---

Er det bare mig, eller er der bare utroligt mange angreb på SSH for tiden?

Der er vel ikke noget at sige til at DOS attack's, som f.eks. det på jubii forekommer, når denne type angreb bliver ignoreret, og
det på det nærmeste er uden konsekvenser.

Jeg ved ikke om politiets IT afdelig er underbemandet, eller om det blot er nedprioiteret, uinteressant, eller for besværligt, men
så lang tid det nærmest er risikofrit at gå ind på servere, hvor sikkerheden ikke er i orden, kan man vel ikke forvente det bliver
bedre.

/Karsten

---

Karsten Rasmussen <dk@dk.dk> wrote:
> Er det bare mig, eller er der bare utroligt mange angreb på SSH for tiden?

Et par rapporter har kastet lys over hvor mange gamle sshd's med kendte fejl
der stadigt bliver brugt paa nettet. Jeg mener antallet var i naerheden af
30%. Jeg kan ikke finde en reference til dette tal, og Niels Provo's nyeste
tal ser meget mere alvorlige ud:

http://www.openssh.com/usage/ssh-stats.html

Dave Dittrich postede en analyse af et indbrud (crc32 angrebet) i oktober:

http://staff.washington.edu/dittrich/misc/ssh-analysis.txt

> Jeg ved ikke om politiets IT afdelig er underbemandet, eller om det blot
> er nedprioiteret, uinteressant, eller for besværligt, men så lang tid det
> nærmest er risikofrit at gå ind på servere, hvor sikkerheden ikke er i
> orden, kan man vel ikke forvente det bliver bedre.

Det kraever jo at folk anmelder problemerne og at der er bevis nok til at
bygge en sag. Jeg vil gaette paa at kun en meget lille del af Danmarks IT
arbejdere er kvalificerede til at haandtere elektroniske indbrud korrekt.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

> Det kraever jo at folk anmelder problemerne og at der er bevis nok til at
> bygge en sag. Jeg vil gaette paa at kun en meget lille del af Danmarks IT
> arbejdere er kvalificerede til at haandtere elektroniske indbrud korrekt.
-----------

Jeg er sikkert ikke kvalificeret, da jeg ikke har nogen speciel sikkerhedsuddannelse.

Først på året sidste år, kontaktede jeg politiets IT-afdelig, da jeg var faldt over en maskine der var blevet kompromitteret. Jeg
havde dog ikke angriberens IP-nummer, så de ville overhovedet ikke kigge på sagen. Da angriberen havde ryddet pænt op efter sig, og
der ingen LOG var tilgængelig (med mine midler) kunne jeg ikke fremskaffe en IP.

Jeg har i år meldt 2 angreb på forskellige maskine, med:

Angribers IP
IP-adresse på maskine hvorfra bagdøre blev hentet
IP,adresse hvortil bagdør(e) blev åbnet.
Kopi af logfiler, der viste hvordan vedkommende var kommet ind (senest SSHD)
og i det ene tilfælde GHOST image af harddisk (Da jeg ikke havde hørt fra det første, gad jeg ikke at gøre det med den næste)

I det ene tilfælde blev det først opdaget 1 måned efter angrebet, men i det andet tilfælde, med det samme, og jeg tilbød endda i
begge tilfælde at lade maskinen stå, eller sætte den op igen så man evt. kunne trace sig tilbage til kilden.

Jeg er ikke helt klar over hvor meget mere man skal have, men det kan være jeg kan hente hjælp her i gruppen.

/Karsten

---

Kan jeg faa dig til at wrappe linierne ved ~76 tegn?

Karsten Rasmussen <dk@dk.dk> wrote:
>> Det kraever jo at folk anmelder problemerne og at der er bevis nok til at
>> bygge en sag. Jeg vil gaette paa at kun en meget lille del af Danmarks IT
>> arbejdere er kvalificerede til at haandtere elektroniske indbrud korrekt.
> -----------
>
> Jeg er sikkert ikke kvalificeret, da jeg ikke har nogen speciel
> sikkerhedsuddannelse.

Viljen til at laere og tiden til at forstaa er langt vigtigere end smarte
certifikationer.

> Jeg er ikke helt klar over hvor meget mere man skal have, men det kan være
> jeg kan hente hjælp her i gruppen.

Der er en tynd samling referencer om dette emne i "Videre laesning om
sikkerhed" i OSS'en som du kan begynde med. Vent med at koebe boegerne til
du ved at forensics er noget for dig.

Jeg kan anbefale at man kontakter sin lokale computer crime unit foer sit
foerste incident, saa man laerer hinanden at kende lidt. Ofte kan en
security admin laere detektivarbejde og hvilke beviser der er vigtige af
politifolkene, og omvendt kan politifolkene laere hvordan UNIX og Windows
systemer virker.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

> Kan jeg faa dig til at wrappe linierne ved ~76 tegn?
Done!

> Der er en tynd samling referencer om dette emne i "Videre laesning om
> sikkerhed" i OSS'en som du kan begynde med. Vent med at koebe boegerne til
> du ved at forensics er noget for dig.
Hvor finder jeg OSS'en ?

> Jeg kan anbefale at man kontakter sin lokale computer crime unit foer sit
> foerste incident, saa man laerer hinanden at kende lidt. Ofte kan en
> security admin laere detektivarbejde og hvilke beviser der er vigtige af
> politifolkene, og omvendt kan politifolkene laere hvordan UNIX og Windows
> systemer virker.

Hmm tjaeh jeg er nu ikke sikker på at jeg vil give dig helt ret.
Hvis man anmelder et indbrud i sin private bolig, forventes det vel ikke at
man har både navn, adresse, personnummer og et foto af indbrudstyven.

Som sagt kunne jeg godt tænke mig at vide hvilke yderligere oplysninger
der manglede, det er jo svært for mig at udforske mere end jeg allerede
havde gjort. Ip-numre, med tidspunkter og det hele, jeg kan jo ikke få
udleveret logfiler fra de forskellige udbydere, det MÅ vel være
ordensmagtens opgave, eller har jeg misforstået et eller andet.

/Karsten

---

In article <a0nog0$rii$1@sunsite.dk>, Karsten Rasmussen wrote:
>
> det MÅ vel være ordensmagtens opgave, eller har jeg misforstået et
> eller andet.

Det hjælper bare ikke, når ordensmagten ikke har resourcer/kompetence
til det.

--
Andreas Plesner Jacobsen | Save yourself! Reboot in 5 seconds!

---

Karsten Rasmussen <dk@dk.dk> wrote:
>> Der er en tynd samling referencer om dette emne i "Videre laesning om
>> sikkerhed" i OSS'en som du kan begynde med. Vent med at koebe boegerne til
>> du ved at forensics er noget for dig.
> Hvor finder jeg OSS'en ?

Hov, URL'en skulle have vaeret med:

http://a.area51.dk/sikkerhed/

Baade usenet.dk og google linker ioevrigt til den.

>> Jeg kan anbefale at man kontakter sin lokale computer crime unit foer sit
>> foerste incident, saa man laerer hinanden at kende lidt. Ofte kan en
>> security admin laere detektivarbejde og hvilke beviser der er vigtige af
>> politifolkene, og omvendt kan politifolkene laere hvordan UNIX og Windows
>> systemer virker.

Jeg skulle have vaeret mere praecis i min formulering: som privat person med
et hjemme netvaerk gaelder ovenstaaende ikke. Det gaelder hvis man arbejder
med store installationer hvor der er rimelig sandsynlighed for et indbrud
der kraever politiet kontaktes.

> Hmm tjaeh jeg er nu ikke sikker på at jeg vil give dig helt ret.
> Hvis man anmelder et indbrud i sin private bolig, forventes det vel ikke at
> man har både navn, adresse, personnummer og et foto af indbrudstyven.

Nej, det er saamaend heller ikke det jeg mener. Hvis der ikke er noget som
kan pege i retning af, og senere forbinde, en mistaenkt til et gerningssted
kan politiet ikke goere noget.

Tillid til beviser er grundstammen i de fleste retssystemer, og selvom det
ikke er anderledes i en elektronisk verden er det langt mere kompliceret
fordi data (beviser) let kan blive aendret paa mange maader, og det er
trivielt at fabrikere eletroniske beviser. Derfor skal man have en metode
til at indsamle information fra et elektronisk gerningssted saaledes at der
ikke kan stilles spoergsmaal ved rigtigheden af beviserne. Denne metode kan
fylde en bog, saa jeg vil anbefale du kigger paa "Videre laesning" i OSS'en
og vender tilbage hvis du har specifikke spoergsmaal.

For nyligt postede H Carvey foelgende sammenligning mellem den virkelige og
eletroniske verden til forensics listen:

Assume you walk into a store, and you notice
someone lying on the floor. Assume you approach
the person and try to see if they're all right.
You roll them over and see a pool of blood under
them. You call 911 and the paramedics arrive.
They attempt to revive the person and then get
them into the ambulance and take them to the
hospital. In the doctor's care, the victim dies.
However, the police can still investigate the
crime, and even prosecute the guilty party.

I think the important thing to take away from this
is that if you have a sound methodology, you can
collect a significant amount of very valuable
volatile data from a system prior to taking it
down to make a bit-image copy of the drive.

> Som sagt kunne jeg godt tænke mig at vide hvilke yderligere oplysninger
> der manglede, det er jo svært for mig at udforske mere end jeg allerede
> havde gjort. Ip-numre, med tidspunkter og det hele, jeg kan jo ikke få
> udleveret logfiler fra de forskellige udbydere, det MÅ vel være
> ordensmagtens opgave, eller har jeg misforstået et eller andet.

Det er korrekt, men du skal kunne bevise at der blev foretaget ulovlige
handlinger paa systemet, hvordan de blev foretaget og at det var brugeren
fra den paagaeldende IP adresse der foretog disse handlinger. I nogle
tilfaelde vil en efterforskning koste langt mere end blot at geninstallere
vedkommendes personlige UNIX eller Windows server, og i disse tilfaelde kan
jeg godt forstaa hvis politiet vaelger ikke at efterforske sagen. De ville
nok heller ikke bruge uger af mandetimer paa at efterforske en smadret rude
i dit hjem, hvis intet anden skade var sket og da slet ikke hvis der ikke er
nogle beviser at begynde med.

Alt det ovenstaaende haenger dog ikke sammen med at politiet bruger kraefter
paa at efterforske "indbrud" baseret alene paa logfiler fra personlige
firewalls hvor der ingen garanti er for rigtigheden af noget som helst. Jeg
kunne godt taenke mig at se detaljerne paa nogle af de sager der har vaeret
oppe og vende gennem tiden.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"snip"
> trivielt at fabrikere eletroniske beviser. Derfor skal man have en metode
> til at indsamle information fra et elektronisk gerningssted saaledes at
der
> ikke kan stilles spoergsmaal ved rigtigheden af beviserne. Denne metode
kan
> fylde en bog, saa jeg vil anbefale du kigger paa "Videre laesning" i
OSS'en
> og vender tilbage hvis du har specifikke spoergsmaal.

Damn, der er meget "stof", men interessant læsning for en "amatør" som mig.

> Det er korrekt, men du skal kunne bevise at der blev foretaget ulovlige
> handlinger paa systemet, hvordan de blev foretaget og at det var brugeren
> fra den paagaeldende IP adresse der foretog disse handlinger. I nogle
> tilfaelde vil en efterforskning koste langt mere end blot at geninstallere
> vedkommendes personlige UNIX eller Windows server, og i disse tilfaelde
kan
> jeg godt forstaa hvis politiet vaelger ikke at efterforske sagen.

Ingen af tilfældene var nu personlige maskiner. Det ene tilfælde var endda
en
maskine jeg selv havde installeret. Nu ikke fordi det borger for nogen
speciel kvalitet,
må jeg jo med skam må jeg erkende, da jeg ikke havde fået opgraderet SSHD
tidsnok på trods af at jeg vidste det udgjorde et sikkerhedsproblem,
desværre klart min fejl

Nå men tak for linket i hvert fald, jeg er ind til videre gået i krig med
"Basic
Steps in Forensic Analysis of Unix Systems" så må jeg jo se om det hjælper,
det er
"kun" en fritidsbeskæftigelse for mig, men mon ikke jeg kommer gennem den.

/Karsten

---

Alex Holst wrote:

H. Carvey:

>"I think the important thing to take away from this
>is that if you have a sound methodology, you can
>collect a significant amount of very valuable
>volatile data from a system prior to taking it
>down to make a bit-image copy of the drive."

Hvilke data er det og hvorfor kan de ikke findes på en "bit-image copy"
af drevet?

--
http://chran.dyndns.dk - Nu med nedbrud!

---

Christian Andersen <m4jni76ztglp001@sneakemail.com> wrote:
> Alex Holst wrote:
>
> H. Carvey:
>
>>"I think the important thing to take away from this
>>is that if you have a sound methodology, you can
>>collect a significant amount of very valuable
>>volatile data from a system prior to taking it
>>down to make a bit-image copy of the drive."
>
> Hvilke data er det og hvorfor kan de ikke findes på en "bit-image copy"
> af drevet?

Indholdet af hukommelsen: kernen, koerende processer, data segmenter, osv.
Det er ogsaa tilfaelde hvor man har brug for adgang til disken inden den
lukkes ned, f.eks. hvis den indtraengende bruger krypterede mount points som
man vil kigge i uden at skulle bruge 400 millioner aar paa at faa noget
fornuftigt ud af filerne.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

> > Hvilke data er det og hvorfor kan de ikke findes på en "bit-image copy"
> > af drevet?
>
> Indholdet af hukommelsen: kernen, koerende processer, data segmenter, osv.
> Det er ogsaa tilfaelde hvor man har brug for adgang til disken inden den
> lukkes ned, f.eks. hvis den indtraengende bruger krypterede mount points
som
> man vil kigge i uden at skulle bruge 400 millioner aar paa at faa noget
> fornuftigt ud af filerne.

HE, så langt er jeg allerede nårt i faq'en. Hvis indtrængeren f.eks havde
alt liggende på en RAM disk ville det jo også forsvinde ! Han kunne jo
"bare" lade systemet hente data'ene fra en anden maskine ved opstart, rydde
op, og evt. sende en besked/ mail ved "pæn" nedlukning.

/Karsten

---

Alex Holst wrote:

>>>collect a significant amount of very valuable
>>>volatile data from a system prior to taking it
>>>down to make a bit-image copy of the drive."

>> Hvilke data er det og hvorfor kan de ikke findes på en "bit-image copy"
>> af drevet?

>Indholdet af hukommelsen: kernen, koerende processer, data segmenter, osv.
>Det er ogsaa tilfaelde hvor man har brug for adgang til disken inden den
>lukkes ned, f.eks. hvis den indtraengende bruger krypterede mount points som
>man vil kigge i uden at skulle bruge 400 millioner aar paa at faa noget
>fornuftigt ud af filerne.

Ja, selvfølgelig.

--
http://chran.dyndns.dk - Nu med nedbrud!

---

Alex Holst wrote:

>>Hvilke data er det og hvorfor kan de ikke findes på en "bit-image copy"
>>af drevet?
> Indholdet af hukommelsen: kernen, koerende processer, data segmenter, osv.
> Det er ogsaa tilfaelde hvor man har brug for adgang til disken inden den
> lukkes ned, f.eks. hvis den indtraengende bruger krypterede mount points som
> man vil kigge i uden at skulle bruge 400 millioner aar paa at faa noget
> fornuftigt ud af filerne.


Og dog, nyere maskiner kan kører "hibernate", dvs. de kan gemme
ovenstående oplysninger på harddisken.

---

Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> wrote:
> Alex Holst wrote:
>
>>>Hvilke data er det og hvorfor kan de ikke findes på en "bit-image copy"
>>>af drevet?
>> Indholdet af hukommelsen: kernen, koerende processer, data segmenter, osv.
>> Det er ogsaa tilfaelde hvor man har brug for adgang til disken inden den
>> lukkes ned, f.eks. hvis den indtraengende bruger krypterede mount points som
>> man vil kigge i uden at skulle bruge 400 millioner aar paa at faa noget
>> fornuftigt ud af filerne.
>
> Og dog, nyere maskiner kan kører "hibernate", dvs. de kan gemme
> ovenstående oplysninger på harddisken.

Ja, men saa skal du kunne redegoere for at oplysningerne ikke er blevet
aendret i processen, eller hvertfald paa hvilken maade de er blevet aendret,
og du skal kunne bevise det.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/