sikkerheden på denne side vurdering
Bjarne Østergård
http://web01.gigasoft.dk/installer/Webdownloader.HTM
Kan kun køres af folk med en windows version 2000 eller nyere
Lidt praktiske oplysninger
Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
den
dem som kører den kan logge sig ind på servicessiderne og se deres
registrering
Og nej det er ingen reklame det er gratis
Til alle andre der gerne vil se hvad det er systemet kan er der en adresse
her
PS lad være med at ændre noget blort fordi i får adgang , for så kan alle
andre jo ikke komme til at se siderne.
Men prøv denne her side og se hvad det er systemet egentligt kan
De sider her er blog vores egne servicessider
Linket til siden er incl password og brugernavn:
http://www.gigasoft.dk/PCFinder/default.asp?PageID=50&Br=10&Ad=10
Klik på menuerne og se selv hvad et er vi snakker om
Og lad nu være med at ændre noget derinde med password og osv bare fordi i
kan.
Hvis i gør det er der jo ikke andre der kan se siderne
Mvh
Bjarne
Bjarne Østergård
"Sune" <apr...@tdcadsl.dk> skrev i en meddelelse
news:grudov8g32e01da6f...@4ax.com...
> On Fri, 10 Oct 2003 19:54:25 +0200, "Bjarne Østergård" <b...@gigasoft.dk>
wrote:
>
> >Lidt praktiske oplysninger
> >Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
> >den
>
Ikke annonymt
Så hvis vores ActiveX skulle indeholde noget negativt vil du altid via
certifikatet kunne se hvem der har lavet det.
Det er vel det der er ideen bag certificeringen
Mvh.
Bjarne
Jonathan Stein
> Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
> den
Endnu en gave til dem, der samler på BØ-citater.
> Og nej det er ingen reklame det er gratis
- og så to i samme indlæg!
M.v.h.
Jonathan
--
Er din e-mail vigtig? Er du træt af virus og spam i mailen?
Virus-scanning og spam-filtrering på alle mail-konti. På redundant
mail-setup med daglig backup.
http://www.jsp-hotel.dk/
Jan
news:3f86f255$0$29317$edfa...@dread15.news.tele.dk...
Hvad er det for en sikkerhed jeg skulle teste?
Er det min sikkerhed eller din/dit firmas sikkerhed der
skal testes ?
Mvh
Jan
Alex Holst
> Det er en ActiveX, den er certificeret så der er ingen risiko ved at
> køre den
Hvorfor mener du det?
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
Thomas Alexander Frederiksen
<snip>
>> >Lidt praktiske oplysninger
>> >Det er en ActiveX, den er certificeret så der er ingen risiko
>> >ved at køre den
>>
>> Kan man ikke certificere en virus ActiveX?
> Ikke annonymt
> Så hvis vores ActiveX skulle indeholde noget negativt vil du
> altid via certifikatet kunne se hvem der har lavet det.
> Det er vel det der er ideen bag certificeringen
Kan man så ikke bare lave et falsk certifikat?
--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
http://linuxforum.dk - 5. og 6. marts 2004.
Bjarne Østergård
"Thomas Alexander Frederiksen" <use...@arkolog.dk> skrev i en meddelelse
news:6662981.I...@hegel.arkolog.dk...
> Bjarne Østergård wrote:
>
> <snip>
> >> >Lidt praktiske oplysninger
> >> >Det er en ActiveX, den er certificeret så der er ingen risiko
> >> >ved at køre den
> >>
> >> Kan man ikke certificere en virus ActiveX?
> > Ikke annonymt
> > Så hvis vores ActiveX skulle indeholde noget negativt vil du
> > altid via certifikatet kunne se hvem der har lavet det.
> > Det er vel det der er ideen bag certificeringen
>
> Kan man så ikke bare lave et falsk certifikat?
Nej det kan man ikke
Mvh
Bjarne
Peter Mogensen
> "Bjarne Østergård" <b...@gigasoft.dk> wrote:
>
>>Det er en ActiveX, den er certificeret så der er ingen risiko ved at
>>køre den
>
>
> Hvorfor mener du det?
Tjae..
Iøvrigt vil jeg mene at ActiveX's sikkerhedsmodel er grundliggende
forfejlet. Det blev jo slået om som noget man skulle lave alskens smarte
små knapper i til web-sider.
Problemet er bare at sikkerheden baseres på at brugerne siger ja og nej
til hvem de stoler på. Jo mere udbredt ActiveX bliver jo flere af den
slags ting skal brugerne tage stilling til.
Til sidst ender der ligesom cookies - folk slår checkene fra og tillader
alt fordi det simplethen er for uoverskueligt andet.
Peter
Christian E. Lysel
>> >> >Det er en ActiveX, den er certificeret så der er ingen risiko
>> >> >ved at køre den
>> >> Kan man ikke certificere en virus ActiveX?
>> > Ikke annonymt
?
Nogle af de certifikat underskrivere jeg har brugt har ikke altid
testet mine kunders oplysninger ordenligt. Dvs. det ville være
nemt at få en underskrevet signatur for fx et tilfældig firma
man ingen relation har til.
I nogle tilfælde var den eneste test et telefon opkald til
ansøgeren.
Det er trivielt i Danmark at route telefon trafik til et
andet nr., så denne test er intet værd.
Herefter blev det underskrevet cerifikat sendt til ansøgerens
email adresse, hvis domain skulle ejes at ansøgte.
Det er også trivielt at købe et domain og udfylde ejeren til
at være en anden.
>> > Så hvis vores ActiveX skulle indeholde noget negativt vil du
>> > altid via certifikatet kunne se hvem der har lavet det.
På det tidspunkt er det for sent.
>> > Det er vel det der er ideen bag certificeringen
>>
>> Kan man så ikke bare lave et falsk certifikat?
>
> Nej det kan man ikke
Bevis det :)
Modbeviset har jeg lige her,
http://www.securityfocus.com/archive/1/286290/2002-07-31/2002-08-06/0
Min browser er af Microsoft pre-konfigureret med 120 forskellige
rod-certifikater...stoler du på dem alle?
Alex Holst
> Alex Holst wrote:
>> "Bjarne Østergård" <b...@gigasoft.dk> wrote:
>>
>>>Det er en ActiveX, den er certificeret så der er ingen risiko ved at
>>>køre den
>>
>> Hvorfor mener du det?
>
> Tjae..
>
> Iøvrigt vil jeg mene at ActiveX's sikkerhedsmodel er grundliggende
> forfejlet.
Hmpf. Nu skulle jeg lige lokke Bjarne laengere ud hvor han slet ikke kan
bunde og nu oedelaegger du det. Kvajechokoladeplade! (Jeg har selv
rigeligt med oel.)
Sonny T. Larsen
> Hmpf. Nu skulle jeg lige lokke Bjarne laengere ud hvor han slet ikke kan
> bunde og nu oedelaegger du det. Kvajechokoladeplade! (Jeg har selv
> rigeligt med oel.)
Bjarnes udgydelser er efterhånden end ikke en lille plade mørk chokolade værd,
han vil som sædvanligt blot have en (gratis) sikkerhedsvurdering og en del,
også gratis, omtale/reklame.
Medieluder og/eller narrehat er mit bud.
--
/Sonny - #include <std.disclaimer.h>
"I don't have an attitude problem, you have a perception problem."
Kasper Dupont
>
> "Bjarne Østergård" wrote:
>
> > Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
> > den
>
> Endnu en gave til dem, der samler på BØ-citater.
Endnu et til samlingen, jeg snart skal have
sat pænt op et sted på den her side:
http://www.daimi.au.dk/~kasperd/pcfinder/
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaa...@daimi.au.dk
Their business was zero and it was shrinking.
Christian Andersen
> Det er trivielt i Danmark at route telefon trafik til et
> andet nr.
Bevis?
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
Kasper Dupont
>
> Linket til siden er incl password og brugernavn:
> http://www.gigasoft.dk/PCFinder/default.asp?PageID=50&Br=10&Ad=10
> Klik på menuerne og se selv hvad et er vi snakker om
Det mest interessante jeg ser på den side er IP adressen på
en maskine, hvor ejeren tilsyneladende har glemt at slå IIS
fra. Desuden spekulerer jeg på, om der bliver lavet korrekt
validering af input i URLen.
Og forresten glem pcfinder:
Martin Schultz
Forlert. Der var tidligere i år nogle der fik lavet et certifikat som
microsoft til sig selv.
Martin
Christian E. Lysel
>> Det er trivielt i Danmark at route telefon trafik til et
>> andet nr.
> Bevis?
Læs Asbjørns indlæg.
Christian E. Lysel
> Men det er formentlig ikke særlig svært at få en telemedarbejder
> til at sætte en viderestilling på et nummer, fx under påskud af
Det tager 5 min.
> at man har en defekt central eller noget i den stil. Det er dog
Eller en defekt fax. Hvilket var grunden til jeg "opdagede" svagheden.
I et tilligere selskab var vores fax i Sjælland gået død, og vi fik den
viderestillet i løbet af 5 min til Jylland.
Selskabet i Sjælland havde (på det tidspunkt) ingen relationer til firmaet i Jylland.
Vi ringede 80808080, og klagede vores nød, og blev omstillet til viderestillingen.
Her oplyste vi vores ønske om viderstilling fra A til B, hun spurgte derefter om
navn og telefon nr. som jeg ringede fra.
> svært at gøre uopdaget.
uopdaget?
Når man beder om det skal man oplyse:
telefon man ringer fra og sit navn.
Det første kan være en mobil man har "fundet", eller
en linie man låner fra en tilfældig abonnent (der er
ingen sikkerhed hos almindelige abonnenter), det
næste kan slåes op på degulesider.
Nummeret der viderstilles til er dog sværer. Man kan igen
være en abonnent på ferie man "låner" linien fra.
Hvad i telenettet ville kunne pege på mig?
Bertel Lund Hansen
>Vi ringede 80808080, og klagede vores nød, og blev omstillet til viderestillingen.
>Her oplyste vi vores ønske om viderstilling fra A til B, hun spurgte derefter om
>navn og telefon nr. som jeg ringede fra.
Mon ikke hun kunne se på sin skærm at telefonnummeret hørte
sammen med faxnummeret?
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
Christian E. Lysel
>>Vi ringede 80808080, og klagede vores nød, og blev omstillet til viderestillingen.
>>Her oplyste vi vores ønske om viderstilling fra A til B, hun spurgte derefter om
>>navn og telefon nr. som jeg ringede fra.
>
> Mon ikke hun kunne se på sin skærm at telefonnummeret hørte
> sammen med faxnummeret?
Jeg ringede ikke fra fax nummeret, men fra en tilfældig sonofon mobil
Christian Andersen
>>> Det er trivielt i Danmark at route telefon trafik til et
>>> andet nr.
>> Bevis?
> Læs Asbjørns indlæg.
Et enkeltstående tilfælde vil jeg ikke godtage som gældende generelt.
Bevares, det kan da godt være at det virkelig ER så let, men så tror jeg
lige jeg vil have en del andre eksempler før jeg godtager at det er
trivielt let generelt.
Christian E. Lysel
>> uopdaget?
>
> Viderestillingen vil blive opdaget. Jeg forholdt mig ikke til, om
> det var nemt eller svært at afsløre, hvem der har fået lavet den.
Er man rigtig snu, etablere man et nyt opkald (evt. til et sekundært nr.
til "offret") når man modtager et opkald...herved kan man lytte med på
linien.
Men det begynder at kræve en del af "offrets" konfiguration.
Ovenstående kan fx også gentages med analoge modem forbindelser, hvis
"offret" har en dial-in pool med flere nummere.
Christian E. Lysel
> lige jeg vil have en del andre eksempler før jeg godtager at det er
> trivielt let generelt.
godtager?
Thor Larholm
news:3f86f255$0$29317$edfa...@dread15.news.tele.dk...
> Hej kunne godt tænænke mig at få vurderet sikkerheden på denne side her.
> http://web01.gigasoft.dk/installer/Webdownloader.HTM
Der er masser af sikkerhedsfirmaer der gerne vil teste dine produkter og
webservere for sikkerhedproblemer, for en pris. Hvad med at kontakte en af
disse, istedet for konstant at bede om gratis sikkerhedsvurderinger og
konceptanalyser her i gruppen?
Der er en grund til at dybdegående og seriøse sikkerhedsanalyser koster penge,
de tager tid og dedikation.
> Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
> den
Her er vi uenige.
> Og nej det er ingen reklame det er gratis
Her er vi også uenige.
> Mvh
> Bjarne
--
Regards
Thor Larholm
PivX Solutions, LLC - Senior Security Researcher
Linux vs. Windows Viruses: http://www.securityfocus.com/guest/23028
Bertel Lund Hansen
>godtager?
Det betyder "accepterer". Vi har også udtrykket "at tage noget
for gode varer".
Christian E. Lysel
>>godtager?
>
> Det betyder "accepterer". Vi har også udtrykket "at tage noget
> for gode varer".
Undrede mig over formuleringen, da det er en standard service,
og de har en afdelingen der håndtere denne ydelse.
Endvidere kan det også slåes til hvis man har adgang til "offret"s kobber,
http://erhverv.tdc.dk/artikel.php?dogtag=art_4539_294693
Hvis man har adgang til "offret"s post kan det ændres via,
http://erhverv.tdc.dk/artikel.php?dogtag=art_4539_5697
Christian Andersen
>>>godtager?
>> Det betyder "accepterer". Vi har også udtrykket "at tage noget
>> for gode varer".
> Undrede mig over formuleringen, da det er en standard service,
> og de har en afdelingen der håndtere denne ydelse.
For andre end den den retmæssige ejer, din flueknepper!
> Endvidere kan det også slåes til hvis man har adgang til "offret"s kobber,
> http://erhverv.tdc.dk/artikel.php?dogtag=art_4539_294693
Jeg vil ikke betegne adgang til offerets kobber som trivielt let. Man
skal bevæge sig fysisk ud til "offerets" boks.
> Hvis man har adgang til "offret"s post kan det ændres via,
> http://erhverv.tdc.dk/artikel.php?dogtag=art_4539_5697
Heller ikke trivielt let.
Povl H. Pedersen
> Hej kunne godt tænænke mig at få vurderet sikkerheden på denne side her.
> http://web01.gigasoft.dk/installer/Webdownloader.HTM
Siden er simpel, men det er ikke problemet.
Din webserver er fejlkonfigureret, og sender oplysninger
om intern infrastruktur ud på nettet:
Content-Location: http://192.168.1.100/iisstart.htm
Deruover bruger du ny og uprovet teknologi:
Server: Microsoft-IIS/6.0
MicrosoftOfficeWebServer: 5.0_Pub
X-Powered-By: ASP.NET
Og en simpel test med nmap viser at du er komplet clueless når det
kommer til at sætte servere på Internet.
Jeg kan kun anbefale at du hyrer en konsulent 1 dags tid, samt 1-2
dage til at undervise dig.
Jeg onsker ikke at bruge mere tid på at komme ind, men maskinen er
helt blotlagt og åben for onde hackere som jeg kan se det.
> Lidt praktiske oplysninger
> Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
> den
> dem som kører den kan logge sig ind på servicessiderne og se deres
> registrering
> Og nej det er ingen reklame det er gratis
> Til alle andre der gerne vil se hvad det er systemet kan er der en adresse
> her
Det eneste en signatur på en ActiveX kontrol siger er, at du har
hast $150 til et certifikat.
> PS lad være med at ændre noget blort fordi i får adgang , for så kan alle
> andre jo ikke komme til at se siderne.
> Men prøv denne her side og se hvad det er systemet egentligt kan
> De sider her er blog vores egne servicessider
> Linket til siden er incl password og brugernavn:
> http://www.gigasoft.dk/PCFinder/default.asp?PageID=50&Br=10&Ad=10
> Klik på menuerne og se selv hvad et er vi snakker om
>
> Og lad nu være med at ændre noget derinde med password og osv bare fordi i
> kan.
> Hvis i gør det er der jo ikke andre der kan se siderne
Så megen glæde skal du ikke have af os her. Vil du have lavet en
penetration test, så må du betale.
Christian E. Lysel
> For andre end den den retmæssige ejer, din flueknepper!
Det kan jeg ikke godtage :)
> Jeg vil ikke betegne adgang til offerets kobber som trivielt let. Man
Hvem har sagt det?
Jeg siger det er trivielt at route telefon opkaldt fra et punkt
til et andet.
Dette er en gratis service TDC tilbyder, hvilket er godt når man
står med en defekt FAX eller en defekt FAX linie, i en afdeling,
men har en FAX der virker fint i anden afdeling.
Men desværrer kræver det ikke de store "social enginering" evner,
at misbruge denne service.
Om du vil godtage hvad jeg skriver, er op til dig selv, det
vil jeg ikke blande mig i.
Jeg ser blot brugen af certifikater som spild af tid og penge, da
der er for mange cerfitifikat udstedere, som kan lave for
mange fejl.
Nogle af disse fejl er at certifikatets ejer ikke bliver undersøgt
ordenligt...
I nogle tilfælde er det blot en undersøgelse som kan omgåes
ved at viderstille en telefon.
Denne test mener jeg er nem at omgåes.
>> Hvis man har adgang til "offret"s post kan det ændres via,
>> http://erhverv.tdc.dk/artikel.php?dogtag=art_4539_5697
> Heller ikke trivielt let.
Hvem har sagt det?
Dette er blot to andre måder.
Kasper Dupont
>
> Det mest interessante jeg ser på den side er IP adressen på
> en maskine, hvor ejeren tilsyneladende har glemt at slå IIS
> fra.
Jeg har sidenhen opdaget noget meget mere interessant. Den
pågældende IP adresse står i min logfil tilbage fra april!
Der fandtes dengang et mirror af:
http://www.daimi.au.dk/~kasperd/pcfinder/
Det pågældende mirror har jeg godt nok aldrig nævnt her i
gruppen, den eneste, der har fået URLen af mig er Bo
Balschmidt.
Betyder det, at det første Bo gjorde efter at have kigget
på den URL, han modtog fra mig, var at sende den videre
til Bjarne?
Og forresten har Bjarne været inde og kigge på F&Ps email
adresser to gange i går: http://tinyurl.com/bqcx
I mellemtiden er der dukket en IP adresse mere op på den
nævnte side, nu står der både 80.62.111.30 og
80.161.56.156. Hvem der ejer sidstnævnte adresse har jeg
ingen anelse om.