Slashdot - Če se vam zdi veliko, da je Microsoft potreboval skoraj dva meseca za zakrpanje luknje v Internet Explorerju, kaj porečete šele na to, da so vas pri usodnejši luknji v operacijskih sistemih Windows NT4, 2000 in XP kar pol leta pustili računalniškim zlikovcem na milost in nemilost. Kot poročajo tukaj ali tukaj, so že konec lanskega julija odkrili napako v knjižnici ASN.1, ki napadalcu omogoča, da preko Kerberosa, overovitve NTLMv2, SSL, digitalno podpisane elektronske pošte, ActiveX ipd. izvede zlobno kodo, popravek pa je izšel šele včeraj (ali pa morda celo danes po našem času). Izvirno novičko na Slashdotu, najdete tu.
Že slišim MS-ovce : "Pa kaj spet MS kritizirate !? To ni fer, non-stop samo MS sux, MS sux :-( Kaj pa linux ? Evo pred 4 meseci en je bug imel , ha ! So sicer po 5 dneh pofiksali, ampak vseeno !"
Iz 24ur.com: Marc Maiffret iz podjetja eEye Digital Security je dejal, da gre za največjo varnostno luknjo doslej, ki hekerjem dopušča, da vdrejo na spletne strežnike, v interna računalniška omrežja podjetij in skoraj na vsak računalnik.
LOL MrStein! Si mi prav uzel z jezika (ups, tipkovnice)! Sicer pa je res tragicno. Neodgovorno do uporabnikov.
No, da ne bom zdaj spet sprozu vojne, poglejmo enkrat z druge perspektive: a se vam ne zdi, da bi vsaka firma v kozi M$ (90% trzni delez, miljarde dohodkov na mesec...) delovala podobno? A niso to ocitni znaki neuravnotezenega trga in pomanjkanja konkurence? A ni fajn, da linux pridobiva na popularnosti in se celo M$ pocuti ogrozenega in je zacel nekaj migat (ok, do sedaj vecinoma v "smash them or buy them" namesto v "make us better" - pac tisto kar najbolj znajo ) , ker na koncu bomo uporabniki tisti ki bomo pridobili! In trenutno smo (so) uporabniki tisti ki vlecejo ta kratko (in se vedno placujejo).
Zato dragi windowsasi, le hvalezni ste lahko, da nas imate, da tezimo, da opozarjamo, da nas je vedno vec in da se nas ne da kupit, ker je to na koncu v vase dobro.
Zato dragi windowsasi, le hvalezni ste lahko, da nas imate, da tezimo, da opozarjamo, da nas je vedno vec in da se nas ne da kupit, ker je to na koncu v vase dobro. Sama dobrota te je, res hvala. Sedaj, ko bos poudarjal kako so pri MS slabi in grdi bom srecnejsi ter bom koj zbrisal grde Windoze z diska. Neeeee, saj ne da bi "hotu" sprožit spet polemike, samo pac...
Glej edini, ki imajo pravico pametovati so pri eEye (mimogrede ugotovili so se nesteto drugih lukenj). Da se pa nasa elitna Linux srenja (malo provociram ) spomni samo zadevo kritizirat, ko je ze 6 mescov zunaj, poleg tega, dvomim, da bi bil ta bug sploh kdo sposoben reproducirat je pa ze navada. Nic bat drugic, kar na dan z besedo! Bom rade volje prebral kritiko in zgražanje pri odkritju novega bug-a (seveda pri lastnemu testiranju in poznavanju sistema)..
You can talk rationaly about kernel design, the issue of free-ness is emotional.
SRX: če prav razumem, bi blo teb najbolš, da bi vsak lahko opozoril samo na tiste luknje, ki jih sam najde!!! zelo pametno, ccc...
torej vsi ubogi uporabniki, ki imajo windows bi po tvojem morali bit prikrajšani za informacijo, da obstaja varnostna luknja v njihovem sistemu? in zakaj? zato, ker se teb ne zdi lepo, da se širijo informacije od vira informacij do končnih uporabnikov teh informacijah po kar največ kanalih in čimhitreje??? zakaj potem uporabljaš net, ki je zgrajen na teh principih?
SXR: sej ti nobeden ne govori da winse dol zbriši.....
Nevem zakaj se MS uporabniki počutijo tako ogroženo. Res mi ni jasno.
Zgleda da bo treba razdelit Slo-Tech na 2 kategoriji: MS-assimilated in Openminded. Drugi bojo dobili prikazano vso vsebini, prve pa le tisto ki ne prikazuje MS-a v slabi luči. Tako bomo vsi srečni, najbolj pa uporabniki 1. skupine, saj ne bo nobeden kritiziral produkta za katerega so mastno plačali.
Zato pa jaz več NIKOLI ne bom kupil software-a od microsofta. Zadnji nakup licenčnih windows-ev sem naredil z Windows 95. Ko sem hotel sprobat in bil sem že 100%, da bom kupil Windows 98 sem si od soseda spodoso original kupljene windows 98 za test, da vidim če laufa ... itd.. in si jih inštaliral, da jih prvo probam in ko so potekli .. in sem skoraj zgubil vse podatke sem pa reko NIKOL VEČ!. In tu imate zaj dokaz, da se microsoftu dobesedno jebe za usere. Takega Security hole-a pa še nisem vido .. sem včeraj takoj, ko je prišlo ven updateal (okol 19.47).
spc: itak se msju jebe zate... glede na povedano uporabljaš piratsko verzijo trenutno. torej zakaj bi jim blo mar, če te bo kdo shekal al ne, če pa itak jim nisi dal niti tolarja?
verjetno bo kaj bolj mar kakemu antipiratskemu združenu tipa www.bsa.si ali www.apz.si ... :)
Blaster did ya some harm We just say, hey, another worm But thank you, for trusting me To mind your site's security It's all good, when your server's downed Our dope PR will pass blame around Cuz it's known as such That this is some software, you can't trust
I told ya Homeland U can't trust this Yeah that's why we're giving ya the code U can't trust this Check out Wintendo, man U can't trust this Yo let 'em bust more funky system U can't trust this
Give 'em a string or recvfrom Like no sweat they got the keys to your kingdom Now ya know You talk about Wintendo, you're talking about holes Remote and tight Coders still sweating so someone better write A book to learn What it's gonna take in '04 To earn some trust Legit, either secure or ya might as well quit
That's the word because you know U can't trust this U can't trust this
SRX pravi: [i]Sedaj, ko bos poudarjal kako so pri MS slabi in grdi...[/i]
Narobe! Povdarit sem hotel trenutno stanje na trziscu ni zdravo, Je nasprotno od same ideje prostega trga in konkurence. M$ je v nekem pogledu podivjana spremenljivka. Ne borijo proti konkurenci, oni jo kupijo. Ce ne bi bil linux pod GNU, temvec pod neko firmo, bi verjetno trajal do "lani"! Kar na sceni manjka je borba za kupce. Poglejte kam nas je borba med AMD in INTELom pripeljala. A mislite da bi bilo tako ce AMDja ne bi bilo?
Ali ti je vsec, da ti trenutno na racunalniku tece program ki ima ogromno [b] znanih in objavljenih [/b] lukenj, proizvajalec pa si pusti skoraj eno leto casa, da izda popravke? Medtem pa se hekerjem smeje!
In ves zakaj toliko cakajo? Da bodo bolj ekonomicno izdat vse v paketu. Na CDju. Ki ga bos moral placat?
Ok, zdej pa pomisli da imas firmo in na tvojem racunalniku ogromno neprecenljivih podatkov. Kaj mislis da tvoj konkurent ne more placat enga brihtnega hekerja, da ti vse tvoje delo ukrade, pa se pobrise za sabo?
Pa konec koncev? A jim za svojo lastno rit (MSjevo) ni mar? A mislis, da so njihovi serverji na katerih imajo poslovne informacije brez teh popravkov? Morda pa tecejo na kakem unixu?!!
No, spet me je zaneslo. Preberi se enkrat samo prvi odstavek
če prav razumem, bi blo teb najbolš, da bi vsak lahko opozoril samo na tiste luknje, ki jih sam najde!!! zelo pametno, ccc... Ne, ne razumeš oziroma ne prebereš prav. Pametovanje in zgražanje me moti...
Pohvalno je, da obstajajo taka podjetja kot eEye ter ljudje, ki pripomorejo k boljši varnosti Windows OS. KONSTRUKTIVNA kritika je vedno dobrodošla! Odgovor na vprašanje zakaj tako pozno, je malo bolj zahteven kot pa par uh in oh.
Glede na to, da uporabljam Debiana in Windows, bom rekel samo tole: ko se pojavi varnostna luknja za Debiana, so popravki na voljo zelo hitro. Od nekaj ur, do nekaj dni. Pri Microsoftu traja od nekaj tednov do nekaj mesecev. Pri Debianu delajo prostovoljci in to brezplačno, Microsoft pa ima zaposlene programerje.
To so dejstva. Zakaj eni lahko, drugi pa ne morejo, je pa stvar debate. Mogoče microsoft ne zna prav usmeriti svijih resoursov? Ali pa ima premalo ljudi? Ne vem. Vem samo, kakšen so posledice zame, kot končnega uporabnika.
In ves zakaj toliko cakajo? Da bodo bolj ekonomicno izdat vse v paketu. Na CDju. Ki ga bos moral placat? Hmm, ne vem ce je tako. Razumem sicer, da MS poskusa sluzit na vsakem koraku, samo mislim, da ne ravno na ta način. Pac, sorry, spet malo pristranski stavek (tega nisem nikjer prebral niti se mi ne zdi logicno). Ce pa morajo ze CD-je prodajat jim gre pretirano slabo ...
You can talk rationaly about kernel design, the issue of free-ness is emotional.
Ok, zdej pa pomisli da imas firmo in na tvojem racunalniku ogromno neprecenljivih podatkov. Kaj mislis da tvoj konkurent ne more placat enga brihtnega hekerja, da ti vse tvoje delo ukrade, pa se pobrise za sabo?
Toto:
Nihče nebo nikomur ukradel podatkov, na podlagi teh "varnsotnih lukenj". Varnostna luknja o kateri govorimo, lahko samo povzroči nepravilno izvajanje kode in nepravlne rezultate pri izvajanju te kode. to pomeni, da nekdo, ki bi v skrajnem primeru izkoristil to luknjo, bi lahko obesil ali sesul nek avtentifikacijski strežnik, in z izpadom delovanja le-tega povzročil probleme uporabnikom, ki se nebi mogli avtentificirat.
Varnsotne luknje so vglavnem bug-i, ki omogočajo folku ki ima čas, da spišejo virus ali programček kot je bil vsemznani blaster, ki prvič ne krade podatkov, 2. ga hekerji ne bodo izkoristili v svoje namene, 3. nima nobene veze z varnostjo računalnika, ampak z varnostjo delovanja operacijskega sistema - koda je pač narobe ali slabo napisana, in se lahko zgodi, da se mašina sesuje in podobno.
Varnost podatkov ni odvisna od OS-a ampak od tega, kako se z dodatnimi merami zaščitimo pred krajo le-teh, kot so firewall-i, antivirusi, antispyware-i, in preverjanje kaj se dogaja z našim informacijskim sistemom.
Vem samo, kakšen so posledice zame, kot končnega uporabnika. Moj nasvet: Odklopi se z neta in ne bos cutil nobene posledice. Jaz recimo uporabljam oba OS-a pa nisem nikoli trpel zaradi hroščev. Security je luksuz in ne dejstvo. Ce ne znas skonfigurirat Linux in ga postavis v svet out-of -the-box je en sam velik hrošč. Enako je z Windows-i (firewall, antivirus, odprti porti itd, itd) .
Ne mi govorit, da je za vsak k kriv MS. Uporabniki nosijo sami odgovornost za svojo nevednost. Konec koncev ce je ze tako: Saj si lahko vsak, namesti Linux. Se mogoce motim? No in zakaj ne?
You can talk rationaly about kernel design, the issue of free-ness is emotional.
Varnostna luknja o kateri govorimo, lahko samo povzroči nepravilno izvajanje kode in nepravlne rezultate pri izvajanju te kode. to pomeni, da nekdo, ki bi v skrajnem primeru izkoristil to luknjo, bi lahko obesil ali sesul nek avtentifikacijski strežnik, in z izpadom delovanja le-tega povzročil probleme uporabnikom, ki se nebi mogli avtentificirat.
eEye (glej linkan članek zgoraj) je pisal :
Severity: High (Remote Code Execution)
in dalje :
eEye [...] has discovered a critical vulnerability in Microsoft's [...] that would allow an attacker to overwrite heap memory on a susceptible machine and cause the execution of arbitrary code.
A security vulnerability exists in the Microsoft ASN.1 Library that could allow code execution on an affected system. The vulnerability is caused by an unchecked buffer in the Microsoft ASN.1 Library, which could result in a buffer overflow.
An attacker who successfully exploited this buffer overflow vulnerability could execute code with system privileges on an affected system. The attacker could then take any action on the system, including installing programs, viewing data, changing data, deleting data, or creating new accounts with full privileges.
Abstract Syntax Notation 1 (ASN.1) is a data standard that is used by many applications and devices in the technology industry for allowing the normalization and understanding of data across various platforms. More information about ASN.1 can be found in Microsoft Knowledge Base Article 252648.
Toliko bi se pa že lahko naučili v zadnjih petih letih, da buffer overflow na x86 avtomatično pomeni dostop do okolja s privilegiji programa, v katerem je ta napaka ;)) V Microsoftovem sistemu je to na žalost skoraj vedno "SYSTEM"
Zato.. lepo popravk namestit ;) Ker bomo na S-T v naslednjem mesecu (dveh) 99% zagotovo poročali o črvu, ki počne kaj grdega s pomočjo te luknje.
There can be no real freedom without the freedom to fail.
Spc: itak se msju jebe zate... glede na povedano uporabljaš piratsko verzijo trenutno. torej zakaj bi jim blo mar, če te bo kdo shekal al ne, če pa itak jim nisi dal niti tolarja?
Mislim, da ni piratska verzija v polnem pomenu, kajti uporabljam Windows Server 2003, Datacenter Edition ki pa je na voljo SAMO z novim Serverjem, ki ima vsaj 8 CPUjev. Ta verzija ni v prosti prodaji .. in je NE moreš kupit pa če daš 40 000 dolarjev ko ni v pridaji. Mislim, da če stvar ni doseglija "neke vrste unikat" ni to glih piratska verzija saj je ne morem kupit.
Res je, da so ASN.1 exploit pri eEye odkrili in nato posredovali MS-u pred sestimi meseci, a zanj ni vedel nihce razen eEye, MS in nekaj "ozjih sodelavcev" eEye (ti pa najverjetneje niso tipi ki hodijo okrog in hekajo serverje, vsaj sedaj ne vec ). Big deal. Obstaja veliko lukenj, ki niso in nikoli ne bodo splosno znane, so called private exploits. Veliko jih je, tudi za tako opevan in varen OS kot je Linux. Kar je objavljeno na raznih security listah je le kapljica v morju. Getting paranoid? Ni panike, exploiti so itak nevarni le ko pridejo v roke skiddijem. Oops, back to ASN.1...MS je nato porabil 6 mesecev casa da je razvil ter predvsem stestiral popravek. Luknja je ocitno siroka in globoka in MS si ne sme privosciti kaksnih nepredvidljivih komplikacij z popravkom (yep, vecina corporate serverjev in delovnih postaj se vedno laufa na Oknih). Zakaj pa so pri eEye cakali toliko casa na objavo svojega odkritja? Ni dvoma da so bili zelo na trnih...because of fame, kids (and some $$ also ) Ce bi exploit objavili prej jim MS ne bi dal kredita (in $$) za odkritje. Offical statement na MS security bulletinu pa pomeni zelo veliko...
Ni dvoma, da bo exploit sedaj reproduciran zelo hitro. eEye bo kodo razsiril po razlicnih kanalih, zunaj bo worm, o sploitu se bo na dolgo in siroko pisalo,ergo, some more publicity for eEye products...got it?
PS: eEye - the story about skiddies becoming Chief Hacking Officers:
Marc Maiffretov (v vlogi chameleona) "podvig" iz najstniskih let. Compromised via unpassworded share over NetBIOS. Itak pol busted by FBI... Shit, I like eEye!
SXR - jaz tudi uporabljam oba sistema, imam firewal skonfiguriran (na Win in na Linux), imam antispyware in antivirus - skratka vse. Plus kriptirane diske za maile in ostale občutljive informacije in redne backupe. Moj problem je pa naslednji: če grem kupit nov avto, dobim raven še varnostni past in airbag. Če kupim Windowse, moram varnostne mehanizme kupiti posebej. Če sem "awared" uporabnik, si jih bom kupil (DL freeware,...), če pa ne... ja, potem imamo pa štalo z virusi in obremenitvami omrežja, ki vplivajo tudi name.
Kar se pa tiče tega odkritja... hmm, kaj pa če je bilo tako, da je exploit v podzemlju prisoten že nekaj časa, eEye pa ga je nekako dobil in posredoval Microsoftu (kao, da so sami odkrili). Se pravi je lahko informacija o luknji na voljo že nekaj časa, vendar samo omejenemu krogu ljudi... no, zdaj se bo to hitro razširilo.
Obstaja veliko lukenj, ki niso in nikoli ne bodo splosno znane, so called private exploits. Veliko jih je, tudi za tako opevan in varen OS kot je Linux. Kar je objavljeno na raznih security listah je le kapljica v morju.
No, koncno je nekdo rekel nekaj pametnega v teh butastih flame warih. Nekomu ki se spozna na stvar in ki je dobro informiran je popolnoma vseeno kaksen operacijski sistem uporablja tarca. Stvar gre celo tako dalec, da je varnost pravzaprav popolna iluzija. Ljudje se smejemo Windowsu, zato ker vsebuje nekaj tako hudo smesnih lukenj, da ne mores priti sebi kako je to sploh mogoce. Ce nek drug OS vsebuje "inteligentnejse" luknje to ga sploh ne naredi varnejsega in boljsega, kajti luknja kljub vsemu obstaja pa naj je v kakrsni koli obliki.
In zdaj sledi bogokletna izjava : Linux je varnejsi sistem od Windowsov, le zato ker preprecuje raznim kidijem da ti v 2min vdrejo v sistem. To je vsa prednost linuxa kadar govorimo o varnosti.
če grem kupit nov avto, dobim raven še varnostni past in airbag ??? Ja in misliš, da to dobiš zastonj. A tega ne plačaš ? Klima, dodatni airbagi (včasih so tudi samo osnovni za doplačat) vse se plača dodatno pač odvisno od firme. Sorry, slab primer.
Če kupim Windowse, moram varnostne mehanizme kupiti posebej. Yup. Ceprav ni "povsem" tako. Kaj pa brezplacni programi ?
ja, potem imamo pa štalo z virusi in obremenitvami omrežja, ki vplivajo tudi name. As I said before: There are no excuses for an ignorant behaviour!
Kar se pa tiče tega odkritja... hmm, kaj pa če je bilo tako, da je exploit v podzemlju prisoten že nekaj časa, eEye pa ga je nekako dobil in posredoval Microsoftu (kao, da so sami odkrili). Se pravi je lahko informacija o luknji na voljo že nekaj časa, vendar samo omejenemu krogu ljudi... no, zdaj se bo to hitro razširilo. Špekulacij ne maram...
You can talk rationaly about kernel design, the issue of free-ness is emotional.
Drugače pa bi za začetek priporočil MS Baseline Security Analizer, ki je "zastonj" pove pa marsikaj o konfiguraciji win (2000,XP,2003) pa tudi o nameščenih popravkih.
You can talk rationaly about kernel design, the issue of free-ness is emotional.
nazalost je tudi ta program ki si ga priporocil v k... ker ti napise za racunalnik da ni vec vulnerable pa se v resnici je. Ce bi bil narocen na kaksen bugtraq itd. Evo ti clanek:
Another Low Blow from Microsoft.
Within the last few weeks at our company we have been doing testing to find out total number of patched machines we have against the latest Messenger Service Vulnerability. After checking few thousand computers we have found several hundred were still affected even though patch has been applied. We have scanned with Retina, Foundstone and Qualys tools which they all showed as “VULNERABLE”, however when we scanned with Microsoft Base Security Analyzer it showed as “NOT VULNERABLE”. This was at first confusing; one would think an assessment tool released by the original vendor would actually be accurate. On the flipside it really didn’t make sense to us why would three different commercial scanners show as vulnerable if they are truly patched. So we decided to do the ultimate test. We ran messenger service exploit against the machines that MS Base Analyzer showed as “Not Vulnerable” and 3rd party vulnerability scanners that showed as “Vulnerable”. Results were as expected, machines were exploited and Microsoft Base Analyzer failed to detect the vulnerable machines properly. Had we trusted Microsoft Base Analyzer we would still be vulnerable.
Kot drugo pa ne govorit no da so pri eye prvi nasli luknje itd. Lepo te prosim no. Z hackanjem se po celem svetu ukvarja 100.000 hackerjev in vec ki se vsakodnevno trudijo najti varnostne luknje in zdaj bo pa ravno 5 ljudi pri eeye naslo to in pol leta drzalo to za sebe. Valda. Zato pa je tolko private exploitov in the wild ker vsi drzijo to za sebe in sploh ne vdirajo z njimi. Se dokaj spoznam na to in ti povem da tudi do 0day oz private exploitov ni tak tezko prit sploh ce gledas po forumih in ircas itd. Tak da bi reko da so vedno korak pred raznimi taksnimi firmami kot so eeye. Pa tudi ce niso ko ziher prej zvejo kot navadni uporabniki in predn so updati na voljo. Zato pa sn z rpc dcom exploitom lahko nahackal 50 masin pa se 90 % ni niti vedlo za ta exploit. In ja sem imel dostop do vseh podatkov itd. Pri linuxu je vsaj tak da je root acc malo tezje dobit, z navadnim pa kaj dosti ne mores, razn ce pol local exploitas dalje. Pri winsih pa z cmd.exe shellom ze obvladas celo masino in vse ostalo je samo stvar Pa tudi sam uporabljam oboje in Microsoft in Linux v mrezi pa je res da mi je windows bolj vsec zaradi lazje uporabe pa pac zato ker sn dalje navajen na njega, glede stabilnosti pa raje nebi. Ko ti windows masina laufa 1 tedn zacne vse stekat, 3/4 programov mas v memory not ki se ne unloadajo itd. Linux mi na drugi strani laufa 2 mesca skupaj se logiram not je kot da bi ga ravno pognal. Pa se zastojn je. itd itd,. PA ne gnjavite vec 1x z tem joj samo o ms luknjah porocate. JA ce pa jih je tolko. Kaj si naj linux lukne zacnejo zmisljevat na SLo-techu samo zato da bo razmerje novic uravnoveseno. PAc porocas o tem kar je.
Lover22: Nikjer nisem napisal, da je Base Security Analyzer 100% in najboljši. Za ene načine testiranja je boljši npr Retina za druge GFI LanGuard spet tretje Foundstone. Odvisno, izbiraj. Govora je bilo o ponudbi in kaj ponuja MS.
Ne beres poste ker te ne zanima. Vazno, da napisem nekaj kar se ne sklada z tvojim vzorcem in ideologijo pa si ze pogumen in mi pomolis diskreditacijo. Pa kaj! A ti pobrskam kritike cez vsak program, ki si ga navedel?
Nehaj se omejevat z glupostmi!
Kot drugo pa ne govorit no da so pri eye prvi nasli luknje itd. Heh, kot sem reku ... ne vidiš ne slišiš. Kje sem to napisal ???
LP,
You can talk rationaly about kernel design, the issue of free-ness is emotional.
) , ker na koncu bomo uporabniki tisti ki bomo pridobili! In trenutno smo (so) uporabniki tisti ki vlecejo ta kratko (in se vedno placujejo). 
... 
