---

Hej Gruppe,

Jeg kunne godt tænke mig at fjernstyre/betjene en filserver fra min egen
workstation på lokalnetværket så det ikke var nødvendigt at forlade mit eget
skrivebord og fysisk gå til serverrummet.
Jeg har prøvet at kigge på funktionaliteten i forskellige programmer hertil
og det ser jo ud til at der er en masse programmer der kan opfylde behovet.
På et senere tidspunkt kunne det også være interessant at fjernstyre/betjene
filserveren enten via dial in eller VPN
Det sikkerhedsmæssige aspekt synes jeg dog er svært at vurdere, har i nogle
gode råd, anbefalinger eller links hvor jeg kan læse mere? Er der noget man
absolut skal holde sig fra?

Tak på forhånd

Sophus

---

"Sophus Vørsing" <sophus.vorsing@FJERNMIGimage.dk> skrev i en meddelelse
news:3bf11479$0$230$edfadb0f@dspool01.news.tele.dk...
> Hej Gruppe,
>
> Jeg kunne godt tænke mig at fjernstyre/betjene en filserver fra min egen
> workstation på lokalnetværket så det ikke var nødvendigt at forlade mit
eget
> skrivebord og fysisk gå til serverrummet.

http://sunbelt-software.com/product.cfm?id=470

> Jeg har prøvet at kigge på funktionaliteten i forskellige programmer
hertil
> og det ser jo ud til at der er en masse programmer der kan opfylde
behovet.
> På et senere tidspunkt kunne det også være interessant at
fjernstyre/betjene
> filserveren enten via dial in eller VPN

Brug VPN-klient fra internettet og ip-filtrering lokalt på maskinen der
hoster remoteværktøjet.

> Det sikkerhedsmæssige aspekt synes jeg dog er svært at vurdere, har i
nogle
> gode råd, anbefalinger eller links hvor jeg kan læse mere? Er der noget
man
> absolut skal holde sig fra?
>
PCAnywhere har nogle usikkerheder, da den gemmer passwords som er nemme at
cracke (der findes et værktøj specielt til PCAnywhere)
Hvis den bruger 'NT-login, så gemmer den din nt-bruger i en seperat fil
(åndsvagt). Ihvertfald version 9.0

> Tak på forhånd
>
> Sophus
>
>
Max

---

"Max Andersen" <max@SPAMFILTERmilitant.dk> skrev i en meddelelse
news:3bf11e4c$0$250$edfadb0f@dspool01.news.tele.dk...
>
> >
> > Jeg kunne godt tænke mig at fjernstyre/betjene en filserver fra min egen
> > workstation på lokalnetværket så det ikke var nødvendigt at forlade mit
> eget
> > skrivebord og fysisk gå til serverrummet.
>
> http://sunbelt-software.com/product.cfm?id=470

Det vil jeg prøve at kigge nærmere på, jeg kan se at det understøtter
RSA, MD5, TwoFish, som kryptering.

> > Det sikkerhedsmæssige aspekt synes jeg dog er svært at vurdere, har i
> nogle
> > gode råd, anbefalinger eller links hvor jeg kan læse mere? Er der noget
> man
> > absolut skal holde sig fra?
> >
> PCAnywhere har nogle usikkerheder, da den gemmer passwords som er nemme at
> cracke (der findes et værktøj specielt til PCAnywhere)
> Hvis den bruger 'NT-login, så gemmer den din nt-bruger i en seperat fil
> (åndsvagt). Ihvertfald version 9.0
>

Det har jeg noteret mig!

Mvh Sophus

---

Sophus Vørsing <sophus.vorsing@FJERNMIGimage.dk> wrote:
> Jeg har prøvet at kigge på funktionaliteten i forskellige programmer hertil
> og det ser jo ud til at der er en masse programmer der kan opfylde behovet.
> På et senere tidspunkt kunne det også være interessant at fjernstyre/betjene
> filserveren enten via dial in eller VPN
> Det sikkerhedsmæssige aspekt synes jeg dog er svært at vurdere, har i nogle
> gode råd, anbefalinger eller links hvor jeg kan læse mere? Er der noget man
> absolut skal holde sig fra?

Der er adskellige aspekter hvor du kan definere en raekke krav, og derved
tage stilling til hvilket der er mest egnet for dig:

Kvaliteten af server koden - har der vaeret mange fejl i produktet som har
givet uvedkommende utilsigtet adgang?

Brugervalidering - understoetter loesningen kun brugernavne og kodeord,
eller tilbyder den staerkere alternativer som f.eks. S/key, RSA keys eller
anden to-faktor validering?

Audit logs - kan dit OS eller adgangsloesningen foere audit logs saa det er
muligt at se praecist hvilke funktioner og kommandoer hver bruger udfoerer?

Adgangskontrol - hvis dit OS ikke understoetter det, kan loesningen saette
begraesninger paa hvilke tidspunkter der maa logges, hvilke funktioner der
kan bruges af forskellige brugere, etc.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrn9v27uk.189n.a@C-Tower.Area51.DK...
> Sophus Vørsing <sophus.vorsing@FJERNMIGimage.dk> wrote:
> > Jeg har prøvet at kigge på funktionaliteten i forskellige programmer
hertil
> > og det ser jo ud til at der er en masse programmer der kan opfylde
behovet.
> > På et senere tidspunkt kunne det også være interessant at
fjernstyre/betjene
> > filserveren enten via dial in eller VPN
> > Det sikkerhedsmæssige aspekt synes jeg dog er svært at vurdere, har i
nogle
> > gode råd, anbefalinger eller links hvor jeg kan læse mere? Er der noget
man
> > absolut skal holde sig fra?
>
> Der er adskellige aspekter hvor du kan definere en raekke krav, og derved
> tage stilling til hvilket der er mest egnet for dig:
>
> Kvaliteten af server koden - har der vaeret mange fejl i produktet som har
> givet uvedkommende utilsigtet adgang?
>
> Brugervalidering - understoetter loesningen kun brugernavne og kodeord,
> eller tilbyder den staerkere alternativer som f.eks. S/key, RSA keys eller
> anden to-faktor validering?
>
> Audit logs - kan dit OS eller adgangsloesningen foere audit logs saa det
er
> muligt at se praecist hvilke funktioner og kommandoer hver bruger
udfoerer?
>
> Adgangskontrol - hvis dit OS ikke understoetter det, kan loesningen saette
> begraesninger paa hvilke tidspunkter der maa logges, hvilke funktioner der
> kan bruges af forskellige brugere, etc.
>

Tak for dine kommentarer Alex, jeg var godt klar over at der var mange
aspekter at tage med i overvejelserne. Jeg vil prøve at studere dine forslag
nærmere.

Mvh Sophus

---

Tjah, hvis det bare er på et secure lokalnetværk kunne du jo brug VNC. Det
er perfekt. Og så er det vidst endda freeware :)

---

Ja og ikke et sikker produkt og man kan opfange password i plain text


"TeameT" <TeameT@usa.net> skrev i en meddelelse
news:3bf15b61$0$11606$ba624c82@nntp01.dk.telia.net...
> Tjah, hvis det bare er på et secure lokalnetværk kunne du jo brug VNC. Det
> er perfekt. Og så er det vidst endda freeware :)
>
>

---

"Hitman" <windows2000server@os.dk> mumlede noget i
news:3bf16dc9$0$347$edfadb0f@dspool01.news.tele.dk:


[omarrangeret for læsbarhed]

> "TeameT" <TeameT@usa.net> skrev i en meddelelse
> news:3bf15b61$0$11606$ba624c82@nntp01.dk.telia.net...

>> Tjah, hvis det bare er på et secure lokalnetværk kunne du jo brug VNC.
>> Det er perfekt. Og så er det vidst endda freeware :)

> Ja og ikke et sikker produkt og man kan opfange password i plain text

læs nu hvad han skriver. 'på et secure lokalnetværk' - alene det fejer vist
dit indlæg til jorden.

ud over det vil jeg henstille til at du læser
http://www.usenet.dk/netikette/quote.html .. som simon pedersen skrev for
nyligt:

Hvorfor:

Det er en muldvarp på motorcykel!
>Hvad er det, der er småt, sort og meget hurtigt?

hvis du er usikker på meningen af mit indlæg, så spørg.

---

On 13 nov 2001 Hitman enriched usenet with:

> Ja og ikke et sikker produkt og man kan opfange password i plain text

Ifølge http://www.uk.research.att.com/vnc/sshvnc.html sendes passwordet
ikke over netværket

--
Lars Kyndi Laursen, som ikke repræsenterer noget som helst

How to move a hippo:
<http://www.usps.gov/moversnet/howtopacka2.html#hippos>

---

Lars Kyndi Laursen <spam_me_senseless@mail.dk> mumlede noget i
news:Xns9158CD1A4AB9larskyndidk@dtext.news.tele.dk:

> Ifølge http://www.uk.research.att.com/vnc/sshvnc.html sendes passwordet
> ikke over netværket

Men alligevel er det muligt at opfange/decode det.
http://ettercap.sourceforge.net - read 'em and weep.

---

supermand wrote:

> Lars Kyndi Laursen <spam_me_senseless@mail.dk> mumlede noget i
> news:Xns9158CD1A4AB9larskyndidk@dtext.news.tele.dk:
>
>
>>Ifølge http://www.uk.research.att.com/vnc/sshvnc.html sendes passwordet
>>ikke over netværket


Selfølgelig sendes passwordet over netværket. Men i krypteret form.

>>
>
> Men alligevel er det muligt at opfange/decode det.
> http://ettercap.sourceforge.net - read 'em and weep.


^^^^ der står "ssh1" !




--
//Jacob Gaarde
//Dont reply to my (aparent) e-mail address. Instead Use
//e-mail : gaarde <at> mailserver <dot> dk

---

Thus spake Jacob Gaarde in news:3BF18311.6070302@dev.null:

> Selfølgelig sendes passwordet over netværket. Men i krypteret form.

Denne krypterede form er så svag at førnævnte snifferprodukt viser det
ukrypteret i noget der ligner realtime.

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

Jacob Gaarde <dont@dev.null> mumlede noget i
news:3BF18311.6070302@dev.null:

>
> supermand wrote:
>
>> Lars Kyndi Laursen <spam_me_senseless@mail.dk> mumlede noget i
>> news:Xns9158CD1A4AB9larskyndidk@dtext.news.tele.dk:
>>
>>
>>>Ifølge http://www.uk.research.att.com/vnc/sshvnc.html sendes passwordet
>>>ikke over netværket
>
>
> Selfølgelig sendes passwordet over netværket. Men i krypteret form.

ja godaw min bare. Karsten H uddyber det(lidt) længere nede.

>>
>> Men alligevel er det muligt at opfange/decode det.
>> http://ettercap.sourceforge.net - read 'em and weep.
>
>
> ^^^^ der står "ssh1" !

fra ovenstående url: Password collector for : TELNET, FTP, POP, RLOGIN,
SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5,
IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE (other protocols coming soon...)

------^^^^^^ - Kan du læse? Kan du læse mere end 5 ord hen i en sætning?
Hvis du kunne havde jeg sparet lidt tid. Det kan du tydeligvis ikke. Det er
en skam.. må jeg anbefale www.vuc.dk [Voksne Uden Chancer] ?

Selfølgelig sendes passwordet over netværket. Men i krypteret form.
-- Jacob Gaarde i dk.edb.sikkerhed

---

In article <Xns9158E1768355Ckalelmetropolis@212.242.40.196>, supermand wrote:
>>
>>>>Ifølge http://www.uk.research.att.com/vnc/sshvnc.html sendes passwordet
>>>>ikke over netværket
>>
>> Selfølgelig sendes passwordet over netværket. Men i krypteret form.
>
> ja godaw min bare. Karsten H uddyber det(lidt) længere nede.

Tal pænt (men ikke til mig, for jeg lytter ikke mere)

--
Andreas Plesner Jacobsen | Call on God, but row away from the rocks.
|    -- Indian proverb

---

Andreas Plesner Jacobsen <apj@daarligstil.dk> mumlede noget i
news:slrn9v33td.gq7.apj@slartibartfast.nerd.dk:

> Tal pænt (men ikke til mig, for jeg lytter ikke mere)

Jeg bestræber mig på at holde mine udtalelser på et sobert niveau. At du
ikke bryder dig om sandheden ifølge supermand - det er bare surt. Jeg vil
mene at det er lidt forhastet at ignorere folk på basis af så lidt.

[er der en der er rar at quote mig, med eller imod, så Andreas ser mit
indlæg? :) ]

---

On 13 nov 2001 supermand enriched usenet with:

> Andreas Plesner Jacobsen <apj@daarligstil.dk> mumlede noget i
> news:slrn9v33td.gq7.apj@slartibartfast.nerd.dk:
>
>> Tal pænt (men ikke til mig, for jeg lytter ikke mere)
>
> Jeg bestræber mig på at holde mine udtalelser på et sobert niveau. At
> du ikke bryder dig om sandheden ifølge supermand - det er bare surt.
> Jeg vil mene at det er lidt forhastet at ignorere folk på basis af så
> lidt.

Det er vel Andreas' valg. Han har vel vejet fordele mod ulemper, før han
smed dig filteret.
Der er ingen, der skal bestemme, om jeg smider folk i mit kill-filter ene
og alene, fordi de hedder Bent eller staver gjort med d.

> [er der en der er rar at quote mig, med eller imod, så Andreas ser mit
> indlæg? :) ]

Så lad gå da.

--
Lars Kyndi Laursen, som ikke repræsenterer noget som helst

How to move a hippo:
<http://www.usps.gov/moversnet/howtopacka2.html#hippos>

---

Lars Kyndi Laursen <spam_me_senseless@mail.dk> mumlede noget i
news:Xns9158EC1356D71larskyndidk@dtext.news.tele.dk:

> Det er vel Andreas' valg. Han har vel vejet fordele mod ulemper, før
> han smed dig filteret.

Sommetider foretager folk forhastede beslutninger. Derfor tigger jeg om
quote :)

> Der er ingen, der skal bestemme, om jeg smider folk i mit kill-filter
> ene og alene, fordi de hedder Bent eller staver gjort med d.

nej vel? Men behøver du ikke kraftigere grunde end ovenstående?


>> [er der en der er rar at quote mig, med eller imod, så Andreas ser mit
>> indlæg? :) ]
>
> Så lad gå da.

glæder mig usigeligt :)

---

On 13 nov 2001 supermand enriched usenet with:

>> Der er ingen, der skal bestemme, om jeg smider folk i mit kill-filter
>> ene og alene, fordi de hedder Bent eller staver gjort med d.
>
> nej vel? Men behøver du ikke kraftigere grunde end ovenstående?

Jo, i reglen. Den vurdering jeg foretager går på: Kan jeg forestille
forestille, at personen på et tidspunkt vil skrive et indlæg, hvis værdi
overstiger besværet ved at læse det, eller er der høje nytten af usenet
betragtelig, hvis jeg ikke længere læser personens indlæg.
De fleste får mere end en chance. Bo Warming og Gerner fik en chance.

--
Lars Kyndi Laursen, som ikke repræsenterer noget som helst

How to move a hippo:
<http://www.usps.gov/moversnet/howtopacka2.html#hippos>

---

supermand wrote:

> Jacob Gaarde <dont@dev.null> mumlede noget i

--SNIP--


> fra ovenstående url: Password collector for : TELNET, FTP, POP, RLOGIN,
> SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5,
> IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE (other protocols coming soon...)
>
> ------^^^^^^ - Kan du læse? Kan du læse mere end 5 ord hen i en sætning?

--SNIP--


ja, der står hhv "ssh1" og "vnc", men _ikke_ "vnc over ssh2"
ikke at det betyder noget, da vnc IMHO (In My Head Only) ikke egner sig
til trafik, der ikke er på internt net, kryptering og komprimering eller
ej. VNC er derimod stort til "consol-adgang" uden at gå i kælderen. Til
install af services/programmer, der ikke kan installeres vha. terminal
services.

--
//Jacob Gaarde
//Dont reply to my (aparent) e-mail address. Instead Use
//e-mail : gaarde <at> mailserver <dot> dk

---

Jacob Gaarde <dont@dev.null> mumlede noget i
news:3BF197A3.9050107@dev.null:

> ja, der står hhv "ssh1" og "vnc", men _ikke_ "vnc over ssh2"

var det det du hentydede til? Du må have formuleret dig uklart siden
meningen ikke trådte igennem.

> ikke at det betyder noget, da vnc IMHO (In My Head Only) ikke egner sig
> til trafik, der ikke er på internt net, kryptering og komprimering
> eller ej.

Ikke kun i dit hovede. Vi er også andre der har klarsyn. Krypteringen er
slået til jorden[dog uden facts].. om det så bliver komprimeret.. heh...
serveren skal kunne decode vlienten, så det må være reversible.


> VNC er derimod stort til "consol-adgang" uden at gå i
> kælderen. Til install af services/programmer, der ikke kan installeres
> vha. terminal services.

Korrekt. Jeg deler din mening.

---

Den Tue, 13 Nov 2001 22:04:37 +0000 (UTC) skrev supermand:
>Jacob Gaarde <dont@dev.null> mumlede noget i
>news:3BF197A3.9050107@dev.null:
>
>> ja, der står hhv "ssh1" og "vnc", men _ikke_ "vnc over ssh2"
>
>var det det du hentydede til? Du må have formuleret dig uklart siden
>meningen ikke trådte igennem.

Jeg forstod den fint.

Mvh
Kent
--
Det skete i de dage i november engang
at de første kataloger satte hyggen igang

---

supermand wrote:

--SNIP--
> en skam.. må jeg anbefale www.vuc.dk [Voksne Uden Chancer] ?
Hæ Hæ, _den_ så jeg ikke allerførst. LOL


--
//Jacob Gaarde
//Dont reply to my (aparent) e-mail address. Instead Use
//e-mail : gaarde <at> mailserver <dot> dk

---

Jacob Gaarde wrote:

> supermand wrote:
>
> --SNIP--
> > en skam.. må jeg anbefale www.vuc.dk [Voksne Uden Chancer] ?
> Hæ Hæ, _den_ så jeg ikke allerførst. LOL
>
> --
> //Jacob Gaarde
> //Dont reply to my (aparent) e-mail address. Instead Use
> //e-mail : gaarde <at> mailserver <dot> dk

VNC er et godt produkt, men sikkerhedsmæssigt er det helt til rotterne.
Benyt en RSA krypteret tunnel fx med ssh.

Jannik

---

"root" skrev

> VNC er et godt produkt, men sikkerhedsmæssigt er det helt til
> rotterne.

Det er da vist kun hvis du opsætter VNC imod anbefalingerne og dermed
vælger at den skal være usikker:

<URL: http://www.uk.research.att.com/vnc/faq.html#q54 >

Brug f.eks.:

<URL: http://people.we.mediaone.net/ddyer/znc/zvnc.html >

Hvis man stoler på implementationen af Blowfish kryptering og Diffie-
Hellman nøgleudveksling i ZeBeDee, kan man også stole på VNC. Det skal
siges, at det er jeg overhovedet ikke i stand til at udtale noget for-
nuftigt om, om hverken kryptering eller nøgleudveksling.

SANS.org har en nem beskrivelse af hvordan man kan sætte det hele op:

<URL: http://www.sans.org/infosecFAQ/encryption/zebedee.htm >

Med venlig hilsen

Peder

---

On Tue, 13 Nov 2001 21:07:58 +0000 (UTC), supermand
<kal-el@metropol.is> wrote:

> ------^^^^^^ - Kan du læse? Kan du læse mere end 5 ord hen i en sætning?
> Hvis du kunne havde jeg sparet lidt tid. Det kan du tydeligvis ikke. Det er
> en skam.. må jeg anbefale www.vuc.dk [Voksne Uden Chancer] ?

<<plonk.wav>>

-A
--
http://www.hojmark.org/

---

Thus spake Asbjorn Hojmark in
news:gr83vt0it3up95rfspu54jtkthh4oq3i5g@news.worldonline.dk:

> <<plonk.wav>>

Se, det kunne vi alle virkeligt bruge til noget.
Dygtigt.

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> mumlede noget i
news:gr83vt0it3up95rfspu54jtkthh4oq3i5g@news.worldonline.dk:

> <<plonk.wav>>

Åh nej, ikke osse dig. Det skuffer mig faktisk. Du er en af de få der
bidrager med brugbart materiale. Det undrer mig at du med din ekspertise
kan bruge et så tyndt grundlag til at ignorere folk. Jeg troede at du var
klogere end som så.. jeg blev klogere.

[svar gerne, Quote mig _meget_ gerne. Jeg ser faktisk helst at asbjorn
læser mit indslag og kommenterer det.]

---

supermand <kal-el@metropol.is> writes:

> [svar gerne, Quote mig _meget_ gerne. Jeg ser faktisk helst at asbjorn
> læser mit indslag og kommenterer det.]

Har du overvejet en anden tone i debatten?

Hvis du gerne vil laeses af de serioese, skal du nok skrive paa en
maade de gider laese.
--
Thorbjørn Ravn Andersen "...plus...Tubular Bells!"
http://bigfoot.com/~thunderbear

---

thunderbear@bigfoot.com (Thorbjørn Ravn Andersen) mumlede noget i
news:m2vgges1pb.fsf@thunderbear.dyndns.dk:

> Har du overvejet en anden tone i debatten?

ja

> Hvis du gerne vil laeses af de serioese, skal du nok skrive paa en
> maade de gider laese.

taget til efterretning.

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:gr83vt0it3up95rfspu54jtkthh4oq3i5g@news.worldonline.dk...
> On Tue, 13 Nov 2001 21:07:58 +0000 (UTC), supermand
> <kal-el@metropol.is> wrote:
>
> > ------^^^^^^ - Kan du læse? Kan du læse mere end 5 ord hen i en sætning?
> > Hvis du kunne havde jeg sparet lidt tid. Det kan du tydeligvis ikke. Det
er
> > en skam.. må jeg anbefale www.vuc.dk [Voksne Uden Chancer] ?
>
> <<plonk.wav>>

Jeg har set plonk brugt før, og jeg tror det betyder noget i retning af at
man
synes det skrevne er underlødigt. Er der en der lige vil forklare det?

Mvh Sophus

---

Sophus Vørsing wrote:
>
> "Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
> news:gr83vt0it3up95rfspu54jtkthh4oq3i5g@news.worldonline.dk...
>> On Tue, 13 Nov 2001 21:07:58 +0000 (UTC), supermand
>> <kal-el@metropol.is> wrote:
>>
>> > ------^^^^^^ - Kan du læse? Kan du læse mere end 5 ord hen i en sætning?
>> > Hvis du kunne havde jeg sparet lidt tid. Det kan du tydeligvis ikke. Det
> er
>> > en skam.. må jeg anbefale www.vuc.dk [Voksne Uden Chancer] ?
>>
>> <<plonk.wav>>
>
> Jeg har set plonk brugt før, og jeg tror det betyder noget i retning af at
> man
> synes det skrevne er underlødigt. Er der en der lige vil forklare det?

Typisk vil du se det, når folk putter andre i deres killfiltre (i.e.
deres newsreader filtrerer indlæg fra vedkommende væk).

d.o. er så et vink med en vognstang om at det er sket...

--
Don't waste space

---

Thus spake Thomas in news:slrn9v4ij7.9lh.inthenews@mail.corell.dk:

> d.o. er så et vink med en vognstang om at det er sket...

Hvorfor det så skal deles med hele usenet kan man spørge sig selv om.

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

"supermand" <kal-el@metropol.is> wrote
> > Ifølge http://www.uk.research.att.com/vnc/sshvnc.html sendes passwordet
> > ikke over netværket
> Men alligevel er det muligt at opfange/decode det.
> http://ettercap.sourceforge.net - read 'em and weep.

Har du en sniffer der kan capture passwords i klartekst, selvom vnc
traffiken bliver båret i ssh?
(linket hedder sshvnc.html)

Hvor kraftig en PC har du?

---

"Christian E. Lysel" <chlys@wmdata.com> mumlede noget i
news:9ssbve$6uc$1@sunsite.dk:

>
> "supermand" <kal-el@metropol.is> wrote
>> > Ifølge http://www.uk.research.att.com/vnc/sshvnc.html sendes
>> > passwordet ikke over netværket
> > Men alligevel er det muligt at opfange/decode det.
>> http://ettercap.sourceforge.net - read 'em and weep.
>
> Har du en sniffer der kan capture passwords i klartekst, selvom vnc
> traffiken bliver båret i ssh?

ovenstående sniffer 'decrypter ssh' - så mon ikke det er ladsiggørbart at
decrypte vnc passwordet osse?


> Hvor kraftig en PC har du?

En gammel skodspand. Det er ikke bruteforce cracking.

---

In article <Xns91594E8931F6Dkalelmetropolis@212.242.40.196>,
supermand <kal-el@metropol.is> wrote:

> ovenstående sniffer 'decrypter ssh' - så mon ikke det er ladsiggørbart at
> decrypte vnc passwordet osse?
>
> > Hvor kraftig en PC har du?
>
> En gammel skodspand. Det er ikke bruteforce cracking.

Det vil sige, at det dersens ettercap kan dekryptere ssh1-session uden
at bruteforce? Hvordan gør den så? Jeg synes i øvrigt ikke, at der
direkte stod på den side, du linkede til
(<URL: http://ettercap.sourceforge.net<), at værktøjet dekrypterer
ssh-data. Der står så vidt jeg kan se bare, at det sniffer det.

Jeg ved ikke nok om ssh (eller kryptering, for den sags skyld) til at
vide, hvor let de svagere ciphre i ssh1 kan knækkes - men det ville da
være interessant, hvis der var nogen der vidste noget om det.

/Jakob

---

Jakob Færch <tq1en8p001@sneakemail.com> wrote:
> Jeg ved ikke nok om ssh (eller kryptering, for den sags skyld) til at
> vide, hvor let de svagere ciphre i ssh1 kan knækkes - men det ville da
> være interessant, hvis der var nogen der vidste noget om det.

IDEA og RC4 ciphers har begge kendte angreb i mod sig, og blandt andet
OpenSSH har ikke implementeret support for disse i protokol 1.

Jeg har ikke kigget paa det men vil tro at ettercap, ligesom dsniff, virker
ved man-in-the-middle angreb.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Thus spake Alex Holst in news:slrn9v548n.243b.a@C-Tower.Area51.DK:

> Jeg har ikke kigget paa det men vil tro at ettercap, ligesom dsniff,
> virker ved man-in-the-middle angreb.

Korrekt.
Ettercap er en sniffer, men adskiller sig fra de fleste af sine søskende ved
at være ret nem at sætte sig ind i, selv dekryptere passwords (når det er
nødvendigt og muligt) og vise/gemme dem.

Kort sagt en scriptkiddies drøm.

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

Jakob Færch <tq1en8p001@sneakemail.com> mumlede noget i
news:tq1en8p001-B500A1.16092114112001@sunsite.dk:

> In article <Xns91594E8931F6Dkalelmetropolis@212.242.40.196>,
> supermand <kal-el@metropol.is> wrote:
>
>> ovenstående sniffer 'decrypter ssh' - så mon ikke det er ladsiggørbart
>> at decrypte vnc passwordet osse?
>>
>> > Hvor kraftig en PC har du?
>>
>> En gammel skodspand. Det er ikke bruteforce cracking.
>
> Det vil sige, at det dersens ettercap kan dekryptere ssh1-session uden
> at bruteforce?

ja

>Hvordan gør den så?

på samme måde som serveren i den anden ende dekrypterer i en 'regulær'
session.

> Jeg synes i øvrigt ikke, at der
> direkte stod på den side, du linkede til
> (<URL: http://ettercap.sourceforge.net<), at værktøjet dekrypterer
> ssh-data. Der står så vidt jeg kan se bare, at det sniffer det.

fra forsiden: SSH1 support : you can sniff User and Pass, and even the data
of an SSH1 connection. ettercap is the first software capable to sniff an
SSH connection in FULL-DUPLEX

Jeg vil indrømme at den ikke dekrypterer dataen som sådan.. men ovenstående
er nok til mig :)

---

"supermand" <kal-el@metropol.is> wrote
> ovenstående sniffer 'decrypter ssh' - så mon ikke det er ladsiggørbart at
> decrypte vnc passwordet osse?

Sniffer er et forkert ord, men lad os bruge det i mangel af bedre.

Nej, programmet kan ikke dekryptere ssh (eller ssl for den sags skyld). ssh
kan benytte mange forskellige krypteringsmetoder.

Programmet ligger sig "ind mellem" serveren og klienten, og opretter to
selvstændige sessioner:

1. mellem sniffer og klient.

2. mellem sniffer og server.

Dette har intet med angreb på krypteringen at gøre.

At det kan lykkes kan skyldes to ting:

Ssh kører i en standard installation hvor den ikke er "strict" omkring
ændringer i nøglesættet og at brugere svarer ja, når ssh detektere angrebet.

Og ja, selvfølgelig er det en sårbarhed at brugeren svarer forkert.

> > Hvor kraftig en PC har du?
> En gammel skodspand. Det er ikke bruteforce cracking.

Nej, det er en fejl 50.

---

"TeameT" <TeameT@usa.net> skrev i en meddelelse
news:3bf15b61$0$11606$ba624c82@nntp01.dk.telia.net...
> Tjah, hvis det bare er på et secure lokalnetværk kunne du jo brug VNC. Det
> er perfekt. Og så er det vidst endda freeware :)
>
Har noteret mig at VNC kan bruges på secure lokalnetværk.

Kan SMS 2.0 fra microsoft bruges / anbefales?

Mvh Sophus

---

"Sophus Vørsing" <sophus.vorsing@FJERNMIGimage.dk> wrote in
news:3bf11479$0$230$edfadb0f@dspool01.news.tele.dk:

> Hej Gruppe,
>
> Jeg kunne godt tænke mig at fjernstyre/betjene en filserver fra min
> egen workstation ...

Hvis du kører Windows 2000 på serveren kan du installere Terminal services i
admin-modus på den. Hurtigt og driftssikkert.

Husk dog blop at holde øje med diverse RPC-overflows den så kan blive udsat
for.. :(

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

"Karsten H." <netsrak@egotrip.dk> skrev i en meddelelse
news:Xns9158CA0F1E087karstenegotripdk@212.54.64.134...
> "Sophus Vørsing" <sophus.vorsing@FJERNMIGimage.dk> wrote in
> news:3bf11479$0$230$edfadb0f@dspool01.news.tele.dk:
>
> > Hej Gruppe,
> >
> > Jeg kunne godt tænke mig at fjernstyre/betjene en filserver fra min
> > egen workstation ...
>
> Hvis du kører Windows 2000 på serveren kan du installere Terminal services
i
> admin-modus på den. Hurtigt og driftssikkert.
>

Det giver dog ikke konsollen, hvis det er den man vil have. Det er det store
minus ved terminal services i admin mode.

> Husk dog blop at holde øje med diverse RPC-overflows den så kan blive
udsat
> for.. :(
>

Hvilke diverse bufferoverflows findes der på terminal services. Jeg kan
umiddelbart ikke finde noget på cert.org. de fleste bufferoverflows
kombineret med RPC er på UNIX-kloner, når man søger derude :
http://search.cert.org/query.html?rq=0&col=certadv&col=incnotes&col=techtips
&col=vulnotes&ht=0&qp=&qs=&qc=&pw=100%25&ws=1&la=&qm=0&st=1&nh=25&lk=1&rf=2&
oq=&rq=0&si=1&qt=RPC+buffer+overflow&x=24&y=7.

> --
> Karsten H.
> Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

Max

---

"Max Andersen" <max@SPAMFILTERmilitant.dk> wrote in
news:3bf16f33$0$727$edfadb0f@dspool01.news.tele.dk:

> Det giver dog ikke konsollen, hvis det er den man vil have. Det er det
> store minus ved terminal services i admin mode.

Taget til efterretning.

>> Husk dog blop at holde øje med diverse RPC-overflows den så kan blive
>> udsat for.. :(
>>
>
> Hvilke diverse bufferoverflows findes der på terminal services. Jeg kan
> umiddelbart ikke finde noget på cert.org.

Ah.
Jeg synes jeg så en for nyligt. Jeg har måske ment RDP.

Jeg kunne ellers have svoret..

http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0102
&L=NTBUGTRAQ&P=R767

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

"Karsten H." <netsrak@egotrip.dk> mumlede noget i
news:Xns9158CDF727290karstenegotripdk@212.54.64.134:

> Jeg synes jeg så en for nyligt. Jeg har måske ment RDP.

RDP ja. Og det er testet og fundet fungerende hvis man kan kalde et stykke
software der gulver ens terminal server i 36 timer+ for fungerende.

---

"supermand" <kal-el@metropol.is> skrev i en meddelelse
news:Xns9158CF332FDB9kalelmetropolis@212.242.40.196...

> RDP ja. Og det er testet og fundet fungerende hvis man kan kalde et stykke
> software der gulver ens terminal server i 36 timer+ for fungerende.

Havde du weekend eller var mobilen slukket? Det tager ellers meget kort tid
at hive en fuld backup ned af en terminalserver. Medmindre man har store
problemer med at konfigurere backup ordentligt.

Max

---

"Max Andersen" <max@SPAMFILTERmilitant.dk> mumlede noget i
news:3bf1742b$0$87817$edfadb0f@dspool01.news.tele.dk:

> Havde du weekend eller var mobilen slukket? Det tager ellers meget kort
> tid at hive en fuld backup ned af en terminalserver. Medmindre man har
> store problemer med at konfigurere backup ordentligt.

Ingen af delene. Det er Denial of Service, ikke direkte vandalisme. Jeg
DoS'ede den testserver vi har til det samme, og den gik ned. da jeg prøvede
dagen efter virkede den ikke. Dagen efter igen, om morgenen, virkede den.
Deraf de 36 timer.

Restorer du en server hvis den bliver DoS'ed? Eller var det er forsøg på at
anfægte mine kundskaber inden for edb?

---

"supermand" <kal-el@metropol.is> skrev i en meddelelse
news:Xns9158D131198CDkalelmetropolis@212.242.40.196...
> "Max Andersen" <max@SPAMFILTERmilitant.dk> mumlede en del i
> news:3bf1742b$0$87817$edfadb0f@dspool01.news.tele.dk:
>
> > Havde du weekend eller var mobilen slukket? Det tager ellers meget kort
> > tid at hive en fuld backup ned af en terminalserver. Medmindre man har
> > store problemer med at konfigurere backup ordentligt.
>
> Ingen af delene. Det er Denial of Service, ikke direkte vandalisme. Jeg
> DoS'ede den testserver vi har til det samme, og den gik ned. da jeg
prøvede
> dagen efter virkede den ikke. Dagen efter igen, om morgenen, virkede den.
> Deraf de 36 timer.
>
Det lyder som om at der har været intervention. Den reparerer ikke sig selv
på 2 døgn, hvis skaden har været sket. Hvis den kunne er det sket inden
første døgn. Så avancerede reperationsalgoritmer er ikke indbygget i M$
produkter. Den kan have været bootet? Et DoS-angreb med så store datamængder
eller så skæv kode, lægger boxen ned uden tøven.

> Restorer du en server hvis den bliver DoS'ed?

En restart af en service plejer at hjælpe for det meste på DoS-attacks,
medmindre du kombinerer det med overflow, som giver dig fuld adgang.

Det kommer an på hvad der er sket. Nu har vi ikke haft de problemer, men det
kan jo ske en dag, og hvis jeg kan se at der har været ubudne gæster, eller
at serveren ikke virker når den kommer op, ja så bliver jeg sgu nødt til
det.... vi kan ikke rense en server, på mindre tid det tager at hive en
backup ned.

> Eller var det er forsøg på at
> anfægte mine kundskaber inden for edb?

Det var det faktisk ikke, men du kan godt se at man ikke har en box nede i
36 timer uden at man laver et eller andet fornuftigt ved den. Men man kan
heller ikke være ekspert på alle områder. Det er vel meget reelt.

Max

---

"Max Andersen" <max@SPAMFILTERmilitant.dk> mumlede noget i
news:3bf179ab$0$87821$edfadb0f@dspool01.news.tele.dk:


> Det lyder som om at der har været intervention.

nix. cross my heart and hope you die.

> Den reparerer ikke sig selv på 2 døgn, hvis skaden har været sket. Hvis
> den kunne er det sket inden første døgn.

hvor ser vi andre dokumentation for dit postulat?

> Så avancerede reperationsalgoritmer er ikke
> indbygget i M$ produkter.

iis restarter selv når den crasherhvis de rette omstændigheder er til
stede. Karsten H. kan 100% sikkert uddybe dette, mine kundskaber ligger
desværre andetsteds.. nuff said :)

> Den kan have været bootet?

som sagt, nix. det er en testserver. lavet til det samme.

> Et DoS-angreb med så store datamængder eller så skæv kode, lægger boxen
> ned uden tøven.

i second that motion. Er du frisk på at komme forbi, fyre det DoS af, vente
36 timer, og se serveren virke igen? du er velkommen :) og når du siger 'så
store datamængder' .. jeg må desværre påstå at du ikke aner hvad du snakker
om, samt at du ikke har læst kilden til det exploit vi omtaler. Ingen store
datamængder her.

>
>> Restorer du en server hvis den bliver DoS'ed?
>
> En restart af en service plejer at hjælpe for det meste på DoS-attacks,
> medmindre du kombinerer det med overflow, som giver dig fuld adgang.

Jeg skrev restore, ikke restart.

> Det kommer an på hvad der er sket. Nu har vi ikke haft de problemer,
> men det kan jo ske en dag, og hvis jeg kan se at der har været ubudne
> gæster, eller at serveren ikke virker når den kommer op, ja så bliver
> jeg sgu nødt til det.... vi kan ikke rense en server, på mindre tid det
> tager at hive en backup ned.

hvis du restorer en server der er blevet 'owned' fra en backup har jeg kun
latter tilovers fra dig. Hvorfor blev den owned? fordi den var exploitable.
Hvad er din backup så? exploitable. nææh du.. en maskine der er offline,
format, reinstall af OS, installere _alle_ relevante patches, sætte
transparent IDS foran, eventuelt kontakte relevante organisationer (hvis
man er _sikker_ på at man har orden i sagerne) og smide de databasefiler
der er nødvendige over på.. _det_ er vejen frem.


>> Eller var det er forsøg på at anfægte mine kundskaber inden for edb?
>
> Det var det faktisk ikke, men du kan godt se at man ikke har en box
> nede i 36 timer uden at man laver et eller andet fornuftigt ved den.

Det glæder mig at vi ikke skal over i mudderet. I de 36 timer arbejder man
febrislk på ovenstående løsning.

> Men man kan heller ikke være ekspert på alle områder. Det er vel meget
> reelt.

og tak da gud for det :)

---

Thus spake supermand in
news:Xns9158E049DC517kalelmetropolis@212.242.40.196:

> iis restarter selv når den crasherhvis de rette omstændigheder er til
> stede. Karsten H. kan 100% sikkert uddybe dette, mine kundskaber ligger
> desværre andetsteds.. nuff said :)

Hvis en service stopper vil windows 2000 starte den igen, hvilket er en
blandet fornøjelse.
Hvis servicen 'bare' går agurk i en uendelig løkke el. lign. får den lov at
køre videre.

> hvis du restorer en server der er blevet 'owned' fra en backup har jeg
> kun latter tilovers fra dig. Hvorfor blev den owned? fordi den var
> exploitable. Hvad er din backup så? exploitable. nææh du.. en maskine
> der er offline, format, reinstall af OS, installere _alle_ relevante
> patches, sætte transparent IDS foran, eventuelt kontakte relevante
> organisationer (hvis man er _sikker_ på at man har orden i sagerne) og
> smide de databasefiler der er nødvendige over på.. _det_ er vejen frem.

Jeg må erklare mig enig. Er den blevet ownet, så er det helt forfra.
Hvordan ved du at din backup ikke også er ownet?

> Det glæder mig at vi ikke skal over i mudderet. I de 36 timer arbejder
> man febrislk på ovenstående løsning.

Og græder lidt, fordi man hellere ville være hjemme og sove.

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

"Karsten H." <netsrak@egotrip.dk> skrev i en meddelelse
news:Xns9158ECC323808karstenegotripdk@212.54.64.134...
> Thus spake supermand in
> news:Xns9158E049DC517kalelmetropolis@212.242.40.196:
>
> > iis restarter selv når den crasherhvis de rette omstændigheder er til
> > stede. Karsten H. kan 100% sikkert uddybe dette, mine kundskaber ligger
> > desværre andetsteds.. nuff said :)
>
> Hvis en service stopper vil windows 2000 starte den igen, hvilket er en
> blandet fornøjelse.
> Hvis servicen 'bare' går agurk i en uendelig løkke el. lign. får den lov
at
> køre videre.

Yep. det er korrekt. Servicen. Det er ikke kun i IIS'en at den kan det. læs
mit svar til supermand lige under dette

>
> > hvis du restorer en server der er blevet 'owned' fra en backup har jeg
> > kun latter tilovers fra dig. Hvorfor blev den owned? fordi den var
> > exploitable. Hvad er din backup så? exploitable. nææh du.. en maskine
> > der er offline, format, reinstall af OS, installere _alle_ relevante
> > patches, sætte transparent IDS foran, eventuelt kontakte relevante
> > organisationer (hvis man er _sikker_ på at man har orden i sagerne) og
> > smide de databasefiler der er nødvendige over på.. _det_ er vejen frem.
>
> Jeg må erklare mig enig. Er den blevet ownet, så er det helt forfra.
> Hvordan ved du at din backup ikke også er ownet?
>
Et DoS attack er normalt ikke et andet en hvad det står for. Denial Of
Service. Altså bare smask den nogle til at den ligger ned. Du skal helst
ikke afsløre din tilstedeværelse hvis du vil 'owne' en server. Deraf
subseven, backorifice, netbus, m.m. Kun ved exploits (altså root-adgang,
eller execute) er man owned, og det foræller log-filerne som regel. Man skal
være en pissedygtig hacker for at skjule sig nu om stunder. der er logs på
alt.
Hvis man studerer diverse exploits, især nærlæser .NASL scripts, vil man
kunne se at DoS er DoS og ikke 'ROOT' exploits. Selv MSADC er en ROOT, men
der vil man gerne, som er atypisk for root-exploits, have publicity med
defacements. Den er owned, men det er din terminal server f.eks. ikke.......

> > Det glæder mig at vi ikke skal over i mudderet. I de 36 timer arbejder
> > man febrislk på ovenstående løsning.
>
> Og græder lidt, fordi man hellere ville være hjemme og sove.
>
he :)
> --
> Karsten H.
> Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

Max

---

Thus spake Max Andersen in
news:3bf19e56$0$25365$edfadb0f@dspool01.news.tele.dk:

> Et DoS attack er normalt ikke et andet en hvad det står for. Denial Of
> Service. Altså bare smask den nogle til at den ligger ned. Du skal
> helst ikke afsløre din tilstedeværelse hvis du vil 'owne' en server.
> Deraf subseven, backorifice, netbus, m.m. Kun ved exploits (altså
> root-adgang, eller execute) er man owned, og det foræller log-filerne
> som regel. Man skal være en pissedygtig hacker for at skjule sig nu om
> stunder. der er logs på alt.

Der er lavet exploits der smadrer systemets evne til at logge. Mener endda
at have set et der kunne gå ind og slette bestemte entries.

> Hvis man studerer diverse exploits, især nærlæser .NASL scripts, vil
> man kunne se at DoS er DoS og ikke 'ROOT' exploits. Selv MSADC er en
> ROOT, men der vil man gerne, som er atypisk for root-exploits, have
> publicity med defacements. Den er owned, men det er din terminal server
> f.eks. ikke.......

Korrekt. Og ser jeg ordene buffer overflow (og det kommer jo ikke i loggen
alligevel), så ved jeg at det er et spørgsmålk om tid før en eller anden kan
indsætte kode i min process. Og så er jeg owned.

Eller også bruger jeg 15% af min CPU på at checke hukommelsen på en skummel
måde jeg så engang, så processerne bliver dræbt i det øjeblik en overflow
forsøges.

Er der forresten nogle der kan huske noget om den metode? Det var et eller
andet med at benytte nogle bits til noget andet end de var begernet til, så
man meget lowlevel kunne berstemme om man læste en data-blok eller en
kodeblok.

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

"Karsten H." <netsrak@egotrip.dk> skrev i en meddelelse
news:Xns9158F05303720karstenegotripdk@212.54.64.134...
> Thus spake Max Andersen in
> news:3bf19e56$0$25365$edfadb0f@dspool01.news.tele.dk:
>
> > Et DoS attack er normalt ikke et andet en hvad det står for. Denial Of
> > Service. Altså bare smask den nogle til at den ligger ned. Du skal
> > helst ikke afsløre din tilstedeværelse hvis du vil 'owne' en server.
> > Deraf subseven, backorifice, netbus, m.m. Kun ved exploits (altså
> > root-adgang, eller execute) er man owned, og det foræller log-filerne
> > som regel. Man skal være en pissedygtig hacker for at skjule sig nu om
> > stunder. der er logs på alt.
>
> Der er lavet exploits der smadrer systemets evne til at logge. Mener endda
> at have set et der kunne gå ind og slette bestemte entries.
>

Hvis du har root, så kan man gøre det selv. Der plejer bare at mangle noget
logning, og det reagerer visse IDS-systemer på. M

> > Hvis man studerer diverse exploits, især nærlæser .NASL scripts, vil
> > man kunne se at DoS er DoS og ikke 'ROOT' exploits. Selv MSADC er en
> > ROOT, men der vil man gerne, som er atypisk for root-exploits, have
> > publicity med defacements. Den er owned, men det er din terminal server
> > f.eks. ikke.......
>
> Korrekt. Og ser jeg ordene buffer overflow (og det kommer jo ikke i loggen
> alligevel), så ved jeg at det er et spørgsmålk om tid før en eller anden
kan
> indsætte kode i min process. Og så er jeg owned.
>

Jep, men De tilfælde hvor der intet er at spore, på hverken processer eller
log, der er der ikke meget at gøre.
Så ved man alligevel ikke om serveren er owned, og det er 'root' exploits
normale fremgangsmåde. Derfor patcher man konstant selvom man ikke ved om
der er noget.

> Eller også bruger jeg 15% af min CPU på at checke hukommelsen på en
skummel
> måde jeg så engang, så processerne bliver dræbt i det øjeblik en overflow
> forsøges.
>

Den var smart. Et IDS-system på selve boxen. Jeg ville nu hellere have den
seperat :)

> Er der forresten nogle der kan huske noget om den metode? Det var et eller
> andet med at benytte nogle bits til noget andet end de var begernet til,
så
> man meget lowlevel kunne berstemme om man læste en data-blok eller en
> kodeblok.
>
> --
> Karsten H.
> Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

Max

---

Thus spake Max Andersen in
news:3bf1a4c8$0$25385$edfadb0f@dspool01.news.tele.dk:

> Den var smart. Et IDS-system på selve boxen. Jeg ville nu hellere have
> den seperat :)

Mere end et normalt IDS-system, da _alt: fanges, ikke blot predefinerede
mønstre, eller default-værdier. Overskriver den noget, så dør processen, og
det skrives i eventloggen.

>> Er der forresten nogle der kan huske noget om den metode? Det var et
>> eller andet med at benytte nogle bits til noget andet end de var
>> begernet til, så man meget lowlevel kunne berstemme om man læste en
>> data-blok eller en kodeblok.

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

"Max Andersen" <max@SPAMFILTERmilitant.dk> mumlede noget i
news:3bf1a4c8$0$25385$edfadb0f@dspool01.news.tele.dk:

>> Der er lavet exploits der smadrer systemets evne til at logge. Mener
>> endda at have set et der kunne gå ind og slette bestemte entries.
>>
> Hvis du har root, så kan man gøre det selv.

ja? sikke en overraskelse :)

> Der plejer bare at mangle noget logning, og det reagerer visse IDS-
systemer på. M

godt man så har transparent IDS der recorder alt hva? Og hvilket IDS
reagerer på at logfilerne mangler? eksempler til at underbygge ens påstande
er en god ting.


>> > Hvis man studerer diverse exploits, især nærlæser .NASL scripts, vil
>> > man kunne se at DoS er DoS og ikke 'ROOT' exploits. Selv MSADC er en
>> > ROOT, men der vil man gerne, som er atypisk for root-exploits, have
>> > publicity med defacements. Den er owned, men det er din terminal
>> > server f.eks. ikke.......
>>
>> Korrekt. Og ser jeg ordene buffer overflow (og det kommer jo ikke i
>> loggen alligevel), så ved jeg at det er et spørgsmålk om tid før en
>> eller anden kan indsætte kode i min process. Og så er jeg owned.
>>
>
> Jep, men De tilfælde hvor der intet er at spore, på hverken processer
> eller log, der er der ikke meget at gøre.

læse sin IDS log. måske endda forstå den.

> Så ved man alligevel ikke om serveren er owned, og det er 'root'
> exploits normale fremgangsmåde. Derfor patcher man konstant selvom man
> ikke ved om der er noget.

Jeg holder nu af at teste patches på ikke-kritiske systemer først for at se
om de påvirker stabiliteten.

>> Eller også bruger jeg 15% af min CPU på at checke hukommelsen på en
>> skummel måde jeg så engang, så processerne bliver dræbt i det øjeblik
>> en overflow forsøges.
>>
>
> Den var smart. Et IDS-system på selve boxen. Jeg ville nu hellere have
> den seperat :)

samme her, men det er vist ikke det der hentydes til. kig på de openwall
kernel patches der er til linux etc. (www.openwall.org) - jeg tror det er
det Karsten omtaler.

---

"supermand" <kal-el@metropol.is> skrev i en meddelelse
news:Xns91594BD5C51C9kalelmetropolis@212.242.40.196...

> godt man så har transparent IDS der recorder alt hva? Og hvilket IDS
> reagerer på at logfilerne mangler? eksempler til at underbygge ens
påstande
> er en god ting.
>

http://www.robertgraham.com/pubs/network-intrusion-detection.html

Se under punkt 1.1.

Jeg kender ikke alle IDS-systemer, men nævner blot at visse gør.

Max

---

"Karsten H." <netsrak@egotrip.dk> skrev i en meddelelse
news:Xns9158F05303720karstenegotripdk@212.54.64.134...
>
> Korrekt. Og ser jeg ordene buffer overflow (og det kommer jo ikke i loggen
> alligevel), så ved jeg at det er et spørgsmålk om tid før en eller anden
kan
> indsætte kode i min process. Og så er jeg owned.
>
> Eller også bruger jeg 15% af min CPU på at checke hukommelsen på en
skummel
> måde jeg så engang, så processerne bliver dræbt i det øjeblik en overflow
> forsøges.
>
> Er der forresten nogle der kan huske noget om den metode? Det var et eller
> andet med at benytte nogle bits til noget andet end de var begernet til,
så
> man meget lowlevel kunne berstemme om man læste en data-blok eller en
> kodeblok.
>

er det denne du hentyder til?
http://www.securewave.com/html/secure_stack.html
Der findes også en linux- version http://pageexec.virtualave.net/

> --
> Karsten H.
> Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

Max

---

Thus spake Max Andersen in
news:3bf2de26$0$242$edfadb0f@dspool01.news.tele.dk:

> http://www.securewave.com/html/secure_stack.html
> Der findes også en linux- version http://pageexec.virtualave.net/

Præcis. Takker :)

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

Jeg tror hvis at vi misforstår hinanden :(

"supermand" <kal-el@metropol.is> skrev i en meddelelse
news:Xns9158E049DC517kalelmetropolis@212.242.40.196...
> "Max Andersen" <max@SPAMFILTERmilitant.dk> mumlede noget i
> news:3bf179ab$0$87821$edfadb0f@dspool01.news.tele.dk:
>
>
> > Det lyder som om at der har været intervention.
>
> nix. cross my heart and hope you die.
>
fino.

> > Den reparerer ikke sig selv på 2 døgn, hvis skaden har været sket. Hvis
> > den kunne er det sket inden første døgn.
>
> hvor ser vi andre dokumentation for dit postulat?
>
Det burde nok mere være dit postulat der skal bevises. Windows 2000 kan
sættes op til at gøre ting ved fejl, og restart af service er en af dem. Men
det skal man selv vælge. Som default vil alle SERVICES prøve at reparere sig
selv efter debugging er endt, men .....2 døgn og kommer op igen, lyder det
mere som et mirakel end bevidst kodning. Den må have haft lynende travlt
(læs 100% CPU-tid til debugging i 2 dage)

> > Så avancerede reperationsalgoritmer er ikke
> > indbygget i M$ produkter.
>
> iis restarter selv når den crasherhvis de rette omstændigheder er til
> stede. Karsten H. kan 100% sikkert uddybe dette, mine kundskaber ligger
> desværre andetsteds.. nuff said :)
>
Lad os nu lige spise brød til. hvis det er dette du hentyder til :
http://www.microsoft.com/TechNet/prodtechnol/iis/maintain/featusability/rest
art.asp eller
http://www.microsoft.com/TechNet/prodtechnol/winxppro/proddocs/sys_srv_recov
ery.asp så er det indbygget i windows2000 men skal konfigureres manuelt.
Ellers er IIS en programkerne der ligger seperat og burde også have større
recoveryoptions end resten af operativsystemet. især når det er den mest
populære hacktester...

> > Den kan have været bootet?
>
> som sagt, nix. det er en testserver. lavet til det samme.
>
> > Et DoS-angreb med så store datamængder eller så skæv kode, lægger boxen
> > ned uden tøven.
>
> i second that motion. Er du frisk på at komme forbi, fyre det DoS af,
vente
> 36 timer, og se serveren virke igen? du er velkommen :) og når du siger
'så
> store datamængder' .. jeg må desværre påstå at du ikke aner hvad du
snakker
> om, samt at du ikke har læst kilden til det exploit vi omtaler. Ingen
store
> datamængder her.
>
så du mit 'eller'?. det er også ligemeget hvis det er denne
http://support.microsoft.com/support/kb/articles/Q286/1/32.ASP?LN=EN-US&SD=g
n&FR=0&qry=RDP%20patch&rnk=1&src=DHCS_MSPSS_gn_SRCH&SPR=WIN2000
eller denne :
http://support.microsoft.com/support/kb/articles/Q307/4/54.ASP?LN=EN-US&SD=g
n&FR=0&qry=RDP%20patch&rnk=2&src=DHCS_MSPSS_gn_SRCH&SPR=WIN2000

Så er det malicious code og det mener jeg med skæv kode. jeg prøvede at give
et overblik over exploits generelt ved at nævne store datamængder som andre
DoS-attacks, såsom (SYN, f.eks.)

> >
> >> Restorer du en server hvis den bliver DoS'ed?
> >
> > En restart af en service plejer at hjælpe for det meste på DoS-attacks,
> > medmindre du kombinerer det med overflow, som giver dig fuld adgang.
>
> Jeg skrev restore, ikke restart.

Ja men den uddybning kom lige nedenunder.
>
> > Det kommer an på hvad der er sket. Nu har vi ikke haft de problemer,
> > men det kan jo ske en dag, og hvis jeg kan se at der har været ubudne
> > gæster, eller at serveren ikke virker når den kommer op, ja så bliver
> > jeg sgu nødt til det.... vi kan ikke rense en server, på mindre tid det
> > tager at hive en backup ned.
>
> hvis du restorer en server der er blevet 'owned' fra en backup har jeg kun
> latter tilovers fra dig. Hvorfor blev den owned? fordi den var
exploitable.
> Hvad er din backup så? exploitable. nææh du.. en maskine der er offline,
> format, reinstall af OS, installere _alle_ relevante patches, sætte
> transparent IDS foran, eventuelt kontakte relevante organisationer (hvis
> man er _sikker_ på at man har orden i sagerne) og smide de databasefiler
> der er nødvendige over på.. _det_ er vejen frem.
>

Du vil her aldrig kunne genstarte en server eller restarte en service, for
du ved reelt aldrig om den har været 'owned'? hvis en service crasher, og
her må man vurdere hver enkelt sag og granske dine logfiler, for hvad der
kan være sket. Ganske normal procedure.

Man ville fandeme aldrig have fri, hvis man skulle reinstallere hver gang en
service i M$-produkter fejler :))))

Der er jo forskel på et DoS attack og at blive 'owned'. det kommer an på om
de har udnyttet en overflow og har haft begrebet 'ROOT'. det er altså ikke
normalt ved DoS! Så afslører man ligesom at man har været der. kun i
defacement's er det interessant.

> >> Eller var det er forsøg på at anfægte mine kundskaber inden for edb?
> >
> > Det var det faktisk ikke, men du kan godt se at man ikke har en box
> > nede i 36 timer uden at man laver et eller andet fornuftigt ved den.
>
> Det glæder mig at vi ikke skal over i mudderet. I de 36 timer arbejder man
> febrislk på ovenstående løsning.
>
Hehe.

> > Men man kan heller ikke være ekspert på alle områder. Det er vel meget
> > reelt.
>
> og tak da gud for det :)

jeg hedder nu Max :)

---

"Max Andersen" <max@SPAMFILTERmilitant.dk> mumlede noget i
news:3bf19bf2$0$25397$edfadb0f@dspool01.news.tele.dk:

> Jeg tror hvis at vi misforstår hinanden :(

en skam, men vi har rig mulighed for at rette op på det.


>> > Den reparerer ikke sig selv på 2 døgn, hvis skaden har været sket.
>> > Hvis den kunne er det sket inden første døgn.
>>
>> hvor ser vi andre dokumentation for dit postulat?
>>
> Det burde nok mere være dit postulat der skal bevises.

Jeg har tilbudt live demo, det må være nok til selv den mest kræsne.

Den må have haft lynende travlt (læs 100% CPU-tid til debugging i 2 dage)

måske - det er en worst-case maskine hvor vi testet impact. Jeg har faktisk
ikke engang terminaladgang til den, jeg må sætte min lid til den service
jeg prøver at ødelægge. Kommer den op indenfor en overskuelig tidsperiode
har jeg noget at gå videre med.


>> > Så avancerede reperationsalgoritmer er ikke indbygget i M$
>> > produkter.
>>
>> iis restarter selv når den crasherhvis de rette omstændigheder er til
>> stede. Karsten H. kan 100% sikkert uddybe dette, mine kundskaber
>> ligger desværre andetsteds.. nuff said :)
>>
> så du mit 'eller'?.

yup, jeg kommenterede dog kun den store datamængde da det lod til at være
basis for dit indlæg.

>> >
>> >> Restorer du en server hvis den bliver DoS'ed?
>> >
>> > En restart af en service plejer at hjælpe for det meste på
>> > DoS-attacks, medmindre du kombinerer det med overflow, som giver dig
>> > fuld adgang.
>>
>> Jeg skrev restore, ikke restart.
>
> Ja men den uddybning kom lige nedenunder.

Jeg beklager hvis min citatteknik er utilstrækkelig, jeg vil bestræbe mig
på at gør det bedre. Jeg vil i samme ånd henlede til at du læser _hele_
indlægger igennem fær du svarer. Det danske sprog er underfundigt, og det
hænder at meningen optrædere senere i teksten.

>> hvis du restorer en server der er blevet 'owned' fra en backup har jeg
>> kun latter tilovers fra dig. Hvorfor blev den owned? fordi den var
>> exploitable. Hvad er din backup så? exploitable. nææh du.. en maskine
>> der er offline, format, reinstall af OS, installere _alle_ relevante
>> patches, sætte transparent IDS foran, eventuelt kontakte relevante
>> organisationer (hvis man er _sikker_ på at man har orden i sagerne) og
>> smide de databasefiler der er nødvendige over på.. _det_ er vejen
>> frem.
>>
>
> Du vil her aldrig kunne genstarte en server eller restarte en service,
> for du ved reelt aldrig om den har været 'owned'? hvis en service
> crasher, og her må man vurdere hver enkelt sag og granske dine
> logfiler, for hvad der kan være sket. Ganske normal procedure.

Kigger du aldrig i logfiler selv om der ikke er sket noget? Det kan
anbefales. Hvis en service er 'owned' kører den som regel stadig, og det er
endnu en grund til at læse logfiler selv om der ikke 'er sket noget'. Hvis
der er services der er stoppet er det naturligvis det man kigger efter, men
det første man(jeg) vlle gøre var nok at checke diverse sikkerhedslister en
gang til ud over morgenchecket. Måske er der kommet noget DoS i løbet af
dagen. Hvis det DoS er 'uhelbredeligt' lige umiddelbart må man jo pille
serveren af og vente på patches fra sin vendor. Surt men sandt.


> Man ville fandeme aldrig have fri, hvis man skulle reinstallere hver
> gang en service i M$-produkter fejler :))))

2 + 1 ord: remote access + vagtordning.

>
> Der er jo forskel på et DoS attack og at blive 'owned'. det kommer an
> på om de har udnyttet en overflow og har haft begrebet 'ROOT'. det er
> altså ikke normalt ved DoS!

'en overflow' kan sagtens forårsage DoS. Og man kan sagtens genstarte
eventuelle servivces hvis et DoS samtig leder til superuser access,

Jeg hælder mere til begrebet 'super user' eller 'administrative access' af
teologiske årsager :)

>> Det glæder mig at vi ikke skal over i mudderet. I de 36 timer arbejder
>> man febrislk på ovenstående løsning.
> Hehe.

Din quoteteknik får det til at se ud som om at ovenstående
punktumseparerede sætniger er fremsagt af samme person. Der er forkert -
kig på www.usenet.dk.

>> > Men man kan heller ikke være ekspert på alle områder. Det er vel
>> > meget reelt.
>>
>> og tak da gud for det :)
>
> jeg hedder nu Max :)

Og det er dig vi skal takke? Har du da opfundet det definitive sprog?

---

"supermand" <kal-el@metropol.is> skrev i en meddelelse
news:Xns9158F1C0A60C9kalelmetropolis@212.242.40.196...

> Jeg har tilbudt live demo, det må være nok til selv den mest kræsne.
>

Du kan give mig en VPN-klient og terminalserveradgang ? Så klarer jeg der
hjemmefra :)

> Den må have haft lynende travlt (læs 100% CPU-tid til debugging i 2 dage)
>
> måske - det er en worst-case maskine hvor vi testet impact. Jeg har
faktisk
> ikke engang terminaladgang til den, jeg må sætte min lid til den service
> jeg prøver at ødelægge. Kommer den op indenfor en overskuelig tidsperiode
> har jeg noget at gå videre med.
>

.......

>
> > så du mit 'eller'?.
>
> yup, jeg kommenterede dog kun den store datamængde da det lod til at være
> basis for dit indlæg.
>

Du kan ellers godt bitche folk der ikke læser mere end 5 ord......

> >> >
> >> >> Restorer du en server hvis den bliver DoS'ed?
> >> >
> >> > En restart af en service plejer at hjælpe for det meste på
> >> > DoS-attacks, medmindre du kombinerer det med overflow, som giver dig
> >> > fuld adgang.
> >>
> >> Jeg skrev restore, ikke restart.
> >
> > Ja men den uddybning kom lige nedenunder.
>
> Jeg beklager hvis min citatteknik er utilstrækkelig, jeg vil bestræbe mig
> på at gør det bedre. Jeg vil i samme ånd henlede til at du læser _hele_
> indlægger igennem fær du svarer. Det danske sprog er underfundigt, og det
> hænder at meningen optrædere senere i teksten.
>

Ligesom med mit 'eller' ? Til det må jeg sige, at jeg tager det
'step-by-step'.

> >
> > Du vil her aldrig kunne genstarte en server eller restarte en service,
> > for du ved reelt aldrig om den har været 'owned'? hvis en service
> > crasher, og her må man vurdere hver enkelt sag og granske dine
> > logfiler, for hvad der kan være sket. Ganske normal procedure.
>
> Kigger du aldrig i logfiler selv om der ikke er sket noget? Det kan
> anbefales. Hvis en service er 'owned' kører den som regel stadig, og det
er
> endnu en grund til at læse logfiler selv om der ikke 'er sket noget'. Hvis
> der er services der er stoppet er det naturligvis det man kigger efter,
men
> det første man(jeg) vlle gøre var nok at checke diverse sikkerhedslister
en
> gang til ud over morgenchecket. Måske er der kommet noget DoS i løbet af
> dagen. Hvis det DoS er 'uhelbredeligt' lige umiddelbart må man jo pille
> serveren af og vente på patches fra sin vendor. Surt men sandt.
>

Logfiler ædes konstant af IDS-systemer, men hvis man ikke har det, er
granskning udmærket.

Hvis man kun erfarer et DoS ved at granske logfiler, kan man ligeså godt
ikke have servicen kørende, og finde på noget andet.

Man kan også skifte vendor.....

> > Man ville fandeme aldrig have fri, hvis man skulle reinstallere hver
> > gang en service i M$-produkter fejler :))))
>
> 2 + 1 ord: remote access + vagtordning.
>

Ja, man har vel et remote board med floppy adgang hjemmefra? eller mounter
du cd'en hjemmefra og kopierer en serverdisk over WAN?
Eller har du et par slaver der roder med dine cd'er nede på arbejdet imens
at du er hjemme?

> >
> > Der er jo forskel på et DoS attack og at blive 'owned'. det kommer an
> > på om de har udnyttet en overflow og har haft begrebet 'ROOT'. det er
> > altså ikke normalt ved DoS!
>
> 'en overflow' kan sagtens forårsage DoS. Og man kan sagtens genstarte
> eventuelle servivces hvis et DoS samtig leder til superuser access,
>
> Jeg hælder mere til begrebet 'super user' eller 'administrative access' af
> teologiske årsager :)

Hvis en laver SU på din box, og du ikke opdager det, og logfiler er tomme,
tja, så har du ikke særlig stor mulighed for at gøre noget alligevel.
>
> >> Det glæder mig at vi ikke skal over i mudderet. I de 36 timer arbejder
> >> man febrislk på ovenstående løsning.
> > Hehe.
>
> Din quoteteknik får det til at se ud som om at ovenstående
> punktumseparerede sætniger er fremsagt af samme person. Der er forkert -
> kig på www.usenet.dk.
>

Undercover cop......

> >> > Men man kan heller ikke være ekspert på alle områder. Det er vel
> >> > meget reelt.
> >>
> >> og tak da gud for det :)
> >
> > jeg hedder nu Max :)
>
> Og det er dig vi skal takke? Har du da opfundet det definitive sprog?

har du opfundet den definitive humor? Eller har du compileret din egen?

Max

---

"Max Andersen" <max@SPAMFILTERmilitant.dk> mumlede noget i
news:3bf1a7c2$0$25361$edfadb0f@dspool01.news.tele.dk:

>
> "supermand" <kal-el@metropol.is> skrev i en meddelelse
> news:Xns9158F1C0A60C9kalelmetropolis@212.242.40.196...
>
>> Jeg har tilbudt live demo, det må være nok til selv den mest kræsne.
>>
>
> Du kan give mig en VPN-klient og terminalserveradgang ? Så klarer jeg
> der hjemmefra :)

så du vil simpelthen se via terminal services, om terminal serveren går
ned, og hvornår den går op igen. smart nok - der kan jeg slet ikke tage
røven på dig jo.

> ......

hvis du ikke har en kommentar til teksten så klip den ud.

>
>>
>> > så du mit 'eller'?.
>>
>> yup, jeg kommenterede dog kun den store datamængde da det lod til at
>> være basis for dit indlæg.
>>
>
> Du kan ellers godt bitche folk der ikke læser mere end 5 ord......

2 forskellige ting. 2 meget forskellige ting.

> Hvis man kun erfarer et DoS ved at granske logfiler, kan man ligeså
> godt ikke have servicen kørende, og finde på noget andet.

jah.. folk ringer som regel til en når det ikke virker jo - det er ikke
altid man liiige har fulgt med i firewall-loggen realtime.

> Man kan også skifte vendor.....

hvad skulle det hjælpe?

> Ja, man har vel et remote board med floppy adgang hjemmefra? eller
> mounter du cd'en hjemmefra og kopierer en serverdisk over WAN?
> Eller har du et par slaver der roder med dine cd'er nede på arbejdet
> imens at du er hjemme?

vi lader sarkasmen stå et øjelik. Fordi det ikke fungerer for dig betyder
det ikke at vi andre ikke har lavet en holdbar løsning.

> Hvis en laver SU på din box, og du ikke opdager det, og logfiler er
> tomme, tja, så har du ikke særlig stor mulighed for at gøre noget
> alligevel.

tjaah.. man kan jo altid gå hen og se på skærmen. eller kigge i sine IDS
logs.

>> >> Det glæder mig at vi ikke skal over i mudderet. I de 36 timer
>> >> arbejder man febrislk på ovenstående løsning. Hehe.
>>
>> Din quoteteknik får det til at se ud som om at ovenstående
>> punktumseparerede sætniger er fremsagt af samme person. Der er forkert
>> - kig på www.usenet.dk.
>>
>
> Undercover cop......

tværtimod, blot træt af de samme fejl gentagne gange.

>> >> > Men man kan heller ikke være ekspert på alle områder. Det er vel
>> >> > meget reelt.
>> >>
>> >> og tak da gud for det :)
>> >
>> > jeg hedder nu Max :)
>>
>> Og det er dig vi skal takke? Har du da opfundet det definitive sprog?
>
> har du opfundet den definitive humor? Eller har du compileret din egen?

Jeg har tiltusket mig lidt fra rundt omkring. ovenstående udtalelse moreede
mig ikke, derfor det måske lidt tørre svar.

---

Thus spake Max Andersen in
news:3bf1742b$0$87817$edfadb0f@dspool01.news.tele.dk:

> Havde du weekend eller var mobilen slukket? Det tager ellers meget kort
> tid at hive en fuld backup ned af en terminalserver. Medmindre man har
> store problemer med at konfigurere backup ordentligt.

Hvis en terminalserver dør for mig restorer jeg ikke en fuld backup. Jeg har
mistet tilliden til systemet, og vælger derfor at bygge det op igen, gerne
bedre denne gang.

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

"Karsten H." skrev

> Jeg synes jeg så en for nyligt. Jeg har måske ment RDP.

Det er nok denne du mener, fra oktober:

<URL: http://www.microsoft.com/technet/security/bulletin/MS01-052.asp >

Der er flere (i samme genre):

<URL: http://www.microsoft.com/technet/security/bulletin/ms01-040.asp >
<URL: http://www.microsoft.com/technet/security/bulletin/ms01-006.asp >

Med venlig hilsen

Peder

---

"Karsten H." <netsrak@egotrip.dk>
> Hvis du kører Windows 2000 på serveren kan du installere Terminal services
i
> admin-modus på den. Hurtigt og driftssikkert.

Ikke alt software understøtter dette, fx norton antivirus for enterprise.

---

Thus spake Christian E. Lysel in news:9ssc1l$70b$1@sunsite.dk:

> Ikke alt software understøtter dette, fx norton antivirus for
> enterprise.

Så vil de sikkert værdsætte et kærligt spark i måsen, så de kan forstå at
det er en ønsket feature.

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

"Karsten H." <netsrak@egotrip.dk>
> > Ikke alt software understøtter dette, fx norton antivirus for
> > enterprise.
> Så vil de sikkert værdsætte et kærligt spark i måsen, så de kan forstå at
> det er en ønsket feature.

Det er svært at sige hvor fejlen ligger, da NAV bruger mmc, som er
produceret af MS.

Endvidere er det nok ikke det eneste produkt der har dette problem,
forresten er det løst i version 7.6