---

Tråden fra den 21. august, "En helt igennem forkert journalistisk
vinkel" her i gruppen handler om en rapport fra noget der hedder "The
Honeynet Project".

Selve rapporten kan hentes (ca 1 MB PDF) her

<http://www.honeynet.org/papers/mws/KYE-Malicious_Web_Servers.pdf>

I rapporten nævnes nogle forsvarsmuligeder i MS Windows for at undgå de
såkaldte "drive-by download" angreb - bl.a patching, brug af konto med
begrænset rettigheder og blacklisting. I det sidste tilfælde anvendes en
særlig "hosts" fil til bl.a at undgå forbindelse til web servere der
leverer det skadelige indhold.

Der er i rapporten henvist til en hosts fil som kan hentes på en
hjemmeside fra mvps.org (Microsoft Valued Professionels - folk der bl.a
yder hjælp og vejledning i Microsoft nyhedsgrupperne)

<http://www.mvps.org/winhelp2002/hosts.htm>

Den version af hostsfilen der bruges skal selvfølgelig være så up-to-date
som mulig.

En søgning på Google viser, at blacklisting for det meste bruges i
spambekæmpelse. Så mit spørgsmål er, findes der andre steder (end
mvps.org) hvor man kan hente "friske" hosts fil til Windows OS med
oplysning om de seneste malware webservers?

Er der i øvrigt nogen bagside til metoden - en ny angrebsvektor, som man
åbner ved at benytte sådan en hostsfil?

Umiddelbart syntes jeg metoden virker meget fornuftig.


--
Oops!... I did it again

---

On 25 Aug 2007 11:20:09 GMT, Axel Hammerschmidt <hlexa@hotmail.com>
wrote:

>Er der i øvrigt nogen bagside til metoden - en ny angrebsvektor, som man
>åbner ved at benytte sådan en hostsfil?
>
>Umiddelbart syntes jeg metoden virker meget fornuftig.

Største ulempe er vel at hosts filen skal gennemlæses ved hvert eneste
dns-opslag. Er hostfilen meget stor vil det gøre computeren, eller
rettere internet surf, langsom som bare pokker...

<mlr>

---

Den 25-08-07 14.07 skrev Michael Rasmussen følgende:
> On 25 Aug 2007 11:20:09 GMT, Axel Hammerschmidt <hlexa@hotmail.com>
> wrote:
>
>>Er der i øvrigt nogen bagside til metoden - en ny angrebsvektor, som man
>>åbner ved at benytte sådan en hostsfil?

Nej, du åbner ikke for angreb ved at forhindre forbindelse til nogle
websteder.

> Største ulempe er vel at hosts filen skal gennemlæses ved hvert eneste
> dns-opslag. Er hostfilen meget stor vil det gøre computeren, eller
> rettere internet surf, langsom som bare pokker...

Så vidt jeg husker, gemmes den i hukommelsen, og så betyder størrelsen
ikke helt så meget. Så skal den i hvert fald være ekstrem stor, og
computeren skal være underforsynet med ram.

--
Mvh. Kim Ludvigsen
Ryd op i dine foretrukne bogmærker med AM-DeadLink.
http://kimludvigsen.dk

---

Den 25-08-07 14.15 skrev Kim Ludvigsen følgende:
> Den 25-08-07 14.07 skrev Michael Rasmussen følgende:
>> On 25 Aug 2007 11:20:09 GMT, Axel Hammerschmidt <hlexa@hotmail.com>
>> wrote:
>>
>>>Er der i øvrigt nogen bagside til metoden - en ny angrebsvektor, som man
>>>åbner ved at benytte sådan en hostsfil?
>
> Nej, du åbner ikke for angreb ved at forhindre forbindelse til nogle
> websteder.

Jeg må lige moderere mig selv lidt. Hvis hostfilen blokerer adgang til
"gode" sider, kan det forhindre opdatering af forskellige programmer, og
dermed får brugeren måske ikke lukket et sikkerhedshul.

Nogle malware-programmer ændrer netop hostfilen for at forhindre adgang
til programmer, der kan stoppe malwaren.

--
Mvh. Kim Ludvigsen
Screamer Radio: Hør og optag din yndlingsmusik via radiostationer på
internettet.
http://kimludvigsen.dk

---

Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:

> Den 25-08-07 14.15 skrev Kim Ludvigsen følgende:
> > Den 25-08-07 14.07 skrev Michael Rasmussen følgende:
> >> On 25 Aug 2007 11:20:09 GMT, Axel Hammerschmidt <hlexa@hotmail.com>
> >> wrote:
> >>
> >>>Er der i øvrigt nogen bagside til metoden - en ny angrebsvektor, som man
> >>>åbner ved at benytte sådan en hostsfil?
> >
> > Nej, du åbner ikke for angreb ved at forhindre forbindelse til nogle
> > websteder.
>
> Jeg må lige moderere mig selv lidt. Hvis hostfilen blokerer adgang til
> "gode" sider, kan det forhindre opdatering af forskellige programmer, og
> dermed får brugeren måske ikke lukket et sikkerhedshul.

Det skulle så være sådan noget som Sun's Java?

(Som jeg forstår det jeg fandt med Google om Blacklisting, så vil det
ikke kunne forhindre f.eks forbindelse til Microsoft's sider).

> Nogle malware-programmer ændrer netop hostfilen for at forhindre adgang
> til programmer, der kan stoppe malwaren.

Ja. Men jeg skulle logge på som Administrator i XP for at få lov til at
erstatte HOSTS filen.

---

Den 25-08-07 15.45 skrev Axel Hammerschmidt følgende:
> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>
>> Jeg må lige moderere mig selv lidt. Hvis hostfilen blokerer adgang til
>> "gode" sider, kan det forhindre opdatering af forskellige programmer, og
>> dermed får brugeren måske ikke lukket et sikkerhedshul.
>
> Det skulle så være sådan noget som Sun's Java?

Og andre programmer, der automatisk henter opdateringer. Fx også Firefox
og Thunderbird, diverse antivirusprogrammer osv. Man får selvfølgelig
heller ikke lov at hente manuelt, men så finder man jo trods alt ud af,
at man har et problem.

>> Nogle malware-programmer ændrer netop hostfilen for at forhindre adgang
>> til programmer, der kan stoppe malwaren.
>
> Ja. Men jeg skulle logge på som Administrator i XP for at få lov til at
> erstatte HOSTS filen.

De fleste brugere kører automatisk som administrator i XP, så der får
malwaren lov at ændre uden problemer.

--
Mvh. Kim Ludvigsen
Hjælp til begyndere og uøvede computer- og internetbrugere.
http://kimludvigsen.dk

---

Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>
> Den 25-08-07 15.45 skrev Axel Hammerschmidt følgende:
>>
>>Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>>
>>> Jeg må lige moderere mig selv lidt. Hvis hostfilen blokerer adgang til
>>> "gode" sider, kan det forhindre opdatering af forskellige programmer, og
>>> dermed får brugeren måske ikke lukket et sikkerhedshul.
>>
>> Det skulle så være sådan noget som Sun's Java?
>
>Og andre programmer, der automatisk henter opdateringer. Fx også Firefox
>og Thunderbird, diverse antivirusprogrammer osv. Man får selvfølgelig
>heller ikke lov at hente manuelt, men så finder man jo trods alt ud af,
>at man har et problem.

OK. Men det skulle en HOSTS fil fra mvps.org ikke gøre.

>>> Nogle malware-programmer ændrer netop hostfilen for at forhindre adgang
>>> til programmer, der kan stoppe malwaren.
>>
>> Ja. Men jeg skulle logge på som Administrator i XP for at få lov til at
>> erstatte HOSTS filen.
>
>De fleste brugere kører automatisk som administrator i XP, så der får
>malwaren lov at ændre uden problemer.

Tsk. Tsk.

---

> Jeg må lige moderere mig selv lidt. Hvis hostfilen blokerer adgang til
> "gode" sider, kan det forhindre opdatering af forskellige programmer, og
> dermed får brugeren måske ikke lukket et sikkerhedshul.

Vil de fleste programmer ikke typisk give brugeren besked, hvis ikke de kan
tilgå de nødvendige update-services? Og problemet vil vel kun opstå hvis man
få en "dårlig" host-database (altså en database der indeholder "gode"
hosts)?

En anden ting er om ikke de "onde" finde ud af at connecte til en ip i
stedet for en host, hvis denne form for host-block bliver udbredt?

Med venlig hilsen

Rune.

---

<Rune Nicolajsen> writes:

>En anden ting er om ikke de "onde" finde ud af at connecte til en ip i
>stedet for en host, hvis denne form for host-block bliver udbredt?

Det gør de allerede.

Fra dagens spam-bakke:

You need to take this offline, it is in everyones email. see for yourself...
<a href="htp://24.119.254.245/">htp://www.youtube.com/watch?v=nFt8EGNGRI3

Mvh.
   Klaus, der har fjernet et "t" i "http".

---

>>En anden ting er om ikke de "onde" finde ud af at connecte til en ip i
>>stedet for en host, hvis denne form for host-block bliver udbredt?
>
> Det gør de allerede.

Så er host-block vel ikke særlig meget værd?

> Fra dagens spam-bakke:
>
> You need to take this offline, it is in everyones email. see for
> yourself...
> <a
> href="htp://24.119.254.245/">htp://www.youtube.com/watch?v=nFt8EGNGRI3

Kæft det er "smart" - brugeren tror de klikker på et youtube link og i
virkligheden hopper de ind på en server på en helt anden ipadresse...

Med venlig hilsen

Rune.

---

<Rune Nicolajsen> writes:

>Så er host-block vel ikke særlig meget værd?

Nope.

Man ser også, at reklame-sites er begyndt at bruge hostnavne à la:
http://1234-5678-9012-3456-7890.statistikfirma.hest/.....

....hvor tallet opdateres hele tiden.

Ergo skal ens hosts-fil være mange gigabytes lang, før den er bare
nogenlunde effektiv. (Og så er web-surfing nok ikke særlig hurtigt
mere)

Det kan selvfølgelig klares ved at installere en DNS-server på den
lokale maskine/netværk, men selv det vil jo ikke hjælpe på brugen
af IP-adresser i URLs.

Alt i alt er der ikke nogen nemme "one size fits all"-løsninger
længere.

Mvh.
   Klaus.

---

Den Mon, 27 Aug 2007 14:42:33 +0200 skrev <Rune Nicolajsen>:
>> Jeg må lige moderere mig selv lidt. Hvis hostfilen blokerer adgang til
>> "gode" sider, kan det forhindre opdatering af forskellige programmer, og
>> dermed får brugeren måske ikke lukket et sikkerhedshul.
>
> Vil de fleste programmer ikke typisk give brugeren besked, hvis ikke de kan
> tilgå de nødvendige update-services?

Forhåbentlig ikke, det vil da lynhurtigt blive irriterende med alle
de popups "Adobe Reader kan heller ikke connecte nu, ligesom den heller
ikke kunne da du sidst åbnede en PDF-fil for 25 sekunder siden. Fis
nu ud og invester i en internet-forbindelse... <OK>"

(Adobe Reader kun brugt som eksempel på et program der altid vil
hente opdateringer, og ikke har en "spørg ikke igen om 25 sekunder"
knap).

Mhv
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Rune Nicolajsen wrote:
> Vil de fleste programmer ikke typisk give brugeren besked, hvis ikke de kan
> tilgå de nødvendige update-services?

Nu kan en hosts-fil ikke kun bruges til at blokere trafik. Det er
faktisk bare et "misbrug" af filens tiltænkte anvendelse.

Reelt bruges den til at sørge for, at trafik til en bestemt host
dirigeres til en bestemt ip-adresse.

Så i princippet kan en ondsindet hosts-fil omdirigere et programs
automatiske opdateringsfunktion, så opdateringerne hentes fra en fremmed
webserver. Så kan man gætte på, hvor venligtsindede disse opdateringer
vil være.

Vil man beskytte sig mod det, vil det være en god ide at kigge
hosts-filen igennem før installation. Den bør ikke indeholde andre
ip-adresser end 127.0.0.1.

(Derudover bør man vel undgå software, som foretager automatiske
opdateringer uden en eller anden form for digital signatur på
opdateringsfilerne, men den diskussion hører nok ikke hjemme i denne tråd.)

--
Allan Olesen

---

Michael Rasmussen <michael@invalid> wrote:

> On 25 Aug 2007 11:20:09 GMT, Axel Hammerschmidt <hlexa@hotmail.com>
> wrote:
>
> >Er der i øvrigt nogen bagside til metoden - en ny angrebsvektor, som man
> >åbner ved at benytte sådan en hostsfil?
> >
> >Umiddelbart syntes jeg metoden virker meget fornuftig.
>
> Største ulempe er vel at hosts filen skal gennemlæses ved hvert eneste
> dns-opslag. Er hostfilen meget stor vil det gøre computeren, eller
> rettere internet surf, langsom som bare pokker...

Der er en opskrift på mvps.org netop om det, noget med at sætte
tjenesten DNS Client til manuel eller disabled i W2K/XP.

Det har jeg så gjort.

Det virker i øvrigt som man med en langsom/forbrugsafregnet forbindelse
sparer en del tid/penge når DNS opslagene udføres lokalt. Jeg syntes
selv siderne loader hurtigere.