---

Dato: 16-05-2004 Klokkeslæt: 19:44:37
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.85.33,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.85.33,5000)
Fjernadresse, tjeneste er (62.83.20.42,4614)
Procesnavn er "N/A"

Dato: 16-05-2004 Klokkeslæt: 19:44:53
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.85.33,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.85.33,5000)
Fjernadresse, tjeneste er (62.79.39.235,netshow(1755))
Procesnavn er "N/A"

Dato: 16-05-2004 Klokkeslæt: 19:47:34
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.85.33,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.85.33,5000)
Fjernadresse, tjeneste er (62.226.106.88,4441)
Procesnavn er "N/A"

Dato: 16-05-2004 Klokkeslæt: 19:49:58
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.85.33,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.85.33,5000)
Fjernadresse, tjeneste er (62.147.39.76,1186)
Procesnavn er "N/A"

Dato: 16-05-2004 Klokkeslæt: 19:50:23
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.85.33,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.85.33,5000)
Fjernadresse, tjeneste er (62.79.86.5,1428)
Procesnavn er "N/A"

Dato: 16-05-2004 Klokkeslæt: 19:59:47
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.29.176.247,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.86.111,5000)
Fjernadresse, tjeneste er (62.29.176.247,4370)
Procesnavn er "N/A"

Dato: 16-05-2004 Klokkeslæt: 20:00:02
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.47.50.143,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.86.111,5000)
Fjernadresse, tjeneste er (62.47.50.143,3039)
Procesnavn er "N/A"

Dato: 16-05-2004 Klokkeslæt: 20:00:05
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.134.74.173,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.86.111,5000)
Fjernadresse, tjeneste er (62.134.74.173,4458)
Procesnavn er "N/A"

Dato: 16-05-2004 Klokkeslæt: 20:00:38
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.147.83.101,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.86.111,5000)
Fjernadresse, tjeneste er (62.147.83.101,2636)
Procesnavn er "N/A"

Dato: 16-05-2004 Klokkeslæt: 20:13:50
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.39.235,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.87.171,5000)
Fjernadresse, tjeneste er (62.79.39.235,4608)
Procesnavn er "N/A"

Dato: 16-05-2004 Klokkeslæt: 20:21:09
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.85.4,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.87.171,5000)
Fjernadresse, tjeneste er (62.79.85.4,2283)
Procesnavn er "N/A"

Dato: 16-05-2004 Klokkeslæt: 20:21:39
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.74.237,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.87.171,5000)
Fjernadresse, tjeneste er (62.79.74.237,1288)
Procesnavn er "N/A"

Dato: 16-05-2004 Klokkeslæt: 20:24:15
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.86.5,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.87.171,5000)
Fjernadresse, tjeneste er (62.79.86.5,3641)
Procesnavn er "N/A"

Dato: 17-05-2004 Klokkeslæt: 09:11:08
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.219.69.76,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.85.147,5000)
Fjernadresse, tjeneste er (62.219.69.76,3950)
Procesnavn er "N/A"

Dato: 17-05-2004 Klokkeslæt: 09:12:42
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.85.199.108,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.85.147,5000)
Fjernadresse, tjeneste er (62.85.199.108,2956)
Procesnavn er "N/A"

Dato: 17-05-2004 Klokkeslæt: 15:18:31
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.87.134.45,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.86.106,5000)
Fjernadresse, tjeneste er (62.87.134.45,2063)
Procesnavn er "N/A"

Dato: 17-05-2004 Klokkeslæt: 17:47:13
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.167.114.8,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.85.141,5000)
Fjernadresse, tjeneste er (62.167.114.8,3164)
Procesnavn er "N/A"

Dato: 17-05-2004 Klokkeslæt: 22:45:03
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.39.236.89,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.85.230,5000)
Fjernadresse, tjeneste er (62.39.236.89,3359)
Procesnavn er "N/A"

Dato: 17-05-2004 Klokkeslæt: 22:47:38
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.69.200,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.85.230,5000)
Fjernadresse, tjeneste er (62.79.69.200,2850)
Procesnavn er "N/A"

Dato: 17-05-2004 Klokkeslæt: 23:10:43
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.175.14.200,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.86.126,5000)
Fjernadresse, tjeneste er (62.175.14.200,3207)
Procesnavn er "N/A"

Dato: 17-05-2004 Klokkeslæt: 23:11:20
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.83.101.145,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.86.126,5000)
Fjernadresse, tjeneste er (62.83.101.145,3674)
Procesnavn er "N/A"

Dato: 17-05-2004 Klokkeslæt: 23:12:41
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.47.189.133,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.86.126,5000)
Fjernadresse, tjeneste er (62.47.189.133,1703)
Procesnavn er "N/A"

Dato: 17-05-2004 Klokkeslæt: 23:12:48
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.135.40.92,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.86.126,5000)
Fjernadresse, tjeneste er (62.135.40.92,1436)
Procesnavn er "N/A"

-

Kender nogen noget til disse fjern-computere ?


Med venlig hilsen
Mogens Kall
The servant of Michael

Last-Informationfile:
( use http://www.google.dk/grphp )
1662 news:sbX3c.108512$jf4.6509896@news000.worldonline.dk
2124 news:HzXpc.164474$jf4.8497342@news000.worldonline.dk

File-number:
2148

---

Kall, Mogens wrote:

[..]
>
> Kender nogen noget til disse fjern-computere ?

   http://sikkerhed-faq.dk/indledning#bedste

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Alex Holst" skrev
news:40a939bd$0$161$edfadb0f@dtext02.news.tele.dk

[ ... ]
> > Kender nogen noget til disse fjern-computere ?
>
> http://sikkerhed-faq.dk/indledning#bedste

Arh ... du misforstod mig.

Det, jeg ønsker, er at kontakte ejermændene af disse fjerncomputere mhp., at
de får lukket hullerne. Endvidere - om muligt - at tyvene pågribes!!!


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2150

---

Kall, Mogens wrote:
>
> [ ... ]
> > > Kender nogen noget til disse fjern-computere ?
>
> Det, jeg ønsker, er at kontakte ejermændene af disse fjerncomputere mhp., at
> de får lukket hullerne. Endvidere - om muligt - at tyvene pågribes!!!

Der er nok ikke den store chance for, at vi kender ejermændene af nogle
tilfældige computere spredt rundt omkring i verden. Jeg forstår
forøvrigt ikke, hvorfor du tror, at computerne skulle være stjålet, men
der er så meget jeg ikke forstår - for eksempel, hvorfor du bliver ved
med at bekymre dig om advarsler fra din firewall.

Men hvis du keder dig så meget, at du vil gøre noget ved sagerne, skal
du kontakte de enkelte computeres ejermænd - eller rettere ejermændenes
internetudbydere, der så evt. vil kontakte ejermændene. Du har vist
tidligere fået at vide hvordan, men her kommer det igen:

Tag ip-nummeret ud for Fjernadresse, det er de fire første tal adskilt
af punktummer. Brug en whois-tjeneste som den du finder på
http://www.dnsstuff.com til at slå ip-nummeret op. Et eller andet sted
på den resulterende side kan du finde en oplysning i stil med følgende
(der er fra den første advarsel på din lange liste): "for net abuse
questions: abuse@auna.es". Du skriver så en mail til den pågældende
adresse, hvor du forklarer, hvad problemet er. Vedlæg advarslen fra din
firewall, og husk at notere, hvis din computers ur ikke går korrekt.
Forvent ikke at få svar fra den pågældende udbyders abuse-afdeling.

--
Mvh. Kim Ludvigsen

---

In article <40A9E0E8.58AB@kimludvigsen.dk>, Kim Ludvigsen wrote:
> Tag ip-nummeret ud for Fjernadresse, det er de fire første tal adskilt

Husk evt. lige at undersøge om IP adressen er spoofet. :)

Ellers anklager du den forkerte.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On Tue, 18 May 2004 10:40:59 +0000, Christian E. Lysel wrote:

> Husk evt. lige at undersøge om IP adressen er spoofet. :)

Hvordan skulle det kunne undersøges?

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

"Christian E. Lysel" skrev
news:slrncajq1r.h2.chel@weebo.dmz.spindelnet.dk

> In article <40A9E0E8.58AB@kimludvigsen.dk>, Kim Ludvigsen wrote:
> > Tag ip-nummeret ud for Fjernadresse, det er de fire første tal adskilt
>
> Husk evt. lige at undersøge om IP adressen er spoofet. :)
>
> Ellers anklager du den forkerte.

Hvad vil det sige, at IP adressen er *spoofet* ?

(Serveren *infekseret* og bruges som terminal ?)


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2154

---

In article <hwvqc.164875$jf4.8585041@news000.worldonline.dk>, Kall, Mogens wrote:
>> Husk evt. lige at undersøge om IP adressen er spoofet. :)
>>
>> Ellers anklager du den forkerte.
>
> Hvad vil det sige, at IP adressen er *spoofet* ?

På Dansk

http://www.google.com/search?q=spoofet

På Engelsk (nok den bedste forklaring)

http://www.google.com/search?q=spoof+ip

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" skrev
news:slrncal2k6.alo.chel@weebo.dmz.spindelnet.dk

[ ... ]
> >> Husk evt. lige at undersøge om IP adressen er spoofet. :)
> >>
> >> Ellers anklager du den forkerte.
> >
> > Hvad vil det sige, at IP adressen er *spoofet* ?
>
> På Dansk
>
> http://www.google.com/search?q=spoofet
>
> På Engelsk (nok den bedste forklaring)
>
> http://www.google.com/search?q=spoof+ip

Jeg fandt ...

Name: Peter
Date: 7. maj 2004 CET 01:07
Subject: Hvad dækker "spoofet" over?
Newsgroups: dk.edb.sikkerhed
news:c7egbr$qlu$1@news.net.uni-c.dk

.... og de dertil knyttede indlæg.


Et af dem lyder således:

Name: Lars Kim Lund
Date: 7. maj 2004 CET 11:04
news:imjm90p8jjetc00e4n2f7uig1aldk8a4jv@dtext.news.tele.dk

=== citat start ===

Spoofing dækker generelt over forfalskning. Jeg kan bedst forklare det
med et traditionelt brev hvor adressen både kan stå på kuverten og
inde i brevet. Det der står i brevet kan være falsk, hvorimod det der
står på kuverten er rigtigt, for ellers når brevet ikke frem.

I e-mail regi gælder det samme forhold. Forskellen er blot at du ikke
kan se de oplysninger der står på kuverten da det udvekslen mellem
mail-serverne. Du ser kun oplysningerne inde i brevet, og eftersom de
ikke bruges til at levere posten så kan uden problemer forfalskes.

Hvis det stadig ikke står klart for dig, så prøv at søge på nettet
efter SMTP envelope headers og message headers.

=== citat slut ====


Glimrende forklaring

Jeg var også lige inde på siden ... http://www.net-faq.dk/faq.pl?get=spoof

Her stod der bl.a.

=== citat start ===

Spoofing er den praksis, at man sender pakker ud på netværket med en anden
afsender-addresse end ens egen.

=== citat slut ====

Men det gjalt jo E-mail.


I min situation er der tale om, at en fremmed computer systematisk laver en
LIVE *portscanning*.

Kan forfalskning også her muliggøres ?

Og i så fald, hvordan ?


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2162

---

In article <%_Mqc.84$Vf.4616@news000.worldonline.dk>, Kall, Mogens wrote:
> Spoofing er den praksis, at man sender pakker ud på netværket med en anden
> afsender-addresse end ens egen.
>
> Men det gjalt jo E-mail.

Nej, han mener nok en netværkspakke.

> Kan forfalskning også her muliggøres ?

Ja.

> Og i så fald, hvordan ?

Man skriver en IP pakke med en anden afsender
adresse.


Læs evt. en bog om IP eller RFC 791...

Det er tåbeligt at anklage folk, når man
ikke forstår sit "bevis" matriale.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Kall, Mogens wrote:
> Hvad vil det sige, at IP adressen er *spoofet* ?

Du ved godt, at vi har en OSS, ikke?

   http://sikkerhed-faq.dk/angreb/spoof

I oevrigt er afsnittet med beskrivelser af forskellige angreb langt fra
faerdigt, saa foel jer hermed kraftigt opfordret til at skrive om et
emne. Lige nu har jeg sat foelgende ind paa listen over ting, der
mangler beskrivelser:

   o DNS poisoning
   o Session hijacking
   o Trojanske heste

Der er naturligvis mange flere. Derudover er rettelser og forbedringer
til de eksisterende ogsaa meget velkomne.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

"Kim Ludvigsen" skrev
news:40A9E0E8.58AB@kimludvigsen.dk

> Kall, Mogens wrote:
> >
> > [ ... ]
> > > > Kender nogen noget til disse fjern-computere ?
> >
> > Det, jeg ønsker, er at kontakte ejermændene af disse fjerncomputere
> > mhp., at
> > de får lukket hullerne. Endvidere - om muligt - at tyvene pågribes!!!
>
> Der er nok ikke den store chance for, at vi kender ejermændene af nogle
> tilfældige computere spredt rundt omkring i verden. ...

I dag få, i morgen mange.

Ligesom i naturen, hvor vi har immunforsvaret (der dog ikke kender nye
varianter), *skal* vi have oprettet en forebyggelse af angreb på globalt
plan ved simpel isolering af "uheldige" elementer (se nedenfor).

> ... Jeg forstår
> forøvrigt ikke, hvorfor du tror, at computerne skulle være stjålet, men
> der er så meget jeg ikke forstår - ...

Arh, det var nu hackeren, som er indbrudstyven.

> ... for eksempel, hvorfor du bliver ved
> med at bekymre dig om advarsler fra din firewall.

Er du ansat i et anti-virus-firma ?

At din firewall virker i dag, er i sig selv INGEN garanti for at den virker
i morgen (et eksempel: Sasser, herefter oprettes bagdør).

> Men hvis du keder dig så meget, at du vil gøre noget ved sagerne, skal
> du kontakte de enkelte computeres ejermænd - eller rettere ejermændenes
> internetudbydere, der så evt. vil kontakte ejermændene.

Min tanke var nu (på længere sigt), at de servere internetudbyderen råder
over "kobles" af netten automatisk, dersom de ikke samarbejder med os
forbrugere på globalt plan.

Eksempelvis kunne min internet-udbyder ("hypotetisk" set) muligvis nægte
*al* kommunikation med de berørte servere ? - Kan det lade sig gøre, teknisk
set ?

> ... Du har vist
> tidligere fået at vide hvordan, men her kommer det igen:

Det må jeg have overhørt, desværre

> Tag ip-nummeret ud for Fjernadresse, det er de fire første tal adskilt
> af punktummer. Brug en whois-tjeneste som den du finder på
> http://www.dnsstuff.com til at slå ip-nummeret op. Et eller andet sted
> på den resulterende side kan du finde en oplysning i stil med følgende
> (der er fra den første advarsel på din lange liste): "for net abuse
> questions: abuse@auna.es". Du skriver så en mail til den pågældende
> adresse, hvor du forklarer, hvad problemet er. Vedlæg advarslen fra din
> firewall, og husk at notere, hvis din computers ur ikke går korrekt.
> Forvent ikke at få svar fra den pågældende udbyders abuse-afdeling.

Mange tak for hjælpen, Kim.




Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2153

---

Kall, Mogens <John@15.13> wrote:
> Ligesom i naturen, hvor vi har immunforsvaret (der dog ikke kender nye
> varianter), *skal* vi have oprettet en forebyggelse af angreb p? globalt
> plan ved simpel isolering af "uheldige" elementer (se nedenfor).

*plonk*

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst wrote:

>> Ligesom i naturen, hvor vi har immunforsvaret (der dog ikke
>> kender nye varianter), *skal* vi have oprettet en forebyggelse af
>> angreb p? globalt plan ved simpel isolering af "uheldige"
>> elementer (se nedenfor).
>
> *plonk*

Først nu?

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Bogus virus warnings are spam. Reject them using Postfix:
http://www.t29.dk/antiantivirus.txt

---

Kall, Mogens wrote:

> Ligesom i naturen, hvor vi har immunforsvaret (der dog ikke kender nye
> varianter), *skal* vi have oprettet en forebyggelse af angreb på globalt
> plan ved simpel isolering af "uheldige" elementer (se nedenfor).

I listen over dårlige metaforer, er det den værste jeg har hørt hidtil!
Men den var sgu meget sjov

>>... Jeg forstår
>>forøvrigt ikke, hvorfor du tror, at computerne skulle være stjålet, men
>>der er så meget jeg ikke forstår - ...
>
>
> Arh, det var nu hackeren, som er indbrudstyven.

Hvis der er registreret et "indbrud" som du kalder det i din fw-log, er
det fordi proben af porten er blevt opfanget og blokket!Altså ikke et
indbrud. Dine porte probes tusindvis af gange dagligt uden at du lægger
mærke til det, ell. er der til at panikke over en tilfældig log.

Ikke for at være grov, *men*:

At forveksle evnen til at gå i panik over en personlig firewall
log/meddelelse med evnen til at skelne ml. et "angrebsforsøg" og en reel
kompromittering er en typisk sikkerheds-novice fejl.

Succesfulde indbrud detekteres som regel *aldrig* af firewalls. Det er
bl.a. en af grundene til at flere af de kvalificerede folk herinde tit
råber "firewalls er ikke løsningen...".

Grunden til at folk kommer igennem og kompromitterer en given host er
*netop*, fordi de har fundet et hul i firewallen, ell. et hul i en
applikation der ligger bag en forwardet port.

Hvorfor vil du ikke tage OSS'ens afsnit om personlige firewalls til
efterretning?! Den er skrevet af folk, der *virkelig* ved, hvad de
snakker om...og formentlig har set millioner af fw-log linier.

>>... for eksempel, hvorfor du bliver ved
>>med at bekymre dig om advarsler fra din firewall.
>
>
> Er du ansat i et anti-virus-firma ?
>
> At din firewall virker i dag, er i sig selv INGEN garanti for at den virker
> i morgen (et eksempel: Sasser, herefter oprettes bagdør).

Hvis du virkelig vil gøre noget for din personlige computersikkerhed, så
gå igang med at læse nogen tekster om hærdning/minimering af
OS/services. Det er i længden et *lidt* mere frugtbar projekt. Du kan
bruge resten af dine dage på at læse fw-logs og sende abuse mails, uden
at din computer bliver meget sikrere af den grund...

>>Men hvis du keder dig så meget, at du vil gøre noget ved sagerne, skal
>>du kontakte de enkelte computeres ejermænd - eller rettere ejermændenes
>>internetudbydere, der så evt. vil kontakte ejermændene.
>
>
> Min tanke var nu (på længere sigt), at de servere internetudbyderen råder
> over "kobles" af netten automatisk, dersom de ikke samarbejder med os
> forbrugere på globalt plan.

Jeg tror nu ISP'erne har andet at lave, men de skal vel også have noget
at snakke om til julefrokosten...

> Eksempelvis kunne min internet-udbyder ("hypotetisk" set) muligvis nægte
> *al* kommunikation med de berørte servere ? - Kan det lade sig gøre, teknisk
> set ?

Hvorfor sætter du ikke selv et blokerende filter op i din
router/firewall/whatever, hvis du er så bekymret...?!

[snip]

> Med venlig hilsen
> Mogens Kall
> The servant of Michael
>
> File-number:
> 2153

Huh?

Mvh.
Michael

--
A typical day in the life of a UNIX user:
"unzip, touch, finger, strip, mount, yes, core dump, umount, sleep"
Mark Taylor.

---

"Kall, Mogens" <John@15.13> skrev i en meddelelse
news:dwvqc.164874$jf4.8584788@news000.worldonline.dk...

> > Der er nok ikke den store chance for, at vi kender ejermændene af nogle
> > tilfældige computere spredt rundt omkring i verden. ...
>
> I dag få, i morgen mange.
>
> Ligesom i naturen, hvor vi har immunforsvaret (der dog ikke kender nye
> varianter), *skal* vi have oprettet en forebyggelse af angreb på globalt
> plan ved simpel isolering af "uheldige" elementer (se nedenfor).

Hvor vil du hen med den omgang?

> > ... Jeg forstår
> > forøvrigt ikke, hvorfor du tror, at computerne skulle være stjålet, men
> > der er så meget jeg ikke forstår - ...
>
> Arh, det var nu hackeren, som er indbrudstyven.

Hvor er han brudt ind, det fremgår ikke af dit indlæg at nogen er brudt ind.

> > ... for eksempel, hvorfor du bliver ved
> > med at bekymre dig om advarsler fra din firewall.
>
> Er du ansat i et anti-virus-firma ?

Hvor vil du hen med det? Hvilken relevans er der mellem et spørgsmål til din
forståelse af firewalls, og så din formodning om at manden er ansat i et
antivirus firma?

> At din firewall virker i dag, er i sig selv INGEN garanti for at den
virker
> i morgen (et eksempel: Sasser, herefter oprettes bagdør).

Du vrøvler, sasser var ikke i stand til at omgå en firewall, faktisk ville
de fleste standardkonfigurerede routere have stoppet den.

Er du helt sikker på du ikke blander begreberne sammen? Det lyder som om du
har svært ved at skelne mellem firewalls og antivirus.

> > Men hvis du keder dig så meget, at du vil gøre noget ved sagerne, skal
> > du kontakte de enkelte computeres ejermænd - eller rettere ejermændenes
> > internetudbydere, der så evt. vil kontakte ejermændene.

Som flere har skrevet, så kan ud ikke være sikker på at det er den korrekte
ip du har i loggen.

Deruover kan det rent faktisk være helt lovlig trafik, der blot ved en
tastefejl er rettet mod dit ip-nr. istedet for det tiltænkte - du ved det
ikke


/Brian

---

"Brian R. Jensen" skrev
news:40aaf45f$0$260$edfadb0f@dread16.news.tele.dk

[ ... ]
> > At din firewall virker i dag, er i sig selv INGEN garanti for at den
> > virker
> > i morgen (et eksempel: Sasser, herefter oprettes bagdør).
>
> Du vrøvler, sasser var ikke i stand til at omgå en firewall, faktisk ville
> de fleste standardkonfigurerede routere have stoppet den.
>
> Er du helt sikker på du ikke blander begreberne sammen? Det lyder som om
> du har svært ved at skelne mellem firewalls og antivirus.

Du misforstod mig.

Mange computere blev inficseret med sasser. Når et maskinkode-program først
afvikles på en computer, er der INGEN begrænsninger for hvilke operationer,
der kan foretages. Man kan ændre eller slette filer på Harddiskene, inficere
MasterBootRecorden (ved mindre denne er skrivebeskyttet i BIOS-opsætningen)
eller BootRecorden osv. - eller oprette en bagdør (hvorved man går *udenom*
firewall'en).

Forebyggelse
--------------

For at *forebygge* dette, bør man have en Harddisk med skrivebeskyttede
zoner, således at Operativsystemet ALTID under opstart indlæser filerne fra
disse sikre zoner. Filer, som ændres undervejs af OS under programafvikling,
kan af gode grunde ikke ligge i denne sikre zone, men disses original-filer
kan godt. Dersom computeren ønskes *steriliseret* kan man under opstart
kopiere disse filer fra den sikrede zone til den læse- og skrivebare zone.
Nogle filer ændres ofte, mens andre ændres sjældent, hvorfor det er
relevant at have flere zoner, end blot de to nævnte.

Eksempelvis kunne en bruger ønske et nyt maskinkode-program installeret på
computeren. Dette program er godkendt officielt med sikkerhedskoder osv.,
men 100 % sikker kan man aldrig være. Derfor kan filer herfra ALDRIG komme
ind i den skrivebeskyttede zone, hvor udelukkende OS'ets læsefiler ligger.
Men filerne skal jo lagres og gerne herefter komme ind i en skrivebeskyttet
zone. Dette kan gøres ved en kold-boot + midlertidig reinstallering af
original-OS'et. Herved er der 100 % sikkerhed for, at computeren INDEN
programinstalleringen er uden infektion. Så kan det nye program installeres
i en dertil oprettet *ny* skrivebeskyttet zone.
På den måde vil der opstå et utal af mere eller mindre skrivebeskyttede
zoner på HD'en/ene.

Sikkerhedsregel: Når en zone først er skrivebeskyttet kan den ikke ændres,
undtagen af et rent (midlertidigt) OS.

For at muliggøre dette, skal der foretages nogle ændringer i Hardwaren, men
det må kunne lade sig gøre. Electric-eraseable-ROM kunne anvendes til at
huske de skrivebeskyttede zoner (BIOS-opsætningen). Et lille
maskinkodeprogram under BIOS kunne så tjekke, at der UDELUKKENDE foretages
*oprettelse* af nye skrivebeskyttede zoner (og altså ikke omvendt).

Med hensyn til OS. Hermed en lille udfordring til fx. Linux-nørder


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2157

---

On 2004-05-19, Kall, Mogens <John@15.13> wrote:
>
> Mange computere blev inficseret med sasser. Når et maskinkode-program først
> afvikles på en computer, er der INGEN begrænsninger for hvilke operationer,

Dette er ikke rigtigt, mange processorer har beskyttelsesmekanismer.

--
Andreas Plesner Jacobsen | A is for Apple.
|    -- Hester Pryne

---

"Andreas Plesner Jacobsen" skrev
news:slrncamiku.iv.apj@slartibartfast.nerd.dk

> On 2004-05-19, Kall, Mogens <John@15.13> wrote:
> >
> > Mange computere blev inficseret med sasser. Når et maskinkode-program
> > først afvikles på en computer, er der INGEN begrænsninger for hvilke
> > operationer,
>
> Dette er ikke rigtigt, mange processorer har beskyttelsesmekanismer.

Interessant og glædeligt at høre!

Kan du oplyse mig nærmere herom ?


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2159

---

Den Wed, 19 May 2004 16:36:36 +0200 skrev Kall, Mogens:
> "Andreas Plesner Jacobsen" skrev
> news:slrncamiku.iv.apj@slartibartfast.nerd.dk
>
>> On 2004-05-19, Kall, Mogens <John@15.13> wrote:
>> >
>> > Mange computere blev inficseret med sasser. Når et maskinkode-program
>> > først afvikles på en computer, er der INGEN begrænsninger for hvilke
>> > operationer,
>>
>> Dette er ikke rigtigt, mange processorer har beskyttelsesmekanismer.
>
> Interessant og glædeligt at høre!
>
> Kan du oplyse mig nærmere herom ?

Få fat i en manual til 80386 eller nyere, Motorola 68000 eller nyere,
eller tilsvarende processor fra efter Commodore 64 tiden.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
>
> Den Wed, 19 May 2004 16:36:36 +0200 skrev Kall, Mogens:
> > "Andreas Plesner Jacobsen" skrev
> > news:slrncamiku.iv.apj@slartibartfast.nerd.dk
> >
> >> On 2004-05-19, Kall, Mogens <John@15.13> wrote:
> >> >
> >> > Mange computere blev inficseret med sasser. Når et maskinkode-program
> >> > først afvikles på en computer, er der INGEN begrænsninger for hvilke
> >> > operationer,
> >>
> >> Dette er ikke rigtigt, mange processorer har beskyttelsesmekanismer.
> >
> > Interessant og glædeligt at høre!
> >
> > Kan du oplyse mig nærmere herom ?
>
> Få fat i en manual til 80386 eller nyere, Motorola 68000 eller nyere,
> eller tilsvarende processor fra efter Commodore 64 tiden.

Der var beskyttelse allerede i 80286. Designet i 80386
indeholder faktisk stadig spor efter det oprindelige
design, pga. bagudkompatibilitet. Og kønt er det ikke.
Med lidt statisk analyse af koden før den startes tror
jeg næsten man må kunne implementere noget der ligner
beskyttelse på selv en 8086.

Til gengæld troede jeg ikke der var rigtig beskyttelse
på en 68000. Det er da rigtigt nok, at der var nogen
priviligerede instruktioner. Men upriviligerede
programmer havde stadig mulighed for at skrive til
vilkårlig hukommelse. Skulle man ikke have minimum en
68020 og en mmu chip ved siden af?

Hvis man vil have nogle lidt mere uptodate uplysninger,
så vil jeg foreslå man kigger på:

http://www.x86-64.org/
http://developer.intel.com/

Hvis man er mere interesseret i teori end praksis, så
er Tanenbaums bøger et udmærket sted at starte.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

Den Wed, 19 May 2004 17:12:55 +0200 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Den Wed, 19 May 2004 16:36:36 +0200 skrev Kall, Mogens:
>> > "Andreas Plesner Jacobsen" skrev
>> > news:slrncamiku.iv.apj@slartibartfast.nerd.dk
>> >
>> >> On 2004-05-19, Kall, Mogens <John@15.13> wrote:
>> >> >
>> >> > Mange computere blev inficseret med sasser. Når et maskinkode-program
>> >> > først afvikles på en computer, er der INGEN begrænsninger for hvilke
>> >> > operationer,
>> >>
>> >> Dette er ikke rigtigt, mange processorer har beskyttelsesmekanismer.
>> >
>> > Interessant og glædeligt at høre!
>> >
>> > Kan du oplyse mig nærmere herom ?
>>
>> Få fat i en manual til 80386 eller nyere, Motorola 68000 eller nyere,
>> eller tilsvarende processor fra efter Commodore 64 tiden.
>
> Der var beskyttelse allerede i 80286. Designet i 80386
> indeholder faktisk stadig spor efter det oprindelige
> design, pga. bagudkompatibilitet. Og kønt er det ikke.
> Med lidt statisk analyse af koden før den startes tror
> jeg næsten man må kunne implementere noget der ligner
> beskyttelse på selv en 8086.

Min pointe var sådan set også bare at hvis han betragter det som en
nyhed, så er han meget langt bagud.

> Til gengæld troede jeg ikke der var rigtig beskyttelse
> på en 68000. Det er da rigtigt nok, at der var nogen
> priviligerede instruktioner. Men upriviligerede
> programmer havde stadig mulighed for at skrive til
> vilkårlig hukommelse. Skulle man ikke have minimum en
> 68020 og en mmu chip ved siden af?

Det har du nok ret i, jeg blandede lige 68000 og 68030 sammen.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
>
> Min pointe var sådan set også bare at hvis han betragter det som en
> nyhed, så er han meget langt bagud.

Kun omkring 15 år

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

"Kent Friis" skrev
news:40ab748b$0$3048$14726298@news.sunsite.dk

[ ... ]
> >> On 2004-05-19, Kall, Mogens <John@15.13> wrote:
> >> >
> >> > Mange computere blev inficseret med sasser. Når et maskinkode-program
> >> > først afvikles på en computer, er der INGEN begrænsninger for hvilke
> >> > operationer,
> >>
> >> Dette er ikke rigtigt, mange processorer har beskyttelsesmekanismer.
> >
> > Interessant og glædeligt at høre!
> >
> > Kan du oplyse mig nærmere herom ?
>
> Få fat i en manual til 80386 eller nyere, Motorola 68000 eller nyere,
> eller tilsvarende processor fra efter Commodore 64 tiden.

Jeg kan da med et forholdsvis simpelt maskinkodeprogram oprette, overskrive
og slette filer på fx. Windows 98


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2161

---

Kall, Mogens wrote:
> Jeg kan da med et forholdsvis simpelt maskinkodeprogram oprette, overskrive
> og slette filer på fx. Windows 98

Windows 98 har ingen sikkerhedsmodel.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

"Michael Knudsen" skrev
news:40abaa3e$0$3050$14726298@news.sunsite.dk

> Kall, Mogens wrote:
> > Jeg kan da med et forholdsvis simpelt maskinkodeprogram oprette,
> > overskrive
> > og slette filer på fx. Windows 98
>
> Windows 98 har ingen sikkerhedsmodel.

Det er korrekt.

I Windows 2000 og XP skal man så igennem en hel procedure af API-opkald,
førend man får tilladelse til dit og dat, men det er og bliver blot et
software-mæssigt problem, desværre

Dét, jeg taler om, er en gang for alle at løse problemet hardware-mæssigt



Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2168

---

"Kall, Mogens" wrote:
>
> Jeg kan da med et forholdsvis simpelt maskinkodeprogram oprette, overskrive
> og slette filer på fx. Windows 98

Det siger mere om Windows 98 end det siger om maskinen.
Havde man brugt Linux dengang ville det ikke have været
muligt. Det siges at file permissions i Linux blev
implementeret kort tid efter at Linus selv i December
1991 ved en fejltagelse var kommet til at prøve at
ringe op vha. en harddisk partition i stedet for sit
modem.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

Kall, Mogens <John@15.13> wrote:

> Med hensyn til OS. Hermed en lille udfordring til fx. Linux-n?rder

Med lidt god vilje kan FreeBSDs jail-environment godt tage sig ud for
at vaere det du soeger. Men hvem gider dog at spilde tid paa saadan en
loesning?

--
j.

---

"Jesper Louis Andersen" skrev
news:7cesn1-64u.ln1@miracle.mongers.org

> > Med hensyn til OS. Hermed en lille udfordring til fx. Linux-n?rder
>
> Med lidt god vilje kan FreeBSDs jail-environment godt tage sig ud for
> at vaere det du soeger. Men hvem gider dog at spilde tid paa saadan en
> loesning?

Aner ikke hvad det er

Men jeg vil gerne lære noget om det.

Linux er for nørdet, og det må ændres, så vi andre tungnemme også kan komme
med forhåbentlig gode idéer


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2186

---

"Kall, Mogens" <John@15.13> skrev i en meddelelse
news:HLHqc.12$Vf.796@news000.worldonline.dk...

> > Du vrøvler, sasser var ikke i stand til at omgå en firewall, faktisk
ville
> > de fleste standardkonfigurerede routere have stoppet den.
> >
> > Er du helt sikker på du ikke blander begreberne sammen? Det lyder som om
> > du har svært ved at skelne mellem firewalls og antivirus.
>
> Du misforstod mig.

Det tror jeg ikke, men det er muligt du skrev noget andet end du mente

> Mange computere blev inficseret med sasser. Når et maskinkode-program
først
> afvikles på en computer, er der INGEN begrænsninger for hvilke
operationer,
> der kan foretages. Man kan ændre eller slette filer på Harddiskene,
inficere
> MasterBootRecorden (ved mindre denne er skrivebeskyttet i
BIOS-opsætningen)
> eller BootRecorden osv. - eller oprette en bagdør (hvorved man går
*udenom*
> firewall'en).

Du skrev
<citat>
At din firewall virker i dag, er i sig selv INGEN garanti for at den virker
i morgen (et eksempel: Sasser, herefter oprettes bagdør).
</citat>

Og jeg gentager, selv en standard konfigureret router vil have stoppet den.
Selv en åben bagdør på din PC er uden effekt hvis den lytter på en port der
ikke er nattet i din fw/router.
Det er muligt din software"firewall" vil have problemer, men det ændre ikke
ved mit udsagn.

/Brian

---

"Brian R. Jensen" skrev
news:40ac523c$0$236$edfadb0f@dread16.news.tele.dk

[ ... ]
> > Du misforstod mig.
>
> Det tror jeg ikke, men det er muligt du skrev noget andet end du mente

Sikkert!

[ ... ]
> Du skrev
> <citat>
> At din firewall virker i dag, er i sig selv INGEN garanti for at den
> virker
> i morgen (et eksempel: Sasser, herefter oprettes bagdør).
> </citat>
>
> Og jeg gentager, selv en standard konfigureret router vil have stoppet
> den.

Sasser-ormen benyttede jeg blot for at anskueliggøre problemet. Når/dersom
angriberen først på den ene-eller-anden måde har fået adgang til din
computer og har haft held til at eksekvere en maskinkode, da vil angriberen
være i stand til at sætte både software-firewall'en ud af kraft og muligvis
omgås hardware-firewall'en (routeren) ved ganske simpelt at lave et opkald
ud-af-huset til angriberens såkaldte mellemled

Eksempelvis kunne jeg ... nej! Det må jeg hellere holde mund med.
(folk kunne jo få gode idéer).

> Selv en åben bagdør på din PC er uden effekt hvis den lytter på en port
> der ikke er nattet i din fw/router.
> Det er muligt din software"firewall" vil have problemer, men det ændre
> ikke ved mit udsagn.

(se ovenfor)


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2173

---

"Kall, Mogens" wrote:
>
> Sasser-ormen benyttede jeg blot for at anskueliggøre problemet. Når/dersom
> angriberen først på den ene-eller-anden måde har fået adgang til din
> computer og har haft held til at eksekvere en maskinkode,

Sasser slipper ind fordi der er en fejl i dit OS. Mere
præcist, så er det så vidt jeg har forstået i et library.
Det betyder at man udefra kan opnå kontrol over en af de
sårbare server processer.

På det sted havde det været muligt at stoppe ormen, så
den ikke kunne skade nogen filer på maskinen. Men man har
i sit design af systemet valgt at give disse processer
for mange privilegier.

Features i hardwaren til at beskytte dig hjælper kun,
hvis dit OS bruger dem rigtigt. Hardwaren har ikke bedre
viden om, hvad der skal beskyttes, end de oplysninger OS
giver.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" skrev
news:40ACB9BD.326D8C77@daimi.au.dk

> "Kall, Mogens" wrote:
> >
> > Sasser-ormen benyttede jeg blot for at anskueliggøre problemet.
> > Når/dersom
> > angriberen først på den ene-eller-anden måde har fået adgang til din
> > computer og har haft held til at eksekvere en maskinkode,
>
> Sasser slipper ind fordi der er en fejl i dit OS. Mere
> præcist, så er det så vidt jeg har forstået i et library.
> Det betyder at man udefra kan opnå kontrol over en af de
> sårbare server processer.
>
> På det sted havde det været muligt at stoppe ormen, så
> den ikke kunne skade nogen filer på maskinen. Men man har
> i sit design af systemet valgt at give disse processer
> for mange privilegier.

"Lidt" for mange beføjelser

Kan dette for øvrigt ændres ?

> Features i hardwaren til at beskytte dig hjælper kun,
> hvis dit OS bruger dem rigtigt. Hardwaren har ikke bedre
> viden om, hvad der skal beskyttes, end de oplysninger OS
> giver.

Der var en, der *plonk*-ede, blot fordi jeg sammenlignede problemstillingen
med et eksempel fra naturen. Men faktisk kan vi lære en hel del af naturen.
Den har jo immervæk eksisteret på hårde konkurrencebetingelser i mange år.

Der er - kort sagt - 2 måder at gribe problemet an på:

1.
At opnå immunitet.

2.
At holde sig isoleret.

Immuniteten opnår vi ved at holde os løbende opdateret med
anti-virusprogrammer osv.

Hardware-routere er for så vidt at holde sig isoleret.

Mit forslag er sådan set bare at udvide denne forsvarsstrategi til også at
omfatte *fysisk* skrive-beskyttelse af OS-filer (fx. kernel32.dll), som jo
alligevel ALDRIG bliver ændret. Herved har man en 100% garanti for, at ingen
fremmed-programmer har infekseret dem.

Jeg håber Linux-nørderne hopper med på idéen


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2189

---

"Kall, Mogens" wrote:
>
> "Kasper Dupont" skrev
> news:40ACB9BD.326D8C77@daimi.au.dk
>
> > På det sted havde det været muligt at stoppe ormen, så
> > den ikke kunne skade nogen filer på maskinen. Men man har
> > i sit design af systemet valgt at give disse processer
> > for mange privilegier.
>
> "Lidt" for mange beføjelser
>
> Kan dette for øvrigt ændres ?

På Linux og BSD er der nogen distributioner, som gør
en stor indsats for at begrænse services rettigheder.
Jeg har ikke hørt om tilsvarende tiltag til at
forbedre Windows.

Men da de fleste af disse services er overflødige er
en nemmere og mere sikker løsning at bare slå dem fra.
(Ikke nemt, bare nemmere end at ændre på, hvilke
rettigheder servicen har.)

>
> 1.
> At opnå immunitet.

Det opnås kun med fejlfri kode. Det er ikke realistisk.
Det næstbedste er at rette fejl så snart de bliver
opdaget.

At sammenligne med imunforsvaret beskytter sig på er
helt hen i vejret. Imunforsvaret er langt fra fejlfrit.
Der findes både falske positiver og falske negativer.

>
> 2.
> At holde sig isoleret.

Den løsning bliver tit foreslået.

>
> Immuniteten opnår vi ved at holde os løbende opdateret med
> anti-virusprogrammer osv.

Nej, glem antivirusprogrammet og hold dit OS opdateret
i stedet for.

>
> Hardware-routere er for så vidt at holde sig isoleret.

Nej. Der skal mere til at holde sig isoleret. Du kan
f.eks. trække netkablet ud.

>
> Mit forslag er sådan set bare at udvide denne forsvarsstrategi til også at
> omfatte *fysisk* skrive-beskyttelse af OS-filer (fx. kernel32.dll), som jo
> alligevel ALDRIG bliver ændret.

Den skal da udskiftes hver gang, der bliver fundet en
fejl i den.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

"Kall, Mogens" <John@15.13> skrev i en meddelelse
news:_%0rc.509$Vf.13540@news000.worldonline.dk...
> > Du skrev
> > <citat>
> > At din firewall virker i dag, er i sig selv INGEN garanti for at den
> > virker
> > i morgen (et eksempel: Sasser, herefter oprettes bagdør).
> > </citat>
> >
> > Og jeg gentager, selv en standard konfigureret router vil have stoppet
> > den.
>
> Sasser-ormen benyttede jeg blot for at anskueliggøre problemet. Når/dersom

Hmm, så var det et meget dårligt eksempel, jeg forstor ihvertfald ikke hvad
du ville anskueliggøre.

> angriberen først på den ene-eller-anden måde har fået adgang til din
> computer og har haft held til at eksekvere en maskinkode, da vil
angriberen
> være i stand til at sætte både software-firewall'en ud af kraft og
muligvis
> omgås hardware-firewall'en (routeren) ved ganske simpelt at lave et opkald
> ud-af-huset til angriberens såkaldte mellemled

Det er der jo sådan set ikke meget nyt i, bortset fra at lige netop dit valg
af eksempel ikke virker på den måde, men det er en kendt sag at personlige
firewalls er trivielle at omgåes ved eksempelvis at kommunikere via Internet
Explorer eller andre godkendt programmer.

Men det er egentlig noget langt fra det indlæg jeg kommenterede oprindeligt,
sandsynligvis fordi du mener noget andet end det du skriver - og jeg kan kun
kommentere på det du skriver.

Jeg stopper denne del af tråden her, vi diskutere åbenbart ikke det samme.

/Brian

---

"Kall, Mogens" wrote:
>
> For at muliggøre dette, skal der foretages nogle ændringer i Hardwaren, men
> det må kunne lade sig gøre. Electric-eraseable-ROM kunne anvendes til at
> huske de skrivebeskyttede zoner (BIOS-opsætningen). Et lille
> maskinkodeprogram under BIOS kunne så tjekke, at der UDELUKKENDE foretages
> *oprettelse* af nye skrivebeskyttede zoner (og altså ikke omvendt).

Når først OS er startet har BIOS intet at skulle have
sagt mere. Alt hvad din BIOS kan gøre kan OS også gøre.

En mulig beskyttelse kunne fungere ved at have et
register på bundkortet, der kun kan nulstilles ved en
koldstart, og som kan sættes af BIOS inden kontrollen
overgives til OS.

Men en beskyttelse af harddisk på sektorniveau er ikke
realistisk. For det første ville det kræve store
ændringer af protokollen som disk og controller
kommunikerer med, med deraf følgende inkompatibilitet
og nye fejl (sikkerhedshuller).

Desuden ville det for de fleste filsystemer ikke være
praktisk. Man kunne måske beskytte de sektorer hvor en
given fil ligger, men så ændrer jeg bare i en
directory indgang eller FAT tabellen, så filen i stedet
bliver indlæst fra nogle andre sektorer.

En mere realistisk løsning (udfra hvad jeg har hørt,
jeg kender ikke til alle bits i IDE og SCSI protokollerne),
ville være en SCSI harddisk hvor skrivelinien til kablet
kunne afbrydes. Den mulighed eksisterer kun med SCSI,
det kan ikke lade sig gøre med IDE, fordi det fungerer
anderledes.

Så kunne man have en lille SCSI harddisk til sit OS, og
en større IDE harddisk til programmer og data. Så kunne
BIOS vha. et register på bundkortet slå skrivebeskyttelsen
til, som så kun kan slås fra ved en koldstart. BIOS skal
selvfølgelig give en mulighed for at boote uden at slå
skrivebeskyttelsen til.

Personligt ville jeg nok foretrække at skrivebeskyttelsen
blev styret med en kontakt.

Men du kan jo prøve at overbevise nogen motherboard-
producenter om, at det skulle laves. Jeg tror ikke, der er
et marked. Jeg ved heller ikke, hvordan man skulle få
sådan en maskine til at køre Windows, men jeg burde kunne
få Linux til at fungere.

>
> Med hensyn til OS. Hermed en lille udfordring til fx. Linux-nørder

Der er sådanset allerede lavet noget lidt hen i den
retning, som dog fungerer uden ændringer i hardwaren:

http://www.nsa.gov/selinux/index.cfm

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" skrev
news:40ACBE51.1927086C@daimi.au.dk

> "Kall, Mogens" wrote:
> >
> > For at muliggøre dette, skal der foretages nogle ændringer i Hardwaren,
> > men
> > det må kunne lade sig gøre. Electric-eraseable-ROM kunne anvendes til at
> > huske de skrivebeskyttede zoner (BIOS-opsætningen). Et lille
> > maskinkodeprogram under BIOS kunne så tjekke, at der UDELUKKENDE
> > foretages
> > *oprettelse* af nye skrivebeskyttede zoner (og altså ikke omvendt).
>
> Når først OS er startet har BIOS intet at skulle have
> sagt mere. Alt hvad din BIOS kan gøre kan OS også gøre.

Arh, du misforstår mig.
(jeg er desværre ikke så god til at forklare mig)

Vi har et *rent* OperativSystem.

Vi har ændret "lidt" i organiseringen mht. hvor filerne lægges på
HardDisken.

Og nu vil vi gerne beskytte, så meget af OS'et som overhovedet mulig.

Fordi vi kan sige *Okay* til systemets renhed, oprette fx. en fil (på HD
eller A-drev) med informationer om, hvilke HD-zoner, der skal
skrivebeskyttes. Og så Booter vi.

Under opstart omdirigerer vi programmet, fx. ligesom under BIOS-setup.

En valgmulighed her kunne så være, at denne fil indlæses, hvorefter HD'en
fremover er skrivebeskyttet i disse zoner, akkurart som MasterBootRecord
virus-protection. Filerne kan herefter aldrig úmiddelbart ændres af et
software-program (kun i BIOS-setup fx. kan genåbning foretages).

Herefter kører OS fuldstændig ligesom alle andre tidligere udgaver

-

Et nyt program (1) skal indlæses og dette ønskes ligeledes skrivebeskyttet!

Vi gentager proceduren som ovenfor beskrevet, men ... under BIOS-setup kan
vi *ikke* umiddelbart genåbne de allerede beskyttede zoner på HD'en.

Hvorfor ikke ?

Fordi vi måske ikke et 100% sikre på, at det nye program nu også et rent!

Derfor oprettes der blot en ny beskyttet zone til dette programs filer.

-

Faktisk fungerer dette system akkurart på samme måde, som når vi i et
laboratorium opretter sterile zoner.

-

Næste program (2) skal indlæses ... osv.

For at undgå eventuel *smittespredning* fra program (1) indlæses dette IKKE
under boot.

Men ellers foregår alting på samme måde.

-

Ligeledes med program (3) ... osv.

-

Under normal program-afvikling kan et nyt program altid afprøves - UDEN at
den kommer under beskyttelsesproceduren, akkurart for det normalt foregår på
computeren.

Sidenhen kan man så vælge at beskytte programmet.

**************************************

Det var blot et forslag

**************************************

> En mulig beskyttelse kunne fungere ved at have et
> register på bundkortet, der kun kan nulstilles ved en
> koldstart, og som kan sættes af BIOS inden kontrollen
> overgives til OS.

Jeg har tabt tråden

Hvad skulle dette register foretage ?

HardDisk-kontrol ?

> Men en beskyttelse af harddisk på sektorniveau er ikke
> realistisk. ...

Nej - det er for omfattende.

Jeg vil foreslå 10-20 MByte af gangen.

På en ældre HD giver det ca. 1000 enheder.

> ... For det første ville det kræve store
> ændringer af protokollen som disk og controller
> kommunikerer med, med deraf følgende inkompatibilitet
> og nye fejl (sikkerhedshuller).

Her må jeg melde pas (det har jeg ikke forstand på).

> Desuden ville det for de fleste filsystemer ikke være
> praktisk. Man kunne måske beskytte de sektorer hvor en
> given fil ligger, men så ændrer jeg bare i en
> directory indgang eller FAT tabellen, så filen i stedet
> bliver indlæst fra nogle andre sektorer.
>
> En mere realistisk løsning (udfra hvad jeg har hørt,
> jeg kender ikke til alle bits i IDE og SCSI protokollerne),
> ville være en SCSI harddisk hvor skrivelinien til kablet
> kunne afbrydes. ...

Men ville du så her have en on/off swiths, der tænder og slukker alt efter,
hvor der læses/skrives på Scasi-HD'en ?

> ... Den mulighed eksisterer kun med SCSI,
> det kan ikke lade sig gøre med IDE, fordi det fungerer
> anderledes.

Men MBR-området kan jo godt beskyttes, så teknisk set må det da kunne lade
sig gøre.

> Så kunne man have en lille SCSI harddisk til sit OS, og
> en større IDE harddisk til programmer og data. ...



> ... Så kunne
> BIOS vha. et register på bundkortet slå skrivebeskyttelsen
> til, ...

.... under opstart formoder jeg

> ...som så kun kan slås fra ved en koldstart. BIOS skal
> selvfølgelig give en mulighed for at boote uden at slå
> skrivebeskyttelsen til.
>
> Personligt ville jeg nok foretrække at skrivebeskyttelsen
> blev styret med en kontakt.

Med nøgle

> Men du kan jo prøve at overbevise nogen motherboard-
> producenter om, at det skulle laves. Jeg tror ikke, der er
> et marked. Jeg ved heller ikke, hvordan man skulle få
> sådan en maskine til at køre Windows, ...

Det bliver deres problem

> ... men jeg burde kunne
> få Linux til at fungere.

Det lyder RIGTIG spændende!!!

> > Med hensyn til OS. Hermed en lille udfordring til fx. Linux-nørder
>
> Der er sådanset allerede lavet noget lidt hen i den
> retning, som dog fungerer uden ændringer i hardwaren:
>
> http://www.nsa.gov/selinux/index.cfm

Det må jeg jo så sætte mig ind i

Tak for hjælpen


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2190

---

On Tue, 18 May 2004 23:47:53 +0200, "Kall, Mogens" <John@15.13>
wrote:

> Eksempelvis kunne min internet-udbyder ("hypotetisk" set)
> muligvis nægte *al* kommunikation med de berørte servere ?
> - Kan det lade sig gøre, teknisk set ?

Ja.

-A

---

Asbjorn Hojmark wrote:
>
> On Tue, 18 May 2004 23:47:53 +0200, "Kall, Mogens" <John@15.13>
> wrote:
>
> > Eksempelvis kunne min internet-udbyder ("hypotetisk" set)
> > muligvis nægte *al* kommunikation med de berørte servere ?
> > - Kan det lade sig gøre, teknisk set ?
>
> Ja.

Men Mogens kan opnå den samme effekt - endda meget hurtigere og uden en
masse skriverier - ved at trække netstikket ud af computeren. Og så
ville vi andre stadig have vores internet.

--
Mvh. Kim Ludvigsen

---

On Wed, 19 May 2004 08:54:09 +0200, Kim Ludvigsen
<usenet@kimludvigsen.dk> wrote:

>>> Eksempelvis kunne min internet-udbyder ("hypotetisk" set)
>>> muligvis nægte *al* kommunikation med de berørte servere ?
>>> - Kan det lade sig gøre, teknisk set ?

>> Ja.

> Men Mogens kan opnå den samme effekt - endda meget hurtigere
> og uden en masse skriverier - ved at trække netstikket ud af
> computeren.

Ja, i tilfældet Mogens var det nok ikke det værste, han kunne
gøre, men det var ikke det der var spørgsmålet, og det var ikke
det, jeg svarede på.

-A

---

"Asbjorn Hojmark" skrev
news:95vla05b1mc7remmdb4nlcc1ujg7j22tja@news.sunsite.dk

> On Tue, 18 May 2004 23:47:53 +0200, "Kall, Mogens" <John@15.13>
> wrote:
>
> > Eksempelvis kunne min internet-udbyder ("hypotetisk" set)
> > muligvis nægte *al* kommunikation med de berørte servere ?
> > - Kan det lade sig gøre, teknisk set ?
>
> Ja.

Glæder mig at høre


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2156

---

Kall, Mogens <mogenskall@ikke.til.raadighed.dk> wrote:
> Det, jeg ?nsker, er at kontakte ejerm?ndene af disse fjerncomputere mhp., at
> de f?r lukket hullerne. Endvidere - om muligt - at tyvene p?gribes!!!

Ah. Laes disse, saa:

http://sikkerhed-faq.dk/hjemme_net#fwinstall

http://sikkerhed-faq.dk/hjemme_net#fwbesked

http://sikkerhed-faq.dk/hjemme_net#reaktion

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

---

In article <Pine.GSO.4.50.0405181508380.13579-100000@fire2.cs.auc.dk>, Michael Knudsen wrote:
> Maaske var det Christians pointe.

Ja

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On Mon, 17 May 2004 23:49:52 +0200, Kall, Mogens wrote:
> Kender nogen noget til disse fjern-computere ?
>
>
> Med venlig hilsen
> Mogens Kall
> The servant of Michael
>
> Last-Informationfile:
> ( use http://www.google.dk/grphp )
> 1662 news:sbX3c.108512$jf4.6509896@news000.worldonline.dk
> 2124 news:HzXpc.164474$jf4.8497342@news000.worldonline.dk
>
> File-number:
> 2148

*plonk* Du er vist ude af stand til at forstå noget som helst.

Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel routere.

---

---

"Michael Knudsen" skrev
news:Pine.GSO.4.50.0405192007050.3396-100000@fire2.cs.auc.dk

[ ... ]
> > Kan forfalskning også her muliggøres ?
>
> Ja.
>
> > Og i så fald, hvordan ?
>
> Der er to maader.
>
> 1. Scan paa traditionel vis, men send samtidig en masse pakker
> med forfalsket afsender. Modtageren kan ikke vide, hvilken der
> er den `aegte' scanner, eller om der i i det hele taget er tale
> om en portscanning. Det kan lige saa vel vaere mange, legale
> tilslutningsforsoeg.
>
> 2. Passiv/idle scan:
>
> http://www.insecure.org/nmap/idlescan.html

Nåh - det må jeg jo så lige sætte mig ind i

(øv - den er på engelsk, det forstår jeg ikke)


Tak, Michael.

Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2165

---

"Michael Knudsen" skrev
news:Pine.GSO.4.50.0405192007050.3396-100000@fire2.cs.auc.dk

[ ... ]
> > Kan forfalskning også her muliggøres ?
>
> Ja.
>
> > Og i så fald, hvordan ?
>
> Der er to maader.
>
> 1. Scan paa traditionel vis, men send samtidig en masse pakker
> med forfalsket afsender. Modtageren kan ikke vide, hvilken der
> er den `aegte' scanner, eller om der i i det hele taget er tale
> om en portscanning. Det kan lige saa vel vaere mange, legale
> tilslutningsforsoeg.
>
> 2. Passiv/idle scan:
>
> http://www.insecure.org/nmap/idlescan.html

Nu har jeg læst lidt og forsøgt at forstå noget heraf
(mit engelsk er MEGET dårligt)

1.
Angriberen angriber først et forsvarsløst mellemled (Zombie).

2.
Zombie'ns IP-adresse benyttes herefter i angrebet.
(og det er denne IP-adresse, jeg registrerer)

3.
Angriberen indhenter oplysningerne herefter fra Zombie'n


Korrekt forstået ?


Hvis svaret herpå er *JA*, da kan man roligt klage over denne IP-adresse til
dets Internet-udbyder; idet
computeren jo benyttes af angriberen.

Internet-udbyderen til Zombie'n kan muligvis *spore* angriberens IP-adresse
via "korrespondancen" mellem angriberen og Zombie'n med henblik på
erstatningskrav!

Hvis jeg var Internet-udbyder ville jeg registrere "korrespondancerne",
således at jeg altid sidenhen kan efterspore *uønskede* elementer!!!

(man kan muligvis tjene MANGE penge på dette)


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2167

---

---

Michael Knudsen wrote:
>
> On Wed, 19 May 2004, Kasper Dupont wrote:
> > Det siges at file permissions i Linux blev
> > implementeret kort tid efter at Linus selv i December
> > 1991 ved en fejltagelse var kommet til at prøve at
> > ringe op vha. en harddisk partition i stedet for sit
> > modem.
>
> Der kan man tale om at laere paa den haarde maade. :)

Ja, det var et hel det var Minix der blev slettet og
ikke Linux.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

"Kall, Mogens" skrev
news:6saqc.164635$jf4.8542374@news000.worldonline.dk

[ ... ]
Hermed tillader jeg mig at offentliggøre yderligere hack'ning, således at
efterforskere i IT-kriminalitet har mulighed for at opsnappe mistænksomme
IP-adresser:

(for en god ordens skyld skal jeg oplyse, at jeg har blokeret så godt som
SAMTLIGE programmer på min computer med Internet-opkald. I samtlige
hacker-tilfælde er der tale om LIVE *portscanning*, hvorfor der IKKE kan
være tale om en såkaldt IP-adressefejl. Tidsintervallerne afslører
endvidere, at der er tale om et systematisk angreb)

(mit computer afviger med blot +/- nogle sekunder)

Dato: 18-05-2004 Klokkeslæt: 11:34:42
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.177.77.197,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.89.142,5000)
Fjernadresse, tjeneste er (62.177.77.197,1250)
Procesnavn er "N/A"

Dato: 18-05-2004 Klokkeslæt: 22:43:32
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.152.112,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.85.76,5000)
Fjernadresse, tjeneste er (62.79.152.112,3762)
Procesnavn er "N/A"

Dato: 18-05-2004 Klokkeslæt: 22:50:48
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.25.173,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.85.76,5000)
Fjernadresse, tjeneste er (62.79.25.173,1990)
Procesnavn er "N/A"

Dato: 18-05-2004 Klokkeslæt: 23:46:51
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.197.82.11,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.87.249,5000)
Fjernadresse, tjeneste er (62.197.82.11,4591)
Procesnavn er "N/A"

Dato: 18-05-2004 Klokkeslæt: 23:53:20
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.245.161.94,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.87.249,5000)
Fjernadresse, tjeneste er (62.245.161.94,2880)
Procesnavn er "N/A"

Dato: 19-05-2004 Klokkeslæt: 00:02:08
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.70.194,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.87.249,5000)
Fjernadresse, tjeneste er (62.79.70.194,3829)
Procesnavn er "N/A"

Dato: 19-05-2004 Klokkeslæt: 00:04:14
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.216.16.236,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.87.249,5000)
Fjernadresse, tjeneste er (62.216.16.236,1505)
Procesnavn er "N/A"

Dato: 19-05-2004 Klokkeslæt: 00:09:50
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.79.39.235,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.87.249,5000)
Fjernadresse, tjeneste er (62.79.39.235,1424)
Procesnavn er "N/A"

Dato: 19-05-2004 Klokkeslæt: 00:10:09
Regel "Bloker som standard Sokets de Trois v1. Trojan" blokeret
(62.57.84.250,5000). Detaljer:
Indkommende TCP-forbindelse
Lokal adresse, tjeneste er (62.79.87.249,5000)
Fjernadresse, tjeneste er (62.57.84.250,3253)
Procesnavn er "N/A"


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2164

---

"Kall, Mogens" skrev
news:RKOqc.114$Vf.7896@news000.worldonline.dk

[ ... ]

Shall we set on the "program", DAD ?

Date: 3. januar 2004 CET 16:56 (Winter-time)
Subject: Re: Evangelist Kristi
1125 news:GEBJb.66385$jf4.4258298@news000.worldonline.dk

DADDY-Break:
(2004-05-19, CET 21:47:1x)
- "Ja, gør det bare."



INT Ap.G. (Act) 13,11 "program" ON.


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2166

---

Kall, Mogens wrote:
>
> "Kall, Mogens" skrev
>
> [ ... ]
> Hermed tillader jeg mig at offentliggøre yderligere hack'ning, således at
> efterforskere i IT-kriminalitet har mulighed for at opsnappe mistænksomme
> IP-adresser:

Jeg tror ikke, efterforskere i it-kriminalitet holder til her. Og hvis
de gør, så er de nok totalt ligeglade med din firewalls advarsler. Der
er flere af eksperterne i denne gruppe, der har plonket dig. Prøv og
tænk hårdt - og gerne længe - over hvorfor.

> (for en god ordens skyld skal jeg oplyse, at jeg har blokeret så godt som
> SAMTLIGE programmer på min computer med Internet-opkald. I samtlige
> hacker-tilfælde er der tale om LIVE *portscanning*, hvorfor der IKKE kan
> være tale om en såkaldt IP-adressefejl. Tidsintervallerne afslører
> endvidere, at der er tale om et systematisk angreb)

Systematiske angreb fra forskellige adresser, det er nogle skrappe
hackere, der er ude efter dig. Sagt på en anden måde:

Kære Mogens
Læs denne gruppes udmærkede OSS, ikke mindst afsnittene om personlige
firewalls. Du har fået links til de relevante afsnit flere gange, kig
tilbage i tråden eller i en af dine tidligere tråde. Jeg gider ærligt
talt ikke finde dem frem til dig igen.

Hvis du ikke kan forstå afsnittene, så læs dem igen og igen, indtil du
forstår dem. Hvis du stadig ikke forstår dem efter gentagne
gennemlæsninger, så spørg pænt her, om det du ikke forstår. Måske
teksten skal skrives i et mere pædagogisk sprog (omend alle andre
tilsyneladende godt kan forstå den). Og for alt i verden, stop med at
sende din firewalls advarsler til os. De rager os en høstblomst!

Chokolade, jeg må have noget chokolade (lys).

--
Mvh. Kim Ludvigsen

---

"Kim Ludvigsen" skrev
news:40ABC026.2FCA@kimludvigsen.dk

[ ... ]
> Jeg tror ikke, efterforskere i it-kriminalitet holder til her. Og hvis
> de gør, så er de nok totalt ligeglade med din firewalls advarsler.

Arh ... Dét skal du nu ikke være så sikker på.

Hvorfor ?

Fordi navnlig piratkopiering koster ophavsindehaverne MANGE penge.

Jeg har i hvert fald konstateret konkrete tilfælde, hvor såkaldte udsendte
agenter bl.a. herfra har forsøgt at lokke IP-adresser ud af folk på
Nyhedsgrupper, selvfølgelig med det formål - om muligt - at fange
forbryderne.

> ... Der
> er flere af eksperterne i denne gruppe, ...

Jeg var slet ikke klar over, at der deltager eksperter her i gruppen, men så
meget desto bedre

Så kan I nemlig godt følge mig i min tankegang:

Firewall er et defensivt forsvarssystem.

Jeg EFTERLYSER et *offensivt forsvarssystem*

Betragt mine offentliggørelser som et primitivt manuelt forsøg herpå, men
dét jeg egentlig ønsker, er et AUTOMATISK system:

1.
Dersom man kunne programmere firewall'en til automatisk at sende min
Internet-udbyder en meddelse om IP-adressen (angriberens computer-mellemled,
Zombie'n); da ville min Internet-udbyder have mulighed for ØJEBLIKKELIG at
*nægte* enhver kommunikation med denne IP-adresse, og dermed ville *alle*
kunderne/forbrugerne i selskabet præventivt blive beskyttet.
Mange forbrugere ville blive glade for en sådan tjeneste-ydelse, sågar
skifte selskab, dersom denne tjeneste ikke tilbydes. Så selskaberne har
altså af økonomiske grunde en interesse i at få udviklet dette system

2.
Min Internet-udbyder kunne sende klagen videre til den pågældende
IP-adresses Internet-udbyder. Herved kan dette selskab *overvåge* den
pågældende IP-adresse med henblik på at opsnappe kommunikation med
angriberen og dermed finde vedkommendes IP-adresse (angriberen bruger sikker
mange computer-mellemled for at skjule sig).
Nægter denne Internet-udbyderen at samarbejde (fordi vedkommende muligvis
i det skjulte er en del af angriber-systemet) kan denne Internet-udbyder
BOYKOTTES på globalt plan.
Dersom min Internet-udbyder ikke vil boykotte denne Internet-udbyder, er
det muligvis på tide at skifte Internet-udbyder-selskab. Konkurrenten er
mere forbrugervenlig

3.
Endvidere kunne min Internet-udbyder sende klagen til nyhedsgruppen
dk.edb.sikkerhed - nej, selvfølgelig ikke! - til et centralt register på
verdensplan. Herved kunne andre Internet-udbydere blive advaret (måske i
tide). Samtidig kan man få et samlet overblik over angriberne.
IT-kriminalitet kunne herved på længere sigt hæmmes.
Dette koster selvfølgelig nogle penge, men da pengeinstitutter også er
berørt af disse problemer, må investeringen betragtes som værende ret
beskeden sammenlignet med fordelene

Have a nice day, Sir!


With kind regards,
Mogens Kall
The servant of Michael

File-number:
2169

---

Kall, Mogens wrote:
>>Jeg tror ikke, efterforskere i it-kriminalitet holder til her. Og hvis
>>de gør, så er de nok totalt ligeglade med din firewalls advarsler.
>
>
> Arh ... Dét skal du nu ikke være så sikker på.
>
> Hvorfor ?

Fordi de allerede har travlt nok med at kigge paa sager, hvor folk som
dig selv sender ligegyldige logs fra ZoneAlarm og lignende produkter, de
ikke forstaar.

> Fordi navnlig piratkopiering koster ophavsindehaverne MANGE penge.

Dette har intet med _sikkerhed_ at goere.

> Jeg har i hvert fald konstateret konkrete tilfælde, hvor såkaldte udsendte
> agenter bl.a. herfra har forsøgt at lokke IP-adresser ud af folk på
> Nyhedsgrupper, selvfølgelig med det formål - om muligt - at fange
> forbryderne.

Det er noget _helt_ andet. Jeg siger det igen: Piratkopiering har lige
saa meget med sikkerhed at goere, som jeg har med dronningen (og det er
ikke meget, skal jeg hilse at sige).

>>... Der
>>er flere af eksperterne i denne gruppe, ...
>
>
> Jeg var slet ikke klar over, at der deltager eksperter her i gruppen, men så
> meget desto bedre

Du har efterhaanden optraadt saa uheldigt saa mange gange, at jeg vil
blive overrasket hvis ret mange af dem ikke allerede ignorerer dine
indlaeg vha. deres killfilter.

> Så kan I nemlig godt følge mig i min tankegang:

Overhovedet ikke. Den er hamrende naiv og baerer tydeligt praeg af din
manglende tekniske forstaaelse for nettets virkemaade og
sikkerhedsproblemer.

> Firewall er et defensivt forsvarssystem.
>
> Jeg EFTERLYSER et *offensivt forsvarssystem*
>
> Betragt mine offentliggørelser som et primitivt manuelt forsøg herpå, men
> dét jeg egentlig ønsker, er et AUTOMATISK system:
>
> 1.
> Dersom man kunne programmere firewall'en til automatisk at sende min
> Internet-udbyder en meddelse om IP-adressen (angriberens computer-mellemled,
> Zombie'n); da ville min Internet-udbyder have mulighed for ØJEBLIKKELIG at
> *nægte* enhver kommunikation med denne IP-adresse, og dermed ville *alle*
> kunderne/forbrugerne i selskabet præventivt blive beskyttet.

Har du stadig ikke laest afsnittet i OSS'en om spoofing?

   http://sikkerhed-faq.dk/angreb/spoof

Lad os indfoere det system, du foreslaar. Jeg vil have dig pillet af
netvaerket, fordi jeg er en ond angriber. Hvad goer jeg saa? Jeg
begynder blot at portscanne en masse maskiner, men jeg soerger
naturligvis for at spoofe, saa det ser ud som om, at det er dig, der har
gjort det. Farvel, Mogens.

> Mange forbrugere ville blive glade for en sådan tjeneste-ydelse, sågar
> skifte selskab, dersom denne tjeneste ikke tilbydes. Så selskaberne har
> altså af økonomiske grunde en interesse i at få udviklet dette system

Der var nok efterhaanden kommet noget ud, hvis det ikke var fordi, at
det ikke er trivielt at opnaa.

> 2.
> Min Internet-udbyder kunne sende klagen videre til den pågældende
> IP-adresses Internet-udbyder. Herved kan dette selskab *overvåge* den
> pågældende IP-adresse med henblik på at opsnappe kommunikation med
> angriberen og dermed finde vedkommendes IP-adresse (angriberen bruger sikker
> mange computer-mellemled for at skjule sig).

Vi skal have halvdelen af kloden ansat ved internetudbyderne, hvis vi
skulle overvaage alle de IP-adresser, som du og andre mistaenker for
hacking, fordi I ikke har forstaaet at slaa loggen i jeres firewall fra.

> Nægter denne Internet-udbyderen at samarbejde (fordi vedkommende muligvis
> i det skjulte er en del af angriber-systemet) kan denne Internet-udbyder
> BOYKOTTES på globalt plan.

Jeg tror ikke, at du er klar over, hvor meget politik der ligger i at
goere det.

> 3.
> Endvidere kunne min Internet-udbyder sende klagen til nyhedsgruppen
> dk.edb.sikkerhed - nej, selvfølgelig ikke! - til et centralt register på
> verdensplan. Herved kunne andre Internet-udbydere blive advaret (måske i

Hah, tror du selv paa, at alle verdens internetudbydere kan blive enige
om et centralt register over blacklistede IP-numre? Hvis man kunne
dette, havde problemet med spam nok vaeret noget mindre, end det er i dag.

Der ville ogsaa vaere kolossale sikkerhedsspoergsmaal ved at have dette.
Hvordan forhindrer man, at uskyldige ikke kommer i registret? Igen, hvis
man kan snyde dette system, saa goer jeg, den onde angriber dette, og
faar placeret dig og CCU i systemet, og saa har I svaert ved at bruge
jeres netforbindelse.

> tide). Samtidig kan man få et samlet overblik over angriberne.
> IT-kriminalitet kunne herved på længere sigt hæmmes.
> Dette koster selvfølgelig nogle penge, men da pengeinstitutter også er
> berørt af disse problemer, må investeringen betragtes som værende ret
> beskeden sammenlignet med fordelene

Jeg tror nu nok, at pengeinstitutterne gerne _selv_ vil kunne bestemme,
om de vil snakke med et givet IP-nummer eller ej.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

"Michael Knudsen" skrev
news:40ac91b1$0$3045$14726298@news.sunsite.dk

[ ... ]
> > Fordi navnlig piratkopiering koster ophavsindehaverne MANGE penge.
>
> Dette har intet med _sikkerhed_ at goere.

Nej - ikke umiddelbart, men hackere har det jo med at lave andre
ulovligheder såsom piratkopiering

[ ... ]
> Du har efterhaanden optraadt saa uheldigt saa mange gange, at jeg vil
> blive overrasket hvis ret mange af dem ikke allerede ignorerer dine
> indlaeg vha. deres killfilter.

Det bliver jo så deres problem

>
> > Så kan I nemlig godt følge mig i min tankegang:
>
> Overhovedet ikke. Den er hamrende naiv og baerer tydeligt praeg af din
> manglende tekniske forstaaelse for nettets virkemaade og
> sikkerhedsproblemer.

Men jeg er jo nu TVUNGET til at lære lidt om det

> > Firewall er et defensivt forsvarssystem.
> >
> > Jeg EFTERLYSER et *offensivt forsvarssystem*
> >
> > Betragt mine offentliggørelser som et primitivt manuelt forsøg herpå,
> > men dét jeg egentlig ønsker, er et AUTOMATISK system:
> >
> > 1.
> > Dersom man kunne programmere firewall'en til automatisk at sende min
> > Internet-udbyder en meddelse om IP-adressen (angriberens
> > computer-mellemled,
> > Zombie'n); da ville min Internet-udbyder have mulighed for ØJEBLIKKELIG
> > at
> > *nægte* enhver kommunikation med denne IP-adresse, og dermed ville
> > *alle*
> > kunderne/forbrugerne i selskabet præventivt blive beskyttet.
>
> Har du stadig ikke laest afsnittet i OSS'en om spoofing?
>
> http://sikkerhed-faq.dk/angreb/spoof

Jo, jo - men jeg har dårlig indlæring. Jeg glemmer det, jeg lige har lært


> Lad os indfoere det system, du foreslaar. Jeg vil have dig pillet af
> netvaerket, fordi jeg er en ond angriber. Hvad goer jeg saa? Jeg
> begynder blot at portscanne en masse maskiner, men jeg soerger
> naturligvis for at spoofe, saa det ser ud som om, at det er dig, der har
> gjort det. Farvel, Mogens.

Heri har du ret, så dét var en dårlig idé

(Jamen så må vi finde på noget nyt)

Min Internet-udbyder bliver kontaktet, og denne har nu mulighed for at se
*hvorfra* meddelsen kom (det er IKKE IP-adressen jeg her taler om). En eller
anden computer må jo have videre-bragt pakken. Denne instans kunne så
kontaktes ... og så fremdeles.

Gradvis indkredses den egentlige afsender, navnlig hvis du hele tiden bruger
min IP-adresse

Var det for øvrigt ikke netop tilfældet med Sasser-ormens ophavsmand ?

> > Mange forbrugere ville blive glade for en sådan tjeneste-ydelse,
> > sågar
> > skifte selskab, dersom denne tjeneste ikke tilbydes. Så selskaberne har
> > altså af økonomiske grunde en interesse i at få udviklet dette system
> >
>
> Der var nok efterhaanden kommet noget ud, hvis det ikke var fordi, at
> det ikke er trivielt at opnaa.

Det er jo dét, vi nu skal forsøge på

*offensivt forsvarssystem*

> > 2.
> > Min Internet-udbyder kunne sende klagen videre til den pågældende
> > IP-adresses Internet-udbyder. Herved kan dette selskab *overvåge* den
> > pågældende IP-adresse med henblik på at opsnappe kommunikation med
> > angriberen og dermed finde vedkommendes IP-adresse (angriberen bruger
> > sikker mange computer-mellemled for at skjule sig).
>
> Vi skal have halvdelen af kloden ansat ved internetudbyderne, hvis vi
> skulle overvaage alle de IP-adresser, som du og andre mistaenker for
> hacking, fordi I ikke har forstaaet at slaa loggen i jeres firewall fra.

Nej. Faktisk havde jeg tænkt mig at automatisere det, således at det er
nogle maskiner, der foretager disse eftersporingen. De er billigere og mere
effektive i drift

> > Nægter denne Internet-udbyderen at samarbejde (fordi vedkommende
> > muligvis
> > i det skjulte er en del af angriber-systemet) kan denne Internet-udbyder
> > BOYKOTTES på globalt plan.
>
> Jeg tror ikke, at du er klar over, hvor meget politik der ligger i at
> goere det.

Skal vi X-poste i dk.politik ?

> > 3.
> > Endvidere kunne min Internet-udbyder sende klagen til nyhedsgruppen
> > dk.edb.sikkerhed - nej, selvfølgelig ikke! - til et centralt register på
> > verdensplan. Herved kunne andre Internet-udbydere blive advaret (måske i
>
> Hah, tror du selv paa, at alle verdens internetudbydere kan blive enige
> om et centralt register over blacklistede IP-numre? Hvis man kunne
> dette, havde problemet med spam nok vaeret noget mindre, end det er i dag.

Med tiden vil man muligvis *forlange* det som forbrugere. Ombudsmanden ér
allerede sat ind i Spam-problematikken!

> Der ville ogsaa vaere kolossale sikkerhedsspoergsmaal ved at have dette.
> Hvordan forhindrer man, at uskyldige ikke kommer i registret?

Hvis jeg kan slippe af med bæsterne, er jeg ikke chikaneret meget af en
lille overvågning. Jeg har rent mel i posen

> Igen, hvis
> man kan snyde dette system, saa goer jeg, den onde angriber dette, og
> faar placeret dig og CCU i systemet, og saa har I svaert ved at bruge
> jeres netforbindelse.

CCU - hvem eller hvad er det ?

> > tide). Samtidig kan man få et samlet overblik over angriberne.
> > IT-kriminalitet kunne herved på længere sigt hæmmes.
> > Dette koster selvfølgelig nogle penge, men da pengeinstitutter også
> > er
> > berørt af disse problemer, må investeringen betragtes som værende ret
> > beskeden sammenlignet med fordelene
>
> Jeg tror nu nok, at pengeinstitutterne gerne _selv_ vil kunne bestemme,
> om de vil snakke med et givet IP-nummer eller ej.

Sikkert


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2191

---

"Kall, Mogens" wrote:
>
> "Michael Knudsen" skrev
> news:40ac91b1$0$3045$14726298@news.sunsite.dk
>
> [ ... ]
> > > Fordi navnlig piratkopiering koster ophavsindehaverne MANGE penge.
> >
> > Dette har intet med _sikkerhed_ at goere.
>
> Nej - ikke umiddelbart, men hackere har det jo med at lave andre
> ulovligheder såsom piratkopiering

Dokumentation?

>
> Min Internet-udbyder bliver kontaktet, og denne har nu mulighed for at se
> *hvorfra* meddelsen kom (det er IKKE IP-adressen jeg her taler om). En eller
> anden computer må jo have videre-bragt pakken. Denne instans kunne så
> kontaktes ... og så fremdeles.

Du har vist lige glemt at overveje, hvor mange skridt
der er på vejen. Her er lige et eksempel på et output
fra traceroute. 17 routere på vejen. Og jeg kan enda
ikke vide, om der kan være nogle tunneller, så der i
virkeligheden er endnu flere.

traceroute to 62.79.89.115 (62.79.89.115), 30 hops max, 40 byte packets
1 10.11.0.1 904.371 ms 899.117 ms 811.696 ms
2 10.250.0.177 8.793 ms 10.093 ms 7.435 ms
3 62.242.107.17 7.588 ms 22.382 ms 231.701 ms
4 195.249.14.153 6.083 ms 7.828 ms 7.701 ms
5 195.249.7.118 27.677 ms 36.069 ms 127.514 ms
6 195.249.7.238 91.230 ms 117.854 ms 224.021 ms
7 80.63.80.122 489.302 ms 509.718 ms 561.037 ms
8 83.88.0.78 513.752 ms 484.759 ms 498.768 ms
9 192.38.7.61 593.544 ms 509.329 ms 608.407 ms
10 213.200.73.6 524.086 ms 668.708 ms 592.996 ms
11 212.54.86.42 704.343 ms 604.225 ms 494.116 ms
12 213.237.127.60 701.780 ms 388.958 ms 615.189 ms
13 213.237.127.104 738.322 ms 858.443 ms 716.563 ms
14 213.237.127.109 624.179 ms 829.928 ms 830.204 ms
15 213.237.127.1 904.062 ms 694.107 ms 839.688 ms
16 213.237.5.73 965.191 ms 896.342 ms 874.608 ms
17 213.237.5.73 1025.237 ms !H 1000.574 ms !H *

Husk på, at ingen af disse routere er i stand til at
logge alt trafikken. Så du er nødt til at have fat i
dem enkeltvis og finde ud af, hvor trafikken kommer
fra. Og det skal ske mens det står på.

Hvis du først går i gang når trafikken er ophørt kan
du prøve at undersøge, hvor den kunne være kommet fra.
Så er der pludslig mange flere muligheder.

En bedre løsning ville være, at bare forhindre pakker
med spoofet afsender. Nogle udbydere forhindre deres
kunder i at sende pakker med spoofet afsender IP. Men
så længe man kan finde en udbyder, der ikke forhindre
det, så kan man ikke gardere sig mod spoofet source.

>
> Gradvis indkredses den egentlige afsender, navnlig hvis du hele tiden bruger
> min IP-adresse

Muligt i teorien. Men næppe i praksis. Det er nemmere
at forhindre det end at prøve at spore det.

>
> Var det for øvrigt ikke netop tilfældet med Sasser-ormens ophavsmand ?

Nej, han blev snuppet fordi han ikke kunne holde sin
kæft. Han gik og pralede med sin præstation, og så
var der nogen, der ikke kunne stå for fristelsen med
de dusører, der plejede at blive udlovet.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

On Thu, 20 May 2004 11:09:18 +0200, "Kall, Mogens" <John@15.13>
wrote:

> Jeg har i hvert fald konstateret konkrete tilfælde, hvor såkaldte
> udsendte agenter bl.a. herfra har forsøgt at lokke IP-adresser ud
> af folk på Nyhedsgrupper

Der er ikke meget grund til at lokke. Du har fx 62.79.89.161
(eller havde det i hvert fald, da du sendte beskeden). Det står i
headeren på dit indlæg.

Hvis du laver noget, du ikke må, kan de få en dommerkendelse til
at få Tiscali til at fortælle dem, hvem der har den adresse
(eller havde det på det tidspunkt).

-A

---

"Asbjorn Hojmark" skrev
news:hdnpa0t2qh949all262imr81kgk1klmrjl@news.sunsite.dk

> > Jeg har i hvert fald konstateret konkrete tilfælde, hvor såkaldte
> > udsendte agenter bl.a. herfra har forsøgt at lokke IP-adresser ud
> > af folk på Nyhedsgrupper
>
> Der er ikke meget grund til at lokke. Du har fx 62.79.89.161
> (eller havde det i hvert fald, da du sendte beskeden). Det står i
> headeren på dit indlæg.
>
> Hvis du laver noget, du ikke må, kan de få en dommerkendelse til
> at få Tiscali til at fortælle dem, hvem der har den adresse
> (eller havde det på det tidspunkt).

Jamen de bor her skam allerede; fast inventar


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2193

---

Kall, Mogens <John@15.13> wrote:
>
> Firewall er et defensivt forsvarssystem.
>
> Jeg EFTERLYSER et *offensivt forsvarssystem*

En stor del af det du skriver er helt hen i vejret, fordi det
ikke kan lade sig goere med internettet. Det fungerer anderledes
i praksis.

Jeg vil ogsaa godt have gjort op med din misopfattelse af en firewall
som et defensivt forsvarssystem. Der er nok mange sikkerhedsfirmaer,
der godt vil have dig til at opfatte en firewall som en saadan, men
virkeligheden er noget simplere.

En firewall er bare en del af dit system, der er i stand til at filtrere
netvaerkstrafik udfra nogle angivne kriterier sat op af producenten eller
dig selv. Intet andet.

--
j.

---

"Jesper Louis Andersen" skrev
news:8q2vn1-tlj.ln1@miracle.mongers.org

> > Firewall er et defensivt forsvarssystem.
> >
> > Jeg EFTERLYSER et *offensivt forsvarssystem*
>
> En stor del af det du skriver er helt hen i vejret, fordi det
> ikke kan lade sig goere med internettet. Det fungerer anderledes
> i praksis.
>
> Jeg vil ogsaa godt have gjort op med din misopfattelse af en firewall
> som et defensivt forsvarssystem. Der er nok mange sikkerhedsfirmaer,
> der godt vil have dig til at opfatte en firewall som en saadan, men
> virkeligheden er noget simplere.
>
> En firewall er bare en del af dit system, der er i stand til at filtrere
> netvaerkstrafik udfra nogle angivne kriterier sat op af producenten eller
> dig selv. Intet andet.

Og dermed sagt, er der ENDNU mere behov for et *offensivt forsvarssystem*



Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2192

---

Er der dømt Bo Warming ell. !?!? måske bare troll :-/

---

"Kall, Mogens" skrev
news:RKOqc.114$Vf.7896@news000.worldonline.dk

[ ... ]

Oh - I see, You don't like, I'm following Your "footsteps".

There is no server-informations in regard to "Your" IP-adrress 62.42.77.62
(2004-05-20, CET 16:46:08)

.... when I'm useing http://www.dnsstuff.com/

I hope You understand the rule of the "game" ?

Input memory:

Date: 19. maj 2004 CET 22:06
Subject: Re: Hacher-angreb
2166 news:27Pqc.125$Vf.8762@news000.worldonline.dk

(If You wanna die; it's Your problem; not mine)



-

Er der nogen her på dk.edb.sikkerhed som kan foreslå en alternativ
server-søger ?

På forhånd mange tak


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2177

---

"Kall, Mogens" skrev
news:BR3rc.772$Vf.14362@news000.worldonline.dk

[ ... ]

There is NO such kind of informations on my HardDisk

I give You a little help now, where You shall look ...
(code: AIRPORT de la MaTT 24,28)

Win (vind) 1000 Danish Kr. (around 140 US $), jump ...
2233 news:Gb3sc.1684$Vf.53534@news000.worldonline.dk

If You can crack the code, You will understand a lot more about "them"

File 2244, 2246, 2248, 2250, 2251, 2252 and 2253
can also help You to understand, what's going on

I want You to *use* Your brain
(be smart)


Med venlig hilsen
Mogens Kall
The servant of Michael

Last-Informationfile:
( use http://www.google.dk/grphp )
1662 news:sbX3c.108512$jf4.6509896@news000.worldonline.dk
2254 news:eAjsc.1939$Vf.82865@news000.worldonline.dk

File-number:
2255

---

---

"Michael Knudsen" skrev
news:Pine.GSO.4.50.0405200205160.9518-100000@fire2.cs.auc.dk

[ ... ]
> On Thu, 20 May 2004, Kall, Mogens wrote:
> > I Windows 2000 og XP skal man så igennem en hel procedure af API-opkald,
> > førend man får tilladelse til dit og dat, men det er og bliver blot et
> > software-mæssigt problem, desværre
>
> Hvis du tror, at det er et trivielt problem at omgaa sikkerhedsmodellen
> i Windows 2000 etc., saa er jeg bange for, at du tager grueligt fejl.
>
> Systemet er lavet paa en saadan maade, at du simpelthen ikke faar adgang
> til de ting, der er paakraevet for at gaa udenom sikkerhedsmodellen.
> Dette er delvist implementeret i hardware gennem e.g. forskellig grad af
> privilegier i CPU'en, beskyttet hukommelse saa en proces ikke kan laese
> og skrive vilkaarlige steder i hukommelsen og lignende.

Korrekt!

Men du kan vel sagtens få tilladelse til at overskrive de almindelige filer
ikke tilhørende OS.

Men mange små firmaer har således formodentlig mistet kostbar DATA.

> Hvis man skal omgaa sikkerhedsmodellen, er der to muligheder:
>
> 1. Man skal udnytte en designfejl.
> 2. Man skal udnytte en programmeringsfejl.
>
> Design-fejl er jeg skeptiske overfor at finde, men jeg har ikke kigget
> naermere paa det. Programmeringsfejl er langt det mest sandsynlige.

Og disse er (ikke fordi jeg kender disse) ... hvilket vi ikke taler om her


> > Dét, jeg taler om, er en gang for alle at løse problemet
> > hardware-mæssigt
>
> Der er ingen forskel paa hardware og software set ud fra et
> funktionalitetssynspunkt. ...

Okay (synspunkter er der jo nok af).

> ... Praecis de samme fejl kan optraede i en
> hardwareimplementation.

Forklar dette nærmere ?

> ... Forskellen er blot, at det er langt mere
> besvaerligt at rette fejl i hardware, og det koster ogsaa langt mere.

Men DATA-sikkerheden er ved hardware langt mere sikker (worst case).

Indbrudstyven ér kommet ind i systemet men kan ikke gøre nogen vital skade,
akkurart som i en bank, hvor tyvene godt nok er kommet ind i bygningen men
endnu ikke kan stjæle noget (først skal den armerede dør i kælderen brydes
op, og derefter skal hver enkelt box herinde brydes op, førend man kan
stjæle)

Hver gang der kommer et nyt computer-virus på markedet (og
anti-virus-firmaerne endnu ikke registreret det), så har forbrugerne et
alvorligt problem!

Ved hardware-sikring derimod har du ALTID en anti-virus-strategi liggende
parat!

> Hvordan vil du sikre dig, at man ikke laver de samme programmeringsfejl
> i en givet hardwareimplementation? ...

(se ovenfor. Jeg må have forklaret noget desangående, inden jeg udtaler mig)

(dersom jeg har forstået dig korrekt:)
Nogle bundkort har en manuel jumper, dersom brugeren ønsker at opgradere
BIOS-maskinkoden. Ændringen kan kun således ske, dersom bruger *bevidst*
flytter denne jumper. Herved skulle det teknisk set være mulig at korrigere
eventuelle programmeringsfejl.

> ... Man kan ogsaa lige saa let lave en
> designfejl i et stykke hardware (RTL8139 er et glimrende bevis paa
> designfejl, i oevrigt), saa du vinder reelt intet udover besvaer og oeget
> produktionspris, og det er ikke just den vej, man ser markedet gaa for
> tiden.

Nogle vil gerne betale lidt ekstra for denne forebyggelse


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2171

---

"Kall, Mogens" wrote:
>
> Men du kan vel sagtens få tilladelse til at overskrive de almindelige filer
> ikke tilhørende OS.

Det kommer da fuldstændig an på operativsystemet. På de
systemer jeg bruger kan jeg kun overskrive de filer,
jeg har skriverettigheder til. Som udgangspunkt har jeg
kun skriverettigheder til de filer, jeg selv opretter.

>
> Men DATA-sikkerheden er ved hardware langt mere sikker

Hvadfor hardware? I nogen tilfælde vil en hardware
løsning være at foretrække. F.eks. ved firewalls.

Men når vi snakker om at beskytte filer er en hardware
løsning ikke mulig. Hardwaren kender af gode grunde
ikke til systemets filbegreb. Så man er altså nødt til
at arbejde på et lidt lavere niveau.

Du kan allerede få en udmærket hardware beskyttelse af
dit OS i dag. Brænd OS på en CDRW disk og sæt den i et
CD-ROM drev, der fysisk er ude af stand til at skrive på
den.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" skrev
news:40ACB507.BFF3322@daimi.au.dk

[ ... ]
> > Men DATA-sikkerheden er ved hardware langt mere sikker
>
> Hvadfor hardware? ...

Jeg nævnte i en tidligere tråd, at ...

Date: 19. maj 2004 CET 13:43
news:HLHqc.12$Vf.796@news000.worldonline.dk

=== citat start ===

Forebyggelse
--------------

For at *forebygge* dette, bør man have en Harddisk med skrivebeskyttede
zoner, således at Operativsystemet ALTID under opstart indlæser filerne fra
disse sikre zoner ... osv.

=== citat slut ===


> ... I nogen tilfælde vil en hardware
> løsning være at foretrække. F.eks. ved firewalls.

Korrekt, den kan ikke infekeres.


> Men når vi snakker om at beskytte filer er en hardware
> løsning ikke mulig. Hardwaren kender af gode grunde
> ikke til systemets filbegreb. ...

Fuldstændig korrekt.

Og derfor taler jeg om, at vi skal ændre OS'erne, så de er mere fleksible
end de er i dag.

Måske er det lidt OFF-tropic, men medens vi er ved emnet, så efterlyser jeg
et OS, som vi også kan få op at køre igen under Worst-Case tilfældene. Det
kan fx. være en computers HD, der er gået i stykker på en robot på Mars
eller Månen, eller en vejrstation på Antarktis, en "Tjernobyl"-robot,
"ebola"-robot osv.
Mig bekendt benytter alle systemer *altid* HD'ens side 0, spor 0, sektor
1 til MBR'en. Og det er idiotisk, når/dersom netop lige denne zone er gået i
stykker. Så er HD'en ubrugelig. Det skal være et mere fleksibelt system.
HD'en skal bruges ligesom en bog, hvor side 1-10 kan mangle, og så kan man
benytte side 11 som sin start-side (MBR'en). Hardwaren til HD'en skal altså
først tjekke om side 0, spor 0, sektor 1 *faktisk* er den benyttede MBR.
Dersom sektor 3 kan identificeres med MBR-indhold, da er konklusionen jo, at
denne erstatter den oprindelige. Denne kan også være nedslidt, derfor
tjekkes sektor 5 osv. indtil indholdet IKKE er identisk med MBR'en.
Alternativet hertil er, at et udvalgt område på HD'en reserveres til
MBR-adresse memory. Området slides ikke op, idet bit-ændringer her kun
foretages, når/dersom der er opstået problemer med HD'en. Området skal
selvfølgelig være skrivebeskyttet efter BIOS-opkoblingen

> ... Så man er altså nødt til
> at arbejde på et lidt lavere niveau.
>
> Du kan allerede få en udmærket hardware beskyttelse af
> dit OS i dag. Brænd OS på en CDRW disk og sæt den i et
> CD-ROM drev, der fysisk er ude af stand til at skrive på
> den.

Tænk, det siger du ikke - jeg anvender faktisk systemet præventivt

(og det er forøvrigt derfor min HD opslides)


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2184

---

Kall, Mogens wrote:
>>... Praecis de samme fejl kan optraede i en
>>hardwareimplementation.
>
>
> Forklar dette nærmere ?

Naar man skriver et program i software og udforer det paa en processer,
henter processoren en instruktion. Den finder ud af, hvilken instruktion
der er tale om, og derefter udfoeres den. Dette gentager sig, til
programmet eventuelt er faerdigt.

Naar dette foregaar ``i hardware'', sker praecis det samme, bortset fra
at funktionaliteten er ``braendt ned i silicium''.

Hvis man har lavet en programmeringsfejl, vil programmet udfoert ``i
software'' ikke opfoere sig korrekt. Hvis man har lavet en fejl, da man
har lavet hardwaren, vil hardwareprogrammet opfoere sig forkert.

Software eller hardware, begge dele er et program, og det kan der vaere
fejl i. Et andet sted naevner kasper F00F-fejlen i Pentium, og det er et
glimrende eksempel paa, at der ogsaa kan vaere fejl i hardwarelogik.

>>Hvordan vil du sikre dig, at man ikke laver de samme programmeringsfejl
>>i en givet hardwareimplementation? ...
>
>
> (se ovenfor. Jeg må have forklaret noget desangående, inden jeg udtaler mig)
>
> (dersom jeg har forstået dig korrekt:)
> Nogle bundkort har en manuel jumper, dersom brugeren ønsker at opgradere
> BIOS-maskinkoden. Ændringen kan kun således ske, dersom bruger *bevidst*
> flytter denne jumper. Herved skulle det teknisk set være mulig at korrigere
> eventuelle programmeringsfejl.

Hvordan sikrer du dig, at den softwareopdatering du henter er den
korrekte? At den bliver skrevet korrekt i hardwaren?

>>... Man kan ogsaa lige saa let lave en
>>designfejl i et stykke hardware (RTL8139 er et glimrende bevis paa
>>designfejl, i oevrigt), saa du vinder reelt intet udover besvaer og oeget
>>produktionspris, og det er ikke just den vej, man ser markedet gaa for
>>tiden.
>
>
> Nogle vil gerne betale lidt ekstra for denne forebyggelse

Det er langt under flertallet, gaetter jeg paa. Hr. og Fr. Jensen vil
have en billig computer, hvor de skal goere minimum indsats for at holde
den opdateret. Banker, som du saa gladeligt bruger som eksempel, vil
maaske gerne bruge flere penge, naar de indkoeber hardware, men de har
ressourcer til at haandtere sikkerheden paa en anden maade.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

"Michael Knudsen" skrev
news:40acc3b9$0$3054$14726298@news.sunsite.dk

> Kall, Mogens wrote:
> >>... Praecis de samme fejl kan optraede i en
> >>hardwareimplementation.
> >
> >
> > Forklar dette nærmere ?
>
> Naar man skriver et program i software og udforer det paa en processer,
> henter processoren en instruktion. Den finder ud af, hvilken instruktion
> der er tale om, og derefter udfoeres den. Dette gentager sig, til
> programmet eventuelt er faerdigt.
>
> Naar dette foregaar ``i hardware'', sker praecis det samme, bortset fra
> at funktionaliteten er ``braendt ned i silicium''.

Okay - den er jeg med på (jeg kender blot ikke alle disse fagudtryk).

>
> Hvis man har lavet en programmeringsfejl, vil programmet udfoert ``i
> software'' ikke opfoere sig korrekt. Hvis man har lavet en fejl, da man
> har lavet hardwaren, vil hardwareprogrammet opfoere sig forkert.
>
> Software eller hardware, begge dele er et program, og det kan der vaere
> fejl i. Et andet sted naevner kasper F00F-fejlen i Pentium, og det er et
> glimrende eksempel paa, at der ogsaa kan vaere fejl i hardwarelogik.

Som forbruger vælger man jo så det firma-produkt, der funker

For mig at se er det ikke uoverkommelige ændringer vi taler om. Faktisk blot
HD'en.

Og da maskinkode-instruktionerne hertil kan lagres på elektrisk-sletbar-ROM,
er problemet mht. programmeringsfejl jo stort set løst ved en opgradering.

> >>Hvordan vil du sikre dig, at man ikke laver de samme programmeringsfejl
> >>i en givet hardwareimplementation? ...
> >
> >
> > (se ovenfor. Jeg må have forklaret noget desangående, inden jeg udtaler
mig)
> >
> > (dersom jeg har forstået dig korrekt:)
> > Nogle bundkort har en manuel jumper, dersom brugeren ønsker at opgradere
> > BIOS-maskinkoden. Ændringen kan kun således ske, dersom bruger *bevidst*
> > flytter denne jumper. Herved skulle det teknisk set være mulig at
korrigere
> > eventuelle programmeringsfejl.
>
> Hvordan sikrer du dig, at den softwareopdatering du henter er den
> korrekte? At den bliver skrevet korrekt i hardwaren?

Faktisk har nogle hjemmefuskere dette problem, når/dersom de laver en
opgradering på deres BIOS. Hvis der er sket en fejl undervejs; ja så virker
computeren ikke længere

En simpel løsning her kunne være, at have 2 BIOS'er. Originalen som ALDRIG
kan ændres samt en elektrisk-sletbar-ROM. Skulle der opstå et
hardware-problem, kobles originalen bare på vhj. jumpere på bundkortet. I
tilfælde af fjernstyring skal denne jumper selvfølgelig erstattes af en
elektrisk RESET tilkoblet modtager-modulet.

> > Nogle vil gerne betale lidt ekstra for denne forebyggelse
>
> Det er langt under flertallet, gaetter jeg paa. Hr. og Fr. Jensen vil
> have en billig computer, hvor de skal goere minimum indsats for at holde
> den opdateret. Banker, som du saa gladeligt bruger som eksempel, vil
> maaske gerne bruge flere penge, naar de indkoeber hardware, men de har
> ressourcer til at haandtere sikkerheden paa en anden maade.

Tænker du her på Sasser-ormen


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2185

---

---

"Michael Knudsen" skrev
news:Pine.GSO.4.50.0405200225520.9518-100000@fire2.cs.auc.dk

> On Wed, 19 May 2004, Kall, Mogens wrote:
> > Mange computere blev inficseret med sasser. Når et maskinkode-program
> > først
> > afvikles på en computer, er der INGEN begrænsninger for hvilke
> > operationer,
> > der kan foretages. Man kan ændre eller slette filer på Harddiskene,
> > inficere
> > MasterBootRecorden (ved mindre denne er skrivebeskyttet i
> > BIOS-opsætningen)
> > eller BootRecorden osv. - eller oprette en bagdør (hvorved man går
> > *udenom* firewall'en).
>
> Det lyder som om, du totalt har misforstaaet noget. Du snakker om et
> `maskinkodeprogram', hvad mener du med det? Maskinkode er typisk det,
> man oversaetter sit programkode (C, Pascal, assembler etc.) til. Det er
> altsaa ikke noget magisk kode med saerlige privilegier. Det er ganske
> almindelige instruktioner til processoren.

Korrekt. Alle programmer afvikles på computeren i maskincoder.
Højprogrammeringssprogene C og Pascal og ligeledes assembler er for så vidt
blot nødvendige hjælpe-værktøjer.

Men i det øjeblik en maskinkode afvikles på computeren, da er det faktisk
dette program, som har "magtbeføjelserne". OS-kontrolsystemet kan kun
overvåge programmet ved hjælp af Interrupt (program-afbrydelse). Disse
Interrupt adresse-jump kan ændres (i hvert tilfælde på de gamle OS'er).
Selv NMI-jumpet kan ændres !!!

> Derudover er der i oevrigt paa langt de fleste processorer
> begraensninger for, hvilke instruktioner der maa udfoeres, som blandt
> andet Kent ogsaa naevner. ...

Kunne du være så elskværdig at referere dine henvisninger (i dette tilfælde
Kent) konkret, så jeg (og andre fremover har lettere ved umiddelbart at
fatte, hvad du hentyder til.

Et eksempel:

Date: (angiv hvornår Kent bragte sit indlæg. Dette kan spores Off-line,
selvom hans indlæg ikke er downloaded)

Navn: (hvilket du allerede vist nok har gjort, ved mindre Kent officielt
identificerer sig under en anden betegnelse)

Subject: (angiv emne, dersom indlægget er bragt i en anden tråd)

Og meget gerne også indlæg-identifikation:

Fx. (dette dit indlæg, du bragte)
news:Pine.GSO.4.50.0405200225520.9518-100000@fire2.cs.auc.dk

Jeg arbejder Off-line

På forhånd tak


> ... Eksempelvis paa en almindelig PC opererer
> processoren med tre eller fire `ringe' eller niveauer af privilegier.

Korrekt.

> Operativsystemer saasom Linux, BSD og Windows NT-serien koerer i den
> inderste ring, almindelige programmer koerer i den yderste. Paa denne
> sikrer operativsystemet, at dét bestemmer hvem der faar adgang til hvad.

Korrekt (forudsat at Interrupt-tabellerne ikke er blevet infeceret).

> I oevrigt er der flere ting i dit design, der er temmeligt svaere at
> haandtere. ...

Det skal du ikke være ked af. Jeg er en håbløs amatør

> ... Du skriver noget med, at operativsystemet ``ALTID laeser
> disse filer'' -- ...

Du klippe for meget i min tekst, så sammenhængen smuttede.

Mener du ... Nåh ... nu fandt jeg den

=== citat start ===

Forebyggelse
--------------

For at *forebygge* dette, bør man have en Harddisk med skrivebeskyttede
zoner, således at Operativsystemet ALTID under opstart indlæser filerne fra
disse sikre zoner. Filer, som ændres undervejs af OS under programafvikling,
kan af gode grunde ikke ligge i denne sikre zone, men disses original-filer
kan godt. Dersom computeren ønskes *steriliseret* kan man under opstart
kopiere disse filer fra den sikrede zone til den læse- og skrivebare zone.
Nogle filer ændres ofte, mens andre ændres sjældent, hvorfor det er
relevant at have flere zoner, end blot de to nævnte.

=== citat slut ====

Dét, jeg mente, var/er, at computeren indlæser de såkaldte "døde" filer
(filer som forbliver uændret efter Operativ Systemet er installeret) fra
skrivebeskyttede zoner.

Herved er der 100% garanti for, at intet fremmed-program har pillet i
filerne. Det gælder fx. Kernel32.dll filen osv.

> det er ikke noedvendigvis trivielt eller opnaaeligt i
> praksis.

Det kræver en gennemgribende ændring i Harddiskens konstruktion, men i
praksis mulig


Idéen hermed offentliggjort, mere kan jeg ikke gøre i første omgang


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2172

---

Kall, Mogens wrote:
> Korrekt. Alle programmer afvikles på computeren i maskincoder.
> Højprogrammeringssprogene C og Pascal og ligeledes assembler er for så vidt
> blot nødvendige hjælpe-værktøjer.

Hoejniveausprogene goer i hvert fald mange ting meget lettere.

> Men i det øjeblik en maskinkode afvikles på computeren, da er det faktisk
> dette program, som har "magtbeføjelserne". OS-kontrolsystemet kan kun
> overvåge programmet ved hjælp af Interrupt (program-afbrydelse). Disse
> Interrupt adresse-jump kan ændres (i hvert tilfælde på de gamle OS'er).
> Selv NMI-jumpet kan ændres !!!

Noeglen til den sandhed er ``gamle OS'er'' -- eller rettere
operativsystemer uden en sikkerhedsmodel som eksempelvis DOS og familien
af Windows, der ikke baserer sig paa NT, dvs. 95, 98 etc.

I operativsystemer _med_ en sikkerhedsmodel har et program ikke fuld
kontrol over computeren -- det er udelukkende operativsystemet, der har
det. Hvis det eksempelvis forsoeger at tilgaa noget hukommelse, som det
ikke har adgang til, laver processoren en page fault (eller en anden
exception, jeg er ikke helt sikker), som resulterer i, at
programudfoerslen overtages af operativsystemet, som vil afslutte
programmet. Programmet bliver standset, inden det faar lavet ravage.

Det samme gaelder, hvis programmet forsoeger at udfoere instruktioner,
der kraever et hoejere niveau af privilegier eller lignende.

>>Derudover er der i oevrigt paa langt de fleste processorer
>>begraensninger for, hvilke instruktioner der maa udfoeres, som blandt
>>andet Kent ogsaa naevner. ...
>
>
> Kunne du være så elskværdig at referere dine henvisninger (i dette tilfælde
> Kent) konkret, så jeg (og andre fremover har lettere ved umiddelbart at
> fatte, hvad du hentyder til.

Nu regnede jeg med, at du godt kunne huske indlaegget, da du selv fulgte
op, men det var altsaa:

   40ab748b$0$3048$14726298@news.sunsite.dk

>>... Eksempelvis paa en almindelig PC opererer
>>processoren med tre eller fire `ringe' eller niveauer af privilegier.
>
>
> Korrekt.

Kun operativsystemet kan aendre et programs privilegieniveau, da dette
skal goeres fra ring 0, saa et program kan ikke bryde ud og derved
eskalere sine privilegier.

>>Operativsystemer saasom Linux, BSD og Windows NT-serien koerer i den
>>inderste ring, almindelige programmer koerer i den yderste. Paa denne
>>sikrer operativsystemet, at dét bestemmer hvem der faar adgang til hvad.
>
>
> Korrekt (forudsat at Interrupt-tabellerne ikke er blevet infeceret).

Hvordan skulle dette kunne ske, naar kun operativsystemet selv har
adgang til hukommelsesomraadet, hvor interruptvektoren ligger?

> Herved er der 100% garanti for, at intet fremmed-program har pillet i
> filerne. Det gælder fx. Kernel32.dll filen osv.
>
>
>>det er ikke noedvendigvis trivielt eller opnaaeligt i
>>praksis.
>
>
> Det kræver en gennemgribende ændring i Harddiskens konstruktion, men i
> praksis mulig

Dermed er den ikke interessant, da det allerede er muligt at beskytte
operativsystemerne tilstraekkeligt med den af processoren givne
privilegieopdeling.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

"Michael Knudsen" skrev
news:40acb44c$0$3057$14726298@news.sunsite.dk

> Hoejniveausprogene goer i hvert fald mange ting meget lettere.

Dét tør man nok antyde

> > Men i det øjeblik en maskinkode afvikles på computeren, da er det
> > faktisk
> > dette program, som har "magtbeføjelserne". OS-kontrolsystemet kan kun
> > overvåge programmet ved hjælp af Interrupt (program-afbrydelse). Disse
> > Interrupt adresse-jump kan ændres (i hvert tilfælde på de gamle OS'er).
> > Selv NMI-jumpet kan ændres !!!
>
> Noeglen til den sandhed er ``gamle OS'er'' -- eller rettere
> operativsystemer uden en sikkerhedsmodel som eksempelvis DOS og familien
> af Windows, der ikke baserer sig paa NT, dvs. 95, 98 etc.

Korrekt - ved mindre du er blevet infekseret under boot.
(fx. BIOS-opgraderingen var falsk)

> I operativsystemer _med_ en sikkerhedsmodel har et program ikke fuld
> kontrol over computeren -- det er udelukkende operativsystemet, der har
> det. Hvis det eksempelvis forsoeger at tilgaa noget hukommelse, som det
> ikke har adgang til, laver processoren en page fault (eller en anden
> exception, jeg er ikke helt sikker), som resulterer i, at
> programudfoerslen overtages af operativsystemet, som vil afslutte
> programmet. Programmet bliver standset, inden det faar lavet ravage.
>
> Det samme gaelder, hvis programmet forsoeger at udfoere instruktioner,
> der kraever et hoejere niveau af privilegier eller lignende.

Fuldstændig korrekt, men al dette *forudsætter*, at system-filerne på HD'en
ikke er blevet infekseret

Jeg har ikke studeret Sasser-ormen, men jeg hørte på TV forleden dag, at
nogle - vist nok eksperter - sagde, at fremtidens Sasser sågar kunne
formatere HD'en.
Såfremt dette er korrekt (jeg kan jo have hørt galt, og jeg husker
dårligt), betyder det jo, at de sikkerhedsgarantier du opstiller, er
luftkasteller. Og det er jo ikke så godt

> >>Derudover er der i oevrigt paa langt de fleste processorer
> >>begraensninger for, hvilke instruktioner der maa udfoeres, som blandt
> >>andet Kent ogsaa naevner. ...
> >
> >
> > Kunne du være så elskværdig at referere dine henvisninger (i dette
> > tilfælde
> > Kent) konkret, så jeg (og andre fremover har lettere ved umiddelbart at
> > fatte, hvad du hentyder til.
>
> Nu regnede jeg med, at du godt kunne huske indlaegget, ...

Jeg har desværre en MEGET dårlig hukommelse

> ... da du selv fulgte
> op, men det var altsaa:
>
> 40ab748b$0$3048$14726298@news.sunsite.dk

Desværre kan denne oplysning ikke benyttes, når man (som jeg) læser
Off-line.

Men da jeg selv har kommenteret hans indlæg indgår tekststrengen
40ab748b$0$3048...osv. i min download. Kunne du næste gang gøre det således:

Name: Kent Friis
Date: 19. maj 2004 CET 16:51
40ab748b$0$3048$14726298@news.sunsite.dk

.... så er det hele meget lettere. Også når man om nogle måneder/år evt.
læser disse linier.

På forhånd tak

Kent Friss skrev...

=== citat start ===
Få fat i en manual til 80386 eller nyere, Motorola 68000 eller nyere,
eller tilsvarende processor fra efter Commodore 64 tiden.
=== citat slut ====

Disse CPU'er har *mulighed* for at begrænse, hvilke instruktioner der må
udføres; ja, men der afhænger af OS'en.

> >>... Eksempelvis paa en almindelig PC opererer
> >>processoren med tre eller fire `ringe' eller niveauer af privilegier.
> >
> >
> > Korrekt.
>
> Kun operativsystemet kan aendre et programs privilegieniveau, da dette
> skal goeres fra ring 0, saa et program kan ikke bryde ud og derved
> eskalere sine privilegier.

Dét kan muligvis godt gøres, dersom ... nej, det taler vi ikke om her
(folk kunne jo få gode idéer)

Jeg har dog ikke testet min ide (det er noget tid siden, jeg sidst har
programmeret), og det kræver temmelig meget arbejde at sætte sig ind i
dette. Og det er heller ej min primære opgave her i livet. Men muligvis kan
det lade sig gøre

> >>Operativsystemer saasom Linux, BSD og Windows NT-serien koerer i den
> >>inderste ring, almindelige programmer koerer i den yderste. Paa denne
> >>sikrer operativsystemet, at dét bestemmer hvem der faar adgang til hvad.
> >
> >
> > Korrekt (forudsat at Interrupt-tabellerne ikke er blevet infeceret).
>
> Hvordan skulle dette kunne ske, naar kun operativsystemet selv har
> adgang til hukommelsesomraadet, hvor interruptvektoren ligger?

Under boot (dette forudsætter dog at OS-filerne allerede ér blevet
infekseret).

> > Det kræver en gennemgribende ændring i Harddiskens konstruktion, men i
> > praksis mulig
>
> Dermed er den ikke interessant, da det allerede er muligt at beskytte
> operativsystemerne tilstraekkeligt med den af processoren givne
> privilegieopdeling.

Også når du får tilsendt en hidtil ukendt virus med E-mailen (og dit
Anti-virusprogram derfor ikke fanger den) fra en såkaldt "sikker" person ?


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2187

---

"Kall, Mogens" wrote:
>
> Men i det øjeblik en maskinkode afvikles på computeren, da er det faktisk
> dette program, som har "magtbeføjelserne". OS-kontrolsystemet kan kun
> overvåge programmet ved hjælp af Interrupt (program-afbrydelse). Disse
> Interrupt adresse-jump kan ændres (i hvert tilfælde på de gamle OS'er).

Du snakker om et OS fra før beskyttelsen blev indført.
Hvis man da overhovedet vil tillade sig at kalde DOS for
et OS. Jeg ved godt, at DOS står for Dirty Operating
System, så nogen syntedes åbenbart at det fortjente at
blive kaldt for et OS.

De ting du beskriver kan ikke lade sig gøre på et moderne
OS som BSD eller Linux.

>
> > Operativsystemer saasom Linux, BSD og Windows NT-serien koerer i den
> > inderste ring, almindelige programmer koerer i den yderste. Paa denne
> > sikrer operativsystemet, at dét bestemmer hvem der faar adgang til hvad.
>
> Korrekt (forudsat at Interrupt-tabellerne ikke er blevet infeceret).

Du mener modificeret. Men ellers har du ret, beskyttelsen
virker selvfølgelig kun så længe, der ikke er fejl i den.
Bliver der fundet fejl i beskyttelsen, så bliver de rettet.

Nogle gange ligger fejlen i OS, så er det nemt at rette.
Nogle gange ligger fejlen i hardware, så er det ikke nemt
at rette. Derfor skal der laves så lidt som muligt i
hardware, så man ikke har så mange fejl, der er svære at
rette.

Nogle af fejlene i hardwaren kan OS så undgå ved at sætte
hardwaren passende op. Fra start af er det jo kun den OS
kode, du stoler på, der kører. Den kan så sætte hardwaren
op så man fanger fejlene, hvis de skulle blive triggeret
af upriviligerede programmer. F.eks. kan man slippe omkring
F00F bugen i nogle pentium processorer ved at sætte nogle
pages og segmenter op på en speciel måde og checker for
nogle usædvanlige conditions i en exception handler. Andre
fejl kan være umulige at gøre noget ved.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:40ACB83E.26FF482E@daimi.au.dk...
> "Kall, Mogens" wrote:
> >
> > Men i det øjeblik en maskinkode afvikles på computeren, da er det
faktisk
> > dette program, som har "magtbeføjelserne". OS-kontrolsystemet kan kun
> > overvåge programmet ved hjælp af Interrupt (program-afbrydelse). Disse
> > Interrupt adresse-jump kan ændres (i hvert tilfælde på de gamle OS'er).
>
> Du snakker om et OS fra før beskyttelsen blev indført.
> Hvis man da overhovedet vil tillade sig at kalde DOS for
> et OS. Jeg ved godt, at DOS står for Dirty Operating
> System, så nogen syntedes åbenbart at det fortjente at
> blive kaldt for et OS.
>
> De ting du beskriver kan ikke lade sig gøre på et moderne
> OS som BSD eller Linux.

Jeg har aldrig studeret Linux, og jeg er desværre for dum til det. Men jeg
ville gerne, fordi netop Linux kan ændres

> > > Operativsystemer saasom Linux, BSD og Windows NT-serien koerer i den
> > > inderste ring, almindelige programmer koerer i den yderste. Paa denne
> > > sikrer operativsystemet, at dét bestemmer hvem der faar adgang til
hvad.
> >
> > Korrekt (forudsat at Interrupt-tabellerne ikke er blevet infeceret).
>
> Du mener modificeret. Men ellers har du ret, beskyttelsen
> virker selvfølgelig kun så længe, der ikke er fejl i den.
> Bliver der fundet fejl i beskyttelsen, så bliver de rettet.
>
> Nogle gange ligger fejlen i OS, så er det nemt at rette.
> Nogle gange ligger fejlen i hardware, så er det ikke nemt
> at rette. Derfor skal der laves så lidt som muligt i
> hardware, så man ikke har så mange fejl, der er svære at
> rette.

Fuldstændig korrekt!

Men, men ... det er jo så lille en ændring, jeg ønsker at foretage ... blot
gøre HD'en lidt mere skriveskyttet

> Nogle af fejlene i hardwaren kan OS så undgå ved at sætte
> hardwaren passende op. Fra start af er det jo kun den OS
> kode, du stoler på, der kører. ...

Jo, men den har én ALVORLIG sårbarhed. Den ligger úbeskyttet på HD'en! Havde
den nu fx. ligget på en CD-ROM, da ville du ikke kunne pille i filerne.

> ... Den kan så sætte hardwaren
> op så man fanger fejlene, ...

Ja!

> ... hvis de skulle blive triggeret
> af upriviligerede programmer.

(sætning ej forstået)

Tænker du her på BIOS-opkald ?

> ... F.eks. kan man slippe omkring
> F00F bugen i nogle pentium processorer ved at sætte nogle
> pages og segmenter op på en speciel måde og checker for
> nogle usædvanlige conditions i en exception handler. Andre
> fejl kan være umulige at gøre noget ved.

Det samme vil man også kunne gøre med "mit" system


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2188

---

"Kall, Mogens" wrote:
>
> Jeg har aldrig studeret Linux, og jeg er desværre for dum til det. Men jeg
> ville gerne, fordi netop Linux kan ændres

Jeg har hørt, at Mandrake skulle være nem at komme
i gang med. (Jeg har ikke selv prøvet den).

>
> Jo, men den har én ALVORLIG sårbarhed. Den ligger úbeskyttet på HD'en!

Nej. OS er ikke ubeskyttet. Det er lavet til at
beskytte sig selv.

> Havde
> den nu fx. ligget på en CD-ROM, da ville du ikke kunne pille i filerne.

Det har sine fordele. Og den er stadig til at
udskifte hvis der bliver fundet fejl.

>
> > ... hvis de skulle blive triggeret
> > af upriviligerede programmer.
>
> (sætning ej forstået)

Jeg siger bare, at selvom der er en fejl i hardwaren
kan man nogen gange lave softwaren, så det ikke gør
noget. F00F fejlen ville umiddelbart betyde, at et
program med en enkelt instruktion kunne crashe
maskinen. Men da fejlen blev opdaget fandt nogle
personer en snedig måde at opnå en exception i stedet
for et crash, og inde fra denne exception kunne man
så bare stoppe programmet og OS kørte upåvirket
videre.

>
> Tænker du her på BIOS-opkald ?

Nej. BIOS er overvurderet. Et moderne OS behøver
ikke bruge BIOS. Alt hvad der kan gøres fra BIOS kan
lige så vel gøres af OS kernen. BIOS er bare noget
kode, der er intet magisk ved den.

Og som der står i kommentarerne til Linux opstarts
kode: "we don't need no steenking BIOS anyway (except
for the initial loading ."

>
> Det samme vil man også kunne gøre med "mit" system

Jo mere kompliceret du gør det, des flere fejl vil
der være. Og des større er risikoen for en fejl, som
softwaren ikke kan gøre noget ved.

Og dit system lider af den alvorlige designfejl, at
du forudsætter, at hardwaren er fejlfri. En enkelt
fejl i hardwaren, som OS er nødt til at forhindre
misbrug af, betyder, at din beskyttelse overhovedet
ikke virker. Tilbage er kun den beskyttelse, som OS
implementerer. Og den har vi allerede i dag.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

---

---

"Michael Knudsen" skrev
news:Pine.GSO.4.50.0405200245170.9518-100000@fire2.cs.auc.dk

> On Thu, 20 May 2004, Kall, Mogens wrote:
> > 1.
> > Angriberen angriber først et forsvarsløst mellemled (Zombie).
>
> Nej.

Tak for dit svar, Michael.

Du må bære over med mig (for en tid). Jeg er desværre ret tungnem

Dette forstod jeg ikke helt.

Angriberen kontakter mellemleddet (for mig at se ér dette et angreb).

Den eneste måde angriberen kan feedback på sin henvendelse, er vel at
Zombie'n sender besked tilbage til angriberens IP-adresse, eller hva' ?

Kan alle computere bruges af angriberen som mellemled (Zombie), dersom
angriberen besidder denns IP-adresse ?

Vil min computer også kunne benyttes hertil, selvom jeg har firewall ?

Hvilke begrænsninger er der mht. disse computere ?

> > 2.
> > Zombie'ns IP-adresse benyttes herefter i angrebet.
> > (og det er denne IP-adresse, jeg registrerer)
>
> Ja.

Og dette sker mens Zombie'n er on-line, således at angriberen kan få
feedback under punkt 3, eller hva' ?

Sender min computer besked til Zombie'n (hvilket afslører mig), når min
computer har firewall ?

Såfremt svaret er *JA*; vil man kunne omprogrammere min computer til IKKE at
sende disse beskeder ?

Og i så fald - hvilke konsekvenser kan det få for andre programmer og
Internet-kommunikation ?

> > 3.
> > Angriberen indhenter oplysningerne herefter fra Zombie'n
>
> Delvist.
>
> > Korrekt forstået ?
>
> Delvist. Lidt forenklet sagt saa skyder du som angriber skylden paa
> en anden, som vil se ud som den egentlige angriber. ...

Den har jeg fattet (angriberens den falske IP-adresse)

> ... Derefter kan du
> spoerge din syndebuk paa den korrekte maade og udlede den oenskede
> information af svaret fra din syndebuk.

Men syndebukken (Zombie'n) bliver jo igen kontaktet af angriberen (her under
punkt 3) og sender oplysningerne (vedrørende mine portes status) fra punkt 2
til angriberen. Korrekt forstået ?

Og disse oplysninger sendes vel til angriberens IP-adressen (hvordan skulle
vedkommende ellers modtage dem). Korrekt forstået ?

Såfremt dit svar herpå er *JA*, da må det da være muligt at opsnappe
angriberens IP-adresse ved at overvåge mellemleddet's kommunikation, eller
hva' ?

> > Hvis svaret herpå er *JA*, da kan man roligt klage over denne IP-adresse
> > til
> > dets Internet-udbyder; idet computeren jo benyttes af angriberen.
>
> Nej, du kan ej! Det er jo netop ikke den, der har angrebet dig. Du har
> ikke set _een eneste_ pakke med den reelle angribers IP-adresse. Det er
> _det_, der er det smarte ved denne metode.

Du misforstår mig (mit ordvalg var dumt). Klagen er IKKE over syndebukken,
men at angriberen benytter syndebukkens IP-adresse. Henvendelsen til
syndebukken (Zombie'n) er således blot et opsporingsforsøg.

> > Internet-udbyderen til Zombie'n kan muligvis *spore* angriberens
> > IP-adresse
> > via "korrespondancen" mellem angriberen og Zombie'n med henblik på
> > erstatningskrav!
>
> Hvis du paa nogen maade kan komme med en god, effektiv og, foerst og
> fremmest, korrekt metode til at afgoere denne korrespondence paa, saa
> kan du sandsynligvis blive baade rig og beroemt.
>
> Taenk lidt over det, bare med _to_ pakker. En til den angrebne og en til
> syndebukken. Disse _to_ pakker i en potentiel stroem af _millioner_ af
> andre pakker. Disse to pakker har forskellige modtagere og afsendere.
> Hvordan vil du paa nogen maade kunne afgoere en sammenhaeng mellem disse
> to pakker? For _resten_ af alle pakkerne?

Såfremt jeg har forstået al dette korrekt:

Brug tiden som et våben.

Angriberen registreres af mit computer-ur (dette kan dog gå forkert). Men
hvis min firewall AUTOMATISK (og ØJEBLIKKELIG) sender en besked til min
Internet-udbyder samt et centralt globalt register, se ...

Date: 20. maj 2004 CET 11:09
2169 news:2B_qc.208$Vf.12228@news000.worldonline.dk

.... da vil deres ur angive den korrekte tid.

Dersom mellemleddets (Zombie'ns) Internet-udbyderen har nogle minutters
DATA-memory på sine kunders Internet-kommunikation, da vil man herfra kunne
indkredse angriberens IP-adresse til blot nogle få ud af mange millioner
(gruppe A).
Dersom dette DATA-memory IKKE haves på alle kunder, bør der i hvert fald
oprettes et for "udvalgte" kunder (dem, angriberne allerede tidligere har
benyttet).
Dersom angriberen fortsætter sit angreb, men nu blot fra et nyt mellemled
(Zombie), vil man igen kunne indkredse angriberens IP-adresse til blot nogle
få ud af mange millioner (gruppe B).
Sammenlignes nu de to grupper A og B med hinanden; da vil man yderligere
kunne indkredse angriberens IP-adresse. Muligvis er der kun én IP-adresse i
fællesmængden !!!
Denne IP-adresse behøver ikke at være selve angriberens. Det kan godt
være blot endnu et mellemled (Zombie no 2), men på et tidspunkt er der en
ende i denne kæde, og her sidder angriberen. Desto længere kæder er, desto
længere tid tager det for angriberen at få et svar, og derfor er vedkommende
lettere at spore

Men systemet vil kun virke, dersom rapporteringen sker ØJEBLIKKELIG (ellers
bliver DATA-memory-mængderne for store og úoverskuelige).

Lad os prøve at konkretisere dette med et eksempel:
(jeg benytter her mine egne DATA-kilder)

Date: 17. maj 2004 CET 23:49
Subject: Hacher-angreb
2148 news:6saqc.164635$jf4.8542374@news000.worldonline.dk

=== citat start (relevante oplysninger medtaget ) ===

Dato: 16-05-2004 Klokkeslæt: 20:13:50 - 62.79.39.235
Dato: 16-05-2004 Klokkeslæt: 20:21:09 - 62.79.85.4
Dato: 16-05-2004 Klokkeslæt: 20:21:39 - 62.79.74.237
Dato: 16-05-2004 Klokkeslæt: 20:24:15 - 62.79.86.5

=== citat slut ====

Samtlige 4 IP-adresser tilhører Internet-udbyderen Tiscali.dk

Klokken 20:13:50 sender min firewall besked til min Internet-udbyder. Denne
blokerer al trafik fra tiscali.dk, dersom afsenderens IP-adresse er
62.79.39.235.

Samtidig kontakter min Internet-udbyder Tiscali.dk indenfor 30 sekunder
(søgning i DATA-registeret for IP-adressens Internetudbyder må selvfølgelig
ske automatisk)

Tiscali overvåger herefter eventuelt kommunikation til og fra dets kunde med
IP-adressen 62.79.39.235, og opsnapper IP-adresser. Det kunne jo være, at
*din* firewall, Michael 3 minutter senere ligeledes slår alarm, og Tiscali
STRAKS får meddelelse herom.
Da vil man være i stand til at udpege angriberens IP-adresse

Klokken 20:21:09 gentages proceduren.
Klokken 20:21:39 gentages proceduren.

Her afsløres det, at angriberen ikke har mange mellemled, dersom det blot er
en enkelt computer, der benyttes under angrebet ( max. 30 sekunder)

Klokken 20:24:15 gentages proceduren.

> > Hvis jeg var Internet-udbyder ville jeg registrere "korrespondancerne",
> > således at jeg altid sidenhen kan efterspore *uønskede* elementer!!!
>
> Er du klar over, hvor store maengder traffik, der skal logges og
> analyseres?

Ikke hvis min firewall (automatisk og øjeblikkelig) sender alarmer om
mistænkelige IP-adresser til min Internet-udbyder. Så er DATA-mængden
faktisk ret overskuelig

> > (man kan muligvis tjene MANGE penge på dette)
>
> Du kan ikke tjene penge paa erstatningskrav. Erstatningskrav skal daekke
> tabt indtaegt og lignende, og ikke en krone mere.

Pengeinstitutter bryder sig ikke om hackere, og betaler gerne en lille
dusør, dersom røveri forhindres. Og røverne kommer i *fængsel*

Tak for din hjælp, Michael.


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2170

---

"Kall, Mogens" wrote:
>
> Angriberen kontakter mellemleddet (for mig at se ér dette et angreb).

Vi andre kalder ikke enhver kontakt for et angreb.

>
> Den eneste måde angriberen kan feedback på sin henvendelse, er vel at
> Zombie'n sender besked tilbage til angriberens IP-adresse, eller hva' ?

Ja.

>
> Kan alle computere bruges af angriberen som mellemled (Zombie), dersom
> angriberen besidder denns IP-adresse ?

Det forudsætter, at Zombien bruger forudsigelige IPID
numre, og ikke bruger sin netforbindelse ret meget.

>
> Vil min computer også kunne benyttes hertil, selvom jeg har firewall ?

Det afhænger af mange faktorer. Men et forsøg på at
løse problemet med en firewall, vil typisk medføre en
række større problemer.

>
> Hvilke begrænsninger er der mht. disse computere ?

Det kræver maskinen bruger nogle forudsigelige IPID
værdier, som faktisk fortæller noget om, hvor mange
pakker maskinen har sendt.

Der er mange måder en IP implementation kan beskytte
sig selv imod at blive misbrugt som mellemled.

F.eks. kan man bruge forskellige strategier for IPID
tildeling på pakker, hvor der er brug for IPID og
hvor der ikke er brug for IPID.

Hvis DF flaget er sat (hvilket ofte vil være tilfældet
på TCP pakker), så kan IPID lige så godt være nul
eller noget fuldstændigt tilfældigt. (Ja, nul ville
være forudsigeligt, men det kan alligevel ikke bruges
til noget, da det intet fortæller om, hvor mange
pakker maskinen har sendt).

På pakker hvor der er brug for IPID kan det genereres
så det er svære at forudsige. Det eneste krav er, at
man ikke bruger den samme værdi for tit. Så da der er
65536 forskellige muligheder, kunne man have en liste
hvoraf de seneste brugte fremgik, og så vælge et
tilfældigt blandt de 32768 det var længst siden man
sidst havde brugt. Det ville kræver 128KB RAM og kunne
gøres meget effektivt.

Alternativt kunne man bruge forskellige sekvenser af
IPID afhængigt af destinations IP. Hvordan man lige
undgår, at det fører til stort hukommelsesforbrug har
jeg ikke noget forslag til.

>
> > > 2.
> > > Zombie'ns IP-adresse benyttes herefter i angrebet.
> > > (og det er denne IP-adresse, jeg registrerer)
> >
> > Ja.
>
> Og dette sker mens Zombie'n er on-line, således at angriberen kan få
> feedback under punkt 3, eller hva' ?

Ja.

>
> Sender min computer besked til Zombie'n

Ja, det skal den ifølge TCP standarden.

> (hvilket afslører mig),

Hvad mener du med at afsløre dig? Det eneste svaret
fortæller er, om du har en server kørende. Og hvis du
har en server kørende er du jo nødt til at svare, for
at den kan bruges.

> når min computer har firewall ?

Der findes firewalls, der overtræder TCP standarden.

>
> Såfremt svaret er *JA*; vil man kunne omprogrammere min computer til IKKE at
> sende disse beskeder ?

Det kunne man godt, men den ville ikke længere overholde
standarden. Jeg kan heller ikke lige se, hvad formål,
det skulle tjene.

>
> Og i så fald - hvilke konsekvenser kan det få for andre programmer og
> Internet-kommunikation ?

Nogle ting vil blive sløvet ned, fordi de bliver ved med
at sende pakker til dig, som de forventer at få et svar
på. Det ville også gøre det nemmere at spoofe din IP
adresse i andre angreb, f.eks. mod maskiner med forudsigelige
TCP sekvens numre.

>
> > > 3.
> > > Angriberen indhenter oplysningerne herefter fra Zombie'n
> >
> > Delvist.
> >
> > > Korrekt forstået ?
> >
> > Delvist. Lidt forenklet sagt saa skyder du som angriber skylden paa
> > en anden, som vil se ud som den egentlige angriber. ...
>
> Den har jeg fattet (angriberens den falske IP-adresse)
>
> > ... Derefter kan du
> > spoerge din syndebuk paa den korrekte maade og udlede den oenskede
> > information af svaret fra din syndebuk.
>
> Men syndebukken (Zombie'n) bliver jo igen kontaktet af angriberen

Ja.

> og sender oplysningerne (vedrørende mine portes status)

Nej. Men de kan indirekte udledes fra svarene, og viden
om de spoofede pakker man har sendt. Alt sammen under
antagelse af, at der ikke er anden trafik på zombien.

>
> Såfremt dit svar herpå er *JA*, da må det da være muligt at opsnappe
> angriberens IP-adresse ved at overvåge mellemleddet's kommunikation, eller
> hva' ?

Ja i teorien. Men det er mange personer, der skal
overbevises om at overvåge uskyldige menneskers
ligegyldige kommunikation. Og at overhovedet få sat den
overvågning i gang med så kort varsel er urealistisk.

Du skal være opmærksom på, at mellemledet strengt taget
ikke er blevet misbrugt. Den har heller ikke været
involveret i misbruget. Den har udelukkende overholdt
standarden og sendt svar på de pakker, den nu engang
modtog. I tilfælde at alle porte har været lukket, har
zombien faktisk slet ikke sendt en eneste pakke til den
scannede maskine.

Og trafik mellem scanneren og zombien kan være hvad som
helst. Det kan være ganske legitim trafik. Det behøver
ikke engang være initieret af scanneren. Jeg kunne sætte
en server op, og når så min maskine bliver kontaktet, så
spoofer jeg klientens IP i en idle-scan.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" skrev
news:40ACB1F6.601352D3@daimi.au.dk

> "Kall, Mogens" wrote:
> >
> > Angriberen kontakter mellemleddet (for mig at se ér dette et angreb).
>
> Vi andre kalder ikke enhver kontakt for et angreb.

Selvfølgelig ikke, men når vi konstaterer under punkt 2, at dennes
IP-adresse bliver misbrugt, da kan vi roligt sige ... muligvis også juridisk
set ... at der er tale om et bevidst angreb, og som man kan blive
straffet for. Findes der smuthuller i den nuværende danske lovgivning; ja,
så ændrer vi den bare (her og nu), så man i fremtiden kan blive draget til
ansvar for denne sin forbrydelse!


Punkt 1:

> > Den eneste måde angriberen kan feedback på sin henvendelse, er vel at
> > Zombie'n sender besked tilbage til angriberens IP-adresse, eller hva' ?
>
> Ja.

Fedt nok !!!

"Arkiveres" angriberens IP-adresse på Zombiens computer, således at man
senere kan efterspore denne ?

(Såfremt svaret er *nej*:)
Kan man muliggøre dette med et program ?

Kan man få et program (Pg-1.2), der forhindrer, at min computer svarer
tilbage til angriberen, således at man derved undgår at blive en Zambie ?

> > Kan alle computere bruges af angriberen som mellemled (Zombie), dersom
> > angriberen besidder denns IP-adresse ?
>
> Det forudsætter, at Zombien bruger forudsigelige IPID
> numre, og ikke bruger sin netforbindelse ret meget.

Okay.

> > Vil min computer også kunne benyttes hertil, selvom jeg har firewall ?
>
> Det afhænger af mange faktorer. ...

Hvilke ?

> ... Men et forsøg på at
> løse problemet med en firewall, vil typisk medføre en
> række større problemer.

Og disse er ?

> > Hvilke begrænsninger er der mht. disse computere ?
>
> Det kræver maskinen bruger nogle forudsigelige IPID
> værdier, som faktisk fortæller noget om, hvor mange
> pakker maskinen har sendt.
>
> Der er mange måder en IP implementation kan beskytte
> sig selv imod at blive misbrugt som mellemled.
>
> F.eks. kan man bruge forskellige strategier for IPID
> tildeling på pakker, hvor der er brug for IPID og
> hvor der ikke er brug for IPID.
>
> Hvis DF flaget er sat (hvilket ofte vil være tilfældet
> på TCP pakker), så kan IPID lige så godt være nul
> eller noget fuldstændigt tilfældigt. (Ja, nul ville
> være forudsigeligt, men det kan alligevel ikke bruges
> til noget, da det intet fortæller om, hvor mange
> pakker maskinen har sendt).
>
> På pakker hvor der er brug for IPID kan det genereres
> så det er svære at forudsige. Det eneste krav er, at
> man ikke bruger den samme værdi for tit. Så da der er
> 65536 forskellige muligheder, kunne man have en liste
> hvoraf de seneste brugte fremgik, og så vælge et
> tilfældigt blandt de 32768 det var længst siden man
> sidst havde brugt. Det ville kræver 128KB RAM og kunne
> gøres meget effektivt.
>
> Alternativt kunne man bruge forskellige sekvenser af
> IPID afhængigt af destinations IP. Hvordan man lige
> undgår, at det fører til stort hukommelsesforbrug har
> jeg ikke noget forslag til.

Kan man ligeledes her få et program som *automatisk* vanskeliggør
forudsigeligheden af IPID numrene (således at brugeren ikke skal tænke
nærmere over dette) ?




Punkt 2:

> > Og dette sker mens Zombie'n er on-line, således at angriberen kan få
> > feedback under punkt 3, eller hva' ?
>
> Ja.

Fedt nok !!!

Hvis vi opretter dette offensive forsvarssystem, da vil vi kunne kontakte
Zombien og vente på at angriberen kommer og *afslører* sin IP-adresse.

> > Sender min computer besked til Zombie'n
>
> Ja, det skal den ifølge TCP standarden.
>
> > (hvilket afslører mig),
>
> Hvad mener du med at afsløre dig? Det eneste svaret
> fortæller er, om du har en server kørende. Og hvis du
> har en server kørende er du jo nødt til at svare, for
> at den kan bruges.
>
> > når min computer har firewall ?
>
> Der findes firewalls, der overtræder TCP standarden.

Og disse er ?

> > Såfremt svaret er *JA*; vil man kunne omprogrammere min computer til
> > IKKE at sende disse beskeder ?
>
> Det kunne man godt, men den ville ikke længere overholde
> standarden. ...

Hvorledes foregår denne omprogrammering ?

> ... Jeg kan heller ikke lige se, hvad formål,
> det skulle tjene.

Der er et ordsprog, som lyder:

Tale er sølv, tavshed er guld

> > Og i så fald - hvilke konsekvenser kan det få for andre programmer og
> > Internet-kommunikation ?
>
> Nogle ting vil blive sløvet ned, fordi de bliver ved med
> at sende pakker til dig, som de forventer at få et svar
> på. ...

Også selvom jeg *aldrig* har bedt om disse pakker ?
(hvordan skulle afsenderen i så fald kunne have kendskab til min computers
eksistens)

> ... Det ville også gøre det nemmere at spoofe din IP
> adresse i andre angreb, f.eks. mod maskiner med forudsigelige
> TCP sekvens numre.

.... forudsat at min maskine sender svar, Pg-1.2



Punkt 3.

> > Men syndebukken (Zombie'n) bliver jo igen kontaktet af angriberen
>
> Ja.

Og angriberen kan ikke få et svar uden at opgive sin IP-adresse.
(svaret fået nedenfor, search *001*)

> > og sender oplysningerne (vedrørende mine portes status)
>
> Nej. Men de kan indirekte udledes fra svarene, ...

Henholdsvis aktuel port åben eller lukket ...
(fx. web servers on port 80 and mail servers on port 25)

.... og viden
> om de spoofede pakker man har sendt. Alt sammen under
> antagelse af, at der ikke er anden trafik på zombien.

Hvor mange sekunder taler vi her om ?

> > Såfremt dit svar herpå er *JA*, da må det da være muligt at opsnappe
> > angriberens IP-adresse ved at overvåge mellemleddet's kommunikation,
> > eller hva' ?
>
> Ja i teorien. ...

Fedt nok!

Markør *001*.

> ... Men det er mange personer, der skal
> overbevises om at overvåge uskyldige menneskers
> ligegyldige kommunikation. Og at overhovedet få sat den
> overvågning i gang med så kort varsel er urealistisk.

Ikke for mig at se, dersom vi kan minimere overvågningen til blot et enkelt
objekt

>
> Du skal være opmærksom på, at mellemledet strengt taget
> ikke er blevet misbrugt. ...

Det har vi så delte meninger om (IP-adresse misbrug)!

> ... Den har heller ikke været
> involveret i misbruget. ...

Nej på ingen måde!

> ... Den har udelukkende overholdt
> standarden og sendt svar på de pakker, den nu engang
> modtog. I tilfælde at alle porte har været lukket, har
> zombien faktisk slet ikke sendt en eneste pakke til den
> scannede maskine.

Korrekt.

> Og trafik mellem scanneren og zombien kan være hvad som
> helst. Det kan være ganske legitim trafik. Det behøver
> ikke engang være initieret af scanneren. Jeg kunne sætte
> en server op, og når så min maskine bliver kontaktet, så
> spoofer jeg klientens IP i en idle-scan.

Hackere foretager YDERST sjældent kun disse angreb én gang. Gentagelserne
vil afsløre hackeren!

(det er *derfor*, at der skal indsamles DATA)

Et spørgsmål melder sig:

Forestiller vi os ("hypotetisk" set), at min IP-adresse benyttes af
angriberen. Vil min firewall registrere, når angriberen kontakter Zombien
(mig) ?

.... og give alarm-meddelse ?

Tak for dit svar, Kasper.


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2183

---

"Kall, Mogens" wrote:
>
> "Kasper Dupont" skrev
> news:40ACB1F6.601352D3@daimi.au.dk
>
> > "Kall, Mogens" wrote:
> > >
> > > Angriberen kontakter mellemleddet (for mig at se ér dette et angreb).
> >
> > Vi andre kalder ikke enhver kontakt for et angreb.
>
> Selvfølgelig ikke, men når vi konstaterer under punkt 2, at dennes
> IP-adresse bliver misbrugt, da kan vi roligt sige

IP-adressen bliver misbrugt, men det betyder ikke, at maskinen
med den pågældende IP-adresse er blevet udsat for noget angreb.
Er IP spoofing i sig selv ulovligt? Jeg ved det ikke, men du
får en ret tung bevisbyrde at løfte.

>
> "Arkiveres" angriberens IP-adresse på Zombiens computer, således at man
> senere kan efterspore denne ?

Nej.

>
> (Såfremt svaret er *nej*:)
> Kan man muliggøre dette med et program ?

ethereal

>
> Kan man få et program (Pg-1.2), der forhindrer, at min computer svarer
> tilbage til angriberen, således at man derved undgår at blive en Zambie ?

Din computer skal svare, at unlade at svare ville være en
overtrædelse af TCP standarden. Men med en god IP implementation
ville svarene ikke kunne bruges til noget.

>
> > > Vil min computer også kunne benyttes hertil, selvom jeg har firewall ?
> >
> > Det afhænger af mange faktorer. ...
>
> Hvilke ?

Hvilken firewall du bruger. Hvordan den er opsat. Hvor mange
maskiner, der sidder bagved firewallen, og hvor meget de
bruger netforbindelsen. NAT slået til eller fra i firewallen.
Sendes svaret af firewallen selv eller maskinen bagved.
Ændres IPID i firewallen. Hvordan genererer firewallen IPID.

Under nogen omstændigheder kunne firewallen faktisk gøre det
nemmere at udføre angrebet. Hvis f.eks. firewallen selv
sender svarene, men bruger sekventielle IPID. Så ville din
firewall kunne bruges som zombie, uanset om maskinen bagved
ville kunne være brugt eller ej.

>
> > ... Men et forsøg på at
> > løse problemet med en firewall, vil typisk medføre en
> > række større problemer.
>
> Og disse er ?

Hvis du bruger en firewall med en NAT funktion vil det være
svært at garantere at der ikke sendes samme IPID to gange
med for kort mellemrum. Det samme gælder, hvis nogen pakker
genereres af firewallen, og andre genereres af maskiner
bagved.

En god firewall kunne selv generere IPID til alle udgående
pakker, inklusiv dem, der kom fra maskiner bagved. Men så
skal den også holde øje med IPID på de pakker den modtager
fra maskinerne. Hvis en maskine sender to pakker med samme
destination og IPID med kort mellemrum, så skal firewallen
også bruge samme IPID til de to pakker.

>
> Kan man ligeledes her få et program som *automatisk* vanskeliggør
> forudsigeligheden af IPID numrene (således at brugeren ikke skal tænke
> nærmere over dette) ?

Det skal ligge i IP implementationen i dit OS. For det
første kan du undersøge, om dit OS allerede har en god
algoritme til generering af IPID. Det kan man vist teste
med nmap. Hvis det ikke er tilfældet kan du undersøge, om
IP implementationen kan udskiftes med en anden mere
sikker version, eller om den har nogle hooks, som gør det
muligt at ændre på IPID.

>
> Punkt 2:
>
> > > Og dette sker mens Zombie'n er on-line, således at angriberen kan få
> > > feedback under punkt 3, eller hva' ?
> >
> > Ja.
>
> Fedt nok !!!
>
> Hvis vi opretter dette offensive forsvarssystem, da vil vi kunne kontakte
> Zombien og vente på at angriberen kommer og *afslører* sin IP-adresse.

Det kan du ikke. Zombien kan på ingen måde vide, hvilke
pakker der bliver brugt til at probe dens IPID numre.
Enhver pakke Zombien sender indeholder oplysninger om
dens IPID numre. Desuden ville dit system være alt for
usikkert, da det ville tillade at trække alt for mange
data ud af vilkårlige maskiner.

> >
> > Nogle ting vil blive sløvet ned, fordi de bliver ved med
> > at sende pakker til dig, som de forventer at få et svar
> > på. ...
>
> Også selvom jeg *aldrig* har bedt om disse pakker ?

Hvis du opretter en udgående forbindelse vil nogen
maskiner kontakte din maskine på andre porte. F.eks.
for at logge hvilken bruger på din maskine, der har
åbnet forbindelsen. Du kan selv vælge, om den oplysning
skal logges. Hvis du kører IDENT bliver brugernavnet
logget, ellers gør det ikke. Men hvis din maskine ikke
svarer, vil modparten være nødt til at sende sin pakke
igen og igen indtil du svarer, eller der forekommer et
timeout.

En anden grund til at oprette forbindelser tilbage til
din maskine kunne være, at man kiggede efter åbne
proxies på din maskine. Hvis din maskine havde en åben
proxy, og dermed kunne misbruges, vil nogen ikke tage
imod forbindelser fra dig. Igen vil det gå hurtigt,
hvis din maskine blot sender en besked om, at porten
er lukket. Hvis din maskine ikke svarer bliver du nødt
til at vente på et timeout.

> (hvordan skulle afsenderen i så fald kunne have kendskab til min computers
> eksistens)
>
> > ... Det ville også gøre det nemmere at spoofe din IP
> > adresse i andre angreb, f.eks. mod maskiner med forudsigelige
> > TCP sekvens numre.
>
> ... forudsat at min maskine sender svar,

Nej, forudsat at din maskine ikke sender svar.

>
> ... og viden
> > om de spoofede pakker man har sendt. Alt sammen under
> > antagelse af, at der ikke er anden trafik på zombien.
>
> Hvor mange sekunder taler vi her om ?

Det kommer an på, hvor mange porte, der scannes ad
gangen. Man kan f.eks. sende 100 pakker til den maskine,
man vil scanne, mellem hver pakke sendt til zombien.
Hvis man går ud fra, at der er minimum 32kb/s til
rådighed kan de 100 pakker sendes på et sekund. Så skal
man efterfølgende vente længe nok, til man er sikker på,
at der er gået en roundtrip tid. Man kunne f.eks. vente
et sekund. Så der skal nok ca. 3 sekunder uden trafik
til, for at udføre dette scan.

Hvis alle porte var lukket og zombien var idle, så ville
IPID vokse med en i mellem de to probes. Hvis IPID var
vokset mere end det, så måtte man prøve igen og kun tage
halvdelen af portene hver gang.

>
> > ... Men det er mange personer, der skal
> > overbevises om at overvåge uskyldige menneskers
> > ligegyldige kommunikation. Og at overhovedet få sat den
> > overvågning i gang med så kort varsel er urealistisk.
>
> Ikke for mig at se, dersom vi kan minimere overvågningen til blot et enkelt
> objekt

Det kan du ikke. Der er ingen måde at bevise, om en
maskine bliver brugt som zombie. En nemmere og bedre
løsning ville være, at afskaffe usiker IPID generering.

>
> >
> > Du skal være opmærksom på, at mellemledet strengt taget
> > ikke er blevet misbrugt. ...
>
> Det har vi så delte meninger om (IP-adresse misbrug)!

Du kan sagtens misbruge en maskines IP adresse uden at
misbruge maskinen.

>
> > Og trafik mellem scanneren og zombien kan være hvad som
> > helst. Det kan være ganske legitim trafik. Det behøver
> > ikke engang være initieret af scanneren. Jeg kunne sætte
> > en server op, og når så min maskine bliver kontaktet, så
> > spoofer jeg klientens IP i en idle-scan.
>
> Hackere foretager YDERST sjældent kun disse angreb én gang. Gentagelserne
> vil afsløre hackeren!

IPID probes kan foretages ved legitim trafik. Desuden
kan de maskeres ved samtidig at spoofe SYN pakker til
lukkede porte på zombien.

Forestil dig følgende scenarie:
A er en legitim bruger af serveren B
A vil scanne maskinen C

A opretter en forbindelse til B for at probe for dennes
IPID. Samtidig sendes en spoofet pakke fra A til B, som
angiver D som afsender. B sender et svar til D. A kan
forudsige, hvad IPID denne pakke måtte være.

Når jeg siger samtidig kunne det f.eks. gøres ved, at
pakkerne sendes i en tilfældig rækkefølge, for at det
bliver lidt sværere at gennemskue, hvad A har gang i.

Herefter sender A en række pakker til C og spoofer
afsender adressen B.

Dernæst prober A igen for Bs IPID. Dette gøres som før
ved at maskere det med en pakke fra D.

A kan nu udfra svarene udregne hvor mange åbne porte
der var på C i det scannede interval. Og regne ud,
hvad D ville være kommet frem til, hvis D havde lavet
et konventionelt idlescan af C vha. zombien B.

Det vil se ud som om, D er ved at lave et idlescan af
C. Men pga. trafikken fra A bliver D nødt til at prøve
igen og igen.

Der er ingen måde B kan vide, om det var A eller D,
der udførte et idlescan af C. Faktisk ville B nok
komme frem til den konklusion, at B var blevet udsat
for et portscan af D.

>
> (det er *derfor*, at der skal indsamles DATA)
>
> Et spørgsmål melder sig:
>
> Forestiller vi os ("hypotetisk" set), at min IP-adresse benyttes af
> angriberen. Vil min firewall registrere, når angriberen kontakter Zombien
> (mig) ?

Måske.

>
> ... og give alarm-meddelse ?


Forhåbentlig ikke. Den slags er bare til gene for
brugeren. Det skal logges, så man kan kigge på det
efterfølgende.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont wrote:
>
> Der er ingen måde B kan vide, om det var A eller D,
> der udførte et idlescan af C. Faktisk ville B nok
> komme frem til den konklusion, at B var blevet udsat
> for et portscan af D.

Og for så lige at sætte kronen på værket. Indser
man, at det fra Ds synspunkt næsten ser ud som om,
at D er blevet brugt som zombie i et idlescan af B.
Bortset fra de manglende IPID probes. Men dem kan
A så passende spoofe med E som afsender. Så nu har
A opnået at scanne C, men:

C tror at han er blevet portscannet af B.

B tror at han er blevet portscannet af D. Med
mindre B kan gennemskue, at det er et idlescan,
så tror B nemlig at D har brugt B som zombie i
et idlescan af C.

Og endelig tror D, at E har brugt D som zombie i
et idlescan af B.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" skrev
news:40AD972D.9C288C19@daimi.au.dk

Jeg har for nemhedens skyld klippet mit indlæg over i 2


PART 1:

NB!
Spring til part 2, den er sjovere

[ ... ]
> IP-adressen bliver misbrugt, men det betyder ikke, at maskinen
> med den pågældende IP-adresse er blevet udsat for noget angreb.
> Er IP spoofing i sig selv ulovligt? Jeg ved det ikke, men du
> får en ret tung bevisbyrde at løfte.



> > "Arkiveres" angriberens IP-adresse på Zombiens computer, således at man
> > senere kan efterspore denne ?
>
> Nej.

Øv!

> > (Såfremt svaret er *nej*:)
> > Kan man muliggøre dette med et program ?
>
> ethereal

Den må du lige uddybe for mig
(jeg er som tidligere sagt en håbløs amatør)

> > Kan man få et program (Pg-1.2), der forhindrer, at min computer svarer
> > tilbage til angriberen, således at man derved undgår at blive en Zambie
> > ?
>
> Din computer skal svare, at unlade at svare ville være en
> overtrædelse af TCP standarden. Men med en god IP implementation
> ville svarene ikke kunne bruges til noget.

Og hvordan får jeg på min computer en god IP implementation ?

(vedr. zombie)
>...> Vil min computer også kunne benyttes hertil, selvom jeg har firewall ?

> Hvilken firewall du bruger. Hvordan den er opsat. Hvor mange
> maskiner, der sidder bagved firewallen, og hvor meget de
> bruger netforbindelsen. NAT slået til eller fra i firewallen.
> Sendes svaret af firewallen selv eller maskinen bagved.
> Ændres IPID i firewallen. Hvordan genererer firewallen IPID.
>
> Under nogen omstændigheder kunne firewallen faktisk gøre det
> nemmere at udføre angrebet. ...

Ups!

> ... Hvis f.eks. firewallen selv
> sender svarene, men bruger sekventielle IPID. Så ville din
> firewall kunne bruges som zombie, uanset om maskinen bagved
> ville kunne være brugt eller ej.

Jeg har meget at lære, kan jeg se

> > > ... Men et forsøg på at
> > > løse problemet med en firewall, vil typisk medføre en
> > > række større problemer.
> >
> > Og disse er ?
>
> Hvis du bruger en firewall med en NAT funktion vil det være
> svært at garantere at der ikke sendes samme IPID to gange
> med for kort mellemrum. Det samme gælder, hvis nogen pakker
> genereres af firewallen, og andre genereres af maskiner
> bagved.
>
> En god firewall kunne selv generere IPID til alle udgående
> pakker, inklusiv dem, der kom fra maskiner bagved. ...

Taler vi her både om software og hardware firewall's ?

Har du konkrete forslag på sådanne firewall, således at jeg (og andre)
úmiddelbart kan anskaffe os sådan nogle ?

> ... Men så
> skal den også holde øje med IPID på de pakker den modtager
> fra maskinerne. Hvis en maskine sender to pakker med samme
> destination og IPID med kort mellemrum, så skal firewallen
> også bruge samme IPID til de to pakker.

Hvorfor *skal* firewallen det ?

> > Kan man ligeledes her få et program som *automatisk* vanskeliggør
> > forudsigeligheden af IPID numrene (således at brugeren ikke skal tænke
> > nærmere over dette) ?
>
> Det skal ligge i IP implementationen i dit OS. For det
> første kan du undersøge, om dit OS allerede har en god
> algoritme til generering af IPID. Det kan man vist teste
> med nmap. Hvis det ikke er tilfældet kan du undersøge, om
> IP implementationen kan udskiftes med en anden mere
> sikker version, eller om den har nogle hooks, som gør det
> muligt at ændre på IPID.

Puha - jeg lærer det nok aldrig



Punkt 2:

> > > > Og dette sker mens Zombie'n er on-line, således at angriberen kan få
> > > > feedback under punkt 3, eller hva' ?
> > >
> > > Ja.
> >
> > Fedt nok !!!
> >
> > Hvis vi opretter dette offensive forsvarssystem, da vil vi kunne
> > kontakte
> > Zombien og vente på at angriberen kommer og *afslører* sin IP-adresse.
>
> Det kan du ikke. ...

Æv!

> ... Zombien kan på ingen måde vide, hvilke
> pakker der bliver brugt til at probe dens IPID numre.

Dét, jeg tænkte på, var, at huske SAMTLIGE pakkers returadresser.
(angriberen må vel være en af dem)

Ved at sammenligne mange - rigtig mange - sådanne DATA-indsamlinger, vil
"visse" IP-adresser gå igen, og dermed afsløre angriberen.

> Enhver pakke Zombien sender indeholder oplysninger om
> dens IPID numre. Desuden ville dit system være alt for
> usikkert, da det ville tillade at trække alt for mange
> data ud af vilkårlige maskiner.

Det var nu også Internet-udbyderens forbindelse til klienten (zombien), jeg
havde i tankerne at overvåge og indsamle DATA fra.

> > > Nogle ting vil blive sløvet ned, fordi de bliver ved med
> > > at sende pakker til dig, som de forventer at få et svar
> > > på. ...
> >
> > Også selvom jeg *aldrig* har bedt om disse pakker ?
>
> Hvis du opretter en udgående forbindelse vil nogen
> maskiner kontakte din maskine på andre porte. F.eks.
> for at logge hvilken bruger på din maskine, der har
> åbnet forbindelsen. Du kan selv vælge, om den oplysning
> skal logges. Hvis du kører IDENT bliver brugernavnet
> logget, ellers gør det ikke. Men hvis din maskine ikke
> svarer, vil modparten være nødt til at sende sin pakke
> igen og igen indtil du svarer, eller der forekommer et
> timeout.

Det forstod jeg ikke helt:

Så problemet opstår altså kun, dersom der en flere brugere logget på det
interne netværk, eller hva' ?

Min tanke var jo, at computeren SELVFØLGELIG svarer "visse" udvalgte
modparter

> En anden grund til at oprette forbindelser tilbage til
> din maskine kunne være, at man kiggede efter åbne
> proxies på din maskine. Hvis din maskine havde en åben
> proxy, og dermed kunne misbruges, vil nogen ikke tage
> imod forbindelser fra dig. Igen vil det gå hurtigt,
> hvis din maskine blot sender en besked om, at porten
> er lukket. Hvis din maskine ikke svarer bliver du nødt
> til at vente på et timeout.

Hvor meget taler vi om i tid (Timeout's varighed) ?

> > (hvordan skulle afsenderen i så fald kunne have kendskab til min
> > computers eksistens)
> >
> > > ... Det ville også gøre det nemmere at spoofe din IP
> > > adresse i andre angreb, f.eks. mod maskiner med forudsigelige
> > > TCP sekvens numre.
> >
> > ... forudsat at min maskine sender svar,
>
> Nej, forudsat at din maskine ikke sender svar.

Nå

(jeg lærer det aldrig)

> > ... og viden
> > > om de spoofede pakker man har sendt. Alt sammen under
> > > antagelse af, at der ikke er anden trafik på zombien.
> >
> > Hvor mange sekunder taler vi her om ?
>
> Det kommer an på, hvor mange porte, der scannes ad
> gangen. Man kan f.eks. sende 100 pakker til den maskine,
> man vil scanne, mellem hver pakke sendt til zombien.

Det vil altså sige 2*100 pakker ?

For X = 1 to 100
1 pakke til offeret
1 pakke til zombien
NEXT X

Korrekt forstået ?

Efter hvor mange port-opkald slår firewallen for øvrigt alarm ?

Kan dette antal ændres ?

> Hvis man går ud fra, at der er minimum 32kb/s til
> rådighed kan de 100 pakker sendes på et sekund. Så skal
> man efterfølgende vente længe nok, til man er sikker på,
> at der er gået en roundtrip tid. Man kunne f.eks. vente
> et sekund. Så der skal nok ca. 3 sekunder uden trafik
> til, for at udføre dette scan.

Som en primitiv løsning, kunne man sætte sin computer til (i baggrunden) at
downloade et eller andet ligegyldigt på Internettet for derved at forhindre
NON-trafic-position ?

> Hvis alle porte var lukket og zombien var idle, så ville
> IPID vokse med en i mellem de to probes. ...

Kan dette forhindres ved at computer programmeres til altid at ventes med
feedback (indtil noget andet er sendt), således at IPID bliber úforudsigelig
?

> ... Hvis IPID var
> vokset mere end det, så måtte man prøve igen og kun tage
> halvdelen af portene hver gang.

Jeg har vist desværre misforstået noget her mht. (For X=1 to 100), æv

> > > ... Men det er mange personer, der skal
> > > overbevises om at overvåge uskyldige menneskers
> > > ligegyldige kommunikation. Og at overhovedet få sat den
> > > overvågning i gang med så kort varsel er urealistisk.
> >
> > Ikke for mig at se, dersom vi kan minimere overvågningen til blot et
> > enkelt objekt
>
> Det kan du ikke. Der er ingen måde at bevise, om en
> maskine bliver brugt som zombie. ...

Ved simpel sammenligning af mange rapporter fra indsamlede zombier,
fremkommer gentagelsesmønstret vel (angriberens IP-adresse) ?

> ... En nemmere og bedre
> løsning ville være, at afskaffe usiker IPID generering.

Med ordet *usiker* mener du givetvis, at computere i tide og utide svarer
med et IPID ?

Hvad er i så fald en såkaldt *sikker* IPID generering ?

> > > Du skal være opmærksom på, at mellemledet strengt taget
> > > ikke er blevet misbrugt. ...
> >
> > Det har vi så delte meninger om (IP-adresse misbrug)!
>
> Du kan sagtens misbruge en maskines IP adresse uden at
> misbruge maskinen.

Fuldstændig korrekt, men jeg betragter det som en art *falsk* underskrift.
Nogen udgiver sig for at være zombiens computers ejermand.

I det øjeblik zombien også benyttes, svarer det faktisk til, at angriberen
står og roder i min hoveddørslås og forsøger at dirke den op!

> > > Og trafik mellem scanneren og zombien kan være hvad som
> > > helst. Det kan være ganske legitim trafik. Det behøver
> > > ikke engang være initieret af scanneren. Jeg kunne sætte
> > > en server op, og når så min maskine bliver kontaktet, så
> > > spoofer jeg klientens IP i en idle-scan.

Jeg glemte lige hertil at tilføje, at i dette tilfælde har klienten jo
kontaktet dig, inden du på den foranledning påbegynder scanningen.

> > Hackere foretager YDERST sjældent kun disse angreb én gang.
> > Gentagelserne vil afsløre hackeren!
>
> IPID probes kan foretages ved legitim trafik. Desuden
> kan de maskeres ved samtidig at spoofe SYN pakker til
> lukkede porte på zombien.

Fint at du nu her efterfølgende kommer med et eksempel,
for jeg var desværre stået af

Jump PART 2


Tak for din hjælp, Kasper


Med venlig hilsen
Mogens Kall
The servant of Michael

File-number:
2221