/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Blacklisting?
Fra : Axel Hammerschmidt


Dato : 25-08-07 12:20

Tråden fra den 21. august, "En helt igennem forkert journalistisk
vinkel" her i gruppen handler om en rapport fra noget der hedder "The
Honeynet Project".

Selve rapporten kan hentes (ca 1 MB PDF) her

<http://www.honeynet.org/papers/mws/KYE-Malicious_Web_Servers.pdf>

I rapporten nævnes nogle forsvarsmuligeder i MS Windows for at undgå de
såkaldte "drive-by download" angreb - bl.a patching, brug af konto med
begrænset rettigheder og blacklisting. I det sidste tilfælde anvendes en
særlig "hosts" fil til bl.a at undgå forbindelse til web servere der
leverer det skadelige indhold.

Der er i rapporten henvist til en hosts fil som kan hentes på en
hjemmeside fra mvps.org (Microsoft Valued Professionels - folk der bl.a
yder hjælp og vejledning i Microsoft nyhedsgrupperne)

<http://www.mvps.org/winhelp2002/hosts.htm>

Den version af hostsfilen der bruges skal selvfølgelig være så up-to-date
som mulig.

En søgning på Google viser, at blacklisting for det meste bruges i
spambekæmpelse. Så mit spørgsmål er, findes der andre steder (end
mvps.org) hvor man kan hente "friske" hosts fil til Windows OS med
oplysning om de seneste malware webservers?

Er der i øvrigt nogen bagside til metoden - en ny angrebsvektor, som man
åbner ved at benytte sådan en hostsfil?

Umiddelbart syntes jeg metoden virker meget fornuftig.


--
Oops!... I did it again

 
 
Michael Rasmussen (25-08-2007)
Kommentar
Fra : Michael Rasmussen


Dato : 25-08-07 13:07

On 25 Aug 2007 11:20:09 GMT, Axel Hammerschmidt <hlexa@hotmail.com>
wrote:

>Er der i øvrigt nogen bagside til metoden - en ny angrebsvektor, som man
>åbner ved at benytte sådan en hostsfil?
>
>Umiddelbart syntes jeg metoden virker meget fornuftig.

Største ulempe er vel at hosts filen skal gennemlæses ved hvert eneste
dns-opslag. Er hostfilen meget stor vil det gøre computeren, eller
rettere internet surf, langsom som bare pokker...

<mlr>

Kim Ludvigsen (25-08-2007)
Kommentar
Fra : Kim Ludvigsen


Dato : 25-08-07 13:15

Den 25-08-07 14.07 skrev Michael Rasmussen følgende:
> On 25 Aug 2007 11:20:09 GMT, Axel Hammerschmidt <hlexa@hotmail.com>
> wrote:
>
>>Er der i øvrigt nogen bagside til metoden - en ny angrebsvektor, som man
>>åbner ved at benytte sådan en hostsfil?

Nej, du åbner ikke for angreb ved at forhindre forbindelse til nogle
websteder.

> Største ulempe er vel at hosts filen skal gennemlæses ved hvert eneste
> dns-opslag. Er hostfilen meget stor vil det gøre computeren, eller
> rettere internet surf, langsom som bare pokker...

Så vidt jeg husker, gemmes den i hukommelsen, og så betyder størrelsen
ikke helt så meget. Så skal den i hvert fald være ekstrem stor, og
computeren skal være underforsynet med ram.

--
Mvh. Kim Ludvigsen
Ryd op i dine foretrukne bogmærker med AM-DeadLink.
http://kimludvigsen.dk

Kim Ludvigsen (25-08-2007)
Kommentar
Fra : Kim Ludvigsen


Dato : 25-08-07 13:23

Den 25-08-07 14.15 skrev Kim Ludvigsen følgende:
> Den 25-08-07 14.07 skrev Michael Rasmussen følgende:
>> On 25 Aug 2007 11:20:09 GMT, Axel Hammerschmidt <hlexa@hotmail.com>
>> wrote:
>>
>>>Er der i øvrigt nogen bagside til metoden - en ny angrebsvektor, som man
>>>åbner ved at benytte sådan en hostsfil?
>
> Nej, du åbner ikke for angreb ved at forhindre forbindelse til nogle
> websteder.

Jeg må lige moderere mig selv lidt. Hvis hostfilen blokerer adgang til
"gode" sider, kan det forhindre opdatering af forskellige programmer, og
dermed får brugeren måske ikke lukket et sikkerhedshul.

Nogle malware-programmer ændrer netop hostfilen for at forhindre adgang
til programmer, der kan stoppe malwaren.

--
Mvh. Kim Ludvigsen
Screamer Radio: Hør og optag din yndlingsmusik via radiostationer på
internettet.
http://kimludvigsen.dk

Axel Hammerschmidt (25-08-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 25-08-07 14:45

Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:

> Den 25-08-07 14.15 skrev Kim Ludvigsen følgende:
> > Den 25-08-07 14.07 skrev Michael Rasmussen følgende:
> >> On 25 Aug 2007 11:20:09 GMT, Axel Hammerschmidt <hlexa@hotmail.com>
> >> wrote:
> >>
> >>>Er der i øvrigt nogen bagside til metoden - en ny angrebsvektor, som man
> >>>åbner ved at benytte sådan en hostsfil?
> >
> > Nej, du åbner ikke for angreb ved at forhindre forbindelse til nogle
> > websteder.
>
> Jeg må lige moderere mig selv lidt. Hvis hostfilen blokerer adgang til
> "gode" sider, kan det forhindre opdatering af forskellige programmer, og
> dermed får brugeren måske ikke lukket et sikkerhedshul.

Det skulle så være sådan noget som Sun's Java?

(Som jeg forstår det jeg fandt med Google om Blacklisting, så vil det
ikke kunne forhindre f.eks forbindelse til Microsoft's sider).

> Nogle malware-programmer ændrer netop hostfilen for at forhindre adgang
> til programmer, der kan stoppe malwaren.

Ja. Men jeg skulle logge på som Administrator i XP for at få lov til at
erstatte HOSTS filen.

Kim Ludvigsen (25-08-2007)
Kommentar
Fra : Kim Ludvigsen


Dato : 25-08-07 22:15

Den 25-08-07 15.45 skrev Axel Hammerschmidt følgende:
> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>
>> Jeg må lige moderere mig selv lidt. Hvis hostfilen blokerer adgang til
>> "gode" sider, kan det forhindre opdatering af forskellige programmer, og
>> dermed får brugeren måske ikke lukket et sikkerhedshul.
>
> Det skulle så være sådan noget som Sun's Java?

Og andre programmer, der automatisk henter opdateringer. Fx også Firefox
og Thunderbird, diverse antivirusprogrammer osv. Man får selvfølgelig
heller ikke lov at hente manuelt, men så finder man jo trods alt ud af,
at man har et problem.

>> Nogle malware-programmer ændrer netop hostfilen for at forhindre adgang
>> til programmer, der kan stoppe malwaren.
>
> Ja. Men jeg skulle logge på som Administrator i XP for at få lov til at
> erstatte HOSTS filen.

De fleste brugere kører automatisk som administrator i XP, så der får
malwaren lov at ændre uden problemer.

--
Mvh. Kim Ludvigsen
Hjælp til begyndere og uøvede computer- og internetbrugere.
http://kimludvigsen.dk

Axel Hammerschmidt (25-08-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 25-08-07 22:23

Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>
> Den 25-08-07 15.45 skrev Axel Hammerschmidt følgende:
>>
>>Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>>
>>> Jeg må lige moderere mig selv lidt. Hvis hostfilen blokerer adgang til
>>> "gode" sider, kan det forhindre opdatering af forskellige programmer, og
>>> dermed får brugeren måske ikke lukket et sikkerhedshul.
>>
>> Det skulle så være sådan noget som Sun's Java?
>
>Og andre programmer, der automatisk henter opdateringer. Fx også Firefox
>og Thunderbird, diverse antivirusprogrammer osv. Man får selvfølgelig
>heller ikke lov at hente manuelt, men så finder man jo trods alt ud af,
>at man har et problem.

OK. Men det skulle en HOSTS fil fra mvps.org ikke gøre.

>>> Nogle malware-programmer ændrer netop hostfilen for at forhindre adgang
>>> til programmer, der kan stoppe malwaren.
>>
>> Ja. Men jeg skulle logge på som Administrator i XP for at få lov til at
>> erstatte HOSTS filen.
>
>De fleste brugere kører automatisk som administrator i XP, så der får
>malwaren lov at ændre uden problemer.

Tsk. Tsk.

Ukendt (27-08-2007)
Kommentar
Fra : Ukendt


Dato : 27-08-07 13:43

> Jeg må lige moderere mig selv lidt. Hvis hostfilen blokerer adgang til
> "gode" sider, kan det forhindre opdatering af forskellige programmer, og
> dermed får brugeren måske ikke lukket et sikkerhedshul.

Vil de fleste programmer ikke typisk give brugeren besked, hvis ikke de kan
tilgå de nødvendige update-services? Og problemet vil vel kun opstå hvis man
få en "dårlig" host-database (altså en database der indeholder "gode"
hosts)?

En anden ting er om ikke de "onde" finde ud af at connecte til en ip i
stedet for en host, hvis denne form for host-block bliver udbredt?

Med venlig hilsen

Rune.



Klaus Ellegaard (27-08-2007)
Kommentar
Fra : Klaus Ellegaard


Dato : 27-08-07 13:48

<Rune Nicolajsen> writes:

>En anden ting er om ikke de "onde" finde ud af at connecte til en ip i
>stedet for en host, hvis denne form for host-block bliver udbredt?

Det gør de allerede.

Fra dagens spam-bakke:

You need to take this offline, it is in everyones email. see for yourself...
<a href="htp://24.119.254.245/">htp://www.youtube.com/watch?v=nFt8EGNGRI3

Mvh.
   Klaus, der har fjernet et "t" i "http".

Ukendt (27-08-2007)
Kommentar
Fra : Ukendt


Dato : 27-08-07 14:03

>>En anden ting er om ikke de "onde" finde ud af at connecte til en ip i
>>stedet for en host, hvis denne form for host-block bliver udbredt?
>
> Det gør de allerede.

Så er host-block vel ikke særlig meget værd?

> Fra dagens spam-bakke:
>
> You need to take this offline, it is in everyones email. see for
> yourself...
> <a
> href="htp://24.119.254.245/">htp://www.youtube.com/watch?v=nFt8EGNGRI3

Kæft det er "smart" - brugeren tror de klikker på et youtube link og i
virkligheden hopper de ind på en server på en helt anden ipadresse...

Med venlig hilsen

Rune.



Klaus Ellegaard (27-08-2007)
Kommentar
Fra : Klaus Ellegaard


Dato : 27-08-07 14:10

<Rune Nicolajsen> writes:

>Så er host-block vel ikke særlig meget værd?

Nope.

Man ser også, at reklame-sites er begyndt at bruge hostnavne à la:
http://1234-5678-9012-3456-7890.statistikfirma.hest/.....

....hvor tallet opdateres hele tiden.

Ergo skal ens hosts-fil være mange gigabytes lang, før den er bare
nogenlunde effektiv. (Og så er web-surfing nok ikke særlig hurtigt
mere)

Det kan selvfølgelig klares ved at installere en DNS-server på den
lokale maskine/netværk, men selv det vil jo ikke hjælpe på brugen
af IP-adresser i URLs.

Alt i alt er der ikke nogen nemme "one size fits all"-løsninger
længere.

Mvh.
   Klaus.

Kent Friis (27-08-2007)
Kommentar
Fra : Kent Friis


Dato : 27-08-07 15:59

Den Mon, 27 Aug 2007 14:42:33 +0200 skrev <Rune Nicolajsen>:
>> Jeg må lige moderere mig selv lidt. Hvis hostfilen blokerer adgang til
>> "gode" sider, kan det forhindre opdatering af forskellige programmer, og
>> dermed får brugeren måske ikke lukket et sikkerhedshul.
>
> Vil de fleste programmer ikke typisk give brugeren besked, hvis ikke de kan
> tilgå de nødvendige update-services?

Forhåbentlig ikke, det vil da lynhurtigt blive irriterende med alle
de popups "Adobe Reader kan heller ikke connecte nu, ligesom den heller
ikke kunne da du sidst åbnede en PDF-fil for 25 sekunder siden. Fis
nu ud og invester i en internet-forbindelse... <OK>"

(Adobe Reader kun brugt som eksempel på et program der altid vil
hente opdateringer, og ikke har en "spørg ikke igen om 25 sekunder"
knap).

Mhv
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Allan Olesen (28-08-2007)
Kommentar
Fra : Allan Olesen


Dato : 28-08-07 17:18

Rune Nicolajsen wrote:
> Vil de fleste programmer ikke typisk give brugeren besked, hvis ikke de kan
> tilgå de nødvendige update-services?

Nu kan en hosts-fil ikke kun bruges til at blokere trafik. Det er
faktisk bare et "misbrug" af filens tiltænkte anvendelse.

Reelt bruges den til at sørge for, at trafik til en bestemt host
dirigeres til en bestemt ip-adresse.

Så i princippet kan en ondsindet hosts-fil omdirigere et programs
automatiske opdateringsfunktion, så opdateringerne hentes fra en fremmed
webserver. Så kan man gætte på, hvor venligtsindede disse opdateringer
vil være.

Vil man beskytte sig mod det, vil det være en god ide at kigge
hosts-filen igennem før installation. Den bør ikke indeholde andre
ip-adresser end 127.0.0.1.

(Derudover bør man vel undgå software, som foretager automatiske
opdateringer uden en eller anden form for digital signatur på
opdateringsfilerne, men den diskussion hører nok ikke hjemme i denne tråd.)

--
Allan Olesen

Axel Hammerschmidt (25-08-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 25-08-07 14:45

Michael Rasmussen <michael@invalid> wrote:

> On 25 Aug 2007 11:20:09 GMT, Axel Hammerschmidt <hlexa@hotmail.com>
> wrote:
>
> >Er der i øvrigt nogen bagside til metoden - en ny angrebsvektor, som man
> >åbner ved at benytte sådan en hostsfil?
> >
> >Umiddelbart syntes jeg metoden virker meget fornuftig.
>
> Største ulempe er vel at hosts filen skal gennemlæses ved hvert eneste
> dns-opslag. Er hostfilen meget stor vil det gøre computeren, eller
> rettere internet surf, langsom som bare pokker...

Der er en opskrift på mvps.org netop om det, noget med at sætte
tjenesten DNS Client til manuel eller disabled i W2K/XP.

Det har jeg så gjort.

Det virker i øvrigt som man med en langsom/forbrugsafregnet forbindelse
sparer en del tid/penge når DNS opslagene udføres lokalt. Jeg syntes
selv siderne loader hurtigere.

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste