Jun 02

Sweet child o’ mine

Lyrics No Comments »
    Change language to:

 She’s got a smile that it seems to me
Reminds me of childhood memories
Where evrything
Was as fresh as the bright blue sky
Now and then when I see her face
She takes me away to that special place
And if I stared too long
I’d probably break down and cry

Sweet child o’ mine
Sweet love of mine

She’s got eyes of the bluest skies
As if they thought of rain
I hate to look into those eyes
And see an ounce of pain
Her hair reminds me of a warm safe place
Where as a child I’d hide
And pray for the thunder
And the rain
To quietly pass me by

Sweet child o’ mine
Sweet love of mine

Where do we go
Where do we go now
Where do we go
Sweet child o’ mine
Continue reading »

written by Remko

Jun 02

Patience

Lyrics No Comments »
    Change language to:

 1,2,1,2,3,4
(whistle)
Shed a tear ’cause I’m missin’ you
I’m still alright to smile
Girl, I think about you every day now
Was a time when I wasn’t sure
But you set my mind at ease
There is no doubt
You’re in my heart now

Said, woman, take it slow
It’ll work itself out fine
All we need is just a little patience
Said, sugar, make it slow
And we come together fine
All we need is just a little patience
(patience)
Mm, yeah

I sit here on the stairs
‘Cause I’d rather be alone
If I can’t have you right now
I’ll wait, dear
Sometimes I get so tense
But I can’t speed up the time
But you know, love
There’s one more thing to consider

Said, woman, take it slow
And things will be just fine
You and I’ll just use a little patience
Said, sugar, take the time
‘Cause the lights are shining bright
You and I’ve got what it takes
To make it, We won’t fake it,
I’ll never break it
’cause I can’t take it

(whistle)
…little patience, mm yeah, mm yeah
need a little patience, yeah
just a little patience, yeah
some more patience, yeah
need some patience, yeah
could use some patience, yeah
gotta have some patience, yeah
all it takes is patience,
just a little patience
is all you need *

I BEEN WALKIN’ THE STREETS AT NIGHT
JUST TRYIN’ TO GET IT RIGHT
HARD TO SEE WITH SO MANY AROUND
YOU KNOW I DON’T LIKE
BEING STUCK IN THE CROWD
AND THE STREETS DON’T CHANGE
BUT BABY THE NAME
I AIN’T GOT TIME FOR THE GAME
‘CAUSE I NEED YOU
YEAH, YEAH, BUT I NEED YOU
OO, I NEED YOU
WHOA, I NEED YOU
OO, ALL THIS TIME **
(ah)
Continue reading »

written by Remko

Jun 02

Child in time

Lyrics No Comments »
    Change language to:

Sweet child in time you’ll see the line
The line that’s drawn between the good and the bad
See the blind man shooting at the world
Bullets flying taking toll
If you’ve been bad, Lord I bet you have
And you’ve not been hit by flying lead
You’d better close your eyes and bow your head
And wait for the ricochet
Continue reading »

written by Remko

Jun 02

Speed King

Lyrics No Comments »
    Change language to:

Good Golly, said little Miss Molly
When she was rockin’ in the house of blue light
Tutti Frutti was oh so rooty
When she was rockin’ to the east and west
Lucille was oh so real
When she didn’t do her daddies will
Come on baby, drive me crazy–do it, do it

     I’m a speed king you go to hear me sing
     I’m a speed king see me fly

Saturday night and I just got paid
Gonna fool about ain’t gonna save
Some people gonna rock some people gonna roll
Gonna have a party to save my soul
Hard headed woman and a soft hearted man
They been causing trouble since it all began
Take a little rice take a little beans
Gonna rock and roll down to New Orleans

[repeat first two stanzas in inverse order]
Continue reading »

written by Remko

Jun 02

Ipchains example

Downloads No Comments »
    Change language to:

  

#!/bin/sh###################################################################### This is a firewall design by Firewalladministrator.org#####################################################################

echo "Trying to start script...."

###################################################################### Functions, {Save us a hell lot of writing time}#####################################################################function firewall_start_nat(){        IPCHAINS=/sbin/ipchains        IPCMD="$IPCHAINS"        ADD="$IPCMD -A"        FORWARD="$IPCMD -A forward"

        $FORWARD -s 192.168.0.0/24 -j MASQ}

function firewall_start_rules(){

        IPCHAINS=/sbin/ipchains        IPCMD="$IPCHAINS"        ADD="$IPCMD -A"        ADDIN="$IPCMD -A input"        ADDOUT="$IPCMD -A output"

        SSHINTIPS="192.168.0.1 192.168.0.2"

	LOCNET="192.168.0.0/24"        ME="192.168.0.1"        IP1="192.168.0.5"        IP3="172.16.0.1"

        $ADDIN -p tcp -y -s $LOCNET -d ! $ME -i eth1 -j ACCEPT

        for IP in $SSHINTIPS; do        $ADDIN -p tcp -y -s $IP -d $ME 22 -i eth1 -j ACCEPT        done

        $ADDIN -p tcp -y -i eth1 -j REJECT

        $ADDIN -p udp -s $LOCNET -i eth1 -j ACCEPT        $ADDIN -p udp -i eth1 -j REJECT

        $ADDIN -p icmp --icmp-type echo-request -s $LOCNET -i eth1 -j ACCEPT        $ADDIN -p icmp --icmp-type time-exceeded -s $LOCNET -i eth1 -j ACCEPT        $ADDIN -p icmp --icmp-type parameter-problem -s $LOCNET -i eth1 -j ACCEPT        $ADDIN -p icmp --icmp-type destination-unreachable -s $LOCNET -i eth1 -j ACCEPT        $ADDIN -p icmp --icmp-type echo-reply -s $LOCNET -d $ME -i eth1 -j ACCEPT        $ADDIN -p icmp -i eth1 -j REJECT

        $ADDIN -s ! $LOCNET -i eth1 -j REJECT

        $ADDOUT -d $LOCNET -i eth1 -j ACCEPT

        ##### IP1 on int interface        $ADDIN -p udp -d $IP1 -j ACCEPT

        $ADDIN -p icmp --icmp-type echo-reply -d $IP1 -j ACCEPT        $ADDIN -p icmp --icmp-type time-exceeded -d $IP1 -j ACCEPT        $ADDIN -p icmp --icmp-type parameter-problem -d $IP1 -j ACCEPT        $ADDIN -p icmp --icmp-type destination-unreachable -d $IP1 -j ACCEPT        $ADDIN -p icmp -d $IP1 -j DENY

        $ADDOUT -p tcp -s $IP1 -j ACCEPT        $ADDOUT -p udp -s $IP1 -j ACCEPT        $ADDOUT -p icmp --icmp-type echo-reply -s $IP1 -j ACCEPT        $ADDOUT -p icmp --icmp-type time-exceeded -s $IP1 -j ACCEPT        $ADDOUT -p icmp -s $IP1 -j DENY

        #IP on ext interface        $ADDIN -p tcp -y -d $IP3 25 -j ACCEPT        $ADDIN -p tcp -y -d $IP3 8000 -j ACCEPT        #ftp        $ADDIN -p tcp -y -s 0.0.0.0/0 -d $IP3 20:21 -j ACCEPT                    #ssh ext        $ADDIN -p tcp -y -s 0.0.0.0/0 -d $IP3 22 -j ACCEPT                      $ADDIN -p tcp -y -d $IP3 -j DENY

        $ADDIN -p udp -d $IP3 -j ACCEPT

        $ADDIN -p icmp --icmp-type echo-reply -d $IP3 -j ACCEPT        $ADDIN -p icmp --icmp-type time-exceeded -d $IP3 -j ACCEPT        $ADDIN -p icmp --icmp-type parameter-problem -d $IP3 -j ACCEPT        $ADDIN -p icmp --icmp-type destination-unreachable -d $IP3 -j ACCEPT        $ADDIN -p icmp -d $IP3 -j DENY

        $ADDOUT -p tcp -s $IP3 -j ACCEPT        $ADDOUT -p udp -s $IP3 -j ACCEPT        $ADDOUT -p icmp --icmp-type echo-request -s $IP3 -j ACCEPT        $ADDOUT -p icmp --icmp-type time-exceeded -s $IP3 -j ACCEPT        $ADDOUT -p icmp --icmp-type parameter-problem -s $IP3 -j ACCEPT        $ADDOUT -p icmp --icmp-type destination-unreachable -s $IP3 -j ACCEPT        $ADDOUT -p icmp -s $IP3 -j DENY

}function firewall_start_complete(){        firewall_start_nat        firewall_start_rules}

###################################################################### Stopping the firewall#####################################################################function firewall_stop_nat(){        ipchains -F forward}

function firewall_stop_rules(){        ipchains -F input        ipchains -F output}

function firewall_stop_complete(){        firewall_stop_nat        firewall_stop_rules}###################################################################### Listing the firewall rules#####################################################################function firewall_list_nat(){        ipchains -L forward}

function firewall_list_rules(){        ipchains -L input        ipchains -L output}

function firewall_list_complete(){        ipchains -L}

###################################################################### The script control options# Without this you would needed some more actions :-) #####################################################################case "$1" in        start)                case "$2" in                rules)                firewall_start_rules                echo "Starting firewall script rules"                logger "Loaded firewall rules"                ;;                nat)                firewall_start_nat                echo "Starting firewall script nat rules"                logger "Loaded firewall nat rules"                ;;                *)                firewall_start_complete                echo "Starting firewall script"                logger "Starting firewall/nat script"                ;;                esac        ;;        stop)                case "$2" in                firewall)                firewall_stop_complete                echo "The firewall stopped completely"                logger "Stopped the firewall/nat script totally"                ;;                nat)                firewall_stop_nat                echo "Flushed the nat rules"                logger "The firewall nat rules were flushed!"                ;;                rules)                firewall_stop_rules                echo "Flushed the rules"                logger "Firewall rules are flushed!"

                ;;                help)                echo "The following options can be given during startup"                echo "rules -> stops the rule firewall"                echo "nat   -> stops the nat firewall"                echo "nothing -> stops the entire firewall"                echo "firewall -> stops the entire firewall"                ;;                *)                firewall_stop_complete                echo "The firewall stopped completely"                logger "Stopped the firewall/nat script totally"                ;;                esac        ;;        list)                case "$2" in                nat)                echo "Listing nat"                firewall_list_nat                ;;                rules)                echo "Listing rules"                firewall_list_rules                ;;                *)                firewall_list_complete                ;;        ;;        *)                echo "Usage (start|stop|list)"                exit 1;        ;;esacexit 0###################################################################### End of script#####################################################################

 

Continue reading »

written by Remko

Jun 02

Swatch example file (logfile automation)

Downloads No Comments »
    Change language to:

 

#

# Swatch configuration file for Linux box

#

# Last Modified 7 April, 2000

# Lance Spitzner 

#

# swatch -c /etc/swatchrc -t /var/log/messages

#


### Snort honeypot alerts from firewall

watchfor /IDS/

 echo bold

 mail addressess=admin,subject=— Snort IDS Alert —

 exec echo $0 >> /var/log/IDS-scans

 throttle 01:00 use=IDS27


watchfor /PORTSCAN DETECTED/

 echo bold

 mail addresses=admin,subject=— Snort Port Scan Alert —

 exec echo $0 >> /var/log/IDS-scans


### DNS zone transfers

watchfor /approved AXFR/

 echo bold

 mail addresses=admin,subject=— Zone transfer Alert —

 exec echo $0 >> /var/log/IDS-scans


#########################################################

#       EXAMPLES    #

#########################################################


### Bad login attempts

# watchfor   /failed/

#        echo bold

#        mail addressess=root,subject=Failed Authentication


### Some is sniffing!

# watchfor   /promiscuous/

#        echo bold

#        mail addressess=root,subject=Someone is sniffing the network!


### Ignore this stuff

# ignore   /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/


### Kernel problems or system reboots

# watchfor   /(panic|halt|SunOS Release)/

#        echo bold

#        mail addresses=root,subject=System Panic,Halt, or Reboot!


# watchfor   /file system full/

#        echo bold

#        mail addresses=root,subject=File system Full

#        throttle 01:00


# watchfor   /su:/

#        echo bold

#        mail addresses=root,subject=Someone sued to root access

Continue reading »

written by Remko

Jun 02

Logfile Automation (Dutch)

Downloads No Comments »
    Change language to:

 Hoe automatiseer je je logfile filtering?
Je logfiles in de gaten houden.
Lance Spitzner
Last Modified: 19 July, 2000
Translated: 13 December, 2003

Logs zijn erg belangrijk om je systeem succesvol te kunnen draaien. Ze vertellen ons wat er wel, en wat er niet gebeurd. Aan de andere kant, logs kunnen erg overvloedig zijn, ons snel overdonderen met infomratie. Ze worden snel waardeloze logfiles die disk space innemen. Dit artikel laat zien hoe we dit kunnen oplossen door geautomatiseerde logfile filtering te doen. Hierdoor heb je meer tijd, en krijg je alleen de informatie die je wilt.
 


Filtering
Logs zijn een geweldig bezit, echter ze worden vaak genegeerd. Je hebt te weinig tijd om ze door te nemen, zou het niet geweldig zijn om dit proces te automatiseren, een proces dat de logfiles voor jouw bekijkt, en jouw alleen de informatie geeft die je nodig hebt. Dat is precies wat we hier gaan doen. Ik ga laten zien hoe je je logs filtered voor de informatie die je nodig hebt, en daarna laat ik zien hoe we dat alarmeren.


Het eerste deel van dit artikel laat zien hoe je een plan maakt over wat je wilt filteren, en hoe je gealarmeerd wilt worden. Het tweede deel zal de filtering implementeren. Voor dit artikel, zal ik gebruik maken van Swatch als filter, dit is geschreven door Todd Atkins. We zullen ook sendmail logs gebruiken als voorbeeld voor het filtering proces. Je kunt deze richtlijnen echter op allerlei logs toepassen.


Where to begin
Het beste kun je starten met een plan. Er zijn hiervoor 3 stappen nodig. De eerste stap is definieren wat je wilt zien, welke informatie je nodig hebt uit je systeemlogging. De tweede stap is bepalen welke logfiles deze informatie bevatten. De derde stap is het bepalen van de trigger, wat definieerd de kritische informatie?


Bijvoorbeeld: Laten we zeggen dat je bezorgd bent over de veiligheid van je sendmail, specifieker, je wilt weten wanneer iemand jouw mailserver probeerd te gebruiken als spam-relay. Je wilt ook weten wanneer iemand probeerd om ongeautoriseerde informatie te verschaffen door middel van SMTP commando’s, zoals expn. We hebben nu de eerste stap volbracht in ons stappenplan.


De tweede stap is bepalen wat de bron is, of welke logfile deze informatie bevat. De beste plek om dit te vinden is /etc/syslog.conf, deze configuratie file laat zien welke informatie waarheen gelogged wordt. Voor mail bijvoorbeeld zien we dat alle mail informatie vestuurd wordt naar /var/log/syslog op ons Solaris systeem (/var/log/maillog voor Linux).


goalith #cat /etc/syslog.conf | grep mail
 mail.debug ifdef(`LOGHOST’, /var/log/syslog, @loghost)


De laatste stap is bepalen wat de trigger is. Welke specifieke regel in de logfile bepaald de informatie die we zoeken. Voor sendmail zijn we op zoek naar twee triggers.



  1. De trigger die ongeautoriseerde ip adressen laat zien die onze mailserver als mail-relay willen gebruiken.

  2. De trigger die laat zien wanneer iemand probeerd het expn commando te gebruiken welke is uitgeschakeld.


De beste manier om de trigger te bepalen is om het incident na te bootsen wanneer je je logfiles bekijkt met /usr/bin/tail. Als je dit niet kan doen op een productie systeem, zoek dan een test machine waar je de trigger op kan nabootsen. Allereerst, laten we het incident nabootsen voor de eerste trigger. Ongeautoriseerd gebruik van je mailserver als mail-rely. Vanaf een ongeautoriseerd ipadres, proberen we de mailserver als relay te gebruiken. Met /usr/bin/tail zien we de logregel in /var/log/syslog (Verwijzing naar Figure A).


Hier zien we een error melding van iemand bij moo.com die probeerd email over onze mailserver te relayen, een potentieel teken van spam. Dit is de trigger voor ongewenste mail-relay. Let op de eror, deze laat ook het ip-adres zien, welke het afkomst domain bepaald.


Laten we nu de tweede trigger na bootsen, ongeautoriseerd gebruik van het expn commando. Telnet naar de SMTP port en voer expn uit. Volg ondertussen de /var/log/syslog file met tail Refer to Figure B).


We zien een error melding van iemand bij mook.com die probeerd de gebruikersnaam root uit te klappen. Dit is de trigger voor als iemand probeerd het expn commando probeerd te exploiten. Let op de error, deze laat ook het ip-adres zien, welke het afkomst domain bepaald.


We hebben nu de eerste drie stappen gedaan in ons stappenplan voor geautomatiseerde logfile filtering. We hebben eerst gedefinieerd welke informatie belangrijk voor ons is, ongeautoriseerd gebruik van onze mailserver als mail-relay en het gebruik van het expn commando.  Hierna hebben we de logfiles gedefinieerd welke deze informatie bevatte, /var/log/syslog. Als laatste hebben we gedefinieerd welke triggers er zijn door de incidenten na te bootsen. We zijn nu klaar om onze geautomatiseerde logfile filtering te bouwen.
 


SWATCH
SWATCH, “The Simple WATCHer and filter”, is een perl programma ontwikkeld door Todd Atkins welke je realtime je logfiles volgt. Swatch volgt je logs en zoekt op bepaalde triggers, wanneer deze triggers gevonden worden geeft swatch een alarm af op een door jouw bepaalde manier. In ons geval gaan we implementeren dat swatch ons alarmeerd wanneer iemand aan het rommelen is met onze sendmail.


Het programma is extreem makkelijk om te installeren. Swatch komt met een handig installatie script dat alle libraries, handleidingen en perl bestanden naar de juiste directories copieerd. Wellicht moet je een aantal perl modules compileren en installeren, het installatie script laat je dit weten. Wanneer je klaar bent met installeren, is het enigste dat overblijft het maken van een configuratie bestand en dan het programma opstarten. Je kan Swatch downloaden vanaf deze locatie.


Het configuratie bestand, geheten swatchrc, is het hart van Swatch. Dit tekst bestand verteld swatch welke logfiles hij in de gaten moet houden, welke triggers er zijn, en wat hij moet doen als hij een trigger waarde tegenkomt. Swatch werkt door te zoeken in de logfile met behulp van regular expressions die de trigger waarde zoekt gedefinieerd in swatchrc. Wanneer er een trigger waarde gevonden wordt, start het de alarmerings procedure gedefinieerd in swatchrc. Swatch monitored de files in realtime, gebruik makende van /usr/bin/tail.


We zullen nu een swatchrc bestand maken voor onze sendmail logging welke we hierboven besproken hebben. Het doel is om sendmail emailtjes te laten versturen wanneer iemand met onze mailserver rommelt. We hebben al eerder besloten dat dit ongeautoriseerde pogingen tot mail-relay zijn en ongeautoriseerd gebruik van het expn commando. De opbouw van een swatchrc bestand is als volgend. Het bestaat uit vier velden, de eerste twee velden zijn verplicht. De laatste twee zijn optioneel. Het eerste veld is


/patroon/patroon/


Hier is patroon een reguliere expressie waar swatch naar zoekt. Dit is onze trigger. Het tweede veld is


Action,action

written by Remko

Jun 02

Intrusion detection (Dutch)

Downloads No Comments »
    Change language to:

 Intrusion Detection
Weten wanneer er iemand op je deur klopt.

Lance E. Spitzner


Wat is intrusion detection: Intrusion detection is het detecteren van verkeer dat bij jouw naar binnen probeert te komen. Ook kan je netwerk gescanned worden op programmeerfouten in applicaties die je hebt draaien. Dat kan EEN keer per maand gebeuren maar ook twee keer per dag dat varieert van systeem tot systeem. Er zijn mensen die je netwerk trachten binnen te komen door naar programmeerfouten in je applicaties te zoeken. Dit kan ik met zekerheid zeggen omdat ik nog nooit een netwerk dat aan internet hangt tegen gekomen ben dat niet op programmeerfouten onderzocht is. Mijn persoonlijke netwerkje bestaat uit zes systemen. Deze zitten op een vaste ISDN lijn. Dit netwerk bevat geen belangrijke data, noch is het in bezit van een organisatie/bedrijf. Toch probeert men twee tot vier keer per week om op mijn netwerk in te breken. Zodra je een systeem of netwerk aan internet hebt hangen wordt je ongetwijfeld een doel. Dit artikel zal laten zien hoe je jezelf kan verdedigen door het zien van inbreek pogingen. Hierna zal ik uitleg geven over wat je zoal kunt doen als deze pogingen gezien worden.


Het opzetten van een Intrusion Detection systeem


De methodes die ik ga uitleggen zijn simpel in het gebruik en makkelijk te installeren. Voor grotere of meer op security gerichte bedrijven is het misschien handig om een externe partij te gebruiken voor Intrusion Detection systemen, zoals Network Flight Recorder (http://www.nfr.net/nfr). Deze uitgebreidere IDS systemen onderzoeken verkeer en gebruiken geavanceerde algoritmes om te kijken of er een inbraak poging geweest is. Onze aanpak zal wat simpeler zijn.


Er zijn verschillende dingen die een hacker zal proberen uit te voeren. Het eerste ding is EEN van de meest voorkomende: portscans. Portscans zijn programma’s die gestart worden door individuelen waarbij gekeken wordt welke poorten op je systeem open staan. Deze scans kunnen plaatsvinden op een enkel systeem maar ook op een heel netwerk. Dit wordt vaak gemixed. Dit is de meest populaire methode gebruikt door hackers om te zien wat er open staat aan poorten en services.


Om deze scans te zien, bouwen we een systeem dat ons emailt wanneer iemand verbinding maakt op een vooraf bepaalde poort. Allereerst, identificeren we drie tot vijf van de meest gescande poorten. Als een potentiele indringer ons netwerk onderzoekt op fouten in applicaties, zal hij waarschijnlijk de systemen treffen die open poorten hebben. Als deze poorten gescanned worden, zal de poging gelogged worden, en wordt er een actie gestart die we van te voren bepaald hebben. Hierna kan er een email verstuurd worden naar een contactpersoon.


Het eindresultaat is dat je een email krijgt voor elke poort die gescanned is. Als je 3 systemen hebt, elk luisterend op vier poorten, dan kan je 12 emails krijgen van een enkele netwerk portscan. Echter dit normaal is dit niet het geval. Als hackers een compleet netwerk scant zoeken ze meestal op een enkele fout in de applicatie, zoals imap(port 143). In dit geval zouden we maar drie emails krijgen, EEN van elk systeem. Als een enkel systeem gescanned wordt, gebruiken ze meestal een range van poorten, zoals 1-1024. In dat geval zouden we maar vier emails krijgen, EEN voor elke poort op het systeem. Gebaseerd op de emailtjes die je ontvangt kan je snel achterhalen waar de indringer op uit is. Zie Figuur 1.


Om deze methode te implementeren moeten we eerst twee tot drie systemen aanwijzen die gaan monitoren. Meestal kies ik DNS servers omdat deze veelal het primaire doel zijn. Veel scan programma’s scannen eerst DNS servers om een database van IP adressen te maken. Selecteer hierna drie tot vijf van de meest gescande poorten. Zoek wel uit of je deze poorten niet reeds gebruikt. Elke keer als iemand verbinding maakt met de poorten zal je gealarmeerd worden. Om te weten welke poorten het meest gescanned worden kan je beginnen met zoeken bij CERT. Je kan deze alarms vinden op http://www.cert.org. De poorten die wij gaan gebruiken zijn:


imap (port 143)
SMB (port 139)
login (port 513)
http (port 80)


Ik vind deze poorten handig omdat hackers meestal naar deze poorten zoeken. Maar de meeste systemen van jouw zullen deze niet gebruiken. Zorg ervoor dat de poorten niet reeds geblokkeerd worden door een filterende router of een firewall. We zullen verschillende systemen laten luisteren op deze poorten, ons een alarm gevend wanneer er een connectie plaatsvind.


Onze implementatie gebruikt TCP Wrappers. TCP Wrappers is gebouwd door Wietse Venema. De applicatie TCP Wrappers staat ons toe om controle uit te voeren, te loggen, en de meest belangrijke, te reageren op elke gewrapte service. Als iemand verbinding maakt met de services die we hierboven gedefineerd hebben zal TCP Wrappers de connectie loggen (via syslog) en daarna ons alarm systeem activeren.


Voor diegenen die nog geen TCP Wrappers hebben geinstalleerd, zou ik dit aanbevelen te installeren. Het is extreem makkelijk om te compileren, configureren en implementeren. Je kan het vinden bij veel tool sites zoals ftp://ftp.cerias.purdeu.edu/pub/tools/unix. Voor je het compileert, zet je de language extensions aan in de Makefile (Dit geeft verbeterde configuratie mogelijkheden. We zullen deze mogelijkheid gebruiken voor Instrusion Detection doeleinden. Voor meer informatie over hoe je TCP Wrappers installeert, raad ik je aan mijn artikel “Armoring Solaris” te lezen.


Wanneer we TCP Wrappers hebben gecompileerd en geinstalleerd, willen we onze vier poorten wrappen. De poorten moeten eerst gedefineerd worden in /etc/services en daarna toegevoegd in /etc/inetd.conf.


imap stream tcp nowait root /usr/local/bin/tcpd imap.trap


Wanneer iemand een poging doet om op poort 143 verbinding te maken, accepteerd tcpd de verbinding van inetd. Daarna kijkt het in /etc/hosts.allow of de verbinding geaccepteerd is. Deze file geeft aan welke verbindingen ons alarm systeem mogen starten. Hierna zal het imap.trap starten. Je zal imap.trap moeten hernoemen voor elke aparte service, zoals http.trap voor http, smb.trap voor smb. Hieronder volgt een voorbeeld van een regel in /etc/hosts.allow, Dit is de regel die ons alarmeerd van een mogelijk onderzoek op onze applicaties.


imap.trap: ALL: spawn (/var/adm/ids.sh %d %h %H)


Dit vertelt tcpd om alle verbindingen te accepteren op poort 143 ongeacht het IP, daarna starten we ons intrusion detection script, het script dat ons alarmeert. We willen dit lokaal starten ipv met ‘twist’. Deze gebruikt de externe client voor alle standaard output en standaard error output. De drie uitbreidingen volgend op de ids.sh file (gedefineerd door TCP Wrappers) worden inline variabelen.


Het script (/var/adm/ids.sh) is waar alle actie zal plaats vinden. Deze kan je aanpassen aan je eigen persoonlijke smaak. Ik heb een voorbeeld bijgevoegd dat de data verwerkt, een safe_finger uitvoert op de client, onze contactpersoon emailt, en optioneel wordt snoop(tcpdump) gestart om verdere acties uit te voeren. zie figuur 2.


Wanneer nu iemand met onze vooraf gedefineerde poorten connectie maakt, krijgen we een vooraf gedefineerde email met alle kritische data erin. Bijvoorbeeld, een gebruiker scanned ons netwerk op poort 143 op imap zwakheden. Drie van onze systemen luisteren op die poort. De verbinding wordt gemaakt en tcpd wordt gestart. Het programma kijkt in /etc/hosts.allow, en vind een regel met imap.trap erin. Het start ons Intrusion Detection script (/var/adm/ids.sh), welke de data verwerkt, de client fingered en een alarm naar ons emailt. We hebben ook de optie om extra tools te starten, in dit voorbeeld snoop(tcpdump). Wat als laatste gebeurd is dat tcpd probeert /usr/sbin/imap.trap te starten, welke hij niet kan vinden. Tcpd stopt er dan mee een error die in syslog terug te vinden is. Om dit te voorkomen kunnen we een shell script maken /usr/sbin/imap.trap, welke niets doet maar gewoon exit.


EEN ding waar we rekening mee moeten houden is Denial of Service(DoS) attacks. Des te meer scripts je activeert, des te meer systeemresources je gebruikt. Een aanvaller kan je systeem buiten werking stellen door meerdere verbindingen te maken met de vooraf gedefineerde poorten, en daardoor meerdere processen starten van je scripts. Ik raad je aan als je een variateit aan acties defineert in je scripts dat je het aantal processen per afkomst ip limiteert.  Een simpele manier om dit te doen is greppen op de afkomst in je tcpdlog.  Als je de bron niet vindt is het de eerste keer dat het systeem je onderzoekt en start je het profiling script.  Als hij het ip adres wel vind heeft het systeem een eerdere poging gedaan, geef dan alleen een log melding.


Als alternatief voor het gebruik van TCP Wrappers heb je router logs. Veel van ons hebben niet de luxe om drie systemen in te zetten als Intrusion Detection systemen. Echter we kunnen de hierboven geschreven methode gebruiken op bijvoorbeeld je internet router. Weer selecteren we twee / drie systemen en drie tot vijf poorten die we monitoren. Bouw een ACL (Acces Control List) op je router die de gespecificeerde poorten en systemen tegenhoudt. Laat deze ACL alle verbindingen loggen naar een syslog server. Nu kan je geweigerd verkeer monitoren en snel zien of je netwerk gescanned wordt. Ik heb hier veel success mee gehad door dit in combinatie met Swatch te doen. Swatch automatiseert het filtering en alarm systeem.


De gegeven oplossingen zijn niet honderd procent zeker. Veel portscanners vandaag de dag bouwen geen volledige TCP verbinding op . Eigenlijk gebruiken veel scanprogramma’s foutieve pakketjes zoals FIN en Xmax scans. De methode die ik heb uitgelegd zal deze type verbindingen niet zien. Voor een meer robuust Instrusion Detection systeem heb je een geavanceerdere tool nodig, zoals tcplogd. Deze kan deze scans wel zien.


Er zijn andere manieren om Intrusion Detection te implementeren op je systeem. Nogmaals, eerst moet je de intrusion methode identificeren, daarna een volg en alarm procedure implementeren. Een voorbeeld zou zijn om een login te brute forcen. Vijf consequent mislukte pogingen om in te loggen worden gelogged in de file /var/adm/loginlog. Dit gebeurt als een cracker het systeem aan het onderzoeken is op zwakke login/password combinaties. Al mijn systemen draaien een dagelijkse cronjob die eventueel de inhoud van die file naar mij toemailt. Als die er zijn, heeft of: iemand zijn password vergeten en geprobeerd die te gokken het is een potentiele cracker die geprobeerd heeft brute forced in te loggen. De cronjob mailt mij de inhoud van de file, maakt een kopie en leegt vervolgens de logfile. Een ander voorbeeld is de standaard /cgi-bin/test-cgi aanval op webservers. In plaats van het uitzetten van dit cgi script, veranderd ik het zo dat het gelogt en naar mij gemailt wordt wanneer iemand dit uitprobeerd. Dit houdt meestal niets meer in dan het script aan te passen (wees er zeker van dat je dit test voor je het implementeert op je systeem!).


Zoals we behandeld hebben zijn er meerdere simpele manieren om simpele Intrusion Detection systemen te implementeren. Echter deze zijn niet voor de volle 100% veilig. De aangeleverde methodes helpen je om potentiele scans te identificeren en om je netwerk te verdedigen. Wel nu, wat doen we als we Intrusion Detection systemen geimplementeerd zijn en je erachter komt dat men je systemen onderzoekt?


Reageren op een mogelijke inbraak.


De eerste stap is bevestigen of je systeem echt onderzocht wordt. Ook al ontvang je een enkele email van je TCP Wrapper setup wil dat niet zeggen dat je gescanned wordt. Een verwarde gebruiker kan per ongeluk verbinding maken het met verkeerde systeem, of iemand heeft per ongeluk een typfoutje gemaakt. Niets is beschamender dan iemand beschuldigen terwijl die persoon het niet gedaan heeft. Echter als drie systemen consequent worden gescanned op dezelfde poort op dezelfde tijd zou dat kunnen aangeven dat je onderzocht bent. En nu?


Het laatste wat je wilt doen is een tegenaanval uitvoeren op het systeem om het uit de lucht te halen. Wanneer je netwerk gescanned wordt voel je je misschien gefrustreerd en wil je je frustratie uiten op het systeem dat je gescanned heeft. Omdat iemand aan het voorbereiden is om je te cracken zou je dan niet reageren? Echter wees voorzichtig met de manier waarop je reageert



  1. Je systemen kunnen inderdaad gescanned zijn maar het kan per ongeluk zijn. Vaak scannen grote organisaties hun interne netwerken en kantoren. Misschien heeft iemand het verkeerde netwerk gescanned (Persoonlijk weet ik dat dit gebeurd is bij een organisatie).

  2. Vaak hebben de verantwoordelijken voor het systeem geen idee wat er gebeurd is. Grote systemen met honderden gebruikers kan een gebruiker hebben die illegaal zijn of haar account gebruikt om andere netwerken te scannen. Of het systeem is gecracked en wordt gebruikt als scanhost. Wat het ook is, de admin van het systeem wilt graag weten wat er aan de hand is zodat het probleem opgelost kan worden.

  3. Het afkomst IP adres dat verschijnt in je logging kan een niet echt systeem zijn, misschien is het een “afleid” afkomst adres. Veel scantools staan de gebruiker toe om het afkomst IP adres te veranderen naar wat de gebruiker wilt. Je logging zegt misshien dat de scan van vijf verschillende systemen komt, terwijl het allemaal misschien wel van dezelfde machine komt. De gebruiker probeert zijn ware afkomst te verbergen door valse IP adressen te gebruiken. Het is daardoor extreem moeilijk om te achterhalen of de scans het doel hadden om zwakke services te vinden of niet. Ook kan de gebruiker zijn afkomst IP adres veranderd hebben om iemand anders de schuld in de schoenen te schuiven.
Zelfs met de beste bedoelingen kan je meer schade aanrichten dan goed is. Bijvoorbeeld, laten we zeggen dat je netwerk gescanned wordt en je komt erachter welke machine het is. Dat deze machine gecracked is gebruikt wordt als scanhost. Je identificeert welke backdoor de cracker heeft gebruikt om toegang te krijgen en gebruikt deze om toegang te verkrijgen. Je haalt alle tools en logging op van de persoon en gebruikt deze om de eigenaar te informeren en andere organisaties (CERT). Ook al denk je nu dat je goed gedaan hebt, heb je meer schade aangericht dan goed was.

  1. Heel waarschijnlijk heeft de hacker verschillende monitoring tools en logs vervangen. Hij kan ontdekken dat jij er was en maakt daarna het systeem schoon om zichzelf veilig te stellen (daardoor vernietigd hij het systeem en eventueel resterend bewijsmateriaal).

  2. Misschien wist de systeembeheerder er vanaf en was hij bezig met de autoriteiten. Je hebt nu net het onderzoek verstoord.

  3. Men kan je verantwoordelijk houden voor het crack incident. De systeem eigenaren kennen je niet en kunnen je beschuldigen van het inbreken in het systeem, en om jezelf te beschermen geef je de schuld aan iemand anders.
Feitelijk is er een hoop dat je mis kan doen, en er is weinig dat je goed kan doen als je op eigen houtje handeld. Het beste wat je kan doen is eerst zoveel mogelijk informatie verzamelen als mogelijk is. Bestudeer elke log die laat zien dat er scans waren van het afkomst IP adres. Probeer daarna de personen en/of organisatie te identificeren die verantwoordelijk zijn voor het incident. De whois database, dig, nslookup zijn perfecte methode’s om erachter te komen wie er verantwoordelijk is voor het systeem. Email de personen met details van wat er is gebeurd inclusief logging ter verificatie. Misschien wil je ook wel een cc sturen naar de provider van de organisatie om hen te informeren. Als de inbraken erg genoeg zijn, neem dan contact op met een professionele organizatie zoals CERT http:/www.cert.org of CIAC op http://www.ciac.org. Als de inbraak pogingen doorgaan zonder antwoord van de systeem eigenaren bel dan het bedrijf zelf. De telefoon kan een sterk middel zijn.

Conclusie


Vroeg of laat zullen jouw systemen en netwerken gescanned worden op zwakheden. Door wat voorzorgsmaatregelen te nemen kun je de acties loggen en identificeren. Wanneer ze geidentificeerd zijn, kan je de scans in de gaten houden en beter begrijpen wat voor risico’s je systemen en netwerken lopen. Hierdoor kan je ook beter reageren op de risico’s en bijvoorbeeld vroegtijdig patchen. Wanneer je iets identificeert, is het het beste om zoveel mogelijk informatie te krijgen, neem daarna contact op met de personen en het bedrijf dat verantwoordelijk is voor het systeem. Op eigen houtje reageren maakt het vaak erger en daardoor richt je meer schade aan dan goed is. Door samen te werken met anderen kom je tot een betere oplossing.


Figuur 1


Subject: ### Intrusion Detection Alarm ###


Je hebt dit alarm gehad omdat het netwerk
mogelijk gescanned wordt. Onderstaande informatie
is het pakket dat werd gelogt en gedropt.


Date: Sat Jan 24
Time: 18:47:46
Source: ICARUS.CC.UIC.EDU
Destination: lisa
Service: imap


— Finger Results —


[ICARUS.CC.UIC.EDU]


Login Name TTY Idle When Where


Spitzner Lance Everett Spitzn pts/72 Sun 18:42 lspitz-4.soho.entera
 


Figuur 2


#!/bin/ksh
#
# Script gestart door tcpd voor Intrusion Detection doeleinden
#


USER=lance@honeynet.org
SRV=`echo $1 | cut -f1 -d.`
DATE=`date “+%a %b %e”`
TIME=`date “+%T”`
FINGER=`/usr/local/bin/safe_finger @$2`


MAIL=/usr/bin/mail


$MAIL $USER <<EOF
Subject: ### Intrusion Detection Alarm ###


Je hebt dit alarm gehad omdat het netwerk
mogelijk gescanned wordt. Onderstaande informatie
is het pakket dat werd gelogged en gedropt.


Date: $DATE
Time: $TIME
Source: $2
Destination: $3
Service: $SRV


— Finger Results —


$FINGER


EOF


##### Als de service Imap is, laten we dan doorgaan en de sessie snoopen


if [ $SRV=imap ]; then


snoop -v -c 5000 -o /var/adm/$2_snoop.$$ $2 &


fi
 


Origineel document: Lance Spitzner
Vertaald document: Remko Lodder (Juni 2003)


Author’s bio
Lance Spitzner enjoys learning by blowing up his Unix systems at home. Before this, he was an Officer in the Rapid Deployment Force, where he blew up things of a different nature. You can reach him at lance@honeynet.org .


Continue reading »

written by Remko

Jun 02

Notes from Mostly-Harmless (first meeting)

Mostly-Harmless No Comments »
    Change language to:

  

Notulen PLATFORM September 14, 2002


Written by Remko Lodder (N1ghtW)


Attendended persons :

                RooT66: Frank, Bart, Stef, Jillis, Mitsai, Remko, Emiel, Gerard,

                Tom, Sepp

                Klaphek: Hans, Brenda

                Hackers4Hackers: Bas, Thijs

                Netric: ilja, Martijn, Casper

                Overigen: Peter, Steffen, Helena, Cliff, Tom.

Not Attended persons: mendel (BugBlue) (did inform us)


3 The Target of platform


3.1 Purpose

Frank says hi to all of us and directly asks us the first question:

What is the purpose of our PLATFORM?


After a reasonable discussion it was formulated that :

Platform has to be a community which improves technical

curiousity focused on the Netherlands.


After this some people shouted through the room about how to fill this purpose,

Frank commented:

We will discuss this later in this meeting.


3.2 image to the outside world


Frank also asked us about how we have to show ourselfs to the outside world:

Yet another discussion which resulted in:

PLATFORM has as image to the outside world:

‘At home we play, whatever we find will be published in a neath way’.


The discussion also resulted in:

We have to be OPEN to the outside world.

People must be able to see what is happening

inside the organisation, memberstructure and the rest of PLATFORM.


4 The filling in of PLATFORM


4.1


Ethics was scratched from the list as a standalone part,

and was inserted in every other point that was mentioned.

Ethics cant be given as a standalone part, it uses all the other points ,

as the opinion said.


Activities we came up with:


         Sociaal (Irc, Meetings)

         Knowledge (Howto’s)

         Projects (The thinking and executing of new ideas.)

         Matches (Hackme’s , Challenges)

         Public Relations (Giving out information to the press)


4.2 Relations to the gouvernement,media and company’s


Next it was need to discus how our relation to the gourvernement,

media and company’s has to be.

The answer was:

We start doing above steps when they come to us.

They will be redirected to our PR staff.

Each individual will redirect all questions etc to the PR staff which give out the

opinion of PLATFORM.


4.3 Organisation of PLATFORM


The next question that we came up with:

if PLATFORM exists how will it be coordinated?

That is a required part of the whole PLATFORM.

As a group we came up with the solution:

There will a core group of invididuals who will be the daily coordinators of PLATFORM.

These individuals will have regular meetings in which they discuss the continuance of

PLATFORM.


When needed they will also direct the persons which will fill in the commissions which

have to be formed, the reason for this is that it has to be done with a certain timeframe.

Futhermore there will be as said formed some commissions who will direct the persons in

the activity. Also they will be responsible for the success of a project.

These persons also claim resources for certain requests.


Now follows a question round, in which persons can decide in which commission

he will participate.

After that will be decided who will be in the core group.

The commissions are made will be related to the formed activity’s.


For Public Relations Helena en Stefje will lead.

For Social: Mitsai, Frank, Steffen

For Knowledge: Peter, Jillis, Brenda

For Challenges: Bas, Thijs, Ilja

For the Projects Coolvibe, Atje en Netric will be giving lead..


From the groups , Mitsai, Thijs, Atje, Helena, Jillis were chosen to be in the core group.


This group is now responsible for PLATFORM.


A break was issued to order some food.


5 Stop or Go opinion


While we wait for the food, there is a Stop / Go question round which motivation why:


Everybody actually said that we are willing to GO for it if persons are doing stuff for it,

nobody wants to do something of other persons from the team dont do anything about it.

That will be the main issue:

We are dependend on the activity’s from others and the core group has to give the

correct direction.


2 Persons did not agree with PLATFORM:

Bart, i dont agree with the filling in of PLATFORM,

Tom (Stimpy from the other’s team): I cant join more meetings and i dont have enough

time for it.


While everybody gave his opinion Bas thinks there are some doubts between

attendencees about the success of PLATFORM.

From experiences the attendencees are afraid that it will go wrong, so they are a

little carefull about the project.

We have to see what it will bring.


6 Food.

Taken down the list


7 Stop or Go beslissing


The second Stop/Go round was passed since the opinions where clear: GO


8 Decide the in-depth of PLATFORM


8.1 & 8.2 Main activity’s and activity’s per Main activity’s.

Frank asks the rest of the attendencees to think about how the activity groups can be

filled with actual activity’s.


Everybody was asked the question whether he / she has an idea which can be taken in

a activity group.


Social:

A IRC channel has to be created with the name of PLATFORM.

Also meetings will be arranged which have the goal to bring people closer to eachother

and to see who is who. Another point which hangs around meetings is Social Control,

people will talk about made mistakes, which has more impact than over IRC or through a

mobile phone.

Flyers, Ad’s on schools, hospitals, other public buildings:

With this we can target our group and attract new persons to PLATFORM.


Projects:

To setup VPN’s so people can join it.

The attended servers can be subducted by technical analyses or tests in the VPN.

This VPN will be totally be shut of from the outside world because you dont want to

have ‘bad’ persons in this.

Knowledge database: To build a open source website focused on the

Dutch Language (because we are a dutch group).


Knowlegde:

Build Hackme’s so that new people have a challenge and can obtain knowledge to

beat the hackme’s.

Practical: There will be given practical’s to improve current knowledge or for testing

your current knowledge.

Readouts to the targetgroup: We can give education to people who require it or are

interested in these science.

Phreaking: example: lockpicking how’to’s must be given (about the technics which

is behind it).


Matches:

Developping challenges and participation of challenges (code matches).


Now this is done we will fill the rest of the points when PLATFORM is a week or 2

old to see who wants to do what in which activity group and how that must be coordinated.


The food arrived and Frank comments that the meeting is over because there are

no more points left


On behalf of Frank, thanks for joining this first PLATFORM meeting,

see ya on the next one

Continue reading »

written by Remko

Jun 02

Notulen Mostly-Harmless (1e meeting)

Mostly-Harmless No Comments »
    Change language to:

 

Notulen PLATFORM September 14, 2002


Door Remko Lodder (N1ghtW)


Aanwezig waren: RooT66: Frank, Bart, Stef, Jillis, Mitsai, Remko, Emiel,

                Gerard, Tom, Sepp

                Klaphek: Hans, Brenda

                Hackers4Hackers: Bas, Thijs

                Netric: ilja, Martijn, Casper

                Overigen: Peter, Steffen, Helena, Cliff, Tom.

Afwezig: mendel (BugBlue) (afgemeld)


3 Doel platform


3.1 doelstelling

Frank heet een ieder welkom en stelt direct de eerste vraag:

Wat is het doel van ons PLATFORM?


Na een redelijke discussie is dat uiteindelijk geformuleerd tot:

Platform moet een community zijn ter bevoordering van technische nieuwsgierigheid

die zich richt op Nederland.


Er werden hierna nogal wat dingen door elkaar geroepen zoals:

Invullingen van activiteiten,Frank meldde hierop dat deze later

op de vergadering aan de orde zouden komen.


3.2 image naar buiten


Frank vroeg ons ook hoe we ons moesten opstellen naar buiten toe:

Ook hier werd veel gediscussieerd.

Het resulteerde in:

PLATFORM heeft als image naar buiten toe: ’spelen doen we thuis, en bevindingen

brengen we op een nette manier naar buiten’


Ook kwam uit de discussie naar voren dat we vooral ook OPEN naar buiten toe moeten

zijn. Zodat men geheel weet wat er speelt binnen de organisatie,

ledenstructuur en de rest van PLATFORM.


4 Invulling platform


4.1


Ethiek werd als losstaand onderdeel van de lijst geschrapt

en werd door elk ander onderdeel heel geweven.

Ethiek kan namelijk niet gegeven worden als losstaand onderdeel,

het hangt samen met de overige onderdelen, zo luidde de mening.


Activiteiten die verzonnen werden door de aanwezigen:


         Sociaal (Irc, Meetings)

         Kennis (Howto’s)

         Projecten (Het bedenken en uitvoeren van nieuwe ideeen)

         Wedstrijden (Hackme’s , Challanges)

         Public Relations (Het uitgeven van informatie naar de pers)


4.2 Relaties richting overheid,media en bedrijven


Vervolgens was het noodzaak om met zijn allen te bepalen hoe onze relatie naar

de overheid,media, bedrijven toe moet zijn.

Daar werd het volgende op gevonden:

We gaan pas met bovenstaanden in gesprek als deze naar ons toe komen.

Ze zullen dan doorverwezen worden naar onze PR groep.

Als losstaande personen zullen we de overheid etc

altijd door verwijzen naar PR welke het mag verwoorden in de mening van PLATFORM.


4.3 Organisatie PLATFORM


De volgende vraag die naar boven kwam was:

Als het PLATFORM dan bestaat hoe gaan we daar coordinatie

in aanbrengen, dat is namelijk wel een noodzakelijk onderdeel

van het hele PLATFORM.

Als groep hebben we daarop bedacht:

Er zal een core groep zijn van mensen die het dagelijkse bestuur zullen vormen.

Deze zullen regelmatig met elkaar moeten overleggen en indien nodig de anderen

in de te vormen commissies aansturen om de onderdelen die aangegaan zijn ook

binnen de tijdslimieten af te krijgen.

Verder zullen er zoals gezegd Commissies worden opgericht die sturing aan de

mensen in de activiteit zal geven en verantwoordelijk is voor het slagen van

bijvoorbeeld een project.

Deze personen claimen ook resources voor bepaalde aanvragen.


Er volgt een vragen rondje met wie in welke commisie zou willen partisiperen.

Daarna zal vastgesteld worden wie er in de core groep gaan zitten.

De commisies zijn gemaakt aan de hand van de verzonnen activiteiten:


Voor Public Relations zullen Helena en Stefje sturing geven.

Voor Sociaal zijn dat: Mitsai, Frank, Steffen

Voor Kennis: Peter, Jillis, Brenda

Voor Challenges: Bas, Thijs, Ilja

Voor de projecten zullen Coolvibe, Atje en Netric sturing geven.


Uit de groepen werden tot core groep gekozen: Mitsai, Thijs, Atje, Helena, Jillis


Deze groep is voor nu verantwoordelijk voor het PLATFORM.


Er werd tijdelijk pauze ingelast om wat eten te bestellen.


5 Stop or Go mening


Terwijl we wachten op eten is er een Go/ NO GO vragenrondje + motivatie waarom:


Uit iedereen kwam eigenlijk dat men er best voor wilt gaan als men maar wat

doet ervoor.

Niemand heeft zin om iets te doen als de overigen van het team niets eraan doen.

Dat houdt in dat we voornamelijk afhanelijk zijn van elkaar en van de core groep die

de juiste sturing zal moeten geven.

Echter 2 personen waren het niet met het PLATFORM eens: Bart, niet eens met de

invulling van het PLATFORM, en Tom (Stimpy van het overigen team) deze kan niet

steeds bij eventuele meetingen zijn en ziet er te weinig tijd voor.


Nu iedereen zijn mening heeft gegeven vind Bas dat er toch wel wat twijfel is tussen

de aanwezigen omtrent het slagen van het PLATFORM.

Uit eerdere ervaringen zijn de aanwezigen bang dat het misgaat

dus men is voorzichtig hierom: We zullen moeten zien  wat ervan komt.


6 eten

Verschoven naar beneden


7 Stop or Go beslissing


De 2e Go/NO Go ronde werd overgeslagen aangezien de meningen duidelijk waren:

GO


8 Vaststellen invulling platform


8.1 & 8.2 Hoofdtakken vastleggen & Activiteiten per hoofdtak vastleggen

Frank vraagt de rest van de aanwezigen om na te denken over hoe we de activiteiten

groepen kunnen vullen met daadwerkelijke activiteiten:


Iedereen werd de vraag gesteld wat hij /zij als idee heeft zodat dat onder een

activiteiten groep gehangen kan worden..


Sociaal:

Er moet een IRC Kanaal opgericht worden met de naam van het PLATFORM.

Ook zullen er meetings georganiseerd worden die tot doel heeft de mensen dichter

bij elkaar te brengen en eens te zien wie nou eigenlijk wie is.

Tevens hangt hier een vorm van Sociale controle aanvast zodat nieuwe

mensen elkaar kunnen aanspreken over de fouten die ze maken.

Dit maakt een stuk meer impact dan het over IRC of door een GSM opmerkzaam

gemaakt worden van een eventuele fout.

Flyers, Advertenties op scholen, ziekenhuizen, overige openbare gelegenheden:

hierdoor kunnen we de doelgroep bereiken en nieuwsgierige personen aantrekken.


Projecten:

VPN’s opzetten zodat mensen van buitenaf in de VPN kunnen joinen en de

aanwezige servers daarin kunnen onderwerpen aan een technische analyze danwel

testen van de omgeving.

Deze VPN zal naar buiten toe volledig afgeschermd moeten zijn daar je geen ‘foute’

personen wilt aantrekken tot dit netwerk.


Kennis database.

Een opensource website bouwen ge-end op de nederlandse taal (omdat wij een

nederlandse groep zijn).


Kennis:

Hackme’s bouwen zodat nieuwe mensen een uitdaging te hebben en kennis ter

vergaren om de Hackme te laten slagen.


Practica: Er zullen practica gegeven worden ter upgrade van huidige kennis of juist

ter toetsing van huidige kennis.


Lezigen naar de doelgroep: hierdoor kunnen we voorlichting geven aan mensen die

het nodig hebben en of geinteresseerd zijn in deze wetenschappen:


Phreaking: Bijvoorbeeld lockpicking how’to’s moeten gegeven kunnen worden

(Omtrent de Techniek die erachter zit).


Wedstrijden:

Ontwikkeling van challenges en het meedoen aan challenges / Code wedstrijden.


Nu dit is afgerond zullen we de overige punten pas ingaan vullen als het PLATFORM

een weekje of 2 draait om te zien wie wat wilt doen in welke activiteiten groep en

hoe dat op dat moment gecoordineerd zal worden.


Het eten is gearriveerd en tijdens het eten met Frank dat de vergadering voorbij is,

omdat er geen punten meer te melden zijn danwel overlegbaar zijn op dit moment.


Namens frank, Bedankt voor het bijwonen van deze eerste PLATFORM meeting,

op naar de volgende!

Continue reading »

written by Remko

Previous Entries