sommigen beweren dat het niet zou moeten zijn, als gevolg van deze negatieve betekenis, anderen beweren dat sommige omzeilingen noodgedwongen kunnen voor al hun lelijkheid en onvolmaaktheid nog steeds, "hack waarde" hebben. In niet-software engineering, de cultuur is minder tolerant van unmaintainable oplossingen, zelfs indien zij van tijdelijke aard, en beschrijven van iemand als een 'hacker' zou kunnen impliceren dat zij professionaliteit ontbreekt. In die zin is de term heeft geen echte positieve connotatie, met uitzondering van het idee dat de hacker in staat is van het doen van aanpassingen die een systeem aan het werk op de korte termijn toe te staan, en zo ook een soort van verhandelbare vaardigheden. Er is altijd, echter met dien verstande dat een meer bedreven of technische, logicus kon succesvolle modificaties die niet zou worden beschouwd als een "hack-job" hebben geproduceerd. De definitie is vergelijkbaar met andere, niet-computer gebaseerd, maakt gebruik van de term "hack-job". Zo zou een professionele wijziging van een productie-sportwagen in een race-machine niet worden beschouwd als een hack-werk, maar een in elkaar geflanst achtertuin monteur het resultaat zou kunnen zijn. Hoewel de uitslag van een wedstrijd van de twee machines konden niet worden aangenomen, zou een snelle inspectie meteen laten zien het verschil in de mate van professionaliteit van de ontwerpers. Het bijvoeglijk naamwoord geassocieerd met hacker is "hackish" (zie het Jargon-bestand).

In een zeer universele zin, hacker betekent ook iemand die dingen werken maakt buiten waargenomen grenzen op een slimme manier in het algemeen, zonder noodzakelijkerwijs te verwijzen naar computers, vooral in het MIT. Dat wil zeggen, mensen die van toepassing zijn de creatieve houding van software hackers op andere gebieden dan computing. Dit omvat ook activiteiten die ouder zijn computer hacking, bijvoorbeeld de realiteit hackers of stedelijke spelunkers (het verkennen van mensen zonder papieren of niet-geautoriseerde gebieden in gebouwen). Een specifiek voorbeeld zijn slimme streken van oudsher gepleegd door MIT studenten, met de dader wordt genoemd hacker. Bijvoorbeeld, wanneer MIT studenten stiekem een ​​nep-politiewagen zet de top van de koepel over het opbouwen van het MIT 10, dat was een hack in deze zin, en de betrokken studenten waren dan ook hackers. Een ander type van hacker heet nu een realiteit hacker. Meer recente voorbeelden van gebruik voor bijna elk type speelse slimheid zijn wetware hackers ("hack je hersenen"), media hackers en "hack uw reputatie". In dezelfde geest, kan een "hack" verwijzen naar een hack wiskunde, dat is een slimme oplossing voor een wiskundig probleem. De GNU General Public License is beschreven als Een copyright hack, omdat het slim het auteursrecht gebruikt voor een doel van de wetgever niet voorzien. Al deze toepassingen nu ook lijken te verspreiden buiten het MIT ook.

   Home computer hackers

In nog een andere context, een hacker is een computer hobbyist die verlegt de grenzen van software of hardware. Het huis computer hacking subcultuur heeft betrekking op de hobbyist thuiscomputer van de late jaren 1970, te beginnen met de beschikbaarheid van MITS Altair. Een invloedrijke organisatie was de Homebrew Computer Club. Echter, de wortels gaan terug naar aanleiding van de amateur-radio liefhebbers. De amateur radio slang genoemd om creatief te sleutelen om de prestaties te verbeteren "hacking" al in de jaren 1950.

Een grote overlappingen tussen hobbyist hackers en de programmeur subcultuur hackers bestonden tijdens dag van de Homebrew Club, maar de belangen en waarden van beide gemeenschappen enigszins uiteen. Vandaag is de hobbyisten focus op commerciële computer-en video-games, software kraken en uitzonderlijke computer programmeren (demo scene). Ook van belang om enkele leden van deze groep is de wijziging van computer hardware en andere elektronische apparaten, zie modding.

Elektronica hobbyisten werken op andere machines dan computers vallen ook in deze categorie. Dit geldt ook voor mensen die eenvoudige aanpassingen doen om grafische rekenmachines, video game consoles, elektronische muziekinstrumenten keyboards of een ander apparaat (zie CueCat voor een berucht voorbeeld), aan de kaak of functionaliteit toevoegen aan een apparaat dat was onbedoeld voor gebruik door eindgebruikers door het bedrijf, die gemaakt het. Een aantal van de techno muzikanten hebben gewijzigd jaren 1980-tijdperk Casio SK-1 sampling toetsenborden tot vreemde geluiden maken door het doen van circuit bending: het aansluiten van de verschillende draden van de geïntegreerde schakeling chips. De resultaten van deze DIY experimenten variëren van de openstelling van voorheen ontoegankelijke kenmerken dat een deel van de chip ontwerp werden aan de productie van de vreemde, dis-harmonische tonen die digitaal werd een deel van de techno muziek stijl. Bedrijven nemen verschillende houdingen ten opzichte van deze praktijken, variërend van open aanvaarding (zoals Texas Instruments voor zijn grafische rekenmachines en Lego voor zijn Lego Mindstorms Robotics versnelling) tot regelrechte vijandigheid (zoals Microsoft 's pogingen om lock-out hackers Xbox of de DRM-routines op Blu-ray Disc-spelers ontworpen om gecompromitteerd spelers sabotage).

In deze context is een "hack" verwijst naar een programma dat (soms illegaal) wijzigt een ander programma, meestal een computer spel, waardoor de gebruiker toegang tot functies anders ontoegankelijk voor hen. Als voorbeeld van dit gebruik, voor het Palm OS-gebruikers (tot de 4e iteratie van dit besturingssysteem), een "hack" verwijst naar een uitbreiding van het besturingssysteem die extra functionaliteit biedt. Term verwijst ook naar die mensen die bedriegen video games met behulp van speciale software. Dit kan ook verwijzen naar het jailbreaken van de iPods.

   Overlappingen en verschillen

Het belangrijkste fundamentele verschil tussen programmeur subcultuur en computerbeveiliging hackers is hun meestal aparte historische oorsprong en ontwikkeling. Echter, de Jargon File meldt dat een aanzienlijke overlap bestond voor het begin van de phreaking aan het begin van de jaren 1970. Een artikel uit het MIT student paper The Tech gebruikte de term hacker in deze context al in 1963 in zijn pejoratieve betekenis voor iemand die knoeien met het telefoonsysteem. De overlap Snel aan de slag te breken wanneer mensen zich in de activiteiten die zij heeft gedaan in een minder verantwoorde manier. Dit was het geval na de publicatie van een artikel het blootstellen van de activiteiten van Draper en Engressias.

Volgens Raymond, subcultuur hackers uit de programmeur meestal openlijk te werken en gebruik maken van hun echte naam, terwijl de computer beveiliging hackers liever geheimzinnig groepen en identiteit te verbergen aliassen. Ook de activiteiten in de praktijk zijn grotendeels verschillend. De voormalige richten op het creëren van nieuwe en verbetering van de bestaande infrastructuur (vooral de software omgeving waarin ze werken), terwijl de laatste in de eerste plaats en sterk benadrukken van de algemene handeling van het omzeilen van beveiligingsmaatregelen, met het effectief gebruik van de kennis (die kan worden te rapporteren en helpen bij de vaststelling van de security bugs, of de exploitatie voor criminele doeleinden) wordt alleen nogal secundair. Het meest zichtbare verschil in deze standpunten is in het ontwerp van het MIT hackers 'Incompatibele Timesharing System, die bewust hadden geen veiligheidsmaatregelen.

Er zijn een aantal subtiele overlappingen, maar omdat basiskennis over computerbeveiliging is ook gebruikelijk binnen de programmeur subcultuur van hackers. Bijvoorbeeld, Ken Thompson merkte tijdens zijn 1983 Turing Award lezing dat het mogelijk is om code toe te voegen aan de UNIX "login" commando dat ofwel de beoogde gecodeerd wachtwoord of een bepaalde bekende wachtwoord zou accepteren, waardoor een achterdeur in het systeem met de laatste wachtwoord. Hij noemde zijn uitvinding de "Trojaanse paard". Bovendien, betoogde Thompson, de C-compiler zelf kan worden aangepast voor de automatische genereren van de schurk code, om het opsporen van de wijziging nog harder. Omdat de compiler is zelf een programma gegenereerd op basis van een compiler, zou het paard van Troje ook automatisch worden geïnstalleerd in een nieuwe compiler programma, zonder enige aantoonbare wijziging aan de bron van de nieuwe compiler. Echter, Thompson gedistantieerd zich strikt van de computer security hackers: "Ik zou graag naar de pers te bekritiseren in zijn behandeling van de 'hackers', de 414 bende, de Dalton bende, enz. De handelingen van deze kinderen zijn vandalisme op zijn best en waarschijnlijk overtreding en diefstal in het slechtste geval. … Ik heb gezien hoe kinderen getuigen voor het Congres. Het is duidelijk dat ze volledig bewust van de ernst van hun daden. "

De programmeur subcultuur van hackers ziet secundaire omzeilen van beveiligingsmechanismen als legitiem is als dit gebeurt om praktische belemmeringen te krijgen uit de weg voor het doen van feitelijke werk. In speciale vormen, kan dat zelfs een uitdrukking van speelse slimheid. Echter, de systematische en primaire betrokkenheid bij dergelijke activiteiten is niet een van de werkelijke belangen van de programmeur subcultuur van hackers en het heeft geen betekenis hebben in de feitelijke werkzaamheden, niet. Een ander verschil is dat, historisch gezien, de leden van de programmeur subcultuur van de hackers werkten bij academische instellingen en daar gebruikte de computer-omgeving. In tegenstelling, de prototypische computerbeveiliging hacker toegang had uitsluitend betrekking op een computer thuis en een modem. Maar sinds het midden van de jaren 1990, met home computers die zou kunnen draaien Unix-achtige besturingssystemen en met goedkope internet thuis toegang tot het beschikbaar zijn voor de eerste keer, veel mensen van buiten de academische wereld begonnen om deel te nemen in de programmer subcultuur van het hacken.

Sinds het midden van de jaren 1980, zijn er enkele overlappingen in de ideeën en de leden met de computer security hacking community. De meest prominente geval is Robert T. Morris, die een gebruiker van MIT-AI, maar toch schreef de Morris worm. De Jargon File pleit dan ook hem "een echte hacker die geblunderd". Niettemin is de leden van de programmeur subcultuur hebben de neiging om neer te kijken op en vanuit deze overlappingen te distantiëren. Zij gewoonlijk verwijzen denigrerend om mensen in de computer security subcultuur als crackers, en weigeren elke definitie van hacker dat dergelijke activiteiten omvat accepteren. De computer security hacking subcultuur aan de andere kant heeft de neiging om geen onderscheid te maken tussen de twee subculturen als hard, in plaats daarvan te erkennen dat ze veel gemeen hebben met inbegrip van vele leden, politieke en sociale doelen, en een liefde voor leren over techniek. Ze beperken het gebruik van de term cracker om hun categorieën van script kiddies en zwarte hoed hackers plaats.

Alle drie de subculturen zijn de relaties met hardware aanpassingen. In de vroege dagen van het netwerk van hacking, werden phreaks bouw blauwe dozen en diverse varianten. De programmeur subcultuur van hackers heeft verhalen over verschillende hardware hacks in de folklore, zoals een mysterieuze 'magic' switch aangesloten op een PDP-10 computer in MIT's AI lab, dat, wanneer uitgeschakeld, crashte de computer. De vroege hobbyist hackers bouwden hun thuiscomputers zelf uit bouwpakketten. Toch hebben al deze activiteiten stierven tijdens de jaren 1980, toen de telefoon netwerk overgestapt op digitaal geregelde schakelborden, waardoor het netwerk hacken om over te schakelen naar dialing externe computers met modems, toen voorgemonteerd goedkope home computers beschikbaar waren, en toen academische instellingen begon te geven individuele massa geproduceerde workstation computers aan wetenschappers in plaats van een centraal timesharing-systeem. De enige soort van wijdverspreide hardware wijziging is tegenwoordig case modding.

Een ontmoeting van de programmeur en de computer security hacker subcultuur zich aan het eind van de jaren 1980, toen een groep van computerbeveiliging hackers, sympathiseren met de Chaos Computer Club (die ontkende dat kennis in deze activiteiten), brak in computers van Amerikaanse militaire organisaties en academische instellingen. Zij de gegevens van deze machines verkocht aan de Sovjet-geheime dienst, een van hen om zijn drugsverslaving te financieren. De zaak kan worden opgelost wanneer Clifford Stoll, een wetenschapper die werkt als systeembeheerder, manieren gevonden om de aanvallen te registreren of om hen terug te vinden (met de hulp van vele anderen). 23, een Duitse film aanpassing met fictieve elementen, worden de gebeurtenissen van de aanvallers 'perspectief. Stoll beschreven het geval in zijn boek The Cuckoo's Egg en in de tv-documentaire The KGB, de computer, en Me uit de andere perspectief. Volgens Eric S. Raymond, is het "mooi illustreert het verschil tussen 'hacker' en 'kraker'. Stoll's portret van zichzelf, zijn vrouw Martha, en zijn vrienden in Berkeley en op het internet schetst een prachtig levendig beeld van hoe hackers en de mensen om hen heen willen wonen en hoe ze denken. "