Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Artikelcorrectie, spelfout of -aanvulling doorgeven?
Reacties: 22 reacties
Giel
Jammer dat er zo een grote opstelling bij hoort om je RFID uit te lezen (externe voeding) anders was het zeer intressant geweest 😛
skabaas
Een of andere grapjas (ph0n3.h4ck3r@gmail.com) heeft tijdens jullie feestje mijn iPhone “gehackt”. Was niet heel moeilijk overigens, want ik had nog het standaard SSH wachtwoord |:(
Frits-Joop de Vlieger
Hoe heb je dat gemerkt?
Je kan aangifte doen.
(Gevaarlijk volkje daar op die conferences)
coen
Ik heb het zelfde probleem met die hack…
wie heeft er voor mij de oplossing..
(ph0n3.h4ck3r@gmail.com)
J00st
Wat is dat voor hack dan? (wel goed bedacht eigenlijk)
Maar dat gaan we hier niet verder bespreken. Daarvoor moet je op het forum zijn.
Arawn
Ik vond juist de “Mobile Human-Computer Interaction” van Henriette Cramer een zeer interessante presentatie. een goede uitleg over wat je wel en niet moet doen bij het maken van een applicatie. en dan niet aan de achterkant, maar hoe de gebruiker de applicatie ziet.
wat een bizarre tentoonstelling was daar. echt heel raar om te zien.
ph0n3.h4ck3r
Het mist in dat betreffende topic wel duidelijk aan diepgaande kennis over netwerken. Dit was slechts een eerste publieke exploit op ongeveer 50 toestellen. De bevindingen gaan eerst naar Apple alvorens openbaar te worden gemaakt. Topic deelnemer en “slachtoffer” Marco Peelen kan bevestigen dat we ook iederen gehackte iPhone SMS berichten kunnen laten versturen. Grote blunder van Apple!
skabaas
Origineel geplaatst door ph0n3.h4ck3r Het mist in dat betreffende topic wel duidelijk aan diepgaande kennis over netwerken. Dit was slechts een eerste publieke exploit op ongeveer 50 toestellen. De bevindingen gaan eerst naar Apple alvorens openbaar te worden gemaakt. Topic deelnemer en “slachtoffer” Marco Peelen kan bevestigen dat we ook iederen gehackte iPhone SMS berichten kunnen laten versturen. Grote blunder van Apple!
De grote vraag blijft even HOE. Is dit gewoon via SSH gedaan of is dit buiten SSH om gedaan? In dat laatste geval heeft Apple inderdaad wel een en ander uit te leggen…
Waarschijnlijk gewoon via SSH met het standaardwachtwoord. Als je een computer online zet met een makkelijk root wachtwoord en SSH enabled is dat binnen plusminus vijf minuten gehaxx0red. Da’s dus niet erg slim. Verander die wachtwoorden en/of zet ssh uit! (En dan liefst ‘en’.)
Dat ‘t bij Mobile Devcamp gebeurde limiteert overigens wel de potentiele daders tot mensen die fysiek daar aanwezig waren– het is en was niet mogelijk om op het netwerk daar te komen zonder je fysiek in het bereik van de wifi te bevinden. (Ik neem daarbij voor het gemak aan dat deze persoon deelnemer was en niet slechts voor het raam heeft staan.)
Oh en aangaande onze RFID constructie: dit is de proof-of-concept. Nu gaan we kijken of we ‘t zonder externe voeding aan de gang kunnen krijgen. De iPod/iPhone heeft de mogelijkheid voor een 3.3V uitgang maar we weten nog niet of dat genoeg is aangezien volgens de spec ‘t rfid chipje 5V wil hebben. Zo niet is dat waarschijnlijk wel op te lossen met een batterijtje erbij.
In any case: het werkt dus ‘t kan verbeterd worden 😉
PP
Weet niet waar jullie rond hebben lopen spelen, maar ook ik word net wakker in centrum Utrecht met dezelfde mededeling van ph0n3.h4ck3r@gmail.com dat mijn phone gehackt is en dat ik voor meer info naar iphoneclub.nl moet. De exploit lijkt dus out in the open te zijn.
Ik weet niet hoe het met jullie zit, maar ik kan dit geintje niet waarderen en doe zo aangifte van computervredebreuk. Maximalegevangenisstraf vier jaar en boete van de derde categorie, enjoy picking up the soap!
ph0n3.h4ck3r
Zoals eerder geschreven gaan de bevindingen eerst naar Apple. We willen wel de kans geven deze exploit te dichten voordat iedereen er mee aan de haal kan gaan. Wat we al wel duidelijk willen stellen is hetgeen Undertaxxx al aangeeft. Verander ALTIJD het standaard root password van de iPhone, of je nu SSH gebruikt of niet. De gevonden exploit werkt namelijk alleen wanneer het root password bekend is. Heb je dit aangepast dan is het een “knappe jongen” die nog binnen komt in een UNIX based stukje hardware.
De reden dat dit bericht niet in het betreffende forum-topic wordt geplaatst is dat ik niet door de captcha-check kom bij de registratie. 🙁
Van “computervredebreuk” is overigens geen sprake. Er is geen informatie “ontvreemd” noch kwijt gemaakt.
ikkieman
@ph0n3.h4ck3r – Daar gaat het niet om. Het gaat erom dat je onrechtmatig inbreuk hebt gemaakt op een systeem. Hier is geen toegang voor gegeven, dus ben je strafbaar bezig. Er is niet altijd zoiets voor nodig. Zolang je het kan bewijzen en ook het bewijs ervoor kan leveren ben je het bokje…
Bereid je maar voor op lekker brommen…
kasper
@ikkieman
Hoezo brommen? blijf een beetje rustig in je reactie, je komt nogal kleuterig over bij mij…
ArB
Origineel geplaatst door ph0n3.h4ck3r Zoals eerder geschreven gaan de bevindingen eerst naar Apple. We willen wel de kans geven deze exploit te dichten voordat iedereen er mee aan de haal kan gaan. Wat we al wel duidelijk willen stellen is hetgeen Undertaxxx al aangeeft. Verander ALTIJD het standaard root password van de iPhone, of je nu SSH gebruikt of niet. De gevonden exploit werkt namelijk alleen wanneer het root password bekend is. Heb je dit aangepast dan is het een “knappe jongen” die nog binnen komt in een UNIX based stukje hardware.
De reden dat dit bericht niet in het betreffende forum-topic wordt geplaatst is dat ik niet door de captcha-check kom bij de registratie. 🙁
Van “computervredebreuk” is overigens geen sprake. Er is geen informatie “ontvreemd” noch kwijt gemaakt.
Met andere woorden de iphone moet jailbroken zijn om de hack te laten werken. Aangezien Apple nooit jailbroken iphone software heeft verspreid zullen ze dus met je “hack” niets doen. Enne “captcha-check” ? Waarom een anonieme proxy dan ? 😉
Jelle
Brommen etc. is natuurlijk wat overdreven zolang iemand niet werkelijk kwaad heeft gedaan… maar ik ben het er mee eens dat de hackers ook een andere mannier hadden kunnen bedenken om publiciteit te krijgen, er moeten niet teveel mensen last hebben van deze stunt, dan lijkt het meer op kwajongensstreken, en dat moet enigszins aangepakt worden.
ppl
Als men via ssh toegang heeft verkregen door een ip-range van T-Mobile te scannen zijn er 3 strafbare feiten gepleegd met, als ik het goed heb, allen tenminste 1 jaar gevangenisstraf:
– Portscanning mag niet, dit zou je ook kunnen zien als het gebruik van hulpmiddelen. Dit is een misdrijf met 1 jaar gevangenisstraf.
– Inloggen op een machine met ssh met een default password mag niet. Dat heet computervredebreuk omdat je ten eerste al ongevraagd toegang verschaft en ten tweede omdat je dit doet met een zogenaamde valse sleutel (het standaard root account met standaard wachtwoord). Ook dit is een misdrijf met 1 jaar gevangenisstraf.
– Er zijn bestanden op de iPhone aangepast/toegevoegd wat onder vandalisme valt. Wederom een misdrijf met 1 jaar gevangenisstraf.
Let wel, dit zijn de basisstraffen. Het kan zijn dat bij bijv. computervredebreuk dit nog tot 4 jaar uitgebreid kan worden. Het e.e.a. is dan wel afhankelijk van dingen als ernst en aan welke punten van de delictsomschrijving nog meer wordt voldaan.
Als ik het allemaal zo lees stelt de hack ook geen zak voor en heeft het helemaal niets met Apple te maken. Het is domweg een ip-range scannen op ssh. Dan toegang verschaffen met een standaard login en je wijzigingen doen. Beetje leuk scripten en het kan aardig geautomatiseerd. Spannend? Nee. Leerzaam? Jazeker: nooit zomaar netwerkservices zoals ssh draaien, vooral niet als je niet (goed) weet wat het is en doet. Ook altijd de standaard wachtwoorden wijzigen.
Overigens heb je als burger de plicht om bij zaken zoals een misdrijf dit te rapporteren aan de overheid. Doe je dat niet dan kan dit in bepaalde gevallen als medeplichtigheid worden gezien.
Buiten dat is een goede hack die duidelijk bepaalde gaten in een dienst, hardware of software waarbij er netjes gecommuniceerd wordt over het hoe, wat en waarom prima. Daarmee kun je je security verbeteren. De huidige hack is meer van het scriptkiddie niveau en lijkt ook meer te zijn bedoeld om mensen tot last te zijn (zeker gezien er volgens onze scriptkiddie iets van 50 stuks de pineut zijn…met 5 was het punt ook duidelijk en het had even goed beperkt kunnen worden tot de eigen iPhone). Dat soort volk moet aangepakt worden omdat zij meer gericht zijn op het aanrichten van schade dan op het opsporen en oplossen van security problemen.
@ppl – Je had eigenlijk beter op dit nieuwsitem kunnen reageren (al is dat deels onze fout, we hadden een doorverwijzing moeten plaatsen). Volgens de ‘hacker’ werkt de exploit ook zonder SSH (zie zijn verstuurde sms in het andere nieuwsitem, voor zover het allemaal niet gefaked is natuurlijk).
Jeetje dit is zeer ernstig
heb het forum al helemaal afgelezen poehoe wat een lap tekst eve zo op een avondje 😛
zover ik het zie zit er aan elk iets een voordeel en nadeel.
Voordeel: de hacker(s) heeft het bekend gemaakt dus kan wat aan gedaan worden.
Nadeel: Hacker(s) kan in je Phone
ph0n3.h4ck3r wil mij niet tegen komen.
gelukkig voor hem is het nog niet gebeurd bij mij.
IpHoneClub owners
jullie kunnen elk IP nummer zien van elke respons
ik zou zegge zoek die van ph0n3.h4ck3r
meld dit door aan de Politie hun backtracen het
Hoppa hackertje te pakke.
mist hij dit niet gedaan heeft via Gateway’s en loopbacks
dan kunnen we niks doen.
dit is niet goed te praten hier moet wat aan gedaan worden.
via de juiste weg ,
of de wet in eigen handen nemen.
een inbreker in je huis sla je ook het ziekenhuis in.
Pieter
Origineel geplaatst door Jelle Brommen etc. is natuurlijk wat overdreven zolang iemand niet werkelijk kwaad heeft gedaan… .
Als iemand inbreekt in je huis,maar niks steelt,dan vindt jij dat ook normaal>
Jammer dat er zo een grote opstelling bij hoort om je RFID uit te lezen (externe voeding) anders was het zeer intressant geweest 😛
Een of andere grapjas (ph0n3.h4ck3r@gmail.com) heeft tijdens jullie feestje mijn iPhone “gehackt”. Was niet heel moeilijk overigens, want ik had nog het standaard SSH wachtwoord |:(
Hoe heb je dat gemerkt?
Je kan aangifte doen.
(Gevaarlijk volkje daar op die conferences)
Ik heb het zelfde probleem met die hack…
wie heeft er voor mij de oplossing..
(ph0n3.h4ck3r@gmail.com)
Wat is dat voor hack dan? (wel goed bedacht eigenlijk)
Heet gaat hierom
Maar dat gaan we hier niet verder bespreken. Daarvoor moet je op het forum zijn.
Ik vond juist de “Mobile Human-Computer Interaction” van Henriette Cramer een zeer interessante presentatie. een goede uitleg over wat je wel en niet moet doen bij het maken van een applicatie. en dan niet aan de achterkant, maar hoe de gebruiker de applicatie ziet.
wat een bizarre tentoonstelling was daar. echt heel raar om te zien.
Het mist in dat betreffende topic wel duidelijk aan diepgaande kennis over netwerken. Dit was slechts een eerste publieke exploit op ongeveer 50 toestellen. De bevindingen gaan eerst naar Apple alvorens openbaar te worden gemaakt. Topic deelnemer en “slachtoffer” Marco Peelen kan bevestigen dat we ook iederen gehackte iPhone SMS berichten kunnen laten versturen. Grote blunder van Apple!
De grote vraag blijft even HOE. Is dit gewoon via SSH gedaan of is dit buiten SSH om gedaan? In dat laatste geval heeft Apple inderdaad wel een en ander uit te leggen…
Waarschijnlijk gewoon via SSH met het standaardwachtwoord. Als je een computer online zet met een makkelijk root wachtwoord en SSH enabled is dat binnen plusminus vijf minuten gehaxx0red. Da’s dus niet erg slim. Verander die wachtwoorden en/of zet ssh uit! (En dan liefst ‘en’.)
Dat ‘t bij Mobile Devcamp gebeurde limiteert overigens wel de potentiele daders tot mensen die fysiek daar aanwezig waren– het is en was niet mogelijk om op het netwerk daar te komen zonder je fysiek in het bereik van de wifi te bevinden. (Ik neem daarbij voor het gemak aan dat deze persoon deelnemer was en niet slechts voor het raam heeft staan.)
Oh en aangaande onze RFID constructie: dit is de proof-of-concept. Nu gaan we kijken of we ‘t zonder externe voeding aan de gang kunnen krijgen. De iPod/iPhone heeft de mogelijkheid voor een 3.3V uitgang maar we weten nog niet of dat genoeg is aangezien volgens de spec ‘t rfid chipje 5V wil hebben. Zo niet is dat waarschijnlijk wel op te lossen met een batterijtje erbij.
In any case: het werkt dus ‘t kan verbeterd worden 😉
Weet niet waar jullie rond hebben lopen spelen, maar ook ik word net wakker in centrum Utrecht met dezelfde mededeling van ph0n3.h4ck3r@gmail.com dat mijn phone gehackt is en dat ik voor meer info naar iphoneclub.nl moet. De exploit lijkt dus out in the open te zijn.
Ik weet niet hoe het met jullie zit, maar ik kan dit geintje niet waarderen en doe zo aangifte van computervredebreuk. Maximalegevangenisstraf vier jaar en boete van de derde categorie, enjoy picking up the soap!
Zoals eerder geschreven gaan de bevindingen eerst naar Apple. We willen wel de kans geven deze exploit te dichten voordat iedereen er mee aan de haal kan gaan. Wat we al wel duidelijk willen stellen is hetgeen Undertaxxx al aangeeft. Verander ALTIJD het standaard root password van de iPhone, of je nu SSH gebruikt of niet. De gevonden exploit werkt namelijk alleen wanneer het root password bekend is. Heb je dit aangepast dan is het een “knappe jongen” die nog binnen komt in een UNIX based stukje hardware.
De reden dat dit bericht niet in het betreffende forum-topic wordt geplaatst is dat ik niet door de captcha-check kom bij de registratie. 🙁
Van “computervredebreuk” is overigens geen sprake. Er is geen informatie “ontvreemd” noch kwijt gemaakt.
@ph0n3.h4ck3r – Daar gaat het niet om. Het gaat erom dat je onrechtmatig inbreuk hebt gemaakt op een systeem. Hier is geen toegang voor gegeven, dus ben je strafbaar bezig. Er is niet altijd zoiets voor nodig. Zolang je het kan bewijzen en ook het bewijs ervoor kan leveren ben je het bokje…
Bereid je maar voor op lekker brommen…
@ikkieman
Hoezo brommen? blijf een beetje rustig in je reactie, je komt nogal kleuterig over bij mij…
Met andere woorden de iphone moet jailbroken zijn om de hack te laten werken. Aangezien Apple nooit jailbroken iphone software heeft verspreid zullen ze dus met je “hack” niets doen. Enne “captcha-check” ? Waarom een anonieme proxy dan ? 😉
Brommen etc. is natuurlijk wat overdreven zolang iemand niet werkelijk kwaad heeft gedaan… maar ik ben het er mee eens dat de hackers ook een andere mannier hadden kunnen bedenken om publiciteit te krijgen, er moeten niet teveel mensen last hebben van deze stunt, dan lijkt het meer op kwajongensstreken, en dat moet enigszins aangepakt worden.
Als men via ssh toegang heeft verkregen door een ip-range van T-Mobile te scannen zijn er 3 strafbare feiten gepleegd met, als ik het goed heb, allen tenminste 1 jaar gevangenisstraf:
– Portscanning mag niet, dit zou je ook kunnen zien als het gebruik van hulpmiddelen. Dit is een misdrijf met 1 jaar gevangenisstraf.
– Inloggen op een machine met ssh met een default password mag niet. Dat heet computervredebreuk omdat je ten eerste al ongevraagd toegang verschaft en ten tweede omdat je dit doet met een zogenaamde valse sleutel (het standaard root account met standaard wachtwoord). Ook dit is een misdrijf met 1 jaar gevangenisstraf.
– Er zijn bestanden op de iPhone aangepast/toegevoegd wat onder vandalisme valt. Wederom een misdrijf met 1 jaar gevangenisstraf.
Let wel, dit zijn de basisstraffen. Het kan zijn dat bij bijv. computervredebreuk dit nog tot 4 jaar uitgebreid kan worden. Het e.e.a. is dan wel afhankelijk van dingen als ernst en aan welke punten van de delictsomschrijving nog meer wordt voldaan.
Als ik het allemaal zo lees stelt de hack ook geen zak voor en heeft het helemaal niets met Apple te maken. Het is domweg een ip-range scannen op ssh. Dan toegang verschaffen met een standaard login en je wijzigingen doen. Beetje leuk scripten en het kan aardig geautomatiseerd. Spannend? Nee. Leerzaam? Jazeker: nooit zomaar netwerkservices zoals ssh draaien, vooral niet als je niet (goed) weet wat het is en doet. Ook altijd de standaard wachtwoorden wijzigen.
Overigens heb je als burger de plicht om bij zaken zoals een misdrijf dit te rapporteren aan de overheid. Doe je dat niet dan kan dit in bepaalde gevallen als medeplichtigheid worden gezien.
Buiten dat is een goede hack die duidelijk bepaalde gaten in een dienst, hardware of software waarbij er netjes gecommuniceerd wordt over het hoe, wat en waarom prima. Daarmee kun je je security verbeteren. De huidige hack is meer van het scriptkiddie niveau en lijkt ook meer te zijn bedoeld om mensen tot last te zijn (zeker gezien er volgens onze scriptkiddie iets van 50 stuks de pineut zijn…met 5 was het punt ook duidelijk en het had even goed beperkt kunnen worden tot de eigen iPhone). Dat soort volk moet aangepakt worden omdat zij meer gericht zijn op het aanrichten van schade dan op het opsporen en oplossen van security problemen.
@ppl – Je had eigenlijk beter op dit nieuwsitem kunnen reageren (al is dat deels onze fout, we hadden een doorverwijzing moeten plaatsen). Volgens de ‘hacker’ werkt de exploit ook zonder SSH (zie zijn verstuurde sms in het andere nieuwsitem, voor zover het allemaal niet gefaked is natuurlijk).
Voor meer informatie over ph0n3.h4ck3r[@]gmail.com, zie dit nieuwsitem: Merkwaardige exploit met vermelding iPhoneclub treft iPhones.
Jeetje dit is zeer ernstig
heb het forum al helemaal afgelezen poehoe wat een lap tekst eve zo op een avondje 😛
zover ik het zie zit er aan elk iets een voordeel en nadeel.
Voordeel: de hacker(s) heeft het bekend gemaakt dus kan wat aan gedaan worden.
Nadeel: Hacker(s) kan in je Phone
ph0n3.h4ck3r wil mij niet tegen komen.
gelukkig voor hem is het nog niet gebeurd bij mij.
IpHoneClub owners
jullie kunnen elk IP nummer zien van elke respons
ik zou zegge zoek die van ph0n3.h4ck3r
meld dit door aan de Politie hun backtracen het
Hoppa hackertje te pakke.
mist hij dit niet gedaan heeft via Gateway’s en loopbacks
dan kunnen we niks doen.
dit is niet goed te praten hier moet wat aan gedaan worden.
via de juiste weg ,
of de wet in eigen handen nemen.
een inbreker in je huis sla je ook het ziekenhuis in.
Als iemand inbreekt in je huis,maar niks steelt,dan vindt jij dat ook normaal>