Det drejer sig om at man fra en alm. hjemmeside kan eksekvere et hvilket som
helst program på brugerens maskine.
samt oprette tekstfil og skrive i den, også på brugerens maskine.
Er testet på Win2000 pro, XP, IE 6 (latest patches).
En harmløs test af funktionen kan afprøves her.
http://www.ydicon.dk/startprog.htm
Denne side opretter blot en tekstfil på brugerens drev C: ved navn
bjarne.txt
og åbner Dos vinduet samt starter brugerens nodpad
Så prøv den kun på eget ansvar.
Det er selvfølgelig forbudt at kopiere koden og anvende den i ond hensigt.
Mvh Bjarne Østergård
www.gigasoft.dk
normal procedure er at anmelde fejlen til dem som står bag (i dette
tilfælde er det MS, så chancen for at de hører på dig er minimal).
Så giver du dem 3-4 uger til at rette fejlen, og derefter så
offentliggør du fejlen på f.eks. lister som nt-bugtraq, bugtaq,
vulnwatch osv.
Du kan også offentliggøre den her i gruppen f.eks.
> Hvis man tror man kender en sikkerhedsrisiko.
> Hvor bør man så offentliggøre dette, så man ikke risikerer at blive
> retsforfulgt for at fortælle det.
Du behøves slet ikke offentliggøre noget som helst, det er allerede
gjort - af ophavsmanden, ikke dig.
> En harmløs test af funktionen kan afprøves her.
> http://www.ydicon.dk/startprog.htm
Ovenstående er blot en kopi af den kode som Andreas Sandblad
offentliggjorde i hans advisory for nylig:
http://online.securityfocus.com/archive/1/298748/2002-11-02/2002-11-08/2
Det eneste du har ændret er hvilken kommando der skulle udføres. I
Andreas' kode står der
args = '/k echo You are vulnerable (Sandblad #10) & '+
'echo Sandblad #10 > c:/vulnerable.txt & winmine';
I din kode står der
args = '/k echo Bjarne var her (Bjarne #10) & '+
'echo Bjarne var her #10 > c:/bjarne.txt & notepad';
> Det er selvfølgelig forbudt at kopiere koden og anvende den i ond
hensigt.
Har du nu copyright på andres kode, siden du kan lægge begrænsninger på
dens brug? ;)
Hvis du gerne vil se åbne sikkerhedshuller i Internet Explorer kan du
kigge i min signatur, P.T. lister jeg 31 af slagens.
Det eksempel som Andreas offentliggjorde er ikke skrevet separat på
listen da det ikke er et sikkerhedshul i sig selv men blot en
demonstration af "assign method caching" hullet - som jeg allerede har
listet.
Hvorfor ville du egentlig tage æren for Andreas' fund?
--
Thor Larholm
<URL: http://jscript.dk/unpatched/> Unpatched IE vulnerabilities
<URL: http://www.jibbering.com/faq/> FAQ for comp.lang.javascript
> Denne side opretter blot en tekstfil på brugerens drev C: ved navn
> bjarne.txt
> og åbner Dos vinduet samt starter brugerens nodpad
Beklager, Bjarne. Ingen af delene skete under forsøget på min Windows
XP Pro med Internet Explorer 6. Har du selv forfattet scriptet?
--
M
Der skulle selvfølgelig stå "slagsens" istedet for "slagens" ;)
> Hvorfor ville du egentlig tage æren for Andreas' fund?
Indlæg forwardet til b...@ydicon.dk, det kunne være interessant at høre
svaret.
Du kan poste til bugtraq fra hushmail.com eller en lignende email
service der ikke umiddelbart giver laesere mulighed for at finde ud af
hvor du poster fra.
Snakeoil.dk tager gerne imod anonyme bidrag til sager omhandlende danske
produkter.
Som Thor naevner, saa har du ikke opdaget den fejl du beskriver. Vi har
jo tidligere har set, at du ikke kan genkende en sikkerhedsfejl selv
hvis jeg eller andre rullede den sammen og slog dig oven i hovedet med
den igen og igen og igen.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
Siden findes ikke mere, kan de to ting have noget med hinanden at gøre?
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaa...@daimi.au.dk
Don't do this at home kids: touch -- -rf
Sikke da noget forvrøvlet vås.
Jeg forsøgte bare endnu engang at påpegeg at selv om en ting kunne lade sig
gøre bør man ikk gøre det hvis det kan skade andre.
I en tidligere tråd beskrev jeg dette script, men fik straks at vide at
noget sådant ikke kunne lade sig gøre.
Nu har jeg haft det lagt op på en side, og straks taler i om noget helt
andet.
Der findes hundredevis af måder hvormed man kan skade en person der
fredeligt surfer på nettet, men blot fordi man ved det, og at det kan gøres
berettiger jo ikke til at gøre det.
Det er det sagen handler om.
En syg person skrev i en tidligere tråd at han kun kunne respektere mig hvis
jeg kunne smadre hans maskine.
og at et sådant script bestemt ikke fandtes.
Derfor lagde jeg det i et kort tidsrum op så i kunne se at det fandtes.
Faktisk findes der mange af den slags.
Og de vil kunne bruges på en ond måde, og en god måde.
Men bruges de på en ond måde vil i jo anklage dem det går ud over og
heliggøre skurken der brugte sin viden til at skade andre med.
Det viser jeres debat herinde om values da tydligt, og det er det jeg mener
er forkert.
Nå selv om jeg lagde omtalte lille script op, kan i åbenbart stadigvæk ikke
se det komiske i at straffe ofret og lade skurken gå fri.
Hvis det var en mordsag, ville man spytte på den døde, sætte pistolen i
spjældet, og give ham der trykkede på aftrækkeren en medalje.
Jeres holdning til edb sikkerhed er sgu underlig.
Mvh .Hilsen
Bjarne Østergård
www.gigasoft.dk
Men det kunne du jo ikke, da dit script først krævede at han skulle
installere et program med en fejl i der passede til dit script.
>Hvis det var en mordsag, ville man spytte på den døde, sætte pistolen i
>spjældet, og give ham der trykkede på aftrækkeren en medalje.
>
>Jeres holdning til edb sikkerhed er sgu underlig.
Nej, den er baseret på et ønske om at opnå sikkerhed. At sætte folk
i spjældet lukker ingen sikkerhedshuller, men det gør en fornuftig
opsætning og gennemtænkt programmering.
I den virkelige verden nøjes man heller ikke med at sætte folk i
fængsel, man gør begge dele. Banken opbevarer ikke pengene i en
papirspose, men derimod i en solid boks.
Mvh
Kent
--
Demokrati er lige som den 29. februar - begge dele forekommer
en gang hver fjerde år.
> Men bruges de på en ond måde vil i jo anklage dem det går ud over og
> heliggøre skurken der brugte sin viden til at skade andre med.
Det er der du tager fejl. I Valus sagen blev der faktisk ikke gjort
sønderlig stor skade. Serveren blev lukket ned og det var det. En
ondsindet person kunne have trukket data ud af databasen eller
ligefrem destrueret de data der lå i databasen. Det er i alt fald,
hvad jeg har kunne læse mig frem til.
Man kan så mene, at man burde have kontaktet Valus først og givet dem
en frist til at få lukket hullet før man offentliggjorde det.
Jeg tror ikke der er nogen i denne gruppe der "helliggør" ondsindede
personer der kun er ude at på ødelægge.
--
Med venlig hilsen
- Jacob Atzen
> > Det er selvfølgelig forbudt at kopiere koden og anvende den i ond
> hensigt.
>
> Har du nu copyright på andres kode, siden du kan lægge begrænsninger på
> dens brug? ;)
Jeg måtte vel helere gør det klart, at jeg ikke opfordrer til at anvende
kode i onde hensigter selv om man kan.
For jeg kan jo forstå at det modsatte da ellers ser ud til at gælde for
mange i denne NG.
Følger man debatten herinde skulle man nærmest tro at reglen lyder som
følgend.
(Finder du noget farligt kode har du pligt til straks, at udnytte den, til
at øve al den skade du kan, ellers lever du ikke op til janteloven, og kan
straffes i henhold hertil)
Straffen idømmes, udmåles, og eksekveres at denne nyhedsgrubbes selvudnævnte
konger, og kan ikke ankes.
> Hvis du gerne vil se åbne sikkerhedshuller i Internet Explorer kan du
> kigge i min signatur, P.T. lister jeg 31 af slagens.
> Det eksempel som Andreas offentliggjorde er ikke skrevet separat på
> listen da det ikke er et sikkerhedshul i sig selv men blot en
> demonstration af "assign method caching" hullet - som jeg allerede har
> listet.
>
> Hvorfor ville du egentlig tage æren for Andreas' fund?
Vil jeg da det ?, og hvad har denne mand da fundet, der er så ærefuldt.
Så længe man mener, at det er ærefuldt, at nedlægge en ærlig virksomheds
server, bare fordi at man kan, må man gerne beholde al ære selv.
MVH
Bjarne Østergård
www.gigasoft.dk
Du havde endnu engan brugt ganske bombastiske vendinger i dine
udtalelser. Grunden til at det ikke kunne lade sig gøre i dette tilfælde
var at jeg ville have brugt lynx til at vise din side, og denne browser
har ingen scripting-muligheder, så med mindre du havde fundet et
bufferoverflow i den (hvilket jeg simpelt hen ikke tror på at du er i
stand til) kunne jeg føle mig ganske sikker.
> Nu har jeg haft det lagt op på en side, og straks taler i om noget helt
> andet.
Igen pga den måde du omtalte problemet. Det var et ganske kendt
sikkerhedshul, hvorfor ikke bare bruge det almindeligt kendte navn for
det i stedet for at blæse en stemning op i bedste grc-stil?
> Der findes hundredevis af måder hvormed man kan skade en person der
> fredeligt surfer på nettet, men blot fordi man ved det, og at det kan gøres
> berettiger jo ikke til at gøre det.
Nej, men man skal stadig tale sagligt om det.
> Det er det sagen handler om.
Gør det? Mener du da at hovedparten af de sikkerhedskyndige mennesker
herinde sidder og hacker pc'er i al deres fritid?
> En syg person skrev i en tidligere tråd at han kun kunne respektere mig hvis
> jeg kunne smadre hans maskine.
> og at et sådant script bestemt ikke fandtes.
Det vil jeg stadig mene at det ikke gør, da den browser jeg ville
benytte slet ikke kan udføre scripts.
> Derfor lagde jeg det i et kort tidsrum op så i kunne se at det fandtes.
> Faktisk findes der mange af den slags.
Det er vi klar over. Vi føler bare at det er vores pligt at omtale
tingene på en stille og rolig måde. Vi kan alle finde ud af at læse
bugtraq og læse den seneste annoncering om sikkerhedshuller i Internet
Explorer. Det kræver sgu ikke mere hjerne end de fleste mennesker der
besidder en mail-klient er i stand til at skrabe sammen.
> Og de vil kunne bruges på en ond måde, og en god måde.
Hvis Microsoft var deres opgave voksen ville disse huller ikke være
tilgængelige i så lange perioder efter deres offentliggørelse. Og ofte
har Microsoft fået kendskab til disse huller flere uger før de bliver
offentliggjort.
> Men bruges de på en ond måde vil i jo anklage dem det går ud over og
> heliggøre skurken der brugte sin viden til at skade andre med.
Sludder. Hvornår er det sket?
> Det viser jeres debat herinde om values da tydligt, og det er det jeg mener
> er forkert.
Der er ingen tvivl om at det Cubus gjorde var ulovligt. Det store
spørgsmål har været om det Valus har gjort er etisk forsvarligt. Deres
database blev lukket ned på en pæn måde, de blev opmærksom på et
sikkerhedshul de ikke kendte. Historien kunne slutte med at Valus fixede
deres lortekode, men de valgte at tage den et skridt videre.
> Nå selv om jeg lagde omtalte lille script op, kan i åbenbart stadigvæk ikke
> se det komiske i at straffe ofret og lade skurken gå fri.
Det er overhovedet ikke pointen.
> Hvis det var en mordsag, ville man spytte på den døde, sætte pistolen i
> spjældet, og give ham der trykkede på aftrækkeren en medalje.
Analogier holder ikke. Lad være med at bruge dem.
> Jeres holdning til edb sikkerhed er sgu underlig.
Sjovt, for vores holdning afspejler mange af de anerkendte
sikkerhedseksperters holdning i resten af verden.
--
Andreas Plesner Jacobsen | It's like deja vu all over again.
| -- Yogi Berra
Hvorfor dog det ?
Men nuvel, hvis du mener at en holdning om kun at ville respktere mennesker
der kan smadre andres maskiner ikke er en syg tanke. ja så må du da så meget
undskylde.
Mig og mine fordomme, beklager.
Troede ikke en sådan holdning i dag kune bo i et raskt menneske.
Har altid troet at den slaks tanker og holdninger var sygelige, men jeg tog
altså fejl igen.
Så altså meget undskyld til dig, du skal da ikke gå og være ked af det.
MVH
Bjarne
Fordi du har fornærmet mig.
> Men nuvel, hvis du mener at en holdning om kun at ville respktere mennesker
> der kan smadre andres maskiner ikke er en syg tanke. ja så må du da så meget
> undskylde.
Det vil jeg ikke, men som jeg allerede har forklaret dig een gang: Du
har bragt så mange intetsigende og direkte forkerte udtalelser på banen
at den eneste måde jeg på nogen måde kunne tro på at du vidste bare det
mindste om sikkerhed, endsige hvordan computere fungerer var ved et
praktisk eksempel.
Og synd at sige: Du dumpede, endnu en gang. Du antog (endnu en gang) for
meget om det angrebne, og at du ikke engang i teorien kan stable et
angreb på benene viser med al tydelighed at du ikke ved en klaphat om
hvad du taler om.
Derudover: Jeg bad om adgang til et sådant script, det kan på ingen måde
sammenholdes med at jeg kun har respekt for folk der ødelægger andres
computere. Faktisk har jeg enormt meget imod denne slags mennesker.
Men at være i stand til at bryde ind i en computer vil, over for mig
ihvertfald, være en måde at anskueliggøre at man har forstået noget som
helst af sikkerhed. Men desværre faldt du ikke inden for denne kategori.
> Mig og mine fordomme, beklager.
> Troede ikke en sådan holdning i dag kune bo i et raskt menneske.
Alex har allerede en gang givet udtryk for hvor rask man er, når man har
den grad af tillid til egen kode som du har.
Men du kan jo forklare, hvilken lidelse det er jeg lider af?
--
Andreas Plesner Jacobsen | You are the only person to ever get this message.
Du sammenligner mord med kende trivielle fejl (her tænkes på direkte
kørelse af SQL udtryk og sårbar software versioner der eksistere
fejlrettelser til). Det gider jeg ikke at tage stilling til.
Som køber/bruger af et produkt, er det i min interesse at huller bliver
offentlige kende, så jeg kan tage stilling til dette.
> Jeres holdning til edb sikkerhed er sgu underlig.
Hvem er "Jeres"?
Min holdning er, at man finde en fejl, kontakter producenten,
producenten bygger en patch, man gør fejlen offentlig kendt.
Der kan dog være situationer, hvor det kan være i offentlighedens
interesse at kende til eksistensen af hullet og evt. hvordan hullet kan
omgåes inden fejlen bliver rettet.
Af andre problemer kan nævnes at producenten ikke kan se eller afviser
at der er et sikkerhedsproblem.
Endvidere hvordan finder man fejl på lovlig vis, i et edb-system der
eges af andre (som fx Valus)? Hvis jeg kan se der er et sikkerhedproblem
i systemmet, men gerne vil teste det inden jeg går videre med det,
hvordan gør jeg så. Ringer jeg til Valus og spørger om de vil sætte et
testmiljø jeg kan teste i?
Jeg har selv oplevet en sikkerhedsproducent der brugte 6 måneder på at
rette en fejl i en firewall. Her valgte jeg dog ikke fortælle offentligt
om fejlen inden patchen.
Endvidere skal det nævnes at nogle producenter ikke fortæller om
sikkerhedsproblemmer de retter!!
--
Christian E. Lysel, http://www.spindelnet.dk/
> > Ok systemerne bør være sikre, men alligevel bare læs rundt omkring i
> > debatten, det er som om det er systemernens skyld det hele og at dem
> > der er ofrene når sikkerheden svigter bærer hele ansvaret allene.
>
> http://www.snakeoil.dk/kommentarer/20021114-1
>
> ...Det er ulovligt at sløse med f.eks. regnskabet eller vedligeholdelse
> af bygninger. Vi forstår ikke hvorfor det samme ikke er gældende for
> IT-systemer som bliver mere og mere kritiske...
Det er vigtigt at fremhæve at de tanker der ligger bag dette er følgende
(vil jeg tro):
En sikkerhedsfejl koster jo ikke kun ejeren af systemet dyrt, men også
alle brugerne, der i mange af de aktuelle sager kan få offentliggjort
mange personlige data (Københavns E, Told&Skat, Valus). Derfor er det at
ejeren af systemet har et så stort ansvar, og burde stå til offentlig
afstraffelse, hvis de ikke har sikret deres software godt nok.
--
Andreas Plesner Jacobsen | Excellent day to have a rotten day.
http://www.snakeoil.dk/kommentarer/20021114-1
...Det er ulovligt at sløse med f.eks. regnskabet eller vedligeholdelse
af bygninger. Vi forstår ikke hvorfor det samme ikke er gældende for
IT-systemer som bliver mere og mere kritiske...
Vis mig en analogi der ikke kan bøjes til fordel for begge parter og jeg
vil give dig ret.
> Se dog ned gennem debatten, det er altid de forudrettede i kritiserer, og
> nuvel men god grund måske, men ligefrem at lateligøre dem hver eneste gang
> og samtidig i debatten fremhæve dem der egentlig er de skyldige som nogle
> vældige karle er altså for meget.
Du siger "i" - vil du finde et indlæg, hvor jeg har gjort dette?
> Jeg ved godt at jeg er i bragende minretal med denn holdning her i denne NG.
> men nogen bør altså fremføre denne holdning, det er vel et åbent debatforum
> vi befinder os i. og ikke et meningsdiktatur.
Jada, men du bør også være i stand til at argumentere for dit synspunkt,
og indtil videre har du ikke argumenteret med andet end "det står i
loven" - hvilket i sig selv er problematisk i enhver debat, da man så må
begynde at tage udgangspunkt i de supplerende tekster og debatter, der
ligger til grund for §§ne. Ofte vil disse debatter ligge så fjernt fra
den aktuelle sag at det vil ende med et rent "menings-kasteri" - og så
er det jo ikke en debat længere.
> Det føles som om i er blevet argument resistente her inde.
Jeg har ikke set nogen argumenter fra din side, kun påstande.
>> > Jeres holdning til edb sikkerhed er sgu underlig.
>
>> Sjovt, for vores holdning afspejler mange af de anerkendte
>> sikkerhedseksperters holdning i resten af verden.
>
> Såh ?? Det er jeg nu ikke enig med dig i.
> For så kan jeg da hurtigt udråbe nogle nye såkaldte førende og anerkendte
> eksperter.
> Det der med anerkendte eksperter holder ikke en meter.
Så kom da med eksperter der fremfører de samme meninger som dig.
> Skriv en bog eller kom i medierne og du er ekspert.
Nej. Steve Gibson er faktisk god til at være medieluder, det er visse
danskere også, men i bund og grund ville de ikke kunne genkende et
bufferoverflow om de så satte sig på det.
> Nå men jeg har altså en anden indgang til begrebet edb sikkerhed end de
> fleste herinde, og jeg indrømmer at det måske også er lidt på tros, da jeg
> mener at holdningen over for dem der virkelig bevidst sidder og anvender EDB
> teknologien til at lave skade og ødelægge i debatten er al for vag, ingen
> tager jo virkelig afstand fra disse hærværksmænd.
Sikke noget forkvaklet sludder. Du eksponerer nogle få personers
meninger på hele gruppen, blot fordi vi er enige i visse tekniske
detaljer betyder det ikke at vi er enige i alt.
> Ok systemerne bør være sikre, men alligevel bare læs rundt omkring i
> debatten, det er som om det er systemernens skyld det hele og at dem der er
> ofrene når sikkerheden svigter bærer hele ansvaret allene.
Nej, dem der bærer ansvaret er:
1. Dem der udvikler usikre systemer
og
2. Dem der bryder ind i systemer
Så længe personer i kategori 2 eksisterer kan og bør vi (altså de "vi"
der kan ende i kategori 1) kun designe helt sikre systemer, det er et af
de grundlæggende axiomer.
> Det er bare den holdning jeg gerne vil gøøre op med.
Der er ingen herinde der mener at mennesker der bryder ind i systemer er
helte. Der er dog heller ingen der mener at de mennesker der designer
usikre systemer er helte; specielt de mennesker der gang på gang
annoncerer bod og bedring og alligevel ikke gør en skid ved det (her
tænker jeg specielt på Microsoft og ISC).
De virkelige helte skal findes blandt de whitehats, der finder
sikkerhedshuller og rapporterer dem til producenterne. Desværre er de
selvsamme producenter så langsomme i betrækket at den eneste måde at få
dem til at fixe problemerne er ved at offentliggøre problemet; man skal
jo huske at problemet ikke går væk fordi offentligheden ikke kender det,
og når problemet er til stede i softwaren vil der muligvis også være
onde personer der kender til det. Her er vi så tilbage ved at vi kun kan
gå ud fra at der er mindst en person i kategori 2, og at denne person
kender til sikkerhedshullet. Derfor er det også vigtigt at det bliver
fixet så hurtigt som muligt.
Og Bjarne: Gør mig en tjeneste: svar på alt hele mit indlæg, ikke kun de
stumper du kan forvrænge til at passe med dit verdensbillede.
--
Andreas Plesner Jacobsen | Too much of everything is just enough.
| -- Bob Wier
> > Hvis det var en mordsag, ville man spytte på den døde, sætte pistolen i
> > spjældet, og give ham der trykkede på aftrækkeren en medalje.
>
> Analogier holder ikke. Lad være med at bruge dem.
Det mener i jo kun hvis de giver udtryk for en anden menig en den i denne
grubbe fremherskende.
Se dog ned gennem debatten, det er altid de forudrettede i kritiserer, og
nuvel men god grund måske, men ligefrem at lateligøre dem hver eneste gang
og samtidig i debatten fremhæve dem der egentlig er de skyldige som nogle
vældige karle er altså for meget.
Jeg ved godt at jeg er i bragende minretal med denn holdning her i denne NG.
men nogen bør altså fremføre denne holdning, det er vel et åbent debatforum
vi befinder os i. og ikke et meningsdiktatur.
Det føles som om i er blevet argument resistente her inde.
> > Jeres holdning til edb sikkerhed er sgu underlig.
> Sjovt, for vores holdning afspejler mange af de anerkendte
> sikkerhedseksperters holdning i resten af verden.
Såh ?? Det er jeg nu ikke enig med dig i.
For så kan jeg da hurtigt udråbe nogle nye såkaldte førende og anerkendte
eksperter.
Det der med anerkendte eksperter holder ikke en meter.
Skriv en bog eller kom i medierne og du er ekspert.
Disse begreber er jo noget jurnilister har opfundet for at stive tyndbenede
artikler af.
He, he, reglen er da vist snare den, at hver gang man støder på begrebet,
at det mener de førende eksperter, ja så bør man sgu virkelig blive
skeptsisk.
Nå men jeg har altså en anden indgang til begrebet edb sikkerhed end de
fleste herinde, og jeg indrømmer at det måske også er lidt på tros, da jeg
mener at holdningen over for dem der virkelig bevidst sidder og anvender EDB
teknologien til at lave skade og ødelægge i debatten er al for vag, ingen
tager jo virkelig afstand fra disse hærværksmænd.
Ok systemerne bør være sikre, men alligevel bare læs rundt omkring i
debatten, det er som om det er systemernens skyld det hele og at dem der er
ofrene når sikkerheden svigter bærer hele ansvaret allene.
Det er bare den holdning jeg gerne vil gøøre op med.
Men pyh - ha, det ser ud til at være svært.
Med venlig hilsen
Bjarne Østerård
Jeg forventer en undskyldning.
--
Andreas Plesner Jacobsen | You can't hug a child with nuclear arms.
> Det vil jeg ikke, men som jeg allerede har forklaret dig een gang: Du
> har bragt så mange intetsigende og direkte forkerte udtalelser på banen
> at den eneste måde jeg på nogen måde kunne tro på at du vidste bare det
> mindste om sikkerhed, endsige hvordan computere fungerer var ved et
> praktisk eksempel.
Det er sgu da også en mærkelig måde at anskue tingene på, man skal bevise at
man er kriminel for at kunne tale med om sikkerhed.
eller for at blive taget alvorligt.
> Og synd at sige: Du dumpede, endnu en gang. Du antog (endnu en gang) for
> meget om det angrebne, og at du ikke engang i teorien kan stable et
> angreb på benene viser med al tydelighed at du ikke ved en klaphat om
> hvad du taler om.
Og du føler dig fornærmet.
Jeg bragte et holdningsspørgsmål på banen.
Det var sgu da det hele.
> Derudover: Jeg bad om adgang til et sådant script, det kan på ingen måde
> sammenholdes med at jeg kun har respekt for folk der ødelægger andres
> computere.
Du påstod at et sådant scripr ikke fandtes, jeg påpegede faktisk bare at jeg
havde et sådant script liggende der kunne skrive på en brugers harddisk osv.
>Faktisk har jeg enormt meget imod denne slags mennesker.
> Men at være i stand til at bryde ind i en computer vil, over for mig
> ihvertfald, være en måde at anskueliggøre at man har forstået noget som
> helst af sikkerhed.
Man kan altså ikke arbejde med sikkerhed før man har bragt den i fare, tror
du da at alle vagtmænd, først skal røve en bank før de kan køre med
pengetransporter.
Hvad er det for nogle omvendte holdninger du har til al ting.
Men desværre faldt du ikke inden for denne kategori.
Ja jeg har aldrig i mit liv forsøgt at bruge min edb viden eller færdigheder
til at skade andre, eller til at bryde ind i andres computere.
Altså må jeg ikke have en mening om sikkerhed.
Med fare for at fornærme dig igen.
Jeg kan altså ikke se det fornuftige i at kun folk der laver indbrud, må
have meninger om sikkerhed.
Så jeg vil ikke igen bruge ordet en syg holdning, men den er da en mærkelig
og omvendt måde at anskue kvalifikationer på.
Du godeste, tænk hvis disse kvalifikationskrav gjalt for andre brancher
også.
Tænk bare på livredere og brandmænd, :-)))
"Godag, jeg vil gerne have jobbet som livreder". ok! Hvor mange har du
druknet ?
Jeg kunne godt finde på flere men det gider du vel ikke høre på.
> Alex har allerede en gang givet udtryk for hvor rask man er, når man har
> den grad af tillid til egen kode som du har.
Hvad skal min egen kode blandes ind i dette for og hvad har min tillid til
egen kode med denne debat at skaffe.
Med hensyn til Alex har jeg ingen kommentarer.
> Men du kan jo forklare, hvilken lidelse det er jeg lider af?
he he skrivekrampe og søvnmangel er mit bud :-)
Men jeg er ikke læge så det skal jeg ikke kunne sige dig, og undersøge dig
må jeg vel ikke.
Med venlig hilsen
Bjarne Østergård
> Som køber/bruger af et produkt, er det i min interesse at huller bliver
> offentlige kende, så jeg kan tage stilling til dette.
>
> > Jeres holdning til edb sikkerhed er sgu underlig.
>
> Hvem er "Jeres"?
"jeres" Er en tiltaleform der bruges når man taler til en gruppe i stedet
for til en enkelt person
i dette tilfælde er det dem der selv føler at de tilhøter den gruppe der
tales til, og som jo nok er dem der også deltager.
> Min holdning er, at man finde en fejl, kontakter producenten,
> producenten bygger en patch, man gør fejlen offentlig kendt.
>
> Der kan dog være situationer, hvor det kan være i offentlighedens
> interesse at kende til eksistensen af hullet og evt. hvordan hullet kan
> omgåes inden fejlen bliver rettet.
Hvem udnævner dig til offentlig politibetjent, og hvem giver dig beføjelser
til indbrud for blot at konttrolere om det kan lade sig gøre.
kan du ikke selv høre at det er et totalt retsløst samfund du argumentere
for.
Selvudnævnte politifolk og dommere, bevar mig vel
i Afganistan kalder den slags folk sig for krigsherrer.
> Af andre problemer kan nævnes at producenten ikke kan se eller afviser
> at der er et sikkerhedsproblem.
Har du ikke tillid til købmanden så køb ikke hans varer, det er et frit
valg. og fortæl da også gerne under alm. ansvar hvorfor du ikke vil handle
med ham. Men at udsætte ham for kriminelle handlinger blot fordi du eller en
anden mener at skulle bevise noget i jeres egenskab af selvudnævnt
sikkerhedspoliti, kan jeg altså ikke gå ind for.
> Endvidere hvordan finder man fejl på lovlig vis, i et edb-system der
> eges af andre (som fx Valus)? Hvis jeg kan se der er et sikkerhedproblem
> i systemmet, men gerne vil teste det inden jeg går videre med det,
> hvordan gør jeg så. Ringer jeg til Valus og spørger om de vil sætte et
> testmiljø jeg kan teste i?
Gør det som der gøres i det øvrige samfund.
Vi har udmærkede myndigheder, vi kan ikke ha folk til at udnævne sig selv
til myndighed og tildele sig selv rettigheder.
> Jeg har selv oplevet en sikkerhedsproducent der brugte 6 måneder på at
> rette en fejl i en firewall. Her valgte jeg dog ikke fortælle offentligt
> om fejlen inden patchen.
Hvem har dog pålagt dig den opgave at offentliggøre virksomheders udbyggelse
af deres sikkerhedssystemer.
Hvad er det der sker? hvad er det dog for et samfund i genren vil ha.
For mig lyder det altså uhyggeligt.
Hvis jeg ikke vidste bedere ville jeg tro det var et filmmanuskript du
henviste til om en fremtidsfilm med uhyggelige tilstande i samfundet
Det komplet lovløse samfund.
> Endvidere skal det nævnes at nogle producenter ikke fortæller om
> sikkerhedsproblemmer de retter!!
Forventer du da virkelig at virksomheder skulle sidde og offentliggørre hver
gang de videreudvikler på deres projekter.
Hvam skulle betale for al den tid, og hvorfor pokker skulle man dog fortælle
sine konkkurenter om det
Jeg kan ikke dele din filofosi, for meg virker hele den holdning til tingene
med selvudnævnte sikkerhedspolitibetjente skræmmende og afskueligt.
Beklager.
I middelalderen havde vi heksejægere, lad os ikke få disse tilstande i
informationssamfundets middelalder.
Se det var et godt argument, og det kan jeg kun tilslutte mig.
Men i den virkelige verden har vi myndigheder nedsat gennem demokratiske
regler og principper.
Der går borgerne ikke på egen hånd, og på eget intiativ rundt og vælter
folks bygninger, blot fordi de ikke kan lide fasaden, eller indretningen.
Mvh
Bjarne Østergård
Jammen de love og regler har vi jo allerrede, registerloven f.eks.
Jeg har da selv for nylig lavet en ansøgning og indberetning til
datatilsynet, hvor jeg skulle gøre rede for vores måde at opbevare og
behandle data på.
Det har alle jo pligt til.
Og disse regler skal man overholde, ændre man noget skal man indberette.
Vi har altså systemer i det offentlige til at tage sig af IT Bygningerne.
Man kan ikke tillade sig selv at lege indbrudstyv for at se om ens data er
gemt godt nok.
Den holder altså ikke, det bliver jo totalt kaos hvis jeres ideer virkelig
blev ført ud i livet.
Skal man være kriminel for at kunne komme med et praktisk eksempel?
Eller har du bare - endnu en gang - ikke fattet hvad der bliver snakket
om?
>Men desværre faldt du ikke inden for denne kategori.
>Ja jeg har aldrig i mit liv forsøgt at bruge min edb viden eller færdigheder
>til at skade andre, eller til at bryde ind i andres computere.
Naturligvis, vi ved alle sammen at din viden - i hvert fald om it
sikkerhed - er ikke-eksisterende.
>Med fare for at fornærme dig igen.
>Jeg kan altså ikke se det fornuftige i at kun folk der laver indbrud, må
>have meninger om sikkerhed.
>Så jeg vil ikke igen bruge ordet en syg holdning, men den er da en mærkelig
>og omvendt måde at anskue kvalifikationer på.
Problemet er ikke at du opfatter det som en syg holdning. Problemet er
at du beskylder Andreas for at have denne holdning.
Hvis du prøver at læse indlæggene igen, så vil du se at han har en PC
stående netop til dette formål. Hvis[1] han skal teste det nye exploit, så
angriber / smadrer han altså sin egen PC, har du noget problem i det?
Prøv at spørge folk der sælger brandsikre pengeskabe, om de nogensinde
har forsøgt at tænde ild omkring skabet. Det har de, trust me.
Prøv at spørge folk der laver biler, om de nogensinde har prøvet at køre
en bil ind i en mur. Det har de. Ikke allesammen, men den afdeling der
står for at teste bilens sikkerhed.
Mvh
Kent
[1] Disclaimer: Jeg ved faktisk ikke om Andreas tester exploits.
--
IE is the only thing capable of making Netscape look good
- D. Spider in comp.os.linux.advocacy
Utroligt.
>Men i den virkelige verden har vi myndigheder nedsat gennem demokratiske
>regler og principper.
>Der går borgerne ikke på egen hånd, og på eget intiativ rundt og vælter
>folks bygninger, blot fordi de ikke kan lide fasaden, eller indretningen.
Der er heller ikke nogen herinde der angriber *folks* computere (Cubus
undtaget, men han har vist også fortrudt). Og du glemmer lige en ting:
Mange herinde er rent faktisk ansat til at arbejde med sikkerhed. De går
altså ikke rundt "på egen hånd", de gør det fordi de får løn for det.
Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"
Godt.
>>Hvem er "Jeres"?
>
> "jeres" Er en tiltaleform der bruges når man taler til en gruppe i stedet
> for til en enkelt person
> i dette tilfælde er det dem der selv føler at de tilhøter den gruppe der
> tales til, og som jo nok er dem der også deltager.
Jeg forstod det som resten af Internet.
>>Min holdning er, at man finde en fejl, kontakter producenten,
>>producenten bygger en patch, man gør fejlen offentlig kendt.
>>
>>Der kan dog være situationer, hvor det kan være i offentlighedens
>>interesse at kende til eksistensen af hullet og evt. hvordan hullet kan
>>omgåes inden fejlen bliver rettet.
> Hvem udnævner dig til offentlig politibetjent, og hvem giver dig beføjelser
> til indbrud for blot at konttrolere om det kan lade sig gøre.
> kan du ikke selv høre at det er et totalt retsløst samfund du argumentere
> for.
Jeg snakker ikke om indbrud, men om at finde software fejl.
>>Af andre problemer kan nævnes at producenten ikke kan se eller afviser
>>at der er et sikkerhedsproblem.
> Har du ikke tillid til købmanden så køb ikke hans varer, det er et frit
> valg. og fortæl da også gerne under alm. ansvar hvorfor du ikke vil handle
> med ham. Men at udsætte ham for kriminelle handlinger blot fordi du eller en
> anden mener at skulle bevise noget i jeres egenskab af selvudnævnt
> sikkerhedspoliti, kan jeg altså ikke gå ind for.
Mener du virkelig at hvis jeg bruger penge på noget software og finde et
sikkerhedshul skal jeg købe et andet produkt?
Hvilken software producent tager deres varer retur?
>>Endvidere hvordan finder man fejl på lovlig vis, i et edb-system der
>>eges af andre (som fx Valus)? Hvis jeg kan se der er et sikkerhedproblem
>>i systemmet, men gerne vil teste det inden jeg går videre med det,
>>hvordan gør jeg så. Ringer jeg til Valus og spørger om de vil sætte et
>>testmiljø jeg kan teste i?
> Gør det som der gøres i det øvrige samfund.
> Vi har udmærkede myndigheder, vi kan ikke ha folk til at udnævne sig selv
> til myndighed og tildele sig selv rettigheder.
Hvilken myndighed ville du henvende dig til i fx Valus sagen?
Hvis du snakker om datatilsynet, så har Alex kontaktet dem.
>>Jeg har selv oplevet en sikkerhedsproducent der brugte 6 måneder på at
>>rette en fejl i en firewall. Her valgte jeg dog ikke fortælle offentligt
>>om fejlen inden patchen.
> Hvem har dog pålagt dig den opgave at offentliggøre virksomheders udbyggelse
> af deres sikkerhedssystemer.
Jeg mener jeg har en pligt over for bla. mine kunder jeg installere
sikkerhedsløsninger for at informere om sikkerhedsproblemer.
Endvidere mener jeg det er i offentlighedens interesse at vide om
sikkerhedsproblemmerne.
> Hvad er det der sker? hvad er det dog for et samfund i genren vil ha.
> For mig lyder det altså uhyggeligt.
> Hvis jeg ikke vidste bedere ville jeg tro det var et filmmanuskript du
> henviste til om en fremtidsfilm med uhyggelige tilstande i samfundet
> Det komplet lovløse samfund.
Mener du seriøst at følgende er lovløst,
http://www.spindelnet.dk/?path=/security/vulnerability
Vi snakker forbi hinanden. Jeg tror du snakker om at vælte systemer, jeg
snakker om at finde fejl i dem og informere producenten.
Men Bjarne, jeg har nu i sidste uge fundet et andet seriøst
sikkerhedshul i den mest udbredte VPN løsning.
Skal jeg blot ignorere problemet, eller melde det til en myndighed,
eller melde det til producenten, og skal jeg fortælle offentligt om dette?
>>Endvidere skal det nævnes at nogle producenter ikke fortæller om
>>sikkerhedsproblemmer de retter!!
> Forventer du da virkelig at virksomheder skulle sidde og offentliggørre hver
> gang de videreudvikler på deres projekter.
Ja, hvordan skal jeg som køber ellers sikre mig?
> Hvam skulle betale for al den tid, og hvorfor pokker skulle man dog fortælle
> sine konkkurenter om det
Forventer du det samme om en bilproducent der finder sikkerhedsfejl i
deres bremser, at man blot hemligholder informationen fordi hensynet til
konkurrence er størrer end hensynet til køberen.
> Jeg kan ikke dele din filofosi, for meg virker hele den holdning til tingene
> med selvudnævnte sikkerhedspolitibetjente skræmmende og afskueligt.
> Beklager.
Jeg kan ikke forstå sammenligningen med selvudnævnt sikkerhedspoltibetjent.
> I middelalderen havde vi heksejægere, lad os ikke få disse tilstande i
> informationssamfundets middelalder.
Har vi disse tilstande?
URLen var: http://www.ydicon.dk/startprog.htm
Og hold nu godt øje med denne http session:
[kasperd@horse02:pts/6:kasperd] telnet www.ydicon.dk 80
Trying 80.196.101.22...
Connected to www.ydicon.dk.
Escape character is '^]'.
HEAD /startprog.htm HTTP/1.0
HOST: www.ydicon.dk
USER-AGENT: kasperd
HTTP/1.1 404 Object Not Found
Server: Microsoft-IIS/5.0
Date: Sat, 16 Nov 2002 10:01:41 GMT
Content-Length: 4040
Content-Type: text/html
Connection closed by foreign host.
[kasperd@horse02:pts/6:kasperd]
Under antagelse af, at siden faktisk på et tidspunkt fandtes er det
altså fuldstændig korrekt, når jeg siger, at den ikke findes mere.
>
> Jeg forsøgte bare endnu engang at påpegeg at selv om en ting kunne lade sig
> gøre bør man ikk gøre det hvis det kan skade andre.
Så vidt jeg forstod prøvede du blot på at tage æren for en anden
persons opdagelse. (Bemærk, at jeg betragter Thors udsagn som mere
troværdige end dine.)
> I en tidligere tråd beskrev jeg dette script, men fik straks at vide at
> noget sådant ikke kunne lade sig gøre.
Reference?
>
> Nu har jeg haft det lagt op på en side, og straks taler i om noget helt
> andet.
Du kunne jo bare have påpeget securityfocus siden i den pågældende
tråd. Og lad dog være med at begynde at snakke om hullet uden at
fortælle hvor du kender det fra.
>
> Der findes hundredevis af måder hvormed man kan skade en person der
> fredeligt surfer på nettet, men blot fordi man ved det, og at det kan gøres
> berettiger jo ikke til at gøre det.
Men derfor kan man da godt påpege hvad skade, man kan gøre. Så
folk ved det. Jeg har en side liggende, med et link som kan
afbryde nogle modem brugeres netforbindelse. Men jeg gør meget
tydligt opmærksom på, hvad der kan ske.
http://www.daimi.au.dk/~kasperd/modem/
Og læg mærke til, at jeg tydligt fortæller, hvor jeg kender
hullet fra. Siden er udelukkende lavet for at teste om modems
lidder af fejlen. (Opkalds delen har jeg ikke fået til at
virke endnu, derfor virker linket ikke.)
>
> Det er det sagen handler om.
?
>
> En syg person skrev i en tidligere tråd at han kun kunne respektere mig hvis
> jeg kunne smadre hans maskine.
> og at et sådant script bestemt ikke fandtes.
Det kan jeg ikke erindrer at have læst. Men jeg kan tilgengæld
erindre, at en person har givet dig lov til at gøre alt den
skade mod hans maskine, som du er i stand til via en html side.
Og at du desuden ville få mere respekt hvis det faktisk lykkedes.
>
> Derfor lagde jeg det i et kort tidsrum op så i kunne se at det fandtes.
> Faktisk findes der mange af den slags.
>
> Og de vil kunne bruges på en ond måde, og en god måde.
>
> Men bruges de på en ond måde vil i jo anklage dem det går ud over og
> heliggøre skurken der brugte sin viden til at skade andre med.
Sikke da noget sludder. Vi vil ikke anklage de personer, det går
ud over. Vi vil derimod ankalge de personer, der er skyld i at
hullet eksisterer, og i endnu højere grad de personer som burde
lukke hullet, men ikke gør det.
Jeg vil ikke heliggøre den skurk, som udnytter det til at anrette
skade. Men vi vil dog rose den person som finder hullet og
demonstrerer hvad skade det kan gøre. Så længe man kun anretter
skade på et testsystem hvor man har lov til det, skal man ikke
straffes for det.
>
> Det viser jeres debat herinde om values da tydligt, og det er det jeg mener
> er forkert.
Jeg tror dit problem er, at cubus har fået mere respekt her i
gruppen end dig selv. Han har begået en fejl og indrømmet det.
Blot et lille fejltrin, som mest af alt skyldes manglende teknisk
indsigt, hvilket han ikke har lagt skjul på. Jeg har ikke på
noget tidspunkt haft grund til at mistænke ham for at lyve.
>
> Nå selv om jeg lagde omtalte lille script op, kan i åbenbart stadigvæk ikke
> se det komiske i at straffe ofret og lade skurken gå fri.
Hvem har snakket om at straffe ofrene? Jeg har i hvert fald aldrig
foreslået, at man skulle straffe Valus kunder.
>
> Hvis det var en mordsag, ville man spytte på den døde, sætte pistolen i
> spjældet, og give ham der trykkede på aftrækkeren en medalje.
Hvad kan vi bruge den analogi til? Bortset fra at tage os til
hovedet.
>
> Jeres holdning til edb sikkerhed er sgu underlig.
Jeg tror nærmere, det er dig der ikke har evner til at følge med
i diskutionen.
Ifølge en artikel på computerworld kom der faktisk efterfølgende
en ondsindet person og prøvede at destruere data i databasen.
http://www.computerworld.dk/Default.asp?Mode=2&ArticleID=16916
>
> Man kan så mene, at man burde have kontaktet Valus først og givet dem
> en frist til at få lukket hullet før man offentliggjorde det.
Det mener jeg bestemt ville have været bedre.
>
> Jeg tror ikke der er nogen i denne gruppe der "helliggør" ondsindede
> personer der kun er ude at på ødelægge.
Bestemt ikke. Men skal man gøre ejeren af en server opmærksom
på et sikkerhedshul, før man ved, om det eksisterer?
Bjarne, du kender denne gruppe og du ved at alt ender med at folk hakker
på hinanden og pisser deres territorie af.
Har du nogensinde kunne skrive herind uden at bliver overfaldet og at
tråden er endt i minimum 200 posts?
Jeg sidder tit og undre mig over at du aldrig bliver klogere.....
socketd
> Jacob Atzen wrote:
> >
> > Det er der du tager fejl. I Valus sagen blev der faktisk ikke gjort
> > sønderlig stor skade. Serveren blev lukket ned og det var det. En
> > ondsindet person kunne have trukket data ud af databasen eller
> > ligefrem destrueret de data der lå i databasen. Det er i alt fald,
> > hvad jeg har kunne læse mig frem til.
>
> Ifølge en artikel på computerworld kom der faktisk efterfølgende
> en ondsindet person og prøvede at destruere data i databasen.
>
> http://www.computerworld.dk/Default.asp?Mode=2&ArticleID=16916
Jeg refererede til Valus - ikke computerworld. Men derudover kan man
vel sige, at personen, der lukkede Valus database ned rent faktisk
gjorde dem en tjeneste. Han sørgede for at andre ikke kunne ødelægge
data i databasen.
> > Man kan så mene, at man burde have kontaktet Valus først og givet dem
> > en frist til at få lukket hullet før man offentliggjorde det.
>
> Det mener jeg bestemt ville have været bedre.
>
> > Jeg tror ikke der er nogen i denne gruppe der "helliggør" ondsindede
> > personer der kun er ude at på ødelægge.
>
> Bestemt ikke. Men skal man gøre ejeren af en server opmærksom
> på et sikkerhedshul, før man ved, om det eksisterer?
Modsiger du ikke dig selv i det ovenstående. Først siger du, at det er
bedre at gøre ejeren opmærksom først, dernæst, at man ikke skal gøre
ejeren opmærksom før man ved om det eksisterer?
Lige et lille citat fra artiklen:
"Manden, der lagde linket ud, er ... sigtet af politiet."
Velkommen DMCA.
Virker de? Er det virkelig dyrere at lave fejl end at lave det rigtigt?
Hvis det ikke er virker loven jo ikke.
> Den holder altså ikke, det bliver jo totalt kaos hvis jeres ideer virkelig
> blev ført ud i livet.
Du bliver ved med at lægge ord i munden på folk. Der er ingen der har
sagt at det er en god ide at tilfældige mennesker bryder ind i systemer.
--
Andreas Plesner Jacobsen | APL hackers do it in the quad.
Sludder. Det vil ikke være en kriminel handling at foretage
penetration-testing på en maskine, hvor du er blevet bedt om det.
Jeg har på intet tidspunkt bedt dig om at foretage dig noget ulovligt.
Jeg har selv aldrig forsøgt at bryde ind i systemer uden forudgående
aftale med ejeren.
Alligevel bliver du ved med at antyde det, for at få dine egne
argumenter til at passe.
> Jeg bragte et holdningsspørgsmål på banen.
Nej, det gjorde du ikke. Du begyndte at omtale en helt konkret
sikkerhedsfejl. Derefter forvrængede du, hvad jeg sagde og kaldte mine
holdninger kriminelle, og mig selv syg.
>> Derudover: Jeg bad om adgang til et sådant script, det kan på ingen måde
>> sammenholdes med at jeg kun har respekt for folk der ødelægger andres
>> computere.
> Du påstod at et sådant scripr ikke fandtes, jeg påpegede faktisk bare at jeg
> havde et sådant script liggende der kunne skrive på en brugers harddisk osv.
Nej, det gjorde jeg ikke. Jeg spurgte om du kunne give mig adgang til
det. Det gjorde jeg fordi jeg var interesseret i om du havde fundet et
nyt sikkerhedshul. I så fald skulle dette rapporteres til producenten af
softwaren, og muligvis offentliggøres. Det var dog desværre ingen nyhed
du kom med.
> Man kan altså ikke arbejde med sikkerhed før man har bragt den i fare, tror
> du da at alle vagtmænd, først skal røve en bank før de kan køre med
> pengetransporter.
> Hvad er det for nogle omvendte holdninger du har til al ting.
Hvem har snakket om at bringe sikkerheden i fare? Du bliver da nødt til
at forstå din fjende? Jeg har endnu engang ikke bedt nogen om at bryde
ind i tilfældige systemer. Selvfølgelig skal man forstå hvordan et
bufferoverflow virker for at kunne finde et bufferoverflow, det siger da
sig selv.
Hvorfor bliver du ved med at antage at en evne til at KUNNE bryde ind er
ensbetydende med at man vil bruge denne evne på en kriminel måde?
>> Men desværre faldt du ikke inden for denne kategori.
> Ja jeg har aldrig i mit liv forsøgt at bruge min edb viden eller færdigheder
> til at skade andre, eller til at bryde ind i andres computere.
Har jeg da bedt dig om det?
> Altså må jeg ikke have en mening om sikkerhed.
Du må godt have en mening. Du kan dog ikke forvente at folk gider lytte,
når du reelt set ikke ved noget om emnet.
> Jeg kan altså ikke se det fornuftige i at kun folk der laver indbrud, må
> have meninger om sikkerhed.
Hvornår har jeg sagt det?
> Så jeg vil ikke igen bruge ordet en syg holdning, men den er da en mærkelig
> og omvendt måde at anskue kvalifikationer på.
Lad os vende den om: Hvor mange sikkerhedseksperter er IKKE i stand til
at læse og forstå en rapport om et sikkerhedshul? Hvis de ikke er det,
hvordan kan de så forhindre at det bliver udnyttet?
> Du godeste, tænk hvis disse kvalifikationskrav gjalt for andre brancher
> også.
Analogier igen. Som andre allerede har gennemhullet.
>> Alex har allerede en gang givet udtryk for hvor rask man er, når man har
>> den grad af tillid til egen kode som du har.
> Hvad skal min egen kode blandes ind i dette for og hvad har min tillid til
> egen kode med denne debat at skaffe.
At du ikke har forstået, hvordan man opnår sikkerhed i software.
Hvis du bliver ved med at fordreje det jeg siger vil dette blive mit
sidste indlæg i denne tråd af hensyn til de andre i gruppen.
--
Andreas Plesner Jacobsen | There's no such thing as a free lunch.
| -- Milton Friendman
> Jacob Atzen wrote:
> Aha. For hvad?
"Medvirken", så vidt jeg husker. Han skrev det på dk.videnskab.jura
på et tidspunkt, du kan prøve at søge der.
/L
--
Lasse Reichstein Nielsen - l...@hotpop.com
'Faith without judgement merely degrades the spirit divine.'
Netop. Hvis ikke databasen havde været lukket ned, kunne det jo have
været Valus, der mistede data. Det er i hvert fald det indtryk jeg
har fået af artiklen.
>
> > > Man kan så mene, at man burde have kontaktet Valus først og givet dem
> > > en frist til at få lukket hullet før man offentliggjorde det.
> >
> > Det mener jeg bestemt ville have været bedre.
> >
> > > Jeg tror ikke der er nogen i denne gruppe der "helliggør" ondsindede
> > > personer der kun er ude at på ødelægge.
> >
> > Bestemt ikke. Men skal man gøre ejeren af en server opmærksom
> > på et sikkerhedshul, før man ved, om det eksisterer?
>
> Modsiger du ikke dig selv i det ovenstående.
Nej.
> Først siger du, at det er
> bedre at gøre ejeren opmærksom først,
Ja, man bør gøre ejeren opmærksom før man offentliggører det.
> dernæst, at man ikke skal gøre
> ejeren opmærksom før man ved om det eksisterer?
Spørgsmålet er, hvor meget man skal undersøge, før man gør ejeren
opmærksom på et potentielt problem. Men at undersøge, om der er et
hul er ikke ensbetydende med at offentliggøre det.
>
> Lige et lille citat fra artiklen:
> "Manden, der lagde linket ud, er ... sigtet af politiet."
Aha. For hvad?
Du skrev et indlæg hvor du spurgte om vejledning til hvad du skulle gøre
nu hvor du havde fundet et sikkerhedshul. Samtidig gav du et link til en
demoside på dit domæne, der dog blot indeholdt en tilrettet udgave af
Andreas' fund. Hvorfor ville du tage æren for hans fund? Og hvorfor
snakker du udenom?
Resten af dit indlæg er snippet, det var blot pedanteri, hentydninger og
konspiration.
--
Thor Larholm
<URL: http://www.jibbering.com/faq/> FAQ for comp.lang.javascript
<URL: http://jscript.dk/unpatched/> Unpatched IE vulnerabilities
Det er vist omtrent det samme som er blevet sagt tidligere
uden at Bjarne forstod det.
>
> > Jeg bragte et holdningsspørgsmål på banen.
>
> Nej, det gjorde du ikke. Du begyndte at omtale en helt konkret
> sikkerhedsfejl. Derefter forvrængede du, hvad jeg sagde og kaldte mine
> holdninger kriminelle, og mig selv syg.
Hvis det kan glæde dig, så er de fleste her i gruppen nok mere
tilbøjelige til at betragte Bjarne som værende syg.
>
> Hvorfor bliver du ved med at antage at en evne til at KUNNE bryde ind er
> ensbetydende med at man vil bruge denne evne på en kriminel måde?
Hvis ikke man ved, hvordan et indbrud foretages, er det jo svært
at gøre noget ved det. Man bliver ikke sikkerhedsekspert uden
først at vide hvordan sådan et indbrud foretages. Men selvfølgelig
skal man kun bryde ind de stedder man har lov til det. Og indtil
det modsatte er bevist antager jeg, at en person ikke er brudt ind
hvor han ikke havde lov.
Prøv med følgende eksempel.
Om 6 måneder kommer to almindelige udklædte folk på besøg hos dig. De har
en udskrift fra byretten om at de må foretage en ransagning hos dig - det er
to politifolk fra CCU. Du bliver samtidig informeret om at du er sigtet for
at have udøvet 'hacking' og 'hærværk' mod et firma du aldrig har hørt om. Et
par uger senere får du og din advokat forsvarets genparter til gennemgang. I
disse dokumenter fremgår det tydeligt at det er din IP addresse der har
sendt et request til det 'ukendtes' firmas server der medførte at deres
system gik ned (for et eksempel; en shutdown som Cubus udførte).
Problemet er bare at du aner ikke hvordan dette er sket og du har
ihvertfald ikke selv gjort det. Politiet tror dig desværre ikke for du er jo
producent af et sikkerhedsprodukt. Dommen fældes, du får 2 års betinget
fængsel, bødestraf på et par tusinde og den computer som politiet
konfiskerede beholder de til evig eje.
Du står stadig som et spørgsmålstegn for du aner ikke hvad der er sket. En
meget meget ubehaglig situation at være i.
Nu er dette fiktion, men hvad der rent faktisk kunne have været sket er
følgende:
I en sen nattestund sad du og browsede på webbet som så mange gange før. Du
surfede ind på en tilfældig side lavet af en 'hacker' som indeholdt
informationer omkring sikkerhed, du fandt denne side fra en søgemaskine. Det
viste sig at der på siden ikke var noget specielt godt information, så du
surfede hurtigt væk. MEN siden indeholdt en lille frame nede i højre hjørne
der lavede forespørgelser på det, for dig, ukendte firmas websted. Disse
forespørgelser var malformet så de lage firmaets websted ned. Du så dem bare
aldrig eller havde overhovedet nogen ide om at de var der. Du surfede jo
bare rundt på webbet. Men det var fra din computer at de blev lavet og du er
jo IT mand så ligegyldigt hvad du siger så tror politiet dig ikke - for de
har jo din IP i webstedets logfiler uden referrer eller andet. Siden hvorpå
disse forespørgelser blev lavet er forlængst taget ned. Faktum er, selvom du
er uskyldig så bliver du dømt fordi du ikke kan modbevise politiets beviser.
Er dette et utænkeligt scenario. Bestemt ikke, Valus understregede jo selv
hvordan simple URLer kan nedlægge deres databaseserver. Du havde selv et
lignende sikkerhedshul på dit websted. Hundredevis af andre danske websteder
har også disse huller - det er bare et spørgsmål om tid før en scripttumpe
eller en anden ondsindet person laver en side med en usynlig frame og et
meta tag der laver sjove forespørgelser.
Faktum er, at situationen er ekstrem sprængfarlig hvis ikke det bliver
lovgivet at det er firmaerne selv der er ansvarlige for simple
forespørgelser mod deres maskiner - ellers kan uskyldige folk blive dømt.
Samtidig med er det også lidt uhyggeligt at fordi Politiet har din IP
addresse fra en logfil, så er det dit ansvar at bevise at du ikke har haft
ondsindet hensigt.
Det er endnu mere *suk* når du forestiller dig at halvdelen af firmaerne du
kontakter, for at gøre dem opmærksom på et sådant hul på deres websted,
fuldstændig ignorere det. At 25% ikke umiddelbart tror på dig. At kun
enkeltstående firmaer tager konsekvensen og får det rettet indefor 24 timer.
At andre firmaere sviner dig til for at have 'hacket' deres websted. At
endnu andre firmaer truer med fysisk vold eller retsager. At ingen firmaer
overhovedet gør deres kunder opmærksom på at de har haft et hul.
Efter lidt tid med dette gider man ikke kontakte flere firmaere, men i
stedet gør man opmærksom på problemerne når et firma kommer i medierne - for
derefter at blive sigtet for 4 gange medviken til hacking og hærværk...;-)
"Andreas Plesner Jacobsen" <a...@daarligstil.dk> wrote in message
news:slrnatcf7...@slartibartfast.nerd.dk...
> Sludder. Det vil ikke være en kriminel handling at foretage
> penetration-testing på en maskine, hvor du er blevet bedt om det.
Enig, og jeg er faktisk med i et projekt, hvor vi betaler mange DKK, for
netop at få foretaget en penetreringstest(og mm.) mod en løsning hostet i et
ganske stort firma.
Det udførende firma har dog krævet en 'out of jail' erklæring.
--
Med venlig hilsen/Best regards
Stig Johansen
Stig.J...@udvikling.it.dk
(remove dot dk)
"Thor Larholm" <m...@nowhere.invalid> wrote in message
news:LebB9.3688$WP....@news.get2net.dk...
> Du behøves slet ikke offentliggøre noget som helst, det er allerede
> gjort - af ophavsmanden, ikke dig.
>
> Ovenstående er blot en kopi af den kode som Andreas Sandblad
> offentliggjorde i hans advisory for nylig:
>
> http://online.securityfocus.com/archive/1/298748/2002-11-02/2002-11-08/2
>
Er det ikke bare den fra marts måned, der er 'genopdaget'?
http://www.computerworld.dk/default.asp?Mode=2&ArticleID=13995
NB: Jeg tror ikke på alt, der står i CW, men jeg prøvede det selv dengang,
det var aktuelt.
Analogier....det havde jeg ikke troet om dig Asbjørn.
--
Andreas Plesner Jacobsen | revolutionary, adj.:
| Repackaged.
"Asbjorn Hojmark" <Asb...@Hojmark.ORG> wrote in message
news:ucfdtuokd61b5ia0g...@news.tiscali.dk...
> Der er ikke (længere) noget, der hedder "registerloven" og der
Næh, og før 1/7 2001 hed det vist endda registerforskrifter?
Hvad er blevet ødelagt? (Bortset fra Valus troværdighed,
og det kan de vist kun takke sig selv for.)
Snakker vi kun om en risiko? Det må fremgå af webserver loggen,
hvad der ellers er blevet forsøgt af angreb. Med disse oplysninger
vil vi kunne forholde os til fakta i stedet for at gætte.
Spørgsmålet er blot, om Valus vil offentliggøre noget, og om vi
tør tro på dem, hvis de gør.
Udfra den sidste artikel om sagen i computerworld lyder det som
om, der faktisk ville være sket større skade hvis ikke serveren
var blevet lukket ned.
Hvad mener du med det?
Vi kan alle se, at du ikke er blevet klogere.
Og det drejer sig ikke om at nogen ejer gruppen,
det drejer sig udelukkende om den manglende
fornuft i dine indlæg.
Men NU tror jeg altså ikke jeg gidder diskutere
dine mindreværdskomplekser mere.
Hej Stig,
> "Thor Larholm" <m...@nowhere.invalid> wrote in message
> news:LebB9.3688$WP....@news.get2net.dk...
> > Ovenstående er blot en kopi af den kode som Andreas Sandblad
> > offentliggjorde i hans advisory for nylig:
> >
> >
http://online.securityfocus.com/archive/1/298748/2002-11-02/2002-11-08/2
>
> Er det ikke bare den fra marts måned, der er 'genopdaget'?
> http://www.computerworld.dk/default.asp?Mode=2&ArticleID=13995
Nej, den fra marts måned som CW omtalte var "codebase localpath"
sikkerhedshullet som thePull opdagede. Efter Microsoft frigav MS02-005
patchen blev dette lukket i Internet zonen, selvom det dog stadig kan
bruges i lokale sikkerhedszoner - hvilket netop ofte bliver brugt til at
afvikle vilkårlige programmer når man har brugt andre huller til at
komme ind i disse zoner. Det som Andreas nu har fundet er dog en
interessant ny indgangsvinkel, hvor man bruger HTMLHelp til at afvikle
kommandoen istedet for codebase og dermed også kan angive parametre.
Ligesom codebase kan det dog ikke betegnes som et separat sikkerhedshul
da man netop er i en lokal sikkerhedszone hvor dette er tilladt - tro
det eller ej, så er det en feature og Microsoft har ikke lyst til at
fjerne den da det ville bryde en vis funktionalitet i de hjælpetekster
der følger med til Windows. Istedet satser de på at forhindre adgang fra
Internet zonen til de lokale sikkerhedszoner.
> NB: Jeg tror ikke på alt, der står i CW, men jeg prøvede det selv
dengang,
> det var aktuelt.
Og dengang virkede det helt fint :)
Det site som CW omtalte havde blot lavet en Østergård, kopieret koden
fra et eksisterende proof-of-concept eksempel og kaldt det sit eget.
Hvis du søger på domænenavnet på Google Groups er det første hit endda
et indlæg fra mig hvor jeg påpeger dette ;)
<URL: http://groups.google.com/groups?q=%22liquidwd.freeserve.co.uk%22 >
> Det er en fuldstændig idiotisk opstilling af sagen. Man kunne med
> ca. samme ret sige, at jeg kunne gøre dig en tjeneste ved at
> brække benet på dig, så du undgik risikoen for at blive kørt ned
> på gaden.
Nu bryder jeg mig ikke om at blive kaldt idiot eller at få at vide at
mine udtalelser er idiotiske. Når det er sagt, må jeg give dig ret.
> > Men derudover kan man vel sige, at personen, der lukkede Valus
> > database ned rent faktisk gjorde dem en tjeneste. Han sørgede
> > for at andre ikke kunne ødelægge data i databasen.
>
> Det er en fuldstændig idiotisk opstilling af sagen. Man kunne med
> ca. samme ret sige, at jeg kunne gøre dig en tjeneste ved at
> brække benet på dig, så du undgik risikoen for at blive kørt ned
> på gaden.
>
> Hvad der havde været fornuftigt ville have været at skrive noget
> i stil med følgende til Valus: "Jeg har begrundet mistanke om, at
> jeres web-sted er sårbart over for et angreb af typen <etc>. Det
> mener jeg fordi <etc>. Jeg vil kraftigt anbefale, at I undersøger
> sagen nærmere".
>
> Men nej nej, i stedet giver indtil flere personer sig til at
> undersøge, om det nu også er rigtigt, at folk på gaden dør af at
> blive skudt i hovedet.
Hørt! Du rammer sømmer direkte på hovedet i dine analogier til den
fysiske verden! Må jeg ikke fortsætte ud af samme tangent med at
foreslå en guillotine genfremsat på Kultorvet for at gøre verden fri
for de 100.000+ der havde den utrolige frækhed at kopiere en URL
ind i en browser og trykke Enter, eller ligefrem eksperimenterede
med at lave om på URLs som beskrevet her:
"Sikkerheden i det nye betalingssystem må siger at være til grin - se
fx dette eksempel på en betaling, som jeg i hvert fald ikke har lavet.
Hvis I vil lege med, så opret en konto på Valus og når I er logget ind,
så følg dette link. Prøv at ændre tallet 2443 lidt, og se transaktionerne
dukke op."
http://www.interestingstuff.dk/2002_05_01_archive.php
...
Eller har du bare grundlæggende svært ved at skelne mellem pis og papir?
Har du mon også svært ved at skelne mellem alvorsgraden af begivenheder
i den fysiske og den virtuelle verden? En person der bliver bliver skudt i
hovedet for at undersøge om vedkommende dør af det, og så en server
der går ned som følge af programmeringsfejl pga en undersøgelse af en
usandsynlig påstand om en URLs virkning??
Sidstnævnte begivenhed må skam betragtes med største alvor. Havde jeg
købt en web-løsning af et firma, der brød sammen ved indtastning af en
URL i en browser, var jeg så sandelig blevet stiktosset.
> > Men derudover kan man vel sige, at personen, der lukkede Valus
> > database ned rent faktisk gjorde dem en tjeneste. Han sørgede
> > for at andre ikke kunne ødelægge data i databasen.
>
> Det er en fuldstændig idiotisk opstilling af sagen. Man kunne med
> ca. samme ret sige, at jeg kunne gøre dig en tjeneste ved at
> brække benet på dig, så du undgik risikoen for at blive kørt ned
> på gaden.
>
> Hvad der havde været fornuftigt ville have været at skrive noget
> i stil med følgende til Valus: "Jeg har begrundet mistanke om, at
> jeres web-sted er sårbart over for et angreb af typen <etc>. Det
> mener jeg fordi <etc>. Jeg vil kraftigt anbefale, at I undersøger
> sagen nærmere".
>
> Men nej nej, i stedet giver indtil flere personer sig til at
> undersøge, om det nu også er rigtigt, at folk på gaden dør af at
> blive skudt i hovedet.
Bravisimo! Du rammer sømmet direkte på hovedet i dine analogier til den
fysiske verden! Må jeg ikke fortsætte ud af samme tangent med at
foreslå en guillotine genfremsat på Kultorvet for at gøre verden fri
for de 100.000+ der havde den utrolige frækhed at kopiere en URL
ind i en browser og trykke Enter, eller ligefrem eksperimenterede
med at lave om på URLs som beskrevet her:
"Sikkerheden i det nye betalingssystem må siger at være til grin - se
fx dette eksempel på en betaling, som jeg i hvert fald ikke har lavet.
Hvis I vil lege med, så opret en konto på Valus og når I er logget ind,
så følg dette link. Prøv at ændre tallet 2443 lidt, og se transaktionerne
dukke op."
http://www.interestingstuff.dk/2002_05_01_archive.php
...
Eller har du bare grundlæggende svært ved at skelne mellem pis og papir?
Har du mon også svært ved at skelne mellem alvorsgraden af begivenheder
i den fysiske og den virtuelle verden? En person der bliver bliver skudt i
hovedet for at undersøge om vedkommende dør af det, og så en server
der går ned som følge af programmeringsfejl pga en undersøgelse af en
usandsynlig påstand om en URLs virkning??
Sidstnævnte begivenhed må skam betragtes med største alvor. Havde jeg
købt en web-løsning af et firma, der brød sammen ved indtastning af en
URL i en browser, var jeg så sandelig blevet stiktosset.
--
Cubus
http://cubus.adsl.dk/
> ødelægge deres web-sted.
Hørt!, - det var jo nærmest en omgang 11. september i den
virtuelle verden! ... Nej, det var endnu værre!
--
Cubus
http://cubus.adsl.dk/
Tak for den fine udredning.
Godt man bruger Konqueror/Linux, så man slipper for William's 'features'.
Dyremishandling.
Har du husket at opgradere efter den SSL fejl der blev opdaget for
et par måneder siden? (Og er der forresten kommet en opdatering som
retter den tilsvarende fejl i IE?)
> Vi kan alle se, at du ikke er blevet klogere.
> Og det drejer sig ikke om at nogen ejer gruppen,
> det drejer sig udelukkende om den manglende
> fornuft i dine indlæg.
Ja et hver indlæg der ikke mener det samme som flokken, og tillader sig ikke
at hyle sammen med den, er jo ufornuftige.
> Men NU tror jeg altså ikke jeg gidder diskutere
> dine mindreværdskomplekser mere.
Vidste selt ikke at det var dem vi diskuterede, men det er altså dem du
diskuterer.
Ja det anede mig godt nok. sådan plejer det jo at være her inde.
Men det glæder mig da at du nu i det mindste vil stoppe med at diskutere
mine mindreværkskomplekser, det er da også et underligt emne, at bruge tid
på.
Faktisk ville det klæde gruppen, ikke altid at gå efter manden, hver gang de
ikke deler hans sysnpunkt på et konkret emne.
Nå jeg er vel for optimistisk.
Med venlig hilsen
Bjarne Østergård
> > Men derudover kan man vel sige, at personen, der lukkede Valus
> > database ned rent faktisk gjorde dem en tjeneste. Han sørgede
> > for at andre ikke kunne ødelægge data i databasen.
>
> Det er en fuldstændig idiotisk opstilling af sagen. Man kunne med
> ca. samme ret sige, at jeg kunne gøre dig en tjeneste ved at
> brække benet på dig, så du undgik risikoen for at blive kørt ned
> på gaden.
Uden i øvrigt at tage stilling til sagen, ville den nok have udviklet
sig anderledes, hvis man først havde forsøgt at kontakte firmaet og
dernæst (hvis det ikke lykkedes) straks efter at have lukket serveren
havde skrevet til dem hvad man havde gjort og hvorfor.
M.v.h.
Jonathan
--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/
Jeg taler primaert om at dokumentere deres forretningsmetoder og
produktkvalitet saa kunderne og evt. myndighederne begynder at stille
spoergsmaal. Daarlig omtale koster meget mere end script kiddie agtige
indbrud.
Hvis en aendring af et argument i en URL (fra 93434 til KLAPTORSK) viser
at systemet udfoerer mangelfuld input validation, har udviklerne
fortjent alt den ballade opdageren har energi til at skabe.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
>Det betyder naturligvis ikke, at man maa splitte andres systemer ad.
.. og nok også tillige, at det ikke er ens job at bekymre sig om
andres systemer.
Vi kan have en faglig stolthed, der gør os i stand til at pege fingre
af andres løsninger. Men det er ikke vores arbejde at vurdere, om "det
bedste" ville være at lukke en database ned eller ej. Vi skal ikke
foretager handlinger/beslutninger på andres vegne, også selvom vores
beslutninger er bedre (fx "databasen bør lukkes ned").
At vi er kunder de steder giver os ikke mere adgang til systemet, end
vi ikke var. Til gengæld har vi mulighed for at undlade at være kunde,
at henvende os til butikkerne, samt i yderste konsekves at lave noget,
grænsende til "udhængning", såfremt firmaet ikke reagerer på meget
kritisable problemstillinger. Det behøver ikke at omfatte
kodeeksempler.
Et medie som ComputerWorld kan man måske mene om hvad man vil, men de
har nu været medvirkende til øget fokus blandt ikke-teknikere på
dårlig datasikkerhed på det sidste (Harald Nyborg, Valus, Told&Skat,
opfølgning med udtalelser fra Datatilsynet og Ombudsmanden...).
Forhåbentligt kan det være en relevant pressionsfaktor, hvis det
virkelig skal ud i det.
--
- Peter Brodersen
>Hvis man har noget teknik, der udfører en bestemt funktion, og
>man påfører det en eller anden påvirkning, der får den funktion
>til ikke længere at virke, så har man i min begrebsverden øde-
>lagt det.
Jeg skal lige huske at oedelaegge min computer, inden jeg tager
paa arbejde. Foer i tiden ville jeg have lukket den, men nu har
du udvidet mit vokabularium.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
>Jeg skal lige huske at oedelaegge min computer, inden jeg tager
>paa arbejde. Foer i tiden ville jeg have lukket den, men nu har
>du udvidet mit vokabularium.
Jeg kan nu godt forstå hvor Asbjørn vil hen. I første omgang
tænkte jeg også at databasen 'bare' var lukket ned og at der
derfor ikke var ødelagt noget. Men hvis min computer *lige nu*
'bare' blev lukket ned, ville jeg rent faktisk blive ret sur, og
det ville tage mig lidt tid at få liv i den igen og komme ind i
den tankegang jeg var midt i. Hvis jeg drev en bankvirksomhed og
mit system 'bare' blev lukket ned med et brag, så ville alle
kasseterminaler og medarbejdercomputer (og
hjemmebankforbindelser) blive virkningsløse på sekunden med
fristrerede medarbejdere og sure kunder til følge. Det er
rimeligt at sidestille det med hærværk.
I 'normale ' sammenhænge er vi vant til at der er visse
omgangsformer der fungerer også når nogen træder ved siden af
loven. Man har ikke lov at gå ind i naboens hus selv om han har
glemt at låse døren, men man udviser godt naboskab ved at minde
ham om det når man træffer ham igen. Man må ikke køre folk ned på
gaden selv om de fjumrer ud midt i trafikken, og det er forbudt
at køre med andres bil selv om den holder med nøglerne i og tændt
motor.
Den slags tager man som en selvfølge. Men edb-land betragtes
stadig som stedet hvor alt kan ske og idioterne der ikke ved det
og ikke tager højde for det, er til grin. Det er ikke en holdbar
indstilling i længden.
Asbjørn har ret når han påpeger at der på en måde ikke er noget
virtuelt ved nettet. At lukke nettjenester ned er en handling af
samme type - omend ikke nødvendigvis i samme fareklasse - som at
lukke telefonnettet eller radioen eller tv-stationerne eller
politiets systemer eller hospitalssystemer.
Dette må på ingen måde opfattes som et forsvar for Valus'
amatøragtige system. Det er naturligvis chokerende at sådan noget
overhovedet når længere end til skitsestadiet.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
> ... Men det er ikke vores arbejde at vurdere, om "det
> bedste" ville være at lukke en database ned eller ej. Vi skal ikke
> foretager handlinger/beslutninger på andres vegne, også selvom vores
> beslutninger er bedre (fx "databasen bør lukkes ned").
I nogle tilfælde er man nødt til at tænke selv. ;-)
Hvis man står over for en akut farlig situation (det være sig virtuelt
eller fysisk), må man vurdere, om man har mulighed for at afværge eller
minimere faren og hvilke alternativer der evt. er.
I den aktuelle sag, må der siges at være stor forskel på lige at skulle
se, om serveren virkelig gik ned og så at have foretaget en velovervejet
handling for at hindre større ulykker - selv om det måske i praksis er den
samme handling, man foretager i begge tilfælde. Som skrevet i et andet
indlæg, havde sagsforløbet nok været et andet, hvis man straks havde
skrevet til firmaet hvad man havde gjort og hvorfor.
Nu er der så blot ikke tale om en akut farlig situation i forbindelse
med Valus.
> I den aktuelle sag, må der siges at være stor forskel på lige at skulle
> se, om serveren virkelig gik ned og så at have foretaget en velovervejet
> handling for at hindre større ulykker - selv om det måske i praksis er den
> samme handling, man foretager i begge tilfælde.
Det er derfor vores retssystem ser på hensigten bag handlingen.
> Som skrevet i et andet
> indlæg, havde sagsforløbet nok været et andet, hvis man straks havde
> skrevet til firmaet hvad man havde gjort og hvorfor.
Ja, der var ikke gået fem måneder, før politiet dukkede op.
Jeg er forøvrigt helt enig med Peter Brodersen og Asbjørn Højmark i
denne tråd - og lur mig, om domstolene ikke også er det.
--
Mvh. Kim Ludvigsen
Hvem som helst kunne have læst og ændret vilkårlige data i databasen.
Hvis ikke det er en akut farlig situation, så ved jeg ikke, hvad der er.
>Hvem som helst kunne have læst og ændret vilkårlige data i databasen.
>Hvis ikke det er en akut farlig situation, så ved jeg ikke, hvad der er.
Var der nogen tegn på at der var ved at ske noget meget farligt?
En akut farlig situation kan for eksempel være, hvis der står vigtige
ting såsom menneskeliv på spil, og der ikke er tid til at advare ejeren
af databasen. At man kan læse eller ændre vilkårlige data i den
pågældende database kan ikke opfylde dette kriterie - uanset hvor
ubehagelige eller uønskede ændringerne ville være.
--
Mvh. Kim Ludvigsen
Som forbruger har man en interesse i, at de produkter man benytter sig
af, virker korrekt. Jeg taler stadigt ikke om at oedelaegge andres
systemer, men hvis en tilfaeldig forbruger kan faa produktet til at
fejle (Syntax error at 'select CYKELPEDAL from users ...') kun ved
minimal indsats er det et ubehageligt tegn.
For 30 sekunder siden gjorde jeg endnu en virksomhed opmaerksom paa en
sikkerhedsfejl paa deres website. Nu faar vi se om de reagerer godt
eller skidt.
> > I nogle tilfælde er man nødt til at tænke selv. ;-)
> >
> > Hvis man står over for en akut farlig situation (det være sig virtuelt
> > eller fysisk), må man vurdere, om man har mulighed for at afværge eller
> > minimere faren og hvilke alternativer der evt. er.
>
> Nu er der så blot ikke tale om en akut farlig situation i forbindelse
> med Valus.
Det var et generelt udsagn, men Valus behandler personlige økonomiske
oplysninger, som kunne være misbrugt (slettet, ændret, kopieret m.v.), og et
sikkerhedshul der muliggjorde dette var blevet offentliggjort. Sådan har jeg i
hvert fald opfattet sagen, og hvis det er korrekt, mener jeg der foreligger en
"farlig" situation.
> > I den aktuelle sag, må der siges at være stor forskel på lige at skulle
> > se, om serveren virkelig gik ned og så at have foretaget en velovervejet
> > handling for at hindre større ulykker - selv om det måske i praksis er den
> > samme handling, man foretager i begge tilfælde.
>
> Det er derfor vores retssystem ser på hensigten bag handlingen.
Netop!
> > Som skrevet i et andet
> > indlæg, havde sagsforløbet nok været et andet, hvis man straks havde
> > skrevet til firmaet hvad man havde gjort og hvorfor.
>
> Ja, der var ikke gået fem måneder, før politiet dukkede op.
Måske var de kommet meget hurtigere - måske var de slet ikke kommet. Men der
havde næppe været belæg for at beslaglægge udstyr, og anklagen havde nok også
været en anden.
I den danske lov er det den dataansvarlige der skal staa til regnskab
for at databehandlerne tager de noedvendige forholdsregler og leverer en
tilfredsstillende loesning.
Det virker ikke rimeligt paa mig, at man kan undskylde sig med, at "vi
har bare koebt loesningen". Det kraever hvertfald at udviklerne stiller
en garanti for, at der ikke er problemer i koden.
> Man kunne forestille sig, at udviklerne blev dømt til i tre år
> ikke at måtte udvikle løsninger, der involverede personoplysninger
> og/eller pengeoverførsler. Medmindre de fik den enkelte løsning
> auditeret af en ekstern konsulent eller revisor.
Det ville vaere interessant, men saa ville udviklerne vaere motiveret
til at levere kvalitet, mens kunden ville presse paa for at faa leveret
loesningen hurtigt. Det ville vaere ideelt hvis man kunne presse paa hos
baade leverandoer og kunden.
"Farlig" behøver ikke kun at dreje sig om menneskeliv. Ofte sidestilles liv
med væsentlige økonomiske og/eller samfundsmæssige interesser (like it or
not).
Om det nystartede Valus vil komme under den betegnelse er måske tvivlsomt,
men tænk evt. en sag med samme sikkerhedshul i en web-bank.
Enig, det var derfor, jeg skrev såsom.
> Om det nystartede Valus vil komme under den betegnelse er måske tvivlsomt,
> men tænk evt. en sag med samme sikkerhedshul i en web-bank.
Det skal vist være ret så slemt, før det kan aspirere til at være en
akut farlig situation, hvor man ikke kan nå at advare ejeren, inden det
går galt.
--
Mvh. Kim Ludvigsen
Jeg kan ikke i min vildeste fantasi forestille mig et sikkerhedshul i et
elektronisk betalingssystem, som kan bringe menneskers liv i fare.
> At man kan læse eller ændre vilkårlige data i den
> pågældende database kan ikke opfylde dette kriterie - uanset hvor
> ubehagelige eller uønskede ændringerne ville være.
Så vidt jeg kan se, er det et faktum, at risikoen ved at lade databasen
køre var større end risikoen ved at lukke den ned. Jeg kan ikke se noget
moralsk forkert i at forhindre en forbrydelse, at motivet bag handlingen
så har været noget andet ændrer selvfølgelig på sagen.
En fristes til at bruge "Bjarnes" sikkerhedshul til at lukke samtlige
Windowscomputere på nettet, inden andre kommer og misbruger hullet til
at gøre værre ting ved computerne.
--
Mvh. Kim Ludvigsen
MS02-050 skulle rette fejlen i IE (eller rettere, Windows samt
Office/IE/Outlook til Mac):
<URL: http://microsoft.com/technet/security/bulletin/MS02-050.asp >
--
Thor Larholm
<URL: http://www.jibbering.com/faq/> FAQ for comp.lang.javascript
<URL: http://jscript.dk/unpatched/> Unpatched IE vulnerabilities
Enig, man skal virkelig bruge fantasien. Og det betyder ikke, at man så
skal sænke grænsen for, hvornår man kan tillade sig at lukke en andens
server.
> Så vidt jeg kan se, er det et faktum, at risikoen ved at lade databasen
> køre var større end risikoen ved at lukke den ned.
Det er underordnet, hvad du mener er faktum. Så længe der ikke er en
akut farlig situation, kan man ikke tillade sig at lukke andres servere
ned. Og selv hvis der var en akut farlig situation, måtte man stå til
ansvar for sin handling. Hvis man går op i sikkerheden på andres
servere, kan man gøre ejeren opmærksom på problemet eller som Alex har
gjort det, melde virksomheden til myndighederne.
--
Mvh. Kim Ludvigsen
Det ville jo kræve, at man fysisk var i nærheden,
og at man rent faktisk kendte addressen.
> og på vejen prøvede at finde et telefonnummer eller lignende, så
> ville det måske være acceptabelt.
Jeg ville nok have nøjes med at sende en email.
Det virker jo kun hvis de kommer ind på din side. Og I så fald har
du vel allerede til dels deres opmærksomhed og kunne i stedet
tilbyde at downloade og installere en opdatering.
Hullet var jo allerede offentliggjort på nettet. Og det lyder som om
mange personer stod i kø for at prøve det, og nogen af dem havde nok
villet gøre større skade.
Bar' det altså snart var nu (kan ikke vente...)!
--
Mvh. Kim Ludvigsen
Det har jeg da ikke sagt noget om!
>Det virker jo kun hvis de kommer ind på din side. Og I så fald har
>du vel allerede til dels deres opmærksomhed og kunne i stedet
>tilbyde at downloade og installere en opdatering.
Men hvad med Kims pointe? Er det ikke relevant at distribuere en
uskadelig virus der lukker folks systemer ned inden der kommer en
farlig en der lænser deres bankkonto? Eller slukker for deres
respirator??
> Det var et generelt udsagn, men Valus behandler personlige økonomiske
>oplysninger, som kunne være misbrugt (slettet, ændret, kopieret m.v.), og et
>sikkerhedshul der muliggjorde dette var blevet offentliggjort. Sådan har jeg i
>hvert fald opfattet sagen, og hvis det er korrekt, mener jeg der foreligger en
>"farlig" situation.
Jeg bemærker mig anførselstegnene. Tænk lidt over dem.
Få en udlænding til at gøre det.
Herhjemme ser det ud til at sikkerhed i software og systemer mere skal
administreres via frygt for represalier end egentlig udvikling og kontrol.
Vi brugere, som overvejer at indføre nye faciliteter, takker med kyshånd for
oplysning om sikkerhedsbrister, så vi kan blokere for adgang til knækkede og
dermed risikale systemer.
Når der ikke er basis for en åben debat omkring sikkerhedsbrister, så vi kan
gøre noget ved det, så må vi helt undvære software af en given type.
Med venlig hilsen
Carsten Overgaard
> så vil jeg sgu næsten håbe, du bliver dømt og dermed
> får lejlighed til at genoverveje situationen.
Jeg kunne ikke være mere enig. Jeg vil personligt arbejde for at
skærpende omstændigheder kommer på tale, så kun den
allerstrengeste straf kan blive en realitet. Så kan jeg lære det kan jeg!
--
Cubus
http://cubus.adsl.dk/
OK, jeg kan ikke huske hvad dato hullet blev offentliggjort.
Jeg synes bieffekterne ved patchen er noget foruroligende:
customers may see unexpected warning messages or be
blocked from adding or changing system hardware.
Hvad i alverden har dette hul at gøre med hardwaren?
Det minder mig om, at Datatilsynet har modtaget en redegoerelse fra Den
Norske Bank. Jeg er blevet lovet en kopi af Datatilsynets afgoerelse
naar den er klar.
--
>Jeg ville nok have nøjes med at sende en email.
Til et system du lige havde crashet?
--
Jeg har sendt op til flere af slagsen i forbindelse med at jeg lavede en
lille undersøgelse af mulighederne for SQL injection på et bredt udvalg af
de større danske hjemmesider, og ja der er meget stor forskel på hvordan de
reagerer. Jeg tjekkede faktisk samme dag som Valus tråden startede for sjov
om Computerworld selv havde fejet for egen dør og fandt til min gru' ud af
at deres debatsektion var hullet som en si, her sendte jeg en email til
webmasteren på debat.computerworld.dk og fik et svar tilbage dagen efter med
en lang smøre fra en såkaldt "Webadministrator" hvor han takkede for
oplysningen men at han var i tvivl om hvordan man løste det(det skal dog
siges til computerworlds forsvar at han ikke var en egentlig udvikler).
Jeg gad vide hvornår brugerdataene blev slettet, for hvis mailen var blevet
sendt hurtigere igennem systemet kunne det formentlig havde været undgået
hvis det er sket efter min henvendelse.
I samme lille undersøgelse fandt jeg også hullede sider en del andre steder
og jeg må sige det er en ufattelig lille procentdel af disse henvendelser
jeg har fået svar på og nu når jeg sidder her og kigger min sendt post
igennem fra den aften jeg lavede undersøgelsen kan jeg se at ud af de 24
henvendelser jeg sendte til webmastere eller hvad de nu kalder de respektive
personer er der stadig op til flere(10+) af hullerne der endnu ikke er
lukket og vi snakker i TOP 50 af danske sites.
> Det betyder naturligvis ikke, at man maa splitte andres systemer ad. Jeg
> har revideret juleoenskerne saa min holdning til dette er mere klar.
> Vedkommende der begyndte at slette dele af databasen hos CW burde
> anal-voldtages af en elefant.
Hørt!
--
Jakob Andersen
>Jeg kan ikke i min vildeste fantasi forestille mig et sikkerhedshul i et
>elektronisk betalingssystem, som kan bringe menneskers liv i fare.
Det kan jeg let - også nogle der ikke er forskruede (tænk f.eks.
på en patient på et betalingshospital der får lænset sin konto),
men jeg mener ikke at så alvorlige situationer er relevante i den
aktuelle sag.
>Så vidt jeg kan se, er det et faktum, at risikoen ved at lade databasen
>køre var større end risikoen ved at lukke den ned.
Det giver ikke meget mening at du skriver "faktum" om noget som
du kun kan have en yderst tåget idé om.
>Jeg kan ikke se noget moralsk forkert i at forhindre en forbrydelse
Du har set for mange amerikanske film - og måske også for mange
tegnefilm med den lille, forpulede selvtægtsmus.
Hvis det er steder, hvor der opbevares personoplysninger, skule du måske
lave en "Alex" - altså melde dem til rette myndighed.
--
Mvh. Kim Ludvigsen
>Men hvad med Kims pointe? Er det ikke relevant at distribuere en
>uskadelig virus der lukker folks systemer ned inden der kommer en
>farlig en der lænser deres bankkonto? Eller slukker for deres
>respirator??
Uden at komme ud i analogier, er det dog stadigvæk relevant at
forholde sig til sin grundlæggende sikkerhedsviden: Hvis folk
uautoriseret har ændret noget på ens system, kan man let komme i en
situation, hvor man ikke kan stole på sit eget system.
Såfremt nogle udnytter priviligerede rettigheder på mit system til at
lukke for adgangen til de priviligerede rettigheder, kan jeg som
udgangspunkt ikke stole på mit system mere. Jeg har ingen grund til at
tage folks ord for gode varer ("Hej, jeg har lige lukket nogle huller
for dig, så jeg har gjort dig en tjeneste").
Da en tilfældig besøgende ikke er en del af de folk, jeg har til at
vedligeholde en server, og er en del af den trustede omgangskreds, der
arbejder på denne server, har den tilfældige besøgende ikke gjort mig
nogen tjeneste overhovedet.
--
- Peter Brodersen
> > Hvis man står over for en akut farlig situation (det være sig virtuelt
> >eller fysisk), må man vurdere, om man har mulighed for at afværge eller
> >minimere faren og hvilke alternativer der evt. er.
>
> Hm, du tænker ikke på nødværge eller deslige, vel?
>
> Det er stadigvæk ikke dit eller mit job at stoppe databasen.
Mon ikke du trænger til et lille førstehjælpskursus?
Det står på side 2:
Stands ulykken.
--
Cubus
http://cubus.adsl.dk/
> Jeg har sendt op til flere af slagsen i forbindelse med at jeg lavede en
> lille undersøgelse af mulighederne for SQL injection på et bredt udvalg af
> de større danske hjemmesider, og ja der er meget stor forskel på hvordan de
> reagerer. Jeg tjekkede faktisk samme dag som Valus tråden startede for sjov
> om Computerworld selv havde fejet for egen dør og fandt til min gru' ud af
> at deres debatsektion var hullet som en si, her sendte jeg en email til
> webmasteren på debat.computerworld.dk og fik et svar tilbage dagen efter med
> en lang smøre fra en såkaldt "Webadministrator" hvor han takkede for
> oplysningen men at han var i tvivl om hvordan man løste det(det skal dog
> siges til computerworlds forsvar at han ikke var en egentlig udvikler).
Har du nogen referencer til gode artikler om den slags, altså sikker
web-kodning når der er en database bagved?
--
Med venlig hilsen
- Jacob Atzen
Der er referencer i 'videre', isaer David Wheeler's bog:
http://a.area51.dk/sikkerhed/videre
Jeg har ogsaa relevante links paa min egen recommended side:
http://a.mongers.org/recommended
> Der er referencer i 'videre', isaer David Wheeler's bog:
>
> http://a.area51.dk/sikkerhed/videre
>
> Jeg har ogsaa relevante links paa min egen recommended side:
>
> http://a.mongers.org/recommended
Jeg takker, vil kaste mig over det med det samme.
Udover Alex' links til de udmærkede værker har jeg i al beskedenhed skrevet
en lidt mere "low-tech" ASP/VBScript specifik artikel som er at finde her:
<http://activedeveloper.dk/locator.asp?guid=001000000297>
--
Jakob Andersen
Det har du selvfølgelig ret i. Men når du bliver opmærksom på
hullet, kan du ikke stole på systemet uanset om du har kendskab
til indgreb eller ej.
>
> Såfremt nogle udnytter priviligerede rettigheder på mit system til at
> lukke for adgangen til de priviligerede rettigheder, kan jeg som
> udgangspunkt ikke stole på mit system mere. Jeg har ingen grund til at
> tage folks ord for gode varer ("Hej, jeg har lige lukket nogle huller
> for dig, så jeg har gjort dig en tjeneste").
Nej, du skal selvfølgelig ikke ukritisk stole på dem, når de
siger, hvad du har gjort. Så medmindre du på anden vis kan se
præcist hvad, de har gjort, så kan du ikke mere stole på
systemet. Men hvis de intet havde gjort burde du stole lige så
lidt på systemet, du ville bare ikke vide, at du ikke skulle
stole på dit system.
>
> Da en tilfældig besøgende ikke er en del af de folk, jeg har til at
> vedligeholde en server, og er en del af den trustede omgangskreds, der
> arbejder på denne server, har den tilfældige besøgende ikke gjort mig
> nogen tjeneste overhovedet.
De har stadig gjort dig en tjeneste ved at gøre dig opmærksom
på hullet, men du kan selvfølgelig være i en situation, hvor du
er nødt til at gå systemet lige meget efter i sømmene, uanset,
om de har foretaget et indgreb eller ej.
> Hvis man står over for en akut farlig situation (det være sig virtuelt
>eller fysisk), må man vurdere, om man har mulighed for at afværge eller
>minimere faren og hvilke alternativer der evt. er.
Hm, du tænker ikke på nødværge eller deslige, vel?
Det er stadigvæk ikke dit eller mit job at stoppe databasen.
--
- Peter Brodersen
> Udover Alex' links til de udmærkede værker har jeg i al beskedenhed skrevet
> en lidt mere "low-tech" ASP/VBScript specifik artikel som er at finde her:
>
> <http://activedeveloper.dk/locator.asp?guid=001000000297>
Mægtigt! Mere af den slags :-)
>>Jeg skal lige huske at oedelaegge min computer, inden jeg tager
>>paa arbejde. Foer i tiden ville jeg have lukket den, men nu har
>>du udvidet mit vokabularium.
>
>Jeg kan nu godt forstå hvor Asbjørn vil hen. I første omgang
>tænkte jeg også at databasen 'bare' var lukket ned og at der
>derfor ikke var ødelagt noget.
Vi kan da sagtens alle vaere enige om, at der var tale om en
uberettiget nedlukning. Maaske ogsaa strafbar - det vil vise sig.
Men at nedlukningen var uberettiget er en daarlig undskyldning
for at kalde den andet end en nedlukning, og det er ydermere
sproglig inflation. Hvilket ord skal vi nu bruge i situationer,
hvor der vitterligt _er_ tale om oedelaeggelse?
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
> En af mine tidligere ansatte har skrevet dette:
>
> http://heap.nologin.net/aspsec.html
Både denne og Jakob Andersens artikel drejer sig om input validering.
David Wheeler nævner desuden for PHP:
- Register globals
- Fejl rapportering
- Filnavne
- Fil upload
- Ekskludering af ikke nødvendige filer fra det offentlige filtræ
- Sessions. Som jeg dog ikke kan se kan være farlige hvis man har en
trusted server?
Han nævner også, at en angriber kan placere filer på serveren med
vilkårligt indhold vha. sessions - hvordan det?
- De risikable funktioner (exec, system, etc)
Er der andre klasser af angreb man bør ruste sig imod når man laver
webkodning? Jeg har umiddelbart svært ved at se at en angriber skulle
have andre muligheder for at angribe koden.
>De har stadig gjort dig en tjeneste ved at gøre dig opmærksom
>på hullet, men du kan selvfølgelig være i en situation, hvor du
>er nødt til at gå systemet lige meget efter i sømmene, uanset,
>om de har foretaget et indgreb eller ej.
Men såfremt de ikke har foretaget et indgreb, kan jeg selv vurdere og
lægge en plan for den mest hensigtsmæssige nedlukning både for mig
selv og for de implicerede. Det kan den fremmede hjælper ganske enkelt
ikke.
--
- Peter Brodersen