'Hackwedstrijden zijn beste beveiligingstest'
Experts leren van elkaar tijdens Defcon-conferentie
05 augustus 2003 | Jeff Ronge
De Amerikaanse overheid blijft praten over de aanpak van misdaad via computers. Tijdens de Defcon-conferentie deze week in Las Vegas leren beveiligingsexperts, waaronder medewerkers van federale overheden, echter hoe ze netwerken moeten verdedigen door systemen te hacken.
Deze oefening is onderdeel van een Capture the Flag-achtig spel dat bij hackers bekend is als Root Fu. In de wedstrijd, een vast onderdeel van de jaarlijkse conferentie, nemen acht teams het tegen elkaar op in een test van hun vaardigheden in het aanvallen en verdedigen van netwerken. Elk team moet hun eigen server en de daarop draaiende applicaties beschermen en tegelijkertijd proberen in te breken op de servers van de andere zeven teams.
"Dit soort wederzijdse beproevingen laat zien wat er mogelijk is, en wat niet, op beveiligingsgebied", vertelt Crispin Cowan, hoofdonderzoeker bij Immunix, een in Linux-beveiliging gespecialiseerd bedrijf, en leider van het aan de wedstrijd deelnemende Immunix-team. "Wij vinden deze wedstrijd zeer waardevol, omdat we denken dat dit een betere evaluatie van onze beveiligingsmogelijkheden is dan de gebruikelijke methodes."
Cowans uitspraken conflicteren met de harde uitspraken van hooggeplaatste Amerikaanse volksvertegenwoordigers, die hackers nog steeds alleen als een bedreiging zien. Wetten als de beruchte Digital Millennium Copyright Act (DMCA) en de Cybersecurity Enhancement Act (CSEA) zijn in beginsel gericht op het straffen van hackers. Maar gewaardeerde beveiligingsexperts zien het onderhouden van zulke vaardigheden door Root Fu-achtige uitdagingen als een broodnodige manier om beveiligingen te verbeteren.
"De realiteit is dat er bij overheden op topniveau wel vijandigheid bestaat, maar de mensen met kennis van zaken komen wel gewoon naar deze conferentie", zegt Adam Shostack, chief technology officer van beveiligingsbedrijf Informed Security.
Elk team moest vijf webdiensten draaiende houden op een server met de Unix-variant BSD. De diensten bestonden uit de muziekstreaming-applicatie IceCast, een nieuwsportal gebaseerd op Slashcode, twee advertenties en een multi-user tekstgebaseerde role-playing game genaamd FurryMuck. Elk team kon punten verdienen door de diensten beschikbaar te houden. Hoe langer een dienst beschikbaar was, hoe meer punten het beherende team kreeg. Zodra een dienst succesvol werd aangevallen verloor het team dat de dienst beheerde punten.
Alan Harper is ontwikkelaar bij de Defense Information Systems Agency (DISA), de beveiligingsafdeling van de Defense Communications Agency (DCA). Deze organisatie is ontstaan toen de communicatiedivisies van de Amerikaanse landmacht, luchtmacht en marine zijn samengevoegd. Harper vindt dat wedstrijden als Root Fu laten zien dat hacken niet per definitie slecht of misdadig is.
"De kennis van het begrip 'ethisch hacken' wordt steeds groter", zegt de defensiespecialist. "De techniek is hetzelfde, maar de bedoeling is anders. Het is niet zo dat wij dit soort activiteiten tijdens ons werk stiekem uitvoeren als de baas niet kijkt."
Lees meer artikels over :
hack, beveiliging, aanval
bron: ZDNet / CNet Asia
