---

Sad lige og undrede mig over
http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=655

Sluttelig kan man checke om man er blevet inficeret ved at blive
henvist til en f-secure hjemmeside som gudhjælpemig kræver både
Internet Explorer og ActiveX for at fungere.

Hvad f.... har det med sikkerhed at gøre?

---

Straight Talk wrote:
> Sad lige og undrede mig over
> http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=655

Jeg har også undret mig, men det er noget andet.

> Sluttelig kan man checke om man er blevet inficeret ved at blive
> henvist til en f-secure hjemmeside som gudhjælpemig kræver både
> Internet Explorer og ActiveX for at fungere.
>
> Hvad f.... har det med sikkerhed at gøre?

Hvad mener du? Jeg læser da kun om symptombehandling og ikke sikkerhed i den
artikel du henviser til.

Men det der under mig, at jeg ikke rigtig ser (hverken på version2 eller
her) oplysninger om *hvilken* sårbarhed, der er udnyttet.

Det synes jeg er langt mere interessant, så kan man forholde sig til en
risikovurdering/sikkerhedsforanstaltning.

Men kan du ikke fortælle hvad det er, der er udnyttet?

(Jeg bruger selv Konqueror/Linux, så jeg følger ikke så meget med i
sårbarheder i 'the dark side of the source')

--
Med venlig hilsen
Stig Johansen

---

On Sat, 15 Dec 2007 19:29:34 +0100, Stig Johansen
<stig_johansen_it_at_=(@)hotmail.com> wrote:

>Straight Talk wrote:
>> Sad lige og undrede mig over
>> http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=655
>
>Jeg har også undret mig, men det er noget andet.
>
>> Sluttelig kan man checke om man er blevet inficeret ved at blive
>> henvist til en f-secure hjemmeside som gudhjælpemig kræver både
>> Internet Explorer og ActiveX for at fungere.
>>
>> Hvad f.... har det med sikkerhed at gøre?
>
>Hvad mener du? Jeg læser da kun om symptombehandling og ikke sikkerhed i den
>artikel du henviser til.

Jeg mener: Hvordan kan et sikkerhedsfirma indirekte opfordre til at
anvende verdens mest fejlfyldte browser (IE) med verdens mest usikre
koncept (ActiveX).

>Men det der under mig, at jeg ikke rigtig ser (hverken på version2 eller
>her) oplysninger om *hvilken* sårbarhed, der er udnyttet.

Har jeg heller ikke fundet noget om. Kun at det antydes at det er en
nyligt rettet fejl i IE.

>Det synes jeg er langt mere interessant, så kan man forholde sig til en
>risikovurdering/sikkerhedsforanstaltning.
>
>Men kan du ikke fortælle hvad det er, der er udnyttet?
>
>(Jeg bruger selv Konqueror/Linux, så jeg følger ikke så meget med i
>sårbarheder i 'the dark side of the source')

---

Den 15-12-07 20.41 skrev Straight Talk følgende:

> Jeg mener: Hvordan kan et sikkerhedsfirma indirekte opfordre til at
> anvende verdens mest fejlfyldte browser (IE) med verdens mest usikre
> koncept (ActiveX).

Man bør nok mere fokusere på, /hvem/ man tillader at bruge ActiveX på IE
end ovenstående. Ellers risikerer man da for alvor at løbe ind i problemer.

--
Mvh. Kim Ludvigsen
Polimiken - en levende netavis, der tør, hvor selv Ekstra Bladet tier.
http://polimiken.dk

---

Kim Ludvigsen skrev:

> Den 15-12-07 20.41 skrev Straight Talk følgende:
>
>> Jeg mener: Hvordan kan et sikkerhedsfirma indirekte opfordre til at
>> anvende verdens mest fejlfyldte browser (IE) med verdens mest usikre
>> koncept (ActiveX).
>
> Man bør nok mere fokusere på, /hvem/ man tillader at bruge ActiveX på IE
> end ovenstående. Ellers risikerer man da for alvor at løbe ind i problemer.

Det er korrekt, men jeg syntes det er lidt omvendt problemstilling at
man som bruger proaktivt skal fravælge sites og funktionalitet på sites
qua ens browservalg.

Når det er sagt ... men fare for at starte en krig ... så er java nok
ikke bedre.

--
m.v.h.

Peter Fischer, Slangerup

---

Straight Talk wrote:

> On Sat, 15 Dec 2007 19:29:34 +0100, Stig Johansen
> <stig_johansen_it_at_=(@)hotmail.com> wrote:
>>Hvad mener du? Jeg læser da kun om symptombehandling og ikke sikkerhed i
>>den artikel du henviser til.
>
> Jeg mener: Hvordan kan et sikkerhedsfirma indirekte opfordre til at
> anvende verdens mest fejlfyldte browser (IE) med verdens mest usikre
> koncept (ActiveX).

Du må ikke spørge mig. Det er sådan set _dig_, der vælger at kalde det et
sikkerhedsfirma.

> Har jeg heller ikke fundet noget om. Kun at det antydes at det er en
> nyligt rettet fejl i IE.

Det er det der 'irriterer' mig. Havde man nu bare skrevet eks.
....pga sårbarhed i pdf-filer....
eller
....pga sårbarhed i flash-filer....

Hvis man *vidste* det, tager det squ ikke mange sekunder lige at tilføje en
enkelt linie i artiklerne.

Prøv at læse i det link du sendte:
<citat>
... (ved at udnytte sårbarheder i populære browsere) ..
</citat>

Åbner jo et utal af muligheder -
Er det alle browsere eller er det kun 'den'
I min verden vil jeg absolut betragte Firefox som en populær browser, er den
med i spillet?
Er det en sårbahed i *browseren* eller i den tilhørende rendering engine
(jpg,pdf,swf...)

Du kan godt se, at det her efterlader indtrykket af, at man skal være bange
for *alt* i stedet for man kan forholde sig til en enkelt 'ting'.

For lige at sætte tingene i relief, så er jeg 'kommet til' at 'supportere'
venner og naboer, så min interesse er 100% oprigtig.

Jeg bliver nødt til at vente til der er mere info på bordet.
Men på den anden side *tør* jeg vente?
Og på den anden side _hvis_ jeg 'skræmmer dem' og det er 'falsk alarm',
hvordan gør jeg det godt igen?
osv...

En anden ting, som jeg er nysgerrig over er:
*Hvem* fandt den, og *hvordan*?
Se det kunne bibringe noget konstruktivt.

En 3. ting, der kunne være meget vigtigt er:
*Hvornår* blev den 'installeret'?

Jeg har en genbo, der klager over at hans maskine er begyndt at opføre sig
mærkeligt i løbet af ugen.
Jeg har henledt hans opmærksomhed på 'store opdateringsdag' i tirsdags, men
nu tænker jeg også: 'Det kan ligeså godt være konen der har læst
ekstrabladet'. Jeg ved godt den er opdaget fredag, men hvor længe har
'svinet' ligget der?
osv..

--
Med venlig hilsen
Stig Johansen

---

On 2007-12-16, Stig Johansen <stig_johansen_it_at_=> wrote:
>
>> Har jeg heller ikke fundet noget om. Kun at det antydes at det er en
>> nyligt rettet fejl i IE.
>
> Det er det der 'irriterer' mig. Havde man nu bare skrevet eks.
> ...pga sårbarhed i pdf-filer....
> eller
> ...pga sårbarhed i flash-filer....

Version2s dækning antyder at det skulle være Troj/Psyme-GD:
http://www.version2.dk/artikel/5611

--
Andreas

---

"Stig Johansen" <stig_johansen_it_at_=(@)hotmail.com> skrev i en meddelelse

> (Jeg bruger selv Konqueror/Linux, så jeg følger ikke så meget med i
> sårbarheder i 'the dark side of the source')

Nåee.. men du følger vel med i sårbarheder i 'the saved side of the source':

http://www.google.com/search?q=linux+vulnerability

http://www.google.dk/search?q=Konqueror+vulnerability

http://search.yahoo.com/search?p=Konqueror+vulnerability

Heller ikke Linux-(jule-)træerne vokser ind i himlen.

John

---

John wrote:

> "Stig Johansen" <stig_johansen_it_at_=(@)hotmail.com> skrev i en
> meddelelse
>
>> (Jeg bruger selv Konqueror/Linux, så jeg følger ikke så meget med i
>> sårbarheder i 'the dark side of the source')
>
> Nåee.. men du følger vel med i sårbarheder i 'the saved side of the
> source':

Det var lidt sarkastisk ment John.
Jeg bruger skam også W2K + IE6 men jeg har fra tidernes morgen indstillet
den til *altid* at spørge om hhv. ActiveX og scriptadgang til samme.

At jeg bruger Konqueror skyldes at jeg pga mit virke har behov for at
undesøhe mange ting. Konqueror er indrettet så den er 'transparant' i
forhold til browsing på web/disk/iso-filer/tar/tar-gz/zip/ftp osv.

--
Med venlig hilsen
Stig Johansen

---

Straight Talk <b__nice@hotmail.com> wrote:
> Sad lige og undrede mig over
> http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=655

Jeg har ikke læst ovenstående, men mens jeg læste en artikel på tv2.dk
for en halv time siden sprang et nyt browservindue frem og et eller
andet undersite til malware-scan.com forsøgte at installere malware på
min maskine.

Browsere har *så* meget brug for en langt bedre zone-model så powerusers
har mulighed for at tilbyde flash/quicktime/java/etc adgang kun til
websites i en eller flere zoner.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst wrote:

> Straight Talk <b__nice@hotmail.com> wrote:
>> Sad lige og undrede mig over
>> http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=655
>
> Jeg har ikke læst ovenstående,

Det skulle du tage at gøre. Måske ikke lige denne her men 'budskabet'.
Du får lige et link til en mere seriøs artikel - bemærk at selveste
IT-direktøren fra JP/Politiken deltager i debatten.

> Browsere har *så* meget brug for en langt bedre zone-model så powerusers
> har mulighed for at tilbyde flash/quicktime/java/etc adgang kun til
> websites i en eller flere zoner.

Jeg har forsøgt at finde ud af _hvilken_ sårbarhed der er udnyttet, det står
der intet om.

En af de _grimme_ ting jfr. din zone er, at man tilsyneladende har haft
mulighed for at vise 'den' i eb's zone. Det er _her_ det grimme kommer, for
alle har garanteret EB i deres trusted zone. Man kan derfor frygte, at det
er en plain mean ActiveX, der pga. zonen bliver afviklet automatiskl, og
ikke en decideret udnyttelse af buffer overflow's og venner.

Derfor synes jeg det er interessant, fordi hvis det er _det_ der er
tilfældet, så kan man opdaterer fra nu af og til (næste) juleaften.
Det vil ikke hjælpe en fis på det fænomem.

P.T. har jeg indtrykket af, at der ikke er en kæft der ved hvad der ramte
dem.

Jfr. din bemærkning må det helt store spørgsmål være:
*Hvordan* har den sneget sig ind i trusted zone?

Altså generelt - ikke kun teknisk, incl. sælgeren fra JP/Politiken osv..

I øvrigt så jeg at tante Berlinger har reageret as well.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen <stig_johansen_it_at_=(@)hotmail.com> wrote:
> En af de _grimme_ ting jfr. din zone er, at man tilsyneladende har haft
> mulighed for at vise 'den' i eb's zone. Det er _her_ det grimme kommer, for
> alle har garanteret EB i deres trusted zone. Man kan derfor frygte, at det
> er en plain mean ActiveX, der pga. zonen bliver afviklet automatiskl, og
> ikke en decideret udnyttelse af buffer overflow's og venner.

Jeg ville nok vælge ikke at putte de fleste sites i andet end default
zonen der ikke kunne ret meget. F.eks. er det kun min bank der har brug
for at udføre java. Mit teleselskab har 'brug' for at tegne flash
kurver over hvor mange penge jeg ikke bruger hos dem og skat.dk/e-boks
har brug for at kunne kaste PDF filer efter mig. Alle andre må nøjes med
html og images. Desværre er det meget svært at udtrykke den slags
restriktioner med de nuværende zoner.

Men et sådant zone-design løser jo f.eks. ikke problemet med at læse
mail hos sin webmail udbyder (der jo skal have javascript tilgængeligt).

> Jfr. din bem?rkning m? det helt store sp?rgsm?l v?re:
> *Hvordan* har den sneget sig ind i trusted zone?
>
> Alts? generelt - ikke kun teknisk, incl. s?lgeren fra JP/Politiken osv..

Jeg tror ikke jeg forstår spørgsmålet. Prøv igen.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst wrote:

> Jeg ville nok vælge ikke at putte de fleste sites i andet end default
> zonen der ikke kunne ret meget. F.eks. er det kun min bank der har brug
> for at udføre java. Mit teleselskab har 'brug' for at tegne flash
> kurver over hvor mange penge jeg ikke bruger hos dem og skat.dk/e-boks
> har brug for at kunne kaste PDF filer efter mig. Alle andre må nøjes med
> html og images. Desværre er det meget svært at udtrykke den slags
> restriktioner med de nuværende zoner.

Enig, når jeg engang imellem bruger IE har jeg sat den op til at altid at
spørge om ActiveX samt scriptadgang til samme. På den måde kan jeg tage
stilling pr. side. Det giver en helvedes masse 'no' klik, så det er ikke
noget jeg anbefaler til andre.

>> Jfr. din bem?rkning m? det helt store sp?rgsm?l v?re:
>> *Hvordan* har den sneget sig ind i trusted zone?
>>
>> Alts? generelt - ikke kun teknisk, incl. s?lgeren fra JP/Politiken osv..
>
> Jeg tror ikke jeg forstår spørgsmålet. Prøv igen.

Det er jeg heller ikke sikker på jeg gør - det var mere ment som et generelt
spørgsmål, men nu røg den ind under et svar til dig.

Det første der bekymrer mig (ikke personligt) er at man har travlt med at
fortælle om hvad det er for et stykke malware, og hvad den laver.

Der er tilsyneladende ingen der der ved og/eller bekymrer sig om _hvordan_
den har sneget sig ind.

Hvis man ikke ved _hvordan_ den har sneget sig ind, kan man ikke tage
forholdsregler for at undgå lignende tilfælde i fremtiden.

Som jeg tolker det, er der tilsyneladende tale om et 'legitimt' salg af
annonceplads hos EB.

Dvs EB har på et eller andet plan blåtstemplet malwaren, og videregiver den
til sine brugere.
Det er selvfølgelig en brøler af rang, og man kan godt forstå hvis de
forsøger at dysse det ned, men det gavner bare ikke andre i fremtiden.

Det en en ny(for mig at se) angrebsvektor, hvor malware 'producenterne' er
blevt gode til at lade som om de er rigtige 'virksomheder'.

På samme måde har der for nylig været et tilfælde, hvor et tilsyneladende
legitimt firma oprettede et stillingsopslag på Jobindex.dk med henblik på
phishing. Det giftige er, at folk stoler på Jobindex.dk, og dermed deres
kunder, og sender en ansøgning med rigtig mange gode oplysninger i.

Jeg ved ikke rigtig hvad jeg vil sige med det her andet end:
God jul - og - take care of yourself, the evil is out there in the darkness.

--
Med venlig hilsen
Stig Johansen

---

On Sat, 2007-12-15 at 16:48 +0000, Straight Talk wrote:
> Sad lige og undrede mig over
> http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=655

Det ligner et firma der ikke har styr på HTML.

Slutningen af linierne er klippet væk i Opera og Netscape. (Måske pga.
dobbelt brug af HEAD/BODY tags?)

Er det ikke en noget tynd artikel?


Svagheden der udnyttes, dokumenteres ikke.
Læseren har således ikke mulighed for at undgår angrebet en anden gang.


Hvilke andre medier der blev udnyttet beskrives ikke, udover "andre
danske online medier" (dem er der et par stykker af).