RPCScan - free detection and analysis utility
Bjorn Simonsen
Tenkte denne kunne være av intr., spesielt for admin:
"RPCScan is a Windows based detection and analysis utility that
can quickly and accurately identify Microsoft operating systems
that are vulnerable to the RPC interface buffer overflow
vulnerability."
<http://www.foundstone.com/> under Free Tools | Scanning Tools.
mvh
Bjørn Simonsen
Bjorn Simonsen
<uvj1kvshe9i2omb2b...@4ax.com>:
> FUT: <news:no.it.sikkerhet.diverse>
Beklager, glemte å sette FUT, gjør det nå.
> <http://www.foundstone.com/> under Free Tools | Scanning Tools.
Ser at MS har et tilsvarende verktøy
MS03-026 Scanning Tool for Network Administrators
<http://www.microsoft.com/downloads/details.aspx?FamilyID=c8f04c6c-b71b-4992-91f1-aaa785e709da&DisplayLang=en>
eller: <http://tinyurl.com/k2dh>
Skal være noe tilsv. her
<http://www.eeye.com/html/Research/Tools/RPCDCOM.html>
men jeg får ikke kontakt nå - så vet ikke hva.
mvh
Bjørn Simonsen
Thomas Bjørseth
<bsus...@hotmail.com> wrote:
>Skal være noe tilsv. her
><http://www.eeye.com/html/Research/Tools/RPCDCOM.html>
>men jeg får ikke kontakt nå - så vet ikke hva.
eEye har flere slike frittstående scannere som er veldig bra. DCON
RPC-scanneren har det samme grensesnittet og fungerer helt topp.
Det jeg kunne tenke meg er en scanner som ikke bare kan gi meg beskjed
om en maskin er upatchet, men også hvis den er infisert.
Thomas B
--
Thomas Bjørseth
Mail: thomas-...@bjorseth.no
Bjorn Simonsen
<25r1kvcfjvmlqtsf0...@4ax.com>:
> >Skal være noe tilsv. her
> ><http://www.eeye.com/html/Research/Tools/RPCDCOM.html>
> >men jeg får ikke kontakt nå - så vet ikke hva.
>
> eEye har flere slike frittstående scannere som er veldig bra. DCON
> RPC-scanneren har det samme grensesnittet og fungerer helt topp.
Takk, skal ta en titt senere.
Vedr. RPCSscan fra <http://www.foundstone.com/>.
Melding fra Robin Keir:
"I'll be posting a new version 1.01 on the website today so keep
a watch out for it! The new version fixes a couple of issues that
were discovered with Windows NT and 98."
> Det jeg kunne tenke meg er en scanner som ikke bare kan gi meg beskjed
> om en maskin er upatchet, men også hvis den er infisert.
Mulig en AV-produsentene tilbyr noe slikt? Har ikke sett.
mvh
Bjørn Simonsen
Bjorn Simonsen
<cs02kv073bjs29t2i...@4ax.com>:
> > ><http://www.eeye.com/html/Research/Tools/RPCDCOM.html>
>
> RPCSscan fra <http://www.foundstone.com/>.
Kom over en ny liten scanner sak som sjekker om RPC patchen(*)
er installert på gitte maskiner i nettv.
7107 » Freeware application monitors for the installation of the
823980 security patch.
<http://www.jsiinc.com/SUBO/tip7100/rh7107.htm>
Forfatteren x-postet om den i
<news:#fl6xfCb...@tk2msftngp13.phx.gbl>
(*) MS03-026: Buffer Overrun in RPC May Allow Code Execution
<http://support.microsoft.com/?kbid=823980>
mvh
Bjørn Simonsen
Øystein Gyland
> "RPCScan is a Windows based detection and analysis utility that
> can quickly and accurately identify Microsoft operating systems
> that are vulnerable to the RPC interface buffer overflow
> vulnerability."
Siden jeg sjelden bruker windows, så har jeg ikke satt meg inn i hva
denne exploiten kan gjøre. Forleden dag så ringte en kompis meg, og sa
at et par minutter etter at han hadde koblet dama sin nye laptop opp
på nett med telenor frisurf, så hadde det dukket opp en feilmelding
hvor teksten windows RPC error var inkludert. Maskinen hadde så telt
ned fra et minutt, før den rebootet. Akkurat det samme hadde skjedd
med en annen kompis av meg også. Er det grunn til å tro at maskinene
har blitt kompromitert? og at man må reinnstallere windows?
--
A: Because it messes up the order in which people normally read text.
Q: Why is top-posting such a bad thing?
A: Top-posting.
Q: What is the most annoying thing on usenet and in e-mail?
Ole Kristian Bangås
<oysteigy...@tva.ifi.uio.no> wrote:
> Siden jeg sjelden bruker windows, så har jeg ikke satt meg inn i hva
> denne exploiten kan gjøre. Forleden dag så ringte en kompis meg, og sa
> at et par minutter etter at han hadde koblet dama sin nye laptop opp på
> nett med telenor frisurf, så hadde det dukket opp en feilmelding
> hvor teksten windows RPC error var inkludert. Maskinen hadde så telt
> ned fra et minutt, før den rebootet. Akkurat det samme hadde skjedd
> med en annen kompis av meg også. Er det grunn til å tro at maskinene
> har blitt kompromitert? og at man må reinnstallere windows?
For å si det sånn, det er i hvert fall grunn til å tro at de ikke kjørte
en vettug brannmur. I min nokså hovne oppfatning er dette en SUBTKE feil,
også kjent som "Stupid User Behind The Keyboard Error". At noen i det
hele tatt tenker på å gjøre noe slikt er meg totalt uforståelig.
Så tilbake til saken. Ja, det er sannsynlig å tro at PCen har blitt
infisert, men etter det jeg kan se skal man ikke behøve å installere
operativsystemet på nytt. Du kan ta en titt på
<URL:http://www.microsoft.com/security/incident/blast.asp> eller søke
etter MsBlast på sidene til en antivirusprodusent, så finner du en
måte å bli kvitt galskapen på.
Til slutt: Håper ikke jeg var _for_ spydig.
--
Ole Kristian Bangås
Glenn Barvang
> infisert, men etter det jeg kan se skal man ikke behøve å installere
> operativsystemet på nytt. Du kan ta en titt på
> <URL:http://www.microsoft.com/security/incident/blast.asp> eller søke
> etter MsBlast på sidene til en antivirusprodusent, så finner du en
> måte å bli kvitt galskapen på.
Det trenger ikke nødvendivis være blast, det kan være et annet av de mange
virus/ormene som benytter denne exploiten.
Det første disse trenger å gjøre er å få oppdatert med q309382i fra
microsoft for sin respektive plattform, deretter ta en tur til en av
antivirus sitene, feks symantec, panda, fsecure og hente ned removal tool
(disse er gratis) Deretter får de se å skaffe seg et antivirus program,
3-500 kr i året bør ALLE ta seg råd til!!!!
Ole Kristian Bangås
wrote:
>> Så tilbake til saken. Ja, det er sannsynlig å tro at PCen har blitt
>> infisert, men etter det jeg kan se skal man ikke behøve å installere
>> operativsystemet på nytt. Du kan ta en titt på
>> <URL:http://www.microsoft.com/security/incident/blast.asp> eller søke
>> etter MsBlast på sidene til en antivirusprodusent, så finner du en
>> måte å bli kvitt galskapen på.
>
> Det trenger ikke nødvendivis være blast, det kan være et annet av de
> mange virus/ormene som benytter denne exploiten.
Ok, sorry. Har ikke fulgt så godt med at jeg har fått med meg at det er
flere av dem. Har ikke fått ET eneste eksemplar av virus det siste halve
året eller så, og PCen står på nett døgnet rundt og jeg får tidvis en
haug med epost hver dag.
> Det første disse trenger å gjøre er å få oppdatert med q309382i fra
> microsoft for sin respektive plattform, deretter ta en tur til en av
> antivirus sitene, feks symantec, panda, fsecure og hente ned removal tool
> (disse er gratis) Deretter får de se å skaffe seg et antivirus program,
> 3-500 kr i året bør ALLE ta seg råd til!!!!
Jo da, antivirus er vel og bra. Men en skikkelig brannmur er etter min
oppfatning minst like viktig. Det som derimot er viktigst, vet ikke hvordan
det står til her, er holdningsskapende arbeid. Utrolig mye virus
spres på grunn av uvitende og nysgjerrige sjeler som får epost med ukjent
innhold fra ukjent avsender med ukjent motiv, og som så åpner og
kjører InfectMyComputer.exe uten å blunke.
Forresten, et rimelig godt antivirusporgram trenger ikke koste allverden.
Personlig bruker jeg AVG Antivirus, <URL:http://www.grisoft.com/> Under
Download finner man en gratisversjon som gjør det jeg trenger: Sjekker
PCen så ofte jeg ønsker, oppdaterer seg automatisk en gang i døgnet, og
sjekker all innkommende og utgående mail i Outlook Express for virus.
Viola. Rent personlig ville jeg heller lagt noen penger i en brannmur,
som f eks Sygate Personal Firewall som jeg har gode erfaringer med.
--
Ole Kristian Bangås
Bjorn Simonsen
<yruzy8xc...@ellifu.ifi.uio.no>:
Followup-to satt til: <no.it.sikkerhet.diverse>.
> Er det grunn til å tro at maskinene har blitt kompromitert?
ja
> og at man må reinnstallere windows?
Neppe. De må installere en Patch (hotfix) fra Microsoft, *OG*
fjerne infisert fil(er) med dertil egnet (oppdatert)
AV-program/verktøy.
Der høres ut som det er MSblast ormen som har bitt dine venner.
Den utnytter et sikkerhetshull i Windows som den omtalte RPC
patchen fra Microsoft skal tette igjen for. De RPC-scannere jeg
har postet om tidligere i denne tråden er ment for å sjekke om
en eller flere Windows installasjoner (gjerne mange i nettverk)
har fått disse hullene tettet. For dine venner gjelder det
imidlertid å få patchet Windows og fjernet ormen. Ser andre alt
har gitt deg link til informasjon om dette. Du kan også se her
<http://www.microsoft.com/norge/news/view.asp?id=2605>
for nedlasting av omtalte patch til norsk versjon av Windows.
Titt også på <http://www.microsoft.com/norge/security/>.
Er ellers mye skrevet om Msblast ormen her på news de siste to
tre ukene, og du kan da finne mer info, råd og tips, om ved å
søke nyhetsgrupper via google for tidligere poster, f.eks med:
<http://www.google.com/groups?as_q=msblast&safe=images&ie=ISO-8859-1&as_ugroup=no.it.*&lr=&num=100&hl=en>
Samme URL forkortet: <http://makeashorterlink.com/?U25F15FB5>
På samme vis kan du søke for å se hva andre her har postet om
andre slike hyppige gjester nå om dagen, f.eks. Sobig.F.
<http://www.google.com/groups?num=100&hl=en&lr=&ie=ISO-8859-1&q=sobig+group%3Ano.it.%2A&btnG=Google+Search>
Samme URL forkortet: <http://makeashorterlink.com/?L23F15FB5>
Dersom du har flere spørsmål om mulig infeksjon av MSblast eller
andre orrmer og virus - foreslår at du starter en ny tråd og spør
i gruppen <no.it.sikkerhet.virus>.
mvh
Bjørn Simonsen
Bjørn Furuknap
> On 30 Aug 2003 01:18:44 +0200, Øystein Gyland
> <oysteigy...@tva.ifi.uio.no> wrote:
>
>> Siden jeg sjelden bruker windows, så har jeg ikke satt meg inn i hva
>> denne exploiten kan gjøre. Forleden dag så ringte en kompis meg, og
>> sa at et par minutter etter at han hadde koblet dama sin nye laptop
>> opp på nett med telenor frisurf, så hadde det dukket opp en
>> feilmelding
>> hvor teksten windows RPC error var inkludert. Maskinen hadde så telt
>> ned fra et minutt, før den rebootet. Akkurat det samme hadde skjedd
>> med en annen kompis av meg også. Er det grunn til å tro at maskinene
>> har blitt kompromitert? og at man må reinnstallere windows?
>
> For å si det sånn, det er i hvert fall grunn til å tro at de ikke
> kjørte en vettug brannmur. I min nokså hovne oppfatning er dette en
> SUBTKE feil, også kjent som "Stupid User Behind The Keyboard Error".
> At noen i det hele tatt tenker på å gjøre noe slikt er meg totalt
> uforståelig.
Jasså gitt. Jeg gidder ikke å forklare ennå en gang hvorfor en brannmur er
unødvendig, men kan ikke du i stedet forklare meg _hvorfor_ jeg er stupid
når jeg ikke kjører brannmur?
Bjørn
Ole Kristian Bangås
Fordi de stedene jeg har lest om viruset hardnakket hevder at viruset
utnytter en bug i RPC til å spre seg. Dette går vel på port 135 eller
noe sånt om jeg ikke husker helt feil, kjører man en vettug brannmur er
ALL trafikk på port 135 fra internett sperret, og ergo blir heller ikke
PCen infisert på denne måten. _DERFOR_ er det stupid å ikke kjøre en
vettug brannmur, og _DERFOR_ har det faktisk noe å si. Men det er jo
mulig du har en annen oppfatning enn for eksempel Symantec Corp
<URL:http://securityresponse1.symantec.com/sarc/sarc.nsf/html/W32.Blaster.Worm.html>
om hvordan viruset sprer seg, evt nye oppsiktsvekkende oppdagelser om
det samme.
--
Ole Kristian Bangås
Bjørn Furuknap
> On Sat, 30 Aug 2003 14:57:23 GMT, Bjørn Furuknap <furu...@lit.no>
> wrote:
>
>> Jasså gitt. Jeg gidder ikke å forklare ennå en gang hvorfor en
>> brannmur
>> er unødvendig, men kan ikke du i stedet forklare meg _hvorfor_ jeg er
>> stupid når jeg ikke kjører brannmur?
>
> Fordi de stedene jeg har lest om viruset hardnakket hevder at viruset
> utnytter en bug i RPC til å spre seg. Dette går vel på port 135 eller
> noe sånt om jeg ikke husker helt feil, kjører man en vettug brannmur
> er ALL trafikk på port 135 fra internett sperret, og ergo blir heller
> ikke PCen infisert på denne måten.
Så grunnen til at man skal installere en branmmur er for å slippe å sikre
maskinen bak. Skjønner.
Hvis du ikke forstår hvor teit det du sier er så bør du kanskje ta noen
runder til på no.it.sikkerhet.diverse...
Bjørn
Terje Kvernes
[ ... ]
> Så grunnen til at man skal installere en branmmur er for å slippe å
> sikre maskinen bak. Skjønner.
det er utvilsomt ofte en fordel i en del scenarioer å skjerme
tjenester med en dårlig historie mot verden. det tar av og til også
litt tid fra man finner en tjeneste til å være mulig å
kompromittere, til en patch kommer. i mellomtiden kan noe som
fjerner tilgangen til tjenesten være kjekt.
sikkerhet er som vi alle vet flere lag med sikring oppå hverandre.
i noen tilfeller kan brannmurer være en del av den lagdelingen.
--
Terje
Ole Kristian Bangås
Ok, du synes jeg er teit. Fair enough. Men så vidt meg bekjent er det ikke
mulig å slå av RPC og få Windows 2000 til å kjøre som vanlig. For alt det
vi vet så kan det være MINST en tilsvarende feil i RPC Servicen til
Windows 2000. Det jeg lurer på i den sammenheng da er hvordan du sikrer
deg mot et evt angrep som utnytter seg av denne hittil ukjente bugen. Jeg
ønsker å sikre meg, derfor bruker jeg en brannmur som hindrer
nettverkstrafikk inn til min PC såfremt jeg ikke har åpnet for trafikken
i brannmuren/routeren. RPC-trafikk er blant det jeg IKKE kommer til å
slippe inn utenfra, at du tydeligvis lar denne trafikken komme inn får
så være, men du må da sikre deg på en eller annen måte?
--
Ole Kristian Bangås
Bjørn Furuknap
Det er mange tilfeller der brannmurer er nyttige, for eksempel der patcher
ikke _kan_ legges inn, der man har tidkrevende testing fra patch er sluppet
til den kan settes på produksjonsservere, for å avskjerme deler av et nett
der man ikke kan eller vil stole på sikkerheten blant maskinene (f.eks.
trådløse soner, etc).
Derimot er det sjeldn at det er en god løsning å pushe mer stash inn i et
hjemmenettverk i den tro at det løser noe som helst. Paracetamol hjelper mot
hodeverk, men om grunnen til hodeverket er dehydrering er det bare å lappe
på symptomene, ikke å løse problemet.
Bjørn
Tore Lund
>
> Ok, du synes jeg er teit. Fair enough. Men så vidt meg bekjent er det ikke
> mulig å slå av RPC og få Windows 2000 til å kjøre som vanlig.
Helt riktig. Men svakheten som angripes gjennom port 135 gjelder DCOM,
og dette er det mulig å slå av.
--
Tore
Bjørn Furuknap
> On Sat, 30 Aug 2003 20:02:20 GMT, Bjørn Furuknap <furu...@lit.no>
> wrote:
>
>> Ole Kristian Bangås wrote:
>>> On Sat, 30 Aug 2003 14:57:23 GMT, Bjørn Furuknap <furu...@lit.no>
>>> wrote:
>>>
>>>> Jasså gitt. Jeg gidder ikke å forklare ennå en gang hvorfor en
>>>> brannmur
>>>> er unødvendig, men kan ikke du i stedet forklare meg _hvorfor_ jeg
>>>> er stupid når jeg ikke kjører brannmur?
>>>
>>> Fordi de stedene jeg har lest om viruset hardnakket hevder at
>>> viruset utnytter en bug i RPC til å spre seg. Dette går vel på port
>>> 135 eller noe sånt om jeg ikke husker helt feil, kjører man en
>>> vettug brannmur
>>> er ALL trafikk på port 135 fra internett sperret, og ergo blir
>>> heller ikke PCen infisert på denne måten.
>>
>> Så grunnen til at man skal installere en branmmur er for å slippe å
>> sikre maskinen bak. Skjønner.
>>
>> Hvis du ikke forstår hvor teit det du sier er så bør du kanskje ta
>> noen runder til på no.it.sikkerhet.diverse...
>
> Ok, du synes jeg er teit. Fair enough. Men så vidt meg bekjent er det
> ikke mulig å slå av RPC og få Windows 2000 til å kjøre som vanlig.
Hvorfor skal du slå det av? Fordi du er redd for at det _kan_ være hull der?
Da hadde jeg heller sluttet å bruke nettet, det _kan_ nemlig være hull i alt
du driver med, inkludert brannmurer, linux, mac og hva nå som alltid
predikeres som kuren mot datatrøbbel.
> For alt det vi vet så kan det være MINST en tilsvarende feil i RPC
> Servicen til Windows 2000.
For alt du vet kan det være _minst_ en feil i brannmuren din. Hvordan sikrer
du deg mot det?
> Det jeg lurer på i den sammenheng da er
> hvordan du sikrer deg mot et evt angrep som utnytter seg av denne
> hittil ukjente bugen.
På samme måte som jeg beskytter meg mot øvrige ting, med en
sikkerhetspolitikk som blant annet omfatter å holde maskinene oppdatert,
ubrukte tjenester stengt, segmentering av brukerdatabaser, begrensning av
rettigheter, etc.
Mine sikkerhetspolitikker er sjelden basert på å forhindre innbrudd, det vil
si, det er bare en liten del av det. Som oftest vil du heller gjøre det
omvendt, nemlig å _forutsette_ at noen vet noe du ikke vet, for eksempel
uoppdagede hull. Når du så tenker på hvordan nettet ditt skal bygges og
sikres, og tar det med i betraktningen, så slipper du i stor grad å bekymre
deg, fordi om/når noen bryter seg inn, oppdager nye sikkerhetshull, etc. så
er du forberedt på det.
> Jeg ønsker å sikre meg, derfor bruker jeg en
> brannmur som hindrer nettverkstrafikk inn til min PC såfremt jeg ikke
> har åpnet for trafikken i brannmuren/routeren.
Så hva er forskjellen? Hva åpner du? ICQ, kanskje? Et nettverksspill?
Utelukker du altså at det finnes uoppdagede hull i det du åpner for? Du gjør
akkurat det samme som å la alt være åpent.
> RPC-trafikk er blant det jeg IKKE kommer til å
> slippe inn utenfra, at du tydeligvis lar denne trafikken komme inn får
> så være, men du må da sikre deg på en eller annen måte?
Jepp, og i mitt tilfelle, ettersom jeg driver nettverk med opp til flere
hundre maskiner og minst like mange forskjellige kunder så er det en litt
mer omfattende oppgave enn å sikre et hjemmenettverk.
For den jevne hjemmebruker så holder det lenge å oppdatere windows, være
forsiktig med hva som installeres og kjøres, samt gjøre periodiske
helsesjekker av systemet, som tar maks 10 minutter pr. uke.
Bjørn
Ole Kristian Bangås
> Terje Kvernes wrote:
>
>> det er utvilsomt ofte en fordel i en del scenarioer å skjerme
>> tjenester med en dårlig historie mot verden. det tar av og til også
>> litt tid fra man finner en tjeneste til å være mulig å
>> kompromittere, til en patch kommer. i mellomtiden kan noe som
>> fjerner tilgangen til tjenesten være kjekt.
>> (...)
>
> Derimot er det sjeldn at det er en god løsning å pushe mer stash inn i et
> hjemmenettverk i den tro at det løser noe som helst. Paracetamol hjelper
> mot hodeverk, men om grunnen til hodeverket er dehydrering er det bare å
> lappe på symptomene, ikke å løse problemet.
Vel, vi kommer aldri til å bli enige. Jeg foretrekker preventive tiltak
fremfor ubehagelige overraskelser.
--
Ole Kristian Bangås
Bjørn Furuknap
Utifra hva du har skrevet her så foretrekker du å stikke hodet i sanden
fremfor å sikre nettet ditt, men det får være opp til deg.
Bjørn
Terje Kvernes
[ ... ]
> Det er mange tilfeller der brannmurer er nyttige, for eksempel der
> patcher ikke _kan_ legges inn, der man har tidkrevende testing fra
> patch er sluppet til den kan settes på produksjonsservere, for å
> avskjerme deler av et nett der man ikke kan eller vil stole på
> sikkerheten blant maskinene (f.eks. trådløse soner, etc).
eventuelt så tar det lang nok tid fra hullet er kjent til det kommer
en patch, samtidig som man _må_ tilby tjenesten, at man har en
brannmur som sørger for at man har mulighet til å drive tjenesten i
mellomtiden.
det finnes selvsagt også brannmurer som har hull, så det er ikke en
perfekt løsning, men det er bedre enn alternativet.
> Derimot er det sjeldn at det er en god løsning å pushe mer stash inn
> i et hjemmenettverk i den tro at det løser noe som
> helst.
sikkerhet handler ikke alltid om å _kunne_ løse problemene, det
handler av og til om å senke sannsynligheten for at problemer skal
oppstå.
> Paracetamol hjelper mot hodeverk, men om grunnen til hodeverket er
> dehydrering er det bare å lappe på symptomene, ikke å løse
> problemet.
selvsagt, men det kan hende du tenker klart nok til å drikke litt
dersom du blir kvitt hodepinen først. akkurat _det_ eksempelet har
jeg erfart selv. :-)
--
Terje
Ole Kristian Bangås
Nei, jeg stikker ikke hodet ned i sanden fremfor å sikre nettet mitt. Jeg
sikrer nettet mitt, men jeg har også en brannmur som kan luke bort ting
som kommer uforutsett. DET er tydeligvis den store forskjellen mellom oss
to.
--
Ole Kristian Bangås
Bjørn Furuknap
Nei, forskjellen er at du kun tenker på en type problem, nemlig innbrudd
eller misbruk via tcp-porter. Det er kun en liten del av sikkerhet, men for
all del, jeg vil gjerne ha jobb i morgen også, så bare fortsett som du
gjør...
Bjørn
Bjørn Furuknap
> "Bjørn Furuknap" <furu...@lit.no> writes:
>
> [ ... ]
>
>> Det er mange tilfeller der brannmurer er nyttige, for eksempel der
>> patcher ikke _kan_ legges inn, der man har tidkrevende testing fra
>> patch er sluppet til den kan settes på produksjonsservere, for å
>> avskjerme deler av et nett der man ikke kan eller vil stole på
>> sikkerheten blant maskinene (f.eks. trådløse soner, etc).
>
> eventuelt så tar det lang nok tid fra hullet er kjent til det kommer
> en patch, samtidig som man _må_ tilby tjenesten, at man har en
> brannmur som sørger for at man har mulighet til å drive tjenesten i
> mellomtiden.
Det er litt avhengig av hva slags problem du får. Hvis du er avhengig av å
levere tjeneste på et sett programvare som er kjent som usikkert og det ikke
finnes noen patch så må du selv patche. Det blir egentlig bare samme jobben.
Om du har feil i en tjeneste du ikke bruker, vel, da burde du ha skrudd av
den tjenesten i første omgang.
I slike tilfeller kan en brannmur være nyttig, og som sagt, jeg er ikke mot
bruken av brannmurer, bare mot brukern av brannmurer for alle de gale
grunnene, slik 99% av brannmurer faktisk er.
> det finnes selvsagt også brannmurer som har hull, så det er ikke en
> perfekt løsning, men det er bedre enn alternativet.
I enkelte tilfeller, ja. Slik saken ble presentert her, altså en brannmur
fordi man ikke hadde patchet opp en maskin uten videre grunn, så er en
brannmur adskillig verre enn alternativet.
>> Derimot er det sjeldn at det er en god løsning å pushe mer stash inn
>> i et hjemmenettverk i den tro at det løser noe som
>> helst.
>
> sikkerhet handler ikke alltid om å _kunne_ løse problemene, det
> handler av og til om å senke sannsynligheten for at problemer skal
> oppstå.
Eller å være forberedt på de tingene som kan oppstå. Det ene er en konstant
jakt etter nye steder man kan bli angrepet, og stadig brykt for uoppdagede
hull. Det andre er sikkert.
Bjørn
Ole Kristian Bangås
> I enkelte tilfeller, ja. Slik saken ble presentert her, altså en brannmur
> fordi man ikke hadde patchet opp en maskin uten videre grunn, så er en
> brannmur adskillig verre enn alternativet.
Dette har jeg aldri ment, og det trodde jeg hadde kommet fram. Det jeg
mener er at man har en brannmur for å hindre angrep slik at man kan rekke
å patche FØR man blir infisert, jeg har ALDRI sagt at man skal la være
å pathce eller på annen måte sikre systemet, men jeg vil selv ha, og vil
fortsatt anbefale andre å ha, denne ekstra sikkerhet i en brannmur, som
gjør at du sannsynligvis/forhåpentligvis/kanksje slipper å bli infisert
først.
--
Ole Kristian Bangås
Ole Kristian Bangås
Usikker på hvorfor du tror akkruat dette. At jeg hevder at det er smart å
ha en brannmur for å sikre angrep av ukjent type utenfra, eller sågar
dumt å ikke beskytte seg på denne måten (spesielt for personer med middels
eller lavere pc-kunnskap og -interesse), betyr da vitterlig ikke
at jeg KUN tenker på sikkerhet hva TCP-angrep angår? Jeg er bl a en sterk
tilhenger av å begrense brukeres tilganger på en PC etter need-to-have
prinsippet, mao så lite rettigheter som overhodet mulig.
--
Ole Kristian Bangås
Terje Kvernes
> Terje Kvernes wrote:
>
> > eventuelt så tar det lang nok tid fra hullet er kjent til det
> > kommer en patch, samtidig som man _må_ tilby tjenesten, at man har
> > en brannmur som sørger for at man har mulighet til å drive
> > tjenesten i mellomtiden.
>
> Det er litt avhengig av hva slags problem du får. Hvis du er
> avhengig av å levere tjeneste på et sett programvare som er kjent
> som usikkert og det ikke finnes noen patch så må du selv patche. Det
> blir egentlig bare samme jobben.
jeg antar du patchet DCOM-problemet til Microsoft selv? en brannmur
kunne gitt en bedre odds på å nå Windows Update før ormen kom innom.
ved UiO var det flere som aldri _fikk_ patchet boksen fordi Windows
Update ikke svarte, og boksene stod i timesvis uten å få tak i
patchen. ormen derimot, den kom i stadige fine strømmer. ja, man
skulle ha patchet tidligere, men i noen tilfeller (blant annet en
bærbar som kom hjem fra ferie) så var ikke det gjørbart.
for en hjemmebruker så burde selvsagt oppdateringer gjøres
regelmessig, helst daglig, men selv da kan man være uheldig. en
brannmur _kan_ senke den totale risikoen.
> Om du har feil i en tjeneste du ikke bruker, vel, da burde du ha
> skrudd av den tjenesten i første omgang.
selvsagt, det var vel heller aldri poenget.
> I slike tilfeller kan en brannmur være nyttig, og som sagt, jeg er
> ikke mot bruken av brannmurer, bare mot brukern av brannmurer for
> alle de gale grunnene, slik 99% av brannmurer faktisk er.
jeg er veldig uenig i tallet 99% -- men det er ganske irrelevant.
en brannmur er ikke en løsning, men det kan være en del av en
løsning. og, om de brukes fornuftig så kan de være kjekke å ha.
det er i hvert fall sjeldent en dum ting, så lenge man behandler
brannmuren som noe annet enn en hvilepute.
det er heller ingen som har foreslått at man ikke skal patche i
denne tråden, det er derimot noen som har påstått at man kanskje
ville sluppet ormen _om_ man hadde en brannmur. dette er ganske
korrekt så vidt jeg kan se, spesielt når man tar med problemene med
Windows Update denne gangen.
> I enkelte tilfeller, ja. Slik saken ble presentert her, altså en
> brannmur fordi man ikke hadde patchet opp en maskin uten videre
> grunn, så er en brannmur adskillig verre enn alternativet.
brannmuren kunne sørget for at man ikke ble tatt, selv når man av en
eller annen grunn ikke hadde patchet. det er omtrent som å kjøre en
tjeneste i chroot, man sikrer seg med andre løsninger i tilfelle
tjenesten blir tatt.
[ ... ]
> Eller å være forberedt på de tingene som kan oppstå. Det ene er en
> konstant jakt etter nye steder man kan bli angrepet, og stadig brykt
> for uoppdagede hull. Det andre er sikkert.
ingenting er sikkert på nettet, uansett hvor mye man patcher.
derfor har man flere lag med sikkerhet rundt det man gjør. ingen av
leddene er sikre, men sammen blir de litt sikrere enn leddene hver
for seg.
--
Terje
Bjørn Furuknap
> "Bjørn Furuknap" <furu...@lit.no> writes:
>
>> Terje Kvernes wrote:
>>
>>> eventuelt så tar det lang nok tid fra hullet er kjent til det
>>> kommer en patch, samtidig som man _må_ tilby tjenesten, at man har
>>> en brannmur som sørger for at man har mulighet til å drive
>>> tjenesten i mellomtiden.
>>
>> Det er litt avhengig av hva slags problem du får. Hvis du er
>> avhengig av å levere tjeneste på et sett programvare som er kjent
>> som usikkert og det ikke finnes noen patch så må du selv patche. Det
>> blir egentlig bare samme jobben.
>
> jeg antar du patchet DCOM-problemet til Microsoft selv?
Jeg patchet med den offisielle patchen i løpet av 2 dager på alle maskinene
jeg hadde oppe, inkludert 1 dag for å avvente eventuelle patcher til
patchen. Det vil si ca. 4 uker før ormen kom.
Dog var det mange exploits som var ute lenge før blaster fikk gjort sitt, så
derfor skrev jeg tidligere i denne gruppa at jeg var overrasket over hvor
kjapt dette hullet ble utnyttet. Muligens bidro det massive mediehysteriet
med advarsler fra gud vet hvilke amerikanse organer til at interessen økte
kraftig.
> ved UiO var det flere som aldri _fikk_ patchet boksen fordi Windows
> Update ikke svarte, og boksene stod i timesvis uten å få tak i
> patchen. ormen derimot, den kom i stadige fine strømmer. ja, man
> skulle ha patchet tidligere, men i noen tilfeller (blant annet en
> bærbar som kom hjem fra ferie) så var ikke det gjørbart.
Og som jeg har sagt, i de tilfellene der kan ikke _kan_ patche gjør en
brannmur nytten. Du er derimot fortsatt sårbar innenfra, så om én maskin i
det segmentet var smittet ville ikke en brannmur hjulpet med enn å banne
høyt.
> for en hjemmebruker så burde selvsagt oppdateringer gjøres
> regelmessig, helst daglig, men selv da kan man være uheldig. en
> brannmur _kan_ senke den totale risikoen.
Altså, det er i forhold til uhell at en god sikkerhetpolitikk har sin
styrke; uhell betraktes på samme måte som bevisst sabotasje ved at man
forutsetter at det kan skje, og garderer seg deretter. En typisk
hjemmebruker kan for eksempel gjøre dette ved å kjøre med en konto som ikke
har skriverettigheter på utsatte områder. Det hjelper dog ikke på blaster
som kjører med systemrettigheter, men dog...
>> I slike tilfeller kan en brannmur være nyttig, og som sagt, jeg er
>> ikke mot bruken av brannmurer, bare mot brukern av brannmurer for
>> alle de gale grunnene, slik 99% av brannmurer faktisk er.
>
> jeg er veldig uenig i tallet 99% -- men det er ganske irrelevant.
> en brannmur er ikke en løsning, men det kan være en del av en
> løsning. og, om de brukes fornuftig så kan de være kjekke å ha.
> det er i hvert fall sjeldent en dum ting, så lenge man behandler
> brannmuren som noe annet enn en hvilepute.
Helt enig. For min egen del bruker jeg ikke brannmur primært av to grunner:
1 - det holder meg våken (som i at jeg må følge med og være være oppdatert
på det jeg driver med, ikke i at jeg ikke sover :-) )
2 - det medfører et ekstra sett med problemer å forholde seg til
(oppdatering, mulige feil, etc.)
For de av mine kunder som ønsker å sikre ekstra seg gjøres dette i stedet
med tcp-filtrering, lokale filtreringstiltak, etc.
> det er heller ingen som har foreslått at man ikke skal patche i
> denne tråden, det er derimot noen som har påstått at man kanskje
> ville sluppet ormen _om_ man hadde en brannmur. dette er ganske
> korrekt så vidt jeg kan se, spesielt når man tar med problemene med
> Windows Update denne gangen.
Jeg kjøper ikke at problemer med WU skulle være noe problem, problemene der
oppsto primært _etter_ at ormen var sluppet løs. Dessuten er det trivielt å
laste ned fiksen fra andre steder og kjøre lokalt, også ved sentral
distribusjon til eksterne maskiner. Én nedlasting ved UiO ville derfor vært
nok, det kunne til og med lastes ned andre steder eller bestilles på cd om
det virkelig var så vanskelig.
>> I enkelte tilfeller, ja. Slik saken ble presentert her, altså en
>> brannmur fordi man ikke hadde patchet opp en maskin uten videre
>> grunn, så er en brannmur adskillig verre enn alternativet.
>
> brannmuren kunne sørget for at man ikke ble tatt, selv når man av en
> eller annen grunn ikke hadde patchet.
Javisst, og ingen har nektet på at en brannmur kunne stanset de fleste
infeksjoner, men igjen er min påstand at de fleste infeksjoner er et
resultat av dårlig sikkerhetspolitikk, ikke mangel på brannmur.
Det er kommet en del positivt ut av blaster. Min påstand er at de positive
effektene er langt, langt større enn skadene som er påført.
1. Ormen testet internett på en skala som det aldri før er gjort. Man sitter
igjen med et sikrere internett og større bevissthet rundt sikkerhet. Man har
sett en slik massiv infeksjon, og om det skjer i morgen er man mer
forberedt.
2. Ormen er ufarlig og uskadelig, det vil si, noen senere varianter var litt
irriterende, men ikke farlig. En orm utviklet av terrorister kunne
_virkelig_ skadet verden. Hadde jeg laget en slik orm hadde jeg angrepet
helt andre ting, for eksempel antivirusleverandører eller andre som forsøkte
å utarbeide motkur i stedet for å sitte passivt og vente i mange dager før
den angrep en relativt ubetydelig del av Microsoft. Teorien om at det skulle
samles ett massivt angrep på én gang er greit nok, men da må man kode den
bedre, for eksempel som Sobig.F.
3. Ormen rammet i det store og det hele bare de som ikke patchet maskinene
sine i vanvare, ignoranse eller idioti. Lærepengen rammet derfor bare de den
burde ramme.
>> Eller å være forberedt på de tingene som kan oppstå. Det ene er en
>> konstant jakt etter nye steder man kan bli angrepet, og stadig brykt
>> for uoppdagede hull. Det andre er sikkert.
>
> ingenting er sikkert på nettet, uansett hvor mye man patcher.
> derfor har man flere lag med sikkerhet rundt det man gjør. ingen av
> leddene er sikre, men sammen blir de litt sikrere enn leddene hver
> for seg.
Jeg har aldri sagt at det _eneste_ man skal gjøre er å patche, det er, i
likhet med brannmurer, et element, slik du sier. Ingenting er sikkert, men
begrepet 'sikkert nok' er en gitt verdi utifra det trusselbilde man til
enhver tid stilles overfor. Først når man har gjort en analyse av dette vet
man om man trenger de ulike tiltakene, som brukerbegrensning, brannmur,
antivirus, nat, etc.
For vanlige hjemmebrukere, hvis målet for det skal være noen som ikke gidder
å sette seg inn i sikkerhet eller hvordan man bruker en maskin koblet til
internett, inkluderer ikke sikkerhet brannmurer, men saks.
Bjørn
jolene...@hotmail.com
> FUT: <news:no.it.sikkerhet.diverse>
>
> Tenkte denne kunne være av intr., spesielt for admin:
> "RPCScan is a Windows based detection and analysis utility that
> can quickly and accurately identify Microsoft operating systems
> that are vulnerable to the RPC interface buffer overflow
> vulnerability."
>
>
> mvh
> Bjørn Simonsen
Terje Henriksen
installere den i Windows 8.1.
--
Terje Henriksen
Kirkenes