/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
"Witty" smadrer BlackIce inficerede maskin~
Fra : Niels Callesøe


Dato : 21-03-04 03:30

Ak ja, det måtte jo ske på et tidspunkt. En ny orm udnytter et
sikkerhedshul i den alt-for-populære BlackIce Defender (en software
"firewall"). Mere information her:

http://isc.sans.org/diary.html?date=2004-03-20

og her:

http://www.f-secure.com/v-descs/witty.shtml

Det korte af det lange er: hvis du kører BlackIce Defender, så slå den
fra NU og sluk din maskine.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Bogus virus warnings are spam. Reject them using Postfix:
http://www.t29.dk/antiantivirus.txt

 
 
Kasper Dupont (21-03-2004)
Kommentar
Fra : Kasper Dupont


Dato : 21-03-04 08:05

"Niels Callesøe" wrote:
>
> Ak ja, det måtte jo ske på et tidspunkt. En ny orm udnytter et
> sikkerhedshul i den alt-for-populære BlackIce Defender (en software
> "firewall"). Mere information her:

Hvor lang tid gik der egentlig fra patchen var blevet
frigivet til ormen blev sluppet løs? Det kan ikke have
været ret mange timer.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Christian E. Lysel (21-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 21-03-04 12:16

In article <Xns94B323A29CDF9k5j6h4jk3@62.243.74.163>, Niels Callesøe wrote:
> Det korte af det lange er: hvis du kører BlackIce Defender, så slå den
> fra NU og sluk din maskine.

Eller hvis du kører med Norton AntiSpam. 2004/Norton Internet Security. 2004,

http://www.ngssoftware.com/advisories/antispam.txt
http://www.ngssoftware.com/advisories/nisrce.txt


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Peter Kruse (21-03-2004)
Kommentar
Fra : Peter Kruse


Dato : 21-03-04 14:33

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i
en meddelelse
news:slrnc5qubf.f0j.chel@weebo.dmz.spindelnet.dk...

Hej Christian,

> Eller hvis du kører med Norton AntiSpam. 2004/Norton
Internet Security. 2004,
> http://www.ngssoftware.com/advisories/antispam.txt
> http://www.ngssoftware.com/advisories/nisrce.txt

Ikke at det gøre problemet mindre (men dog formidlende), så
indeholder Symantec´s produkter heldigvis en "Liveupdate"
funktion, som gør at dette problem udbedres automatisk.

Venligst
Peter Kruse



Christian E. Lysel (21-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 21-03-04 15:06

In article <405d9952$0$299$edfadb0f@dread16.news.tele.dk>, Peter Kruse wrote:
> Ikke at det gøre problemet mindre (men dog formidlende), så
> indeholder Symantec´s produkter heldigvis en "Liveupdate"

Kender du liveupdate?

Kender du sårbarhederne i produktet?

Kik evt. på,

http://www.securityfocus.com/bid/9401/discussion/
http://www.securityfocus.com/bid/4710/discussion/
http://www.securityfocus.com/bid/3413/discussion/
http://www.securityfocus.com/bid/3404/discussion/

Den sidste er den værste, denne fejl har eksisteret
i årvis, og har medført at det har været trivielt
at installere software på maskiner med liveupdate
kørende.

Det er uacceptabelt at Norton/Symantec har designet
et updateringssystem der ikke vertificere den
opdatering der køres.

Specielt fordi folk bliver "hjerne" vasket til at
produkter løser deres sikkerhedsproblem.


Fejlen har endvidere været kendt lang tid før den blev
offentligt annonceret.

Hos en af mine tidligere arbejdsgivere, installerede
vi vores eget batch script på klienters servere, for
at kunne formindske problemstillingen.

> funktion, som gør at dette problem udbedres automatisk.

http://www.reviewcentre.com/review111338.html

....The "live update" mechanism fails frequently,
depriving paid up subscribers of their updated...

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Peter Kruse (21-03-2004)
Kommentar
Fra : Peter Kruse


Dato : 21-03-04 15:28

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i
en meddelelse
news:slrnc5r89b.pdh.chel@weebo.dmz.spindelnet.dk...
> In article <405d9952$0$299$edfadb0f@dread16.news.tele.dk>,
Peter Kruse wrote:

Hej Christian,

> Kender du liveupdate?

Ja, det vil jeg mene.

> Kender du sårbarhederne i produktet?

Og ja til det spørgsmål.

> Den sidste er den værste, denne fejl har eksisteret
> i årvis, og har medført at det har været trivielt
> at installere software på maskiner med liveupdate
> kørende.

Jeg er ikke bekendt med, at denne sårbarhed har været kendt
i årevis. Jeg mener den blev offentliggjort i Januar 2004.

> Det er uacceptabelt at Norton/Symantec har designet
> et updateringssystem der ikke vertificere den
> opdatering der køres.

Det er jeg meget enig i, men dette problem er også blevet
løst med en opdatering.

> Specielt fordi folk bliver "hjerne" vasket til at
> produkter løser deres sikkerhedsproblem.

Det er nu ikke en rimelig konklusion. Fejlen er skabt af
Symantec - ikke af de brugererne, som anvender produktet. At
fejlen så berører brugerne kan jo lede til at produktet
fravælges. Der findes ikke nogen ufejlbarlige software
baserede sikkerhedsløsninger.

> Fejlen har endvidere været kendt lang tid før den blev
> offentligt annonceret.

Personligt har jeg ikke været bekendt med den
problemstilling før den blev publiceret på Bugtraq.

> Hos en af mine tidligere arbejdsgivere, installerede
> vi vores eget batch script på klienters servere, for
> at kunne formindske problemstillingen.

Jeg kunne godt være interesseret i at se det script.

> ...The "live update" mechanism fails frequently,
> depriving paid up subscribers of their updated...

Jeg ved ikke helt hvad jeg skal mene om det review.

Venligst
Peter Kruse



Christian E. Lysel (21-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 21-03-04 15:58

In article <405da643$0$212$edfadb0f@dread16.news.tele.dk>, Peter Kruse wrote:
>> Den sidste er den værste, denne fejl har eksisteret
>> i årvis, og har medført at det har været trivielt
>> at installere software på maskiner med liveupdate
>> kørende.
>
> Jeg er ikke bekendt med, at denne sårbarhed har været kendt
> i årevis. Jeg mener den blev offentliggjort i Januar 2004.

Den blev offentlig i slutningen af 2001, skummelt
jeg husker det ellers som midten af 2002, som tiden
dog flyver.

http://www.phenoelit.de/stuff/LiveUpdate.txt

>> Det er uacceptabelt at Norton/Symantec har designet
>> et updateringssystem der ikke vertificere den
>> opdatering der køres.
>
> Det er jeg meget enig i, men dette problem er også blevet
> løst med en opdatering.

Problemmet bliver ikke løst med en opdatering, hvis
angriberen har lavet opdateringen. Så _er_ system
komprimiteret.

>> Specielt fordi folk bliver "hjerne" vasket til at
>> produkter løser deres sikkerhedsproblem.
>
> Det er nu ikke en rimelig konklusion. Fejlen er skabt af
> Symantec - ikke af de brugererne, som anvender produktet. At
> fejlen så berører brugerne kan jo lede til at produktet
> fravælges. Der findes ikke nogen ufejlbarlige software
> baserede sikkerhedsløsninger.

Det er _ikke_ en fejl!

Den er designet til på ingen måder at lave nogle
former for check. Efter hullet blev offentligt
checker man opdateringen.

>> Fejlen har endvidere været kendt lang tid før den blev
>> offentligt annonceret.
>
> Personligt har jeg ikke været bekendt med den
> problemstilling før den blev publiceret på Bugtraq.

Personligt var det trivielt selv at finde problem-
stillingen.

> Jeg kunne godt være interesseret i at se det script.

Der var intet magisk, andet den selv udførte procesessen
i hånden, hvilket medførte at et målrettet angreb imod
liveupdate ikke ville virker.

Endvidere havde det også den fordel at det
kørte mere stabilt.

>> ...The "live update" mechanism fails frequently,
>> depriving paid up subscribers of their updated...
>
> Jeg ved ikke helt hvad jeg skal mene om det review.

Du har aldrig set live update fejle?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Peter Kruse (21-03-2004)
Kommentar
Fra : Peter Kruse


Dato : 21-03-04 16:15

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i
en meddelelse
news:slrnc5rbc6.902.chel@weebo.dmz.spindelnet.dk...

Hej Christian,

> Den blev offentlig i slutningen af 2001, skummelt
> jeg husker det ellers som midten af 2002, som tiden
> dog flyver.
>
> http://www.phenoelit.de/stuff/LiveUpdate.txt

Det er sådan ud. Jeg syntes det var i 2003.

> Problemmet bliver ikke løst med en opdatering, hvis
> angriberen har lavet opdateringen. Så _er_ system
> komprimiteret.

Det er fuldstændigt korrekt. Det forudsætter blot at en
lokal bruger har kendskab til hvordan dette misbruges.

> Det er _ikke_ en fejl!

Nej , måske ikke, men en mangel, som også er blevet rettet
op.

> Personligt var det trivielt selv at finde problem-
> stillingen.

Ok.

> Der var intet magisk, andet den selv udførte procesessen
> i hånden, hvilket medførte at et målrettet angreb imod
> liveupdate ikke ville virker.
>
> Endvidere havde det også den fordel at det
> kørte mere stabilt.

Hvordan var det muligt at øge stabiliteten?

> Du har aldrig set live update fejle?

Jo, men 2 minutter efter lykkedes det at opdatere. Jeg anser
derfor ikke problemet som værende voldsomt stort.

Jeg bør nok indskyde, at jeg er bekendt med, at flere
AV-producenter har haft problemer med deres
opdateringsservere - navnligt i forbindelse med høj risiko
trusler forårsaget af ondsindet kode. Den kraftige
efterspørgsel på signaturen skyldes nu ikke softwaren, men
snarere de servere som signaturfilerne nedhentes fra. De
fleste har imidlertidigt lært af de problemstillinger som
det gav og har sikret deres servere bedre mod den voldsomme
trafik. Godt for det.

Venligst
Peter Kruse



Christian E. Lysel (21-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 21-03-04 16:37

In article <405db13c$0$267$edfadb0f@dread16.news.tele.dk>, Peter Kruse wrote:
> Hvordan var det muligt at øge stabiliteten?

Man kan selv designe hvad der skal ske i de forskellige fejl
situationer.

>> Du har aldrig set live update fejle?
>
> Jo, men 2 minutter efter lykkedes det at opdatere. Jeg anser
> derfor ikke problemet som værende voldsomt stort.

Jeg har flere gange set kunde installationer hvor virus signaturen
har været måneder gammel fordi liveupdate var holdt op med
at virker...dette kan fx. være efter en service pack opdatering.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Peter Kruse (22-03-2004)
Kommentar
Fra : Peter Kruse


Dato : 22-03-04 18:48

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i
en meddelelse
news:slrnc5rdk8.od0.chel@weebo.dmz.spindelnet.dk...

Hej Christian,

> Jeg har flere gange set kunde installationer hvor virus
signaturen
> har været måneder gammel fordi liveupdate var holdt op med
> at virker...dette kan fx. være efter en service pack
opdatering.

Er det ikke mere et spørgsmål om fejlkonfiguration af
produktet?

Uanset, er der jo intet som kan sikre mod "install and
forget" filosofi. Ved større opdateringer bør man forvente,
at brugerne er særligt opmærksomme på efterfølgende fejl og
problemstillinger i produktet. Man kan vel forvente, at det
arbejde man bliver lønnet for at udføre også bliver gjort


Venligst
Peter Kruse




Niels Callesøe (21-03-2004)
Kommentar
Fra : Niels Callesøe


Dato : 21-03-04 16:48

Christian E. Lysel wrote:

> http://www.ngssoftware.com/advisories/nisrce.txt

Det advisory læser mere som en reklame end som et bulletin. Der er nok
nogen der har en samarbejdsaftale i klemme...

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Bogus virus warnings are spam. Reject them using Postfix:
http://www.t29.dk/antiantivirus.txt

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste