» »

Microsoft meni, da bi bila polna podpora TCP/IP v Windows preveč nevarna

Microsoft meni, da bi bila polna podpora TCP/IP v Windows preveč nevarna

Slo-Tech - Microsoft je z izdajo popravka MS05-019 pokrpal "luknjo" in onemogočil "surove vtičnike" (raw sockets) v novejših Windows sistemih. S tem naj bi prispevali k varnosti omrežij, saj surovi vtičniki omogočajo obhod določenih mehanizmov operacijskega sistema in krojenje IP paketov po lastnih željah (tudi nepravilnih). S tem sicer kršijo standard, vendar bo zaradi tega le kakšen DOS napad manj. To se sicer še vedno da zaobiti, npr. z nalaganjem zlonamernega programa v samo jedro, vendar to ni tako trivialno.

Zanimivo je, da ima skoraj vsak operacijski sistem polno podporo TCP/IP standardu, saj je ta osnovni gradnik interneta. Še bolj zanimivo (ali pa morda žalostno) pa je to, da je Steve Gibson iz grc.com na to že pred leti opozarjal, pa ga Microsoft ni jemal resno.

37 komentarjev

MrStein ::

grc.com Slo-Tech-an !!!! >:D
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

zee ::

in oder je postavljen za še eno v nizu bitk med MaliMehki-pristaši in zagovorniki odprte kode. >:D
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Bakunin ::

bolj boj med "common sense" (aka kmecka pamet) ter MS.

Odprtost kode nima nic s tem. Pri unixoidnih sistemih (tudi zaprtokodnih/placljivih/...) je pac tako da lahko samo root aka superuser odpira "raw sockets".

ender ::

To, da je MS onemogočil raw sockete v windowsih je popolna neumnost, in popolnoma nič ne prispeva k varnosti. Že od nekdaj je bilo mogoče uporabljati raw sockete s pomočjo knjižnjice WinPCAP, ki je na voljo brezplačno, in to se ni spremenilo.
Steve Gibson z grc.com je idiot, ki o varnosti nima pojma, zna pa se odlično prodajat.

j: saj na Windows je tudi samo administrator lahko uporabljal raw sockete. (winpcap pa je mogoče namestiti na tak način, da ga lahko uporablja vsak uporabnik - res pa je, da mora namestitev izvesti administrator).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Zgodovina sprememb…

  • spremenilo: ender ()

hruske ::

jah ... nekaj mu dam prav: dokler ima microsoft tako politiko, da pustijo razvijalcem iger, da delajo take, ki tečejo samo pod administratorjem, windows ubistvu ne nucajo raw socketov.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

B-D_ ::

Sicer se ne spoznam na hackanje tko da me razjasnite: Al ni bil linux defacto hekerski sistem zato, ker se je iz njega dalo pošiljati "pravilno malformane" paketke, winsi pa tega enostavno niso bili sposobni? Torej kaj je pri tem krpanju novega? Al so winsi sploh kdaj znali polno zmogljivost protokola exploitat?

64202 ::

Zanimivo pod linuxom je to, da se nekateri programi sploh *nocejo* pognati pod root-om. Evo, to je resnost :)). Kompletno onemogocenje raw socketov je jasno neumnost.

64202 ::

B-D_: raw socketi so samo API, da lahko posiljas poljubne IP pakete. Torej lahko se spilas s TCP/UDP/... headerji. No, lahko se tudi direktno z IP headerjem spilas.

Zgodovina sprememb…

  • spremenilo: 64202 ()

BigWhale ::

Security through obscurity!

Da mi nekdo ne bo vdrl v klet jo bom zazidal!

jype ::

Ma ne, to je cisto normalno in prav in pravzaprav blazno lepo od Microsofta, da tako skrbi ne le za varnost svojih sistemov, ampak celotnega interneta (ja, j, tistega z veliko zacetnico).

Ker ogromna vecina delovnih postaj na internetu poganja sistem Windows in ker ogromna vecina teh sistemov ni strokovno administirana, je "blaster" tip crva ocitno realna nevarnost, se posebej ce se najde kaksna luknja v Windows XP ali kakem podobno razsirjenem sistemu. Internet lahko v parih minutah dobesedno crkne, s popravkom pa je Microsoft malenkostno zmanjsal moznost pojavitve takega pojava. Napisal sem malenkostno, ja, vem da se da prit okoli tega in vem, da to za resnega "hekerja" ne pomeni nic, a vseeno so moznosti zmanjsane. Ce ne drugega je vsaj bistveno tezje napisat word macro, ki pokvari DHCP na krajevnem omrezju.

B-D_ ::

64202, skratka s primernim driverjem in apijem (ali pa magari kar v asm direkt) lahko, kar se pošiljanja paketkov tiče, isto kot v linuxu delaš v winsih?

jype ::

Ja, vsekakor. NDIS driver ti itak pusti poslat poljuben buffer kot ethernet paket, s pomocjo winpcap knjiznice pa lahko tak paket spravis do driverja, tudi ce nisi administrator. Seveda mora knjiznico instalirat administrator, a to na povprecnem Windows sistemu lahko naredi tudi kak virus :)

ender ::

jype: ne govori neumnosti. Raw socketi nimajo nobene veze s črvi, pač pa ti omogočajo da ustvarjaš poljubne paketke - npr. ena od stvari, ki jo omogočajo je, da iz računalnika pošiljaš paketke, ki izgledajo, kot da prihajajo iz nekega drugega računalnika (naslova). To internetu ne bi smelo predstavljati resne nevarnosti, ker naj bi ISPji filtrirali ves promet, ki prihaja iz njihovega omrežja, vendar izgleda, kot da prihaja od drugod.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

64202 ::

> Ce ne drugega je vsaj bistveno tezje napisat word macro, ki pokvari DHCP na krajevnem omrezju.

Od n+1 moznosti kako se to lahko resi, MS izbere odstranitev raw socketov, heh.

B-D_: Ne vem kaj te zdaj zares muci :). Saj na koncu gre vse skoz eno in isto mrezno kartico.

Matek ::

Meni se pa zdi čudno, da vse poteze Microsofta vsi neprestano obsojajo. Ko je v novi verziji Windowsov Microsoft zadevo enejblal, so se vsi neznosno pritoževali kako oh in sploh grozno je to in kak oh in sploh security breach. Zdaj pa so očitno videli, da je nekaj narobe in zadevo nazaj disablali. In zdaj spet nobenemu nič ne paše...
Bolje ispasti glup nego iz aviona.

jype ::

ender: ISPji NAJ BI delali routing path filtering, pa ga bolj ne, kot ja. Kar poskusi s siola ven poslat paket, ki ima source npr. v rfc 1918 networkih. Kar dalec pride...

Raw socket rabis, da posljes malformed IP paket, ki sprozi exploit v Windows IP stacku. In se razsirja naprej, ker ima v IP stacku prirocen API klic, da poslje samega sebe. In tako dobis crv, podoben Slammerju.

Ce tega klica ni, potem pa moras zraven posiljat se en portable library, ki to pocne (recimo winpcap). In crv postane bistveno vecji in zato tudi pocasnejsi. Good.

Mato: jaz se ne pritozujem, pa zivim od tega, da skrbim za network security.

Zgodovina sprememb…

  • spremenilo: jype ()

64202 ::

MMM: hehe, kljucno dejstvo: to niso isti ljudje

64202 ::

> Raw socket rabis, da posljes malformed IP paket, ki sprozi exploit v Windows IP stacku. In se razsirja naprej, ker ima v IP stacku prirocen API klic, da poslje samega sebe. In tako dobis crv, podoben Slammerju.

Ej, ce znas izkoristit luknjo v IP stacku, potem si ziher toliko l33t, da ne rabis prirocnih klicev ali pa pcap bloata :). Drugace je seveda, ce pohopsas kak server z omejenimi privilegiji. Samo v tem primeru itak ne mores uporabljat raw socketov IIRC.

V zdnetovem clanku je kot konkreten primer zlorabe omenjen samo SYN flood na microsoftove serverje. Mogoce morajo pa na linux upgradeat zadevo, tko kot v tistem ddos napadu na njihove dns serverje :))

BendeR ::

MadManMato: to je Slo-Tech efekt. ;>

hruske ::

MadManMato, dejstvo je, da ne moreš kar vsak dan APIjev spreminjat ...
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

MrStein ::

V članku manjka nekaj ključnih podatkov:
- članek kjer dejansko piše, da so onemogočili raw socket-e :
KB 897656 : "Networking programs that send TCP packets or UDP packets over raw IP sockets may stop working after you apply security update MS05-019 to a computer that is running Windows XP with Service Pack 1"

Manjkajoče pomembne informacije :
- omejitev velja le za Windows XP z Service Pack 1
- zaobiti to "omejitev" je trivialno (piše v zgornjem KB članku ) : Vklopiš ICF (Internet connection Firewall).

Razen tega me zanima kateri standard zahteva implementacijo raw socketov.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Steve Gibson z grc.com je idiot, ki o varnosti nima pojma, zna pa se odlično prodajat.
Si bral njegovo analizo botnetov? Če si, si jopreberi še enkrat, pa letnico poglej.

To internetu ne bi smelo predstavljati resne nevarnosti, ker naj bi ISPji filtrirali ves promet, ki prihaja iz njihovega omrežja, vendar izgleda, kot da prihaja od drugod.
Ja, to filtriranje pa še posebej pri Siolu počnejo. Ki je mimogrede tudi največji slovenski ISP.
sudo poweroff

veteran ::

Hmm, tale novica je bolj tko. ;)
Zadevo (raw sockets) so namreč onemogočili že v Service Pack 2. glej link novosti v SP2

CCfly ::

So samo prej se jih je dalo vklopiti nazaj, sedaj pa nimaš več izbire. Windows 2003 ali pa pohabljeni Windowsi XP.

Razen tega me zanima kateri standard zahteva implementacijo raw socketov.
Standard se imenuje TCP/IP.
"My goodness, we forgot generics!" -- Danny Kalev

poweroff ::

Standard se imenuje TCP/IP.
Zato pa so zaprti standardi "boljši". Lepo rečeš da nekaj nikoli ni bilo v standardu in karavana gre dalje...
sudo poweroff

Gandalfar ::

Matthai: mal ga je vseeno treba z rezervo jemat.

64202 ::

Tole je se original novica iz zdneta:
Microsoft tries to quell TCP/IP 'danger'

MrStein ::

CCfly:
So samo prej se jih je dalo vklopiti nazaj, sedaj pa nimaš več izbire.

Kaj sem zgoraj pisal z nevidno tinto ali kaj ? :\

Standard se imenuje TCP/IP.

Številko RFC-ja pa nisi napisal, ker "nimaš časa", kajne ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

CCfly ::

Kaj sem zgoraj pisal z nevidno tinto ali kaj ? :\

- omejitev velja le za Windows XP z Service Pack 1
- zaobiti to "omejitev" je trivialno (piše v zgornjem KB članku ) : Vklopiš ICF (Internet connection Firewall).


Ne drži več.

Številko RFC-ja pa nisi napisal, ker "nimaš časa", kajne ?
RFC 793 - Transmission Control Protocol
RFC 894 - Standard for the transmission of IP datagrams over Ethernet networks
"My goodness, we forgot generics!" -- Danny Kalev

veteran ::

So samo prej se jih je dalo vklopiti nazaj, sedaj pa nimaš več izbire. Windows 2003 ali pa pohabljeni Windowsi XP.

No, v skrajni sili lahko omenjeni update odinštaliraš, tako kot vse ostale? In odklopiš AutomaticUpdates servis, da bo mir s temi popravki. ;)

CCfly ::

V članku je omenjena tudi alternativa žongliranju s hotfixi.
"My goodness, we forgot generics!" -- Danny Kalev

64202 ::

Tale SOCK_RAW zadeva je vsebovana v (originalno BSD) socket api-ju, ki je pac dalec najbolj popularna implementacija. Prakticno v nobenem OS-u ne manjkajo. Je pa socket api omenjen v vseh UNIX-like standardih. Se ena floskula: industry standard.

MrStein ::

CCfly : " RFC 793 , RFC 894"
... in noben niti ne omenja, kaj šele zahteva raw sokete.

Ne drži več.

Kako ne ?
Je MS narobe članek napisal ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

hruske ::

Drgač sem hotel napisat že v novico, da že service pack 2 to onemogoči, ampak je bila žal prehitro objavljena.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

CCfly ::

CCfly : " RFC 793 , RFC 894"
... in noben niti ne omenja, kaj šele zahteva raw sokete.


Drži, zmotil sem se. Se oproščam.

Ne drži več.
Kako ne ?
Je MS narobe članek napisal ?

V tistem bulettinu piše bore malo, kaj šele da bi ga imenoval članek. Kolikor sem prebral do sedaj, lahko po namestitvi popravka ali SP2, rečeš raw socketom adijo in tudi izklopitev firewalla ne pomaga.
"My goodness, we forgot generics!" -- Danny Kalev

MrStein ::

Tukaj piše, da le če imaš SP2 in MS05-019. Sicer pa še vedno dela.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Jst ::

Reveži (MS) so komaj dobro Stack v TCP/IP implementirali, pa morajo nekaj odplementirati. he, he, he
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Zakaj toliko 139 in 445?

Oddelek: Omrežja in internet
71622 (1536) Bakunin
»

Skupni imenovalec podjetij Sony ter Symantec: rootkit

Oddelek: Novice / Varnost
154361 (3729) Daedalus
»

Kdo so "Hekerji" in kaj delajo

Oddelek: Loža
144216 (3841) Matri[X]
»

Microsoft meni, da bi bila polna podpora TCP/IP v Windows preveč nevarna

Oddelek: Novice / Operacijski sistemi
374002 (3071) Jst
»

DDoS atack; kje nej DLjam security za Win XP?

Oddelek: Pomoč in nasveti
331708 (1344) fruit

Več podobnih tem