» »

Luknja v požarnem zidu SP2 za Windows XP

Luknja v požarnem zidu SP2 za Windows XP

PC Welt -

Nemška revija PC Welt poroča, da so odkrili novo luknjo v požarnem zidu, ki ga prinaša drugi servisni paket popravkov za Windows XP. V nekaterih primerih lahko vaše datoteke vidijo "vsi" internetni uporabniki, ne pozabijo pa tudi poudariti, da je imel podobno napako že Windows 95. V čem sta si torej zadnje Microsoftovo čudo tehnike in operacijski sistem s smetišča zgodovine podobna?

Do napake lahko pride, če imamo vklopljeno skupno rabo datotek in tiskalnikov (File and Printer Sharing) v domačem omrežju, na internet pa se povezujemo s klicnim dostopom. Uporabnikom, ki imajo samo en računalnik, torej ni potrebno pretirano skrbeti, saj je rešitev trivialna - izklopiti je potrebno skupno rabo datotek.

Podobno težavo je imel Microsoft pri Windows 95, ko je pozabil ločiti skupno rabo datotek v privatnem omrežju in internetu, kar so kasneje popravili. V Windows XP je stvar popravljena, kar lahko vidite, če z desno tipko kliknete na ikono vaše klicne povezave in tudi ikono domačega omrežja. Skupno rabo, kot vidite, nastavljate ločeno. SP1 je to spremenil, ker je nastavitev postala globalna, torej je skupna raba aktivna tudi pri interneti povezavi, kar pa ni prevelik problem, saj je ta privzeto zaščitena z vgrajenim požarnim zidom. SP2 privzeto uporablja nastavitve prejšnjega požarnega zidu. Če je bil vklopljen za internetno omrežje, ga sedaj vklopi tudi za povezavo v domačem omrežju z eno samo izjemo - skupna raba datotek je omogočena v domačem omrežju in posledično tudi v internetu, ker je nastavitev globalna. Čestitamo, če uganete geslo (večina uporabnikov Windows je ves čas prijavljena kot Administrator), lahko dostopate do datotek od koderkoli.

Če po namestitvi SP2 niste popravljali nastavitev požarnega zidu, je verjetno, da napaka lahko vpliva na vaš računalnik. Zaženite nastavitve požarnega zidu in omejite IP-je, s katerih lahko dostopate do računalnika na notranje omrežje (verjetno 192.168.0.0/16), in blokirajte vrata, prek katerih deluje skupna raba datotek.

Na novico nas je opozoril Jernej L.

33 komentarjev

Trubadur ::

LOOOOOL!

Spet anti-m$ novica:D :\ :P
Berite Thomasa!

MrStein ::

Pa ne že spet anti-mik... ah, me je Trubadur prehitel :D

Jaffa ::

No, pa začnite... 8-)

roko22 ::

No comment. Ful super "user friendly" OS.

gfighter ::

Sam toolk očitne napake si pa ne bi smeli privoščiti...:(

Jakka ::

Lahko bi že enkrat nehal pogrevat že ohlajeno vodo z brezveznim govorjenjem o anti-ms novicah.

Tale novica je zelo na mestu, saj opozori uporabnike na luknjo na njihovih računalih, da jo lahko odpravijo in poskrbijo, da ne pride do zlorabe in kakšnekoli škode.

Da bo le še več takih novic o raznoraznih luknjah med ničlami in enkami ter da bomo uporabniki medmrežnih sotritev deležni čimvišje stopnje varnosti. ;)

p.s.: podj* kot sta pa prva dva posta bi se pa lahko začel brisat...

Microsoft ::

Tale novica ni anit-MS. Je zelo kul novica. Ampak je mogoce na prvi pogled malo prevec kriticna.

Our reader Yves Jerschov notified us of another bug: The value for the area set by default "Only for own network (Subnet)" only works, if the Internet Connection Sharing is activated. If this is not the case, your shared data are visible worldwide.

Tole niti ni res. Sem preizkusil in ni tako, kot tu pise.
Jaz sem namestil Windows XP SP1 iz CDja, takoj zatem pa sem instaliral SP2. In v tem primeru s tem ni tezav. Sem preizkusil, ce se vidijo datoteke iz enega PCja (192.168.0.1/24) do drugega (172.16.0.1/16) in se niso. Tako, da saj s taksnim nacinom instalacije ni tezav.

The SP2 installation simply uses the previous configuration of the firewall

Se pravi, da je resitev v tem, da disejblas firewall pred namestitvijo SP2?


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Trubadur ::

Očitno ne razumete zajebancije:\
Berite Thomasa!

Jernej L ::

situacija je, da imam jst računalo povezano v lokalno in internet omrežje, in da je bilo par map brez gesla dostopno vsem z polnim dostopom.

tako da se je microsoft res izkazal.

Paramedic ::

Sej File and Printer Sharing ima v firewallu odprte porte samo iz subneta, ne pa iz interneta, tako da dvomim, da se da prit do njih z neta. Res so pa Exceptions globalne za vse povezave.

Microsoft ::

Namesto, da ugibate, naredite najprej poizkus, potem pa jamrajte, da so datoteke bile res vidne iz katerga kol IPja.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

pingec ::

kje pa nastavim te ipje pa porte?
Normalnost je povprečje nenormalnih ljudi.

Microsoft ::

Control Panel > Windows Firewall > tab Expections > oznacis File and Prinet Sharing > kliknes na Edit... > izberes port > kliknes na Change Scope.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

HerrBaron ::

Zadnjič sem kolega skeniral z nmap-om, in je imel odprt port 445 -Microsoft ds
sicer je imel pa vse zaprto.
Zdaj vsaj vem zakaj

The SMB (Server Message Block) protocol is used among other things for file sharing in Windows NT / 2000. In Windows NT it ran on top of NBT (NetBIOS over TCP/IP), which used the famous ports 137, 138 (UDP) and 139 (TCP). In Windows 2000, Microsoft added the possibility to run SMB directly over TCP/IP, without the extra layer of NBT. For this they use TCP port 445.

Yohan del Sud ::

Emm. Nič osebnega, ampak... Emm...

Tukaj okoli nas res nima veliko nickov z neko top 10 svetovno firmo...

Načeloma nič proti. Če si pristaš ali kontraš.

Moja poanta. Si lahko malo bolj diskreten? Ne v stilu ponosa, da ji (firmi) služiš, nič proti, ampak v stilu enega normalnega odnosa do nedotakljivosti neodvisnega in svobodnega foruma?

Cokolesnik ::

Obžalujem, da si uredništvo dovoljuje objavo novice, ki zavaja oz. preverjeno ne drži.

Kot je povedal že nekdo (Paramedic), velja dovoljenje za skupno rabo tiskalnikov oz. datotek le za lokalno omrežje (tako je nastavljeno tudi po privzetem v WinXP SP2) in to potrjuje tudi vsem zelo priljubljen "preizkuševalec" varnostnih lukenj na spletu - Shields up (link poiščite z googlom), ki na tem področju (file & printer sharing) ne javlja pomanjkljivosti na računalu.
Uporabniki naj pred pisanjem sporočil uporabljajo iskalnik www.google.com.
Čokolešnik ne vsebuje nobenih aditivov, konzervansov ali umetnih barvil.

darkolord ::

Če v linuxu uganeš geslo od uporabnika in geslo od roota, lahko tudi vidiš vse datoteke...

Spc ::

Še en razlog več, da uporabite Server OS namesto Clienta.
Priporočam: Windows Server 2003, Datacenter Edition .. za tiste, ki pa nujno rabijo IrDA pa Standard Edition.

:D

jype ::

Kolk pa stane 2003 server, datacenter edition?

Microsoft: ne vem ce ves dovolj o omrezjih IP, da bi lahko verjeli tvojemu preizkusu.

Kar pise tamle je cisto jasno: ce smo na klicni povezavi privzeta nastavitev "pokazi moje datoteke in tiskalnike samo lokalnemu omrezju" deluje samo v primeru, ko imamo omogoceno deljenje internetne povezave. Ce smo na klicni povezavi, pa nimamo vkljucenega deljenja internetne povezave, potem je SMB port odprt tudi v Internet, kar je resna varnostna luknja.

Preizkusit ne morem, mi je pa jasno, da se najditelj te luknje bistveno bolj spozna na omrezja IP kot ti in mu zato zaupam.

borchi ::

Če v linuxu uganeš geslo od uporabnika in geslo od roota, lahko tudi vidiš vse datoteke...

a res??? js tut če ti root password povem ne boš vidu mojih fajlov, če nimaš fizičnega dostopa do računalnika. če pa maš fizični dostop do računalnika pa ne rabiš met root passworda, da vidiš vse fajle.
l'jga

Spc ::

jype .. preveč 0:)
... oziroma nič ? ker ga dobiš zraven serverja .. kupit pa ga v trgovini ne moreš.

8-O

darkolord ::

borchi: govoril sem o tem ce mas SSH prizgan...

borchi ::

mam prižgan ssh. in če ti povem moje root geslo, ti ne bo nič pomagalo. tudi če ti povem vsa gesla od userjev, ki imajo shell access ne boš prišu noter.
l'jga

Matri[X] ::

borchi: in v cem je potem smisel, da laufas SSH, ce noben ne more pridt notr?

MasterMind ::

Mogoče je narjen, d samo lokanlni userji pridejo gor? :D

borchi ::

kdo je reku, da se nihče ne more ssh-jat? al pa da bi samo lokalno se lahko?

mogoče je pa tako narjeno, da rabiš met key, da se lahko ssh-jaš?
l'jga

Ziga Dolhar ::

... in tudi key se lahko "ugane".

Morda bi brute force pač trajalo par človeških generacij, medtem ko bi ugibanje gesla trajalo recimo nekaj tisoč generacij manj.

Bistvena razlika. >:D
https://dolhar.si/

borchi ::

ziggga: ne ga srat! kolk maš ti najdaljše geslo? poleg tega, tist ki generira key-e brez challenge passworda, hmmm, kr naj. js pa ne bom!

edit: čeprav zdej vidim, da sploh ne razumem kaj si napisal
l'jga

Ziga Dolhar ::

borchi:

DarkoLord pravi, da če "uganeš" določene parametre, lahko pridobiš dostop do ciljnega računalnika. Ti odgovarjaš, da pri tebi ne more, ker nima ustreznega [ssh] ključa; vendar lahko tudi ta ključ "uganeš". Je pa res, da bi to trajalo precejkrat dlje, vendar bi [lahko] že samo ugibanje gesla trajalo pre-dolgo (praviš "kr naj. js pa ne bom!", in tu nas večina tako razmišlja).

Kaj ti želim povedat? Da si ti na DarkoLordovo brute-force rešitev odgovoril z novim brute-force izzivom -- spirala.


p.s.: moje geslo je dolgo 14 znakov; sem pa videl nekega Slotechovega tajnega policaja, ki je vpisoval 32 znakov dolg niz. Kako se mu da :).
https://dolhar.si/

borchi ::

hja, v teoriji se seveda strinjam.

key-e mamo lih zaradi tega, ker se jih v praksi ne splača razbijat.

drugače pa, svaka čast, da si zapomnete 14 al pa celo 32 random znakov! js mam težave že pri hišni številki :-( al si pomagate z "ringa ringa raja, nas zigec pa nagaja ...." gesli.
l'jga

neo81 ::

jaooo ste zabluzili ... sej se mas pravilno skonfiguriran win bo potlej z varnostjo ni (dodatnega) problema. Če pa uporabnik nima znanja/volje se pravilno zaščitit potlej mu pa ne microsoft, linux, vms, solaris,... ne more pomagati. Enako kot bi krivil tovarno kondomov, ce bi se okuzil z HIV-om, zaščite pa ne znal uporabljat:\

Poldi112 ::

Ne bo cist drzalo. Ker samo windowsi te butnejo v admin mode in ti vsiljujejo ie in outlook, katerih default nastavitve so groza. Tako da advanced user je lahko na vseh sistemih podobno varen, tajnica pa pac ne.

Mr.B ::

Ja če bi te vrglo v navadnega userja, pa fant nebi mogel inštalirati programov, gonilnikov igric...? še na internet nebi uspel iti, ja koga bo pa poklical za pomoč, ko bo imel v roki piratsko kopijo OS-a? No poklical bi kakega znalca, takega ki je naredil deset inštalacij, pa kao obvlada vse, potem se pa čudiš kako nategujejo ko oba uporabnik in kao sosed ne znata nič narediti, pa pizdi da je po petih minutah fasal virus. Ja kako le, sej je praktično za vsakem IP-jem na netu sedi nasproti ekrana zgoraj našteti Lolek in Bolek tim.

Če imaš na kaj pojma o varnosti itak odkljukaš ven file and print servise, pa clienta for MS, če pa si itak en računalnik doma, pa itak že pri inštalaciji server service, pa browser servis odstraniš. Pa koliko od tistih na samo z enim računalnikom, ima na zunanji liniji samo TCP-IP odkljukan? Bom rekel zelooo redki.

Če je uporabnik lolek naj gre na linux, boste videli kako bo naenkrat deset miljonov lolekov na linuxu klikali, bo zelo hitro nastal štala. Al pa tista je dobra, jaz imam doma WWW stran. Pa samo ta port je na ven odprt, so vsi znalci skenirali, in so potrdili da je samo port 80 odprt. Zato sem varen!!!!! Ustavi se pa takoj ko vprašam sledeče vprašanje: Kdaj si pa WWW software updejtiral in popečal? Pa te gleda kot da si neki idiot, a nisi slišal da sem vse razen port 80 zapru, lolo?

V glavnem linux dela BP, MS pa še sam sabo ni kompatibilen. Po inštalaciji SP2, mi Outlook 2003 ne dela več. Kr neki msi paketki mu niso všeč. V glavnem konkretno študiram linux, ker mi tam dela bp. Po inštalaciji Mozille na Ms stroj nimam nobenih problemov več raznimi spayware itd cukrčkov. Z IE sem vsak dan skeniral, z Mozillo pa zgolj iz previdnosti na kake štirinajst dni. Trenutno pa počasi prehajam na Linuxa, pa mi gre ta MS že prav malo na K. No pravijo da bo v prihodnosti Windowsupdate zahteval če imaš legalno kopijo, no do takrat, upam da bom doma že linux uporabljal, čeprav mi služba oziroma MS itak da OS, sam samo še za službo bo dober, doma linux rulz, no bom pa MS remote upravljal preko linuxa.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

[Nujno] Bridiging Modema

Oddelek: Pomoč in nasveti
201582 (1409) zanjan
»

Moj računalnik ni viden v omrežju

Oddelek: Pomoč in nasveti
51250 (1170) gorenjc
»

Router asus RX 3041

Oddelek: Omrežja in internet
111095 (1007) ffani
»

Problem z mrežo

Oddelek: Omrežja in internet
5843 (803) paradoxxx
»

preprost in dober firewall?

Oddelek: Programska oprema
111263 (1105) sash

Več podobnih tem