|
| Sikkerhedsbrister har slået Valus-navnet f~ Fra : F.Larsen |
Dato : 31-10-02 11:11 |
|
Valus syntes åbenbart selv det går ufatteligt godt:
"Formanden for Valus-styregruppen, Rune Bech, der også er chef for
TV2/Interaktiv, ønsker foreløbig at slå fast, at sikkerhedsproblemerne ikke
får negativ betydning for Valus' fremtid:
- Mediesagerne har været med til at slå Valus fast som et brand. Både
sikkerheden og systemet fungerer for længst upåklageligt, og Valus genererer
faktisk ganske pæne beløb til os hver eneste dag, siger Rune Bech til
Computerworld Online."
Hele artiklen:
http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16739
--
Flemming
| |
Larz (31-10-2002)
| Kommentar Fra : Larz |
Dato : 31-10-02 12:11 |
|
F.Larsen wrote:
> Valus syntes åbenbart selv det går ufatteligt godt:
>
> "Formanden for Valus-styregruppen, Rune Bech, der også er chef for
> TV2/Interaktiv, ønsker foreløbig at slå fast, at sikkerhedsproblemerne
> ikke
> får negativ betydning for Valus' fremtid:
>
> - Mediesagerne har været med til at slå Valus fast som et brand. Både
> sikkerheden og systemet fungerer for længst upåklageligt, og Valus
> genererer
> faktisk ganske pæne beløb til os hver eneste dag, siger Rune Bech til
> Computerworld Online."
>
> Hele artiklen:
> http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16739
Ja og så siger spaden:
"- Samtidig er det slået fast, at ingen ustraffet bare kan stille sig op
og kaste sten mod facaden på en ny bank. Heller ikke selvom den ligger i
cyberspace, hvor stenene er af elektronisk art, fortsætter han."
Sikke dog en nar. Han er jo medskyldig i at Valus sikkerhed var
ikke-eksisterende.
--
-
Lars
http://coder.dk/sohofaq.php - Uofficiel WOL SOHO 77 FAQ
To mail me remove your pants.
| |
Kasper Dupont (31-10-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 31-10-02 12:25 |
|
Larz wrote:
>
> Ja og så siger spaden:
>
> "- Samtidig er det slået fast, at ingen ustraffet bare kan stille sig op
> og kaste sten mod facaden på en ny bank. Heller ikke selvom den ligger i
> cyberspace, hvor stenene er af elektronisk art, fortsætter han."
Sikke noget sludder. Man skal da bare sløre sine spor godt nok.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf
| |
Max Andersen (31-10-2002)
| Kommentar Fra : Max Andersen |
Dato : 31-10-02 13:01 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3DC11326.21E2CAD3@daimi.au.dk...
> Larz wrote:
> >
> > Ja og så siger spaden:
> >
> > "- Samtidig er det slået fast, at ingen ustraffet bare kan stille sig op
> > og kaste sten mod facaden på en ny bank. Heller ikke selvom den ligger i
> > cyberspace, hvor stenene er af elektronisk art, fortsætter han."
>
> Sikke noget sludder. Man skal da bare sløre sine spor godt nok.
>
Ja, han er typisk klovn der ikke ved hvad han taler om, men der er åbenbart
brugere der intetanende bruger systemet, og valus føler at de ingen
forpligtelse har til at beskyttende andre folks data.
Datatilsynet har bedt om en redegørelse. Han skal jo berolige deres brugere
med løgn, og det kan man godt slippe fra, da han kan sige at han har fået af
vide af deres edb-chef at det er sikkert. Så er hans ryg sikker.
han er ikke bare en klovn men en idiot der lyver om ting for at redde sin
egen, forhåbentlig synkende skude.
Max
| |
Henrik Bøgh (31-10-2002)
| Kommentar Fra : Henrik Bøgh |
Dato : 31-10-02 17:07 |
|
Larz wrote in dk.edb.sikkerhed:
[...]
> Ja og så siger spaden:
>
> "- Samtidig er det slået fast, at ingen ustraffet bare kan stille sig op
> og kaste sten mod facaden på en ny bank. Heller ikke selvom den ligger i
> cyberspace, hvor stenene er af elektronisk art, fortsætter han."
Sikke da noget vrøvl - ingen har haft grund til at kaste med sten for der
var tilsyneladende slet ingen ruder i.
> Lars
--
Med Venlig Hilsen
H e n r i k B ø g h | http://henrik.boegh.net/?usenet
Love at first sight is one of the greatest labor-saving devices the
world has ever seen.
| |
Kim Schulz (31-10-2002)
| Kommentar Fra : Kim Schulz |
Dato : 31-10-02 13:04 |
|
On Thu, 31 Oct 2002 11:10:47 +0100
"F.Larsen" <n0spam@spamfilter.dk> wrote:
> Valus syntes åbenbart selv det går ufatteligt godt:
>
> "Formanden for Valus-styregruppen, Rune Bech, der også er chef for
> TV2/Interaktiv, ønsker foreløbig at slå fast, at sikkerhedsproblemerne
> ikke får negativ betydning for Valus' fremtid:
>
> - Mediesagerne har været med til at slå Valus fast som et brand. Både
> sikkerheden og systemet fungerer for længst upåklageligt, og Valus
> genererer faktisk ganske pæne beløb til os hver eneste dag, siger Rune
> Bech til Computerworld Online."
>
> Hele artiklen:
> http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16739
nogen der vil være med til at fremstille nogle boykot Valus knapper og
bannere.
f.eks. et animeret banner med teksterne:
"Ville du stole på en bank som lod døren stå åbent om natten"
"boykot Valus - for din sikkerhed"
--
Kim Schulz - Freelance Development | It is said that the lonely eagle
Email : kim @ schulz.dk | flies to the mountain peaks while
Tlf : 51904262 | the lowly ant crawls the ground,
| |
F.Larsen (31-10-2002)
| Kommentar Fra : F.Larsen |
Dato : 31-10-02 13:34 |
|
"Kim Schulz" <kim@schulz.dk> wrote in message
news:20021031130355.7d9aba43.kim@schulz.dk...
> nogen der vil være med til at fremstille nogle boykot Valus knapper og
> bannere.
>
>
> f.eks. et animeret banner med teksterne:
>
> "Ville du stole på en bank som lod døren stå åbent om natten"
> "boykot Valus - for din sikkerhed"
www.stopvalus.dk er ledig hvis det har nogen interresse :=)
--
Flemming
| |
F.Larsen (31-10-2002)
| Kommentar Fra : F.Larsen |
Dato : 31-10-02 14:07 |
| | |
Henrik Bøgh (31-10-2002)
| Kommentar Fra : Henrik Bøgh |
Dato : 31-10-02 17:05 |
| | |
Kasper Dupont (31-10-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 31-10-02 21:02 |
|
Henrik Bøgh wrote:
>
> F.Larsen wrote in dk.edb.sikkerhed:
>
> >
> > Men http://runebech.dk/ er optaget. der er iøvrigt en grim fejl i
> > global.asa linie 47, noget med "JET Database Engine error '80040e57' ". Er
> > det mon Rune's private hjemmeside ?
>
> Tjaeh - det ser lidt bedre ud i Googles cache for siden:
> http://216.239.51.100/search?q=cache:ZsgCkpeELfQC:runebech.dk/+%22rune+bech%22&hl=da&ie=UTF-8
> :)
Jeg kan ikke se hvorfor jeg skulle have ret meget til overs for den
mand. Den hjemmeside er jo til grin. Prøv lige at se den med en
browser uden cookies. Forresten kan siden godt vises i andre
browsere, hvis man blot reloader siden. (Kræver dog cookies.)
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf
| |
Henrik Bøgh (01-11-2002)
| Kommentar Fra : Henrik Bøgh |
Dato : 01-11-02 05:22 |
|
Kasper Dupont wrote in dk.edb.sikkerhed:
[...]
> Jeg kan ikke se hvorfor jeg skulle have ret meget til overs for den
> mand. Den hjemmeside er jo til grin. Prøv lige at se den med en
> browser uden cookies. Forresten kan siden godt vises i andre
> browsere, hvis man blot reloader siden. (Kræver dog cookies.)
Tjaeh - min Konqueror er nu ikke vildt begejstret for den:
http://henrik.boegh.net/filer/runebech.dk-konquer.png
Og så bør vi nok ende den gren af tråden her, for vi er vildt off topic :)
> Kasper Dupont -- der bruger for meget tid på usenet.
--
Med Venlig Hilsen
H e n r i k B ø g h | http://henrik.boegh.net/?usenet
"I don't do alive. I do dead!"
-- Emily Mortimer as Dakota in '51st State'
| |
Cubus (31-10-2002)
| Kommentar Fra : Cubus |
Dato : 31-10-02 23:07 |
|
"Kim Schulz" <kim@schulz.dk> skrev>
nogen der vil være med til at fremstille nogle boykot Valus knapper og
> bannere.
>
>
> f.eks. et animeret banner med teksterne:
>
> "Ville du stole på en bank som lod døren stå åbent om natten"
> "boykot Valus - for din sikkerhed"
Ja, tanken om at få hvalen til at synke så den ikke kommer op til overfladen
igen er slet ikke dum. Og det burde ligge inden for det muliges grænser. Det
er jo bare at fortælle historien som den er.
Hvilke medier kunne det være fordelagtigt at henvende sig til?
Hvilke organisationer?
Hvilke enkeltpersoner?
Gode ideer modtages gerne.
--
Cubus
http://cubus.adsl.dk/
| |
Henrik Bøgh (01-11-2002)
| Kommentar Fra : Henrik Bøgh |
Dato : 01-11-02 06:39 |
|
"Cubus" <cubus@sol.dk> skrev i en meddelelse
news:aps9is$1fbd$1@news.cybercity.dk...
[...]
> Hvilke medier kunne det være fordelagtigt at henvende sig til?
Eftersom at Valus er et "afkom" af Foreningen af Danske InternetMedier
(FDIM) er det nok en god ide at undgå netop de medier der er medlem af FDIM.
Disse medlemmer tæller bl.a.:
Danmark Radio
TV2
TV3
Politiken
Kristeligt Dagblad
Jyllands Posten
Information
Fyens Stifttidende
Ekstra Bladet
Hele Aller-pressen (okay - nok heller ikke dem jeg havde valgt alligevel :))
og desuden bl.a. også
Jubii
Yahoo!
Tiscali
Uni-C
Adskillelige af TDC virksomhederne
Fuld medlemsliste på http://fdim.aktiezoom.dk/?vis=mdl
(informationer fundet på http://fdim.aktiezoom.dk/?vis=pre&id=136 og
http://www.valus.dk/publisering/default.asp )
Det vil med andre ord sige størstedelen af den "etablerede presse".
Spørgsmålet er så om der findes journalister der er villige til at gå imod
en brancheforening som deres eget medie er med i.
[...]
> Cubus
MVH Henrik Bøgh
| |
Christoffer Olsen (02-11-2002)
| Kommentar Fra : Christoffer Olsen |
Dato : 02-11-02 10:34 |
|
"Cubus" <cubus@sol.dk> writes:
> Hvilke medier kunne det være fordelagtigt at henvende sig til?
>
> Hvilke organisationer?
>
> Hvilke enkeltpersoner?
>
> Gode ideer modtages gerne.
Det er lidt sent nu, men nu hvor de er så glade for den positive
omtale burde man have fået det SHUTDOWN-link op på slashdot
(slashdot.org).
Der er jo en grund til at man kalder det slashdot-effekten :)
--
Mvh
Christoffer Olsen
coffee.el: now Emacs can even brew coffee;
| |
Kasper Dupont (02-11-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 02-11-02 13:41 |
|
Christoffer Olsen wrote:
>
> "Cubus" <cubus@sol.dk> writes:
>
> > Hvilke medier kunne det være fordelagtigt at henvende sig til?
> >
> > Hvilke organisationer?
> >
> > Hvilke enkeltpersoner?
> >
> > Gode ideer modtages gerne.
>
> Det er lidt sent nu, men nu hvor de er så glade for den positive
> omtale burde man have fået det SHUTDOWN-link op på slashdot
> (slashdot.org).
Valus historien er da også blevet nævnt på slashdot. De fik
godt nok ikke deres egen historie, men kun et par kommentarer
i forbindelse med den seneste sag om Reuters.
>
> Der er jo en grund til at man kalder det slashdot-effekten :)
Det kunne jo være interesant, hvis linket havde været på
forsiden af slashdot.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf
| |
Søren Christensen (31-10-2002)
| Kommentar Fra : Søren Christensen |
Dato : 31-10-02 13:25 |
|
Jeg tror heldigvis at alt den negative omtale har skadet og vil
skade Valus mere. De har ingen vurderingsmuligheder for at sige at
det går bedre end før, da systemet blev lagt ned med det samme.
Hvis ikke de havde fået denne negative omtale tror jeg at de ville
have endnu flere virksomheder tilmeldt, endnu flere brugere og
bestemt et bedre 'image'.
Rune er jo bare en marketingmand og vi alle ved hvordan de kan
være.
Men hvis de er overbevist om at det går fantastisk så syntes jeg
jo nok de kunne sende undertegnede og Cubus en gave - måske et par
strippere forklædt som betjente der lige skal ransage..:
| |
F.Larsen (31-10-2002)
| Kommentar Fra : F.Larsen |
Dato : 31-10-02 13:41 |
|
"Søren Christensen" <soren@post1.tele.dk> wrote in message
news:10360671690.528876545164838@dtext.news.tele.dk...
> Hvis ikke de havde fået denne negative omtale tror jeg at de ville
> have endnu flere virksomheder tilmeldt, endnu flere brugere og
> bestemt et bedre 'image'.
Men det er nok begrænset hvor mange "alm brugere" som læser CW eller usenet.
Det er nok mere fagfolk som har fulgt med i debatten. Så det skal nok såmænd
nok passe at systemet benyttes i det daglige. På den anden side så er det jo
svært at kontrollere udtalelsen, da tallene svjv ikke er offentligt
tilgængeligt ?
> Rune er jo bare en marketingmand og vi alle ved hvordan de kan
> være.
Ja, men utroværdige udtalelser har det jo med at komme tilbage som en
boomerang på et tidspunkt ... lad os se ...
--
Flemming
| |
Jonathan Stein (31-10-2002)
| Kommentar Fra : Jonathan Stein |
Dato : 31-10-02 14:02 |
|
"F.Larsen" wrote:
> På den anden side så er det jo svært at kontrollere udtalelsen, da tallene
> svjv ikke er offentligt tilgængeligt ?
Med den sikkerhed, der p.t. har været præsteret, må vi nok ud i en nærmere
definition af "offentligt tilgængeligt"...
M.v.h.
Jonathan
--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/
| |
Henrik Bøgh (01-11-2002)
| Kommentar Fra : Henrik Bøgh |
Dato : 01-11-02 06:48 |
| | |
Christian E. Lysel (31-10-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 31-10-02 16:50 |
|
F.Larsen wrote:
> Valus syntes åbenbart selv det går ufatteligt godt
Skal vi ikke først se beviserne lagt på bordet i en evt. retsag, inden
vi alle begynder at påstå at deres setup er fuldstændigt gennemhullet?
Diverse banner (inkl apaches og OpenSSL's) kan nemt ændres så det ser
sårbart ud.
Dog taler det ikke til Valus fordel at Alex observerede en banner som,
Server: Apache/1.3.26 (Unix) mod_ssl/2.8.9 OpenSSL/0.9.6
og at den du ser sådan ud,
Server: Apache/1.3.27 (Unix) mod_ssl/2.8.11 OpenSSL/0.9.6g
Jeg ved endvidere godt at fejlen i WebLogic omkring administrator
rettigheder, er sværer at argumentere imod. Men på den anden side er det
også for nemt blot at svine dem til med "spaden, nar, sludder, klovn,
løgn, idiot, lyver, synkende skude, boykot, stopvalus.dk".
Vi har endnu ikke set Valus's argmenter for at deres system angiveligt
skal være sikkert.
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Bertel Lund Hansen (01-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 01-11-02 11:45 |
|
Christian E. Lysel skrev:
>Vi har endnu ikke set Valus's argmenter for at deres system angiveligt
>skal være sikkert.
Vi har et bevis forat det er fuldstændig usikkert. De har anlagt
sag mod en der har lukket deres database ned. Mere bevis er ikke
nødvendigt. Derudover skriver CW at de har slået nogle
oplysninger op som de ikke burde have adgang til.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Christian E. Lysel (01-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 01-11-02 12:18 |
|
Bertel Lund Hansen wrote:
>>Vi har endnu ikke set Valus's argmenter for at deres system angiveligt
>>skal være sikkert.
> Vi har et bevis forat det er fuldstændig usikkert. De har anlagt
> sag mod en der har lukket deres database ned. Mere bevis er ikke
Dvs. den dag NESA også tager deres strøm er det et klart bevis på at
deres betalingssystem er "fuldstændig usikkert"?
Hvis jeg angriber et system, og bliver anmeldt, kan man ikke konkludere
at systemet er "fuldstændig usikkert".
> nødvendigt. Derudover skriver CW at de har slået nogle
Jeg har normalt brug for mere bevis, før jeg kan udtale mig så sikkert
som jeg ser mange udtaler sig.
> oplysninger op som de ikke burde have adgang til.
Har du set de oplysninger?
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Bertel Lund Hansen (01-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 01-11-02 12:32 |
|
Christian E. Lysel skrev:
>Dvs. den dag NESA også tager deres strøm er det et klart bevis på at
>deres betalingssystem er "fuldstændig usikkert"?
Øh ... nej. Tror du at de ville anlægge sag mod Nesa for hærværk?
>Hvis jeg angriber et system, og bliver anmeldt, kan man ikke konkludere
>at systemet er "fuldstændig usikkert".
Angriber = skriver SHUTDOWN i min browser. Uha for et farligt
angreb!
>Har du set de oplysninger?
Glemte jeg at skrive at det var hvad CW skrev? Det må du meget
undskylde for så bliver min henvisning jo meget misvisende.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Christian E. Lysel (01-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 01-11-02 17:08 |
|
Bertel Lund Hansen wrote:
>>Dvs. den dag NESA også tager deres strøm er det et klart bevis på at
>>deres betalingssystem er "fuldstændig usikkert"?
> Øh ... nej. Tror du at de ville anlægge sag mod Nesa for hærværk?
Hvis NESA har en specielt forsyningspligt som de ikke gad at overholde,
ja... ellers, nej.
>>Hvis jeg angriber et system, og bliver anmeldt, kan man ikke konkludere
>>at systemet er "fuldstændig usikkert".
> Angriber = skriver SHUTDOWN i min browser. Uha for et farligt
> angreb!
Og... er du sikker på der var en sammenhæng mellem at der blev skrevet
SHUTDOWN i en browser og at systemmet stoppede?
Hvis der er en sammenhæng, er du så sikker på at dette kan udnyttes til
noget andet?
>>Har du set de oplysninger?
> Glemte jeg at skrive at det var hvad CW skrev? Det må du meget
> undskylde for så bliver min henvisning jo meget misvisende.
Nej, du glemte ikke at skrive hvad CW skrev, men stoler du på alt hvad
du læser?
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Bertel Lund Hansen (01-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 01-11-02 17:48 |
|
Christian E. Lysel skrev:
>Og... er du sikker på der var en sammenhæng mellem at der blev skrevet
>SHUTDOWN i en browser og at systemmet stoppede?
Det mener Valus eftersom de har anlagt sag mod ham der klikkede
på den URL. Det antyder da kraftigt at der er en sammenhæng.
>Hvis der er en sammenhæng, er du så sikker på at dette kan udnyttes til
>noget andet?
Ja, for fidusen er at den der har SHUTDOWN-rettighed, har
administratorrettighed og alstå kan sende en vilkårlig
SQL-forespørgsel og -kommando til systemet. Det betyder at man
har adgang til alle de oplysninger der ligger i databasen.
>Nej, du glemte ikke at skrive hvad CW skrev, men stoler du på alt hvad
>du læser?
Jeg skrev at vi har ét bevis ... og derudover ...
Den opmærksomme læser vil naturligvis have bemærket at jeg ikke
skrev at vi har to beviser.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Christian E. Lysel (01-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 01-11-02 19:08 |
|
Bertel Lund Hansen wrote:
>>Og... er du sikker på der var en sammenhæng mellem at der blev skrevet
>>SHUTDOWN i en browser og at systemmet stoppede?
> Det mener Valus eftersom de har anlagt sag mod ham der klikkede
> på den URL. Det antyder da kraftigt at der er en sammenhæng.
Hvis folk forsøger på at gøre noget ulovligt kan de dømmes, jeg ser ikke
at en politianmeldelse er ensbetyder med at et sikkerhedshul er
udnyttet. Et forsøg kan være nok til en politianmeldese.
>>Hvis der er en sammenhæng, er du så sikker på at dette kan udnyttes til
>>noget andet?
> Ja, for fidusen er at den der har SHUTDOWN-rettighed, har
> administratorrettighed og alstå kan sende en vilkårlig
> SQL-forespørgsel og -kommando til systemet. Det betyder at man
> har adgang til alle de oplysninger der ligger i databasen.
Det har jeg fattet, men er du sikker på der er en sammenhæng, eller er
det noget du tror?
Jeg kender ikke det miljø de havde kørende, jeg kender ikke setup'et,
gør du?
Hvad vil du gøre hvis det viser sig at være et IDS, der ændre firewall
reglerne til at pege på et honeypot miljø i tilfælde af et SHUTDOWN
forsøg? Vil du stadigvæk påstå at de har et sikkerhedsproblem?
>>Nej, du glemte ikke at skrive hvad CW skrev, men stoler du på alt hvad
>>du læser?
> Jeg skrev at vi har ét bevis ... og derudover ...
Jeg fortrækker nu stærkere beviser før jeg kalder folk/firmaer grove ting.
Men stoler du på alt hvad du læser?
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Kent Friis (01-11-2002)
| Kommentar Fra : Kent Friis |
Dato : 01-11-02 19:50 |
|
Den Fri, 01 Nov 2002 19:07:41 +0100 skrev Christian E. Lysel:
>Bertel Lund Hansen wrote:
>>>Og... er du sikker på der var en sammenhæng mellem at der blev skrevet
>>>SHUTDOWN i en browser og at systemmet stoppede?
>> Det mener Valus eftersom de har anlagt sag mod ham der klikkede
>> på den URL. Det antyder da kraftigt at der er en sammenhæng.
>
>Hvis folk forsøger på at gøre noget ulovligt kan de dømmes, jeg ser ikke
>at en politianmeldelse er ensbetyder med at et sikkerhedshul er
>udnyttet. Et forsøg kan være nok til en politianmeldese.
Hvis vi holder fast i "Det kan ikke passe. Det kan ikke være så nemt"
teorien, så var det jo netop ikke et forsøg på at gøre noget ulovligt.
Mvh
Kent
--
Is windows userfriendly? Nah, more like optimized for idiots.
| |
Christian E. Lysel (01-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 01-11-02 20:22 |
|
Kent Friis wrote:
>>Hvis folk forsøger på at gøre noget ulovligt kan de dømmes, jeg ser ikke
>>at en politianmeldelse er ensbetyder med at et sikkerhedshul er
>>udnyttet. Et forsøg kan være nok til en politianmeldese.
> Hvis vi holder fast i "Det kan ikke passe. Det kan ikke være så nemt"
> teorien, så var det jo netop ikke et forsøg på at gøre noget ulovligt.
Det er en anden diskution, jeg ikke ved nok om.
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Bertel Lund Hansen (01-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 01-11-02 23:14 |
|
Christian E. Lysel skrev:
>Hvis folk forsøger på at gøre noget ulovligt ...
Er vi enige om at Valus har lagt sag an fordi deres system rent faktisk
lukkede ned?
Er vi enige om at de har lagt sag an mod ham der klikkede på en
SHUTDOWN-URL?
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Christian E. Lysel (01-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 01-11-02 23:56 |
|
Bertel Lund Hansen wrote:
>>Hvis folk forsøger på at gøre noget ulovligt ...
> Er vi enige om at Valus har lagt sag an fordi deres system rent faktisk
> lukkede ned?
Nej.
Når jeg læser de udtalelser der er kommet, er det pga. forsøg på et
eller flere angreb, at flok bliver politianmeldt.
Jeg læste lige
http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16739 igennem
igen, Valus indrømmer faktisk at have sikkerhedsproblemmer,
...Rune Bech, der også er chef for TV2/Interaktiv, ønsker foreløbig
at slå fast, at sikkerhedsproblemerne...
men de indrømmer ikke hvilke sikkerhedsproblemmer de har/havde.
> Er vi enige om at de har lagt sag an mod ham der klikkede på en
> SHUTDOWN-URL?
SHUTDOWN-URL er det en URL der indeholder ordet SHUTDOWN?
De har politianmeldt nogle personer.
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Bertel Lund Hansen (02-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-02 00:03 |
|
Christian E. Lysel skrev:
>> Er vi enige om at Valus har lagt sag an fordi deres system rent faktisk
>> lukkede ned?
>Nej.
Hvad er det fra:
Fire andre læsere benyttede sig af chancen - og i hvert
fald to af dem fik held med banke Valus-hjemmesiden i
gulvet.
i din egen henvisning som du ikke forstår?
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Christian E. Lysel (02-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-11-02 09:49 |
|
Bertel Lund Hansen wrote:
>>>Er vi enige om at Valus har lagt sag an fordi deres system rent faktisk
>>>lukkede ned?
>>Nej.
> Hvad er det fra:
>
> Fire andre læsere benyttede sig af chancen - og i hvert
> fald to af dem fik held med banke Valus-hjemmesiden i
> gulvet.
>
> i din egen henvisning som du ikke forstår?
Artiklen er skrevet af Jens Bertelsen, ovenstående er ikke udtalelser
fra Valus.
Jeg har spurgt dig før, uden at få svar, stoler du på alt hvad du læser?
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Bertel Lund Hansen (02-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-02 10:21 |
|
Christian E. Lysel skrev:
>Jeg har spurgt dig før, uden at få svar, stoler du på alt hvad du læser?
Hardehar.
Når jeg sammenholder hvad jeg ved om databaser, SQL, browsere og
browserbaserede brugergrænseflader med hvad jeg har læst i CW, af
ham der sammensatte URL'en, af ham der har klikket på den og i
díverse medier, så ved jed at Valus system blev lagt ned og
hvordan det kunne lade sig gøre.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Christian E. Lysel (02-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-11-02 10:33 |
|
Bertel Lund Hansen wrote:
> Når jeg sammenholder hvad jeg ved om databaser, SQL, browsere og
> browserbaserede brugergrænseflader med hvad jeg har læst i CW, af
> ham der sammensatte URL'en, af ham der har klikket på den og i
> díverse medier, så ved jed at Valus system blev lagt ned og
> hvordan det kunne lade sig gøre.
Jeg kender ikke detaljerne.
Er du politiker eller hvad, du svarer ikke på mit spørgsmål? :)
Se min anden tråd til Søren, måske skifter du holdning.
Jeg har spurgt dig før, uden at få svar, stoler du på alt hvad du læser?
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Bertel Lund Hansen (02-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-02 11:01 |
|
Christian E. Lysel skrev:
>Er du politiker eller hvad, du svarer ikke på mit spørgsmål? :)
Nej, jeg er optaget af interessante emner.
>Jeg har spurgt dig før, uden at få svar, stoler du på alt hvad du læser?
Er du holdt op med at tæve din kone?
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Christian E. Lysel (02-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-11-02 12:20 |
|
Bertel Lund Hansen wrote:
>>Er du politiker eller hvad, du svarer ikke på mit spørgsmål? :)
> Nej, jeg er optaget af interessante emner.
*Suk*
>>Jeg har spurgt dig før, uden at få svar, stoler du på alt hvad du læser?
> Er du holdt op med at tæve din kone?
Nej, men er det et interessant emne?
("Ja" ville betyde at jeg _har_ tævet hende, hvilket heldigvis ikke er
tilfældet)
Men, stoler du på alt hvad du læser?
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Bertel Lund Hansen (02-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-02 12:36 |
| | |
Christian E. Lysel (02-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-11-02 16:26 |
|
Bertel Lund Hansen wrote:
>>>Er du holdt op med at tæve din kone?
>>Nej, men er det et interessant emne?
> Ja, meget.
Hvorfor er det et interessant emne i dk.edb.sikkerhed?
Du kan evt. forsætte i dk.snak.mudderkastning.
FUT: dk.snak.mudderkastning.
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Søren Christensen (02-11-2002)
| Kommentar Fra : Søren Christensen |
Dato : 02-11-02 00:17 |
|
> > Ja, for fidusen er at den der har SHUTDOWN-rettighed, har
> > administratorrettighed og alstå kan sende en vilkårlig
> > SQL-forespørgsel og -kommando til systemet. Det betyder at man
> > har adgang til alle de oplysninger der ligger i databasen.
>
> Det har jeg fattet, men er du sikker på der er en sammenhæng, eller er
> det noget du tror?
> Jeg kender ikke det miljø de havde kørende, jeg kender ikke setup'et,
> gør du?
Det er fuldstændigt ligegyldigt hvilket setup de havde, faktum var at
shutdown kommandoen virkede og deres databaseserver slukkede. Hvad
mere bevis har du brug for?
> Hvad vil du gøre hvis det viser sig at være et IDS, der ændre firewall
> reglerne til at pege på et honeypot miljø i tilfælde af et SHUTDOWN
> forsøg? Vil du stadigvæk påstå at de har et sikkerhedsproblem?
Du har tydeligvis ikke fulgt med i de tekniske omstændigheder. Det
blev flere gange påvist ret grundigt at de kørte med IIS op mod en SQL
Server.
Men det kan da godt være det ikke et sikkerhedsproblem at man via en
URL kan oprette en fil på deres lokale filsystem og eksekvere denne?
at man kan lave shell kommandoer under Local System kontoen (eks. "net
user per pwd /add" )?
Hvis du har brug for flere tekniske beviser så læs September måneds
udgave af MSDN eller se på NGSSoftware web
site:( http://www.nextgenss.com/papers/webappdis.doc)
( http://www.nextgenss.com/papers/advanced_sql_injection.pdf)
Meget gammel viden.
> Jeg fortrækker nu stærkere beviser før jeg kalder folk/firmaer grove ting.
Måske skulle du sætte dig ind i den anvendte teknologi i stedet.
| |
Christian E. Lysel (02-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-11-02 10:31 |
|
Søren Christensen wrote:
>>Det har jeg fattet, men er du sikker på der er en sammenhæng, eller er
>>det noget du tror?
>>Jeg kender ikke det miljø de havde kørende, jeg kender ikke setup'et,
>>gør du?
> Det er fuldstændigt ligegyldigt hvilket setup de havde, faktum var at
> shutdown kommandoen virkede og deres databaseserver slukkede. Hvad
> mere bevis har du brug for?
At de andre angreb som folk påstår er mulige, også virker.
Hvad er du ifølge politiet anklaget for?
>>Hvad vil du gøre hvis det viser sig at være et IDS, der ændre firewall
>>reglerne til at pege på et honeypot miljø i tilfælde af et SHUTDOWN
>>forsøg? Vil du stadigvæk påstå at de har et sikkerhedsproblem?
> Du har tydeligvis ikke fulgt med i de tekniske omstændigheder. Det
> blev flere gange påvist ret grundigt at de kørte med IIS op mod en SQL
> Server.
Giv mig nogle referencer til din påstand. (helst ikke fra CW)
De referencer jeg kan finde er Alex anmeldelse til datatilsynet, her er
systemet Apache med openssl og WebLogic, se evt. mine tidligere indlæg.
Du snakke om IIS, ODBC, ASP.
Hvilken server snakker du om, kan du evt. give mig en URL til den server
du snakker om?
Jeg snakker om www.valus.dk, deres login side hedder fx
https://www.valus.dk/LoginPayment.jsp
> Men det kan da godt være det ikke et sikkerhedsproblem at man via en
> URL kan oprette en fil på deres lokale filsystem og eksekvere denne?
> at man kan lave shell kommandoer under Local System kontoen (eks. "net
> user per pwd /add" )?
Selvfølgelig er det et problem, men kan/kunne man det?
Og på hvilken system?
> Hvis du har brug for flere tekniske beviser så læs September måneds
> udgave af MSDN eller se på NGSSoftware web
> site:( http://www.nextgenss.com/papers/webappdis.doc)
> ( http://www.nextgenss.com/papers/advanced_sql_injection.pdf)
>
> Meget gammel viden.
Ja, hvilket jeg selv har brugt i auditeringer af fx Internet butikker.
Men hvad vil du bevise med ovenstående link, jeg kan ikke se knytningen
til Valus's betalingssytem.
Udover mit eksempel med IDS systemet kan man også forstille sig at
http://www.valus.dk/publisering/default.asp eller blot
http://www.valus.dk/publisering/ rammer en isoleret webserver. Denne
server indeholder oplysninger om Valus, og kører måske IIS og vigtigst
af alt er ikke en del af betalingssystemet (fx ved at sidde på et
isoleret netværkssegment).
Bevis:
%telnet www.valus.dk 80
Trying 139.117.91.20...
Connected to valus.dk.
Escape character is '^]'.
HEAD /publisering/default.asp HTTP/1.1
host: www.valus.dk
HTTP/1.1 200 OK
Date: Sat, 02 Nov 2002 09:15:21 GMT
Server: Microsoft-IIS/5.0
Content-Length: 12745
Content-Type: text/html
Set-Cookie: ASPSESSIONIDGGQQQPMQ=FLMPDCCAGLNAOCHHBLJEACFN; path=/
Cache-control: private
X-Cache: MISS from www.valus.dk
Udover ovenstående system er der et andet system som er
betalingssystemet, dette system er ikke det du snakker om.
Bevis:
%telnet www.valus.dk 80
Trying 139.117.91.20...
Connected to valus.dk.
Escape character is '^]'.
HEAD / HTTP/1.1
host: www.valus.dk
HTTP/1.1 302 Found
Date: Sat, 02 Nov 2002 09:20:33 GMT
Server: Apache/1.3.27 (Unix) mod_ssl/2.8.11 OpenSSL/0.9.6g
Location: /publisering/default.asp
Content-Type: text/html; charset=iso-8859-1
Men der er jo også https://www.valus.dk,
%openssl s_client -connect www.valus.dk:443 -quiet
depth=1 /O=VeriSign Trust Network/OU=VeriSign, Inc./OU=VeriSign
International Server CA - Class 3/OU= www.verisign.com/CPS Incorp.by Ref.
LIABILITY LTD.(c)97 VeriSign
verify error:num=20:unable to get local issuer certificate
verify return:0
HEAD /LoginPayment.jsp HTTP/1.1
host: www.valus.dk
HTTP/1.1 200 OK
Date: Sat, 02 Nov 2002 09:18:59 GMT
Server: Apache/1.3.27 (Unix) mod_ssl/2.8.11 OpenSSL/0.9.6g
Set-Cookie: language=dk
Set-Cookie: country=DK
Set-Cookie:
WebLogicSession=PcOmlRzJ5lJ1jBxvvY9MkRrycEaQwxa9A6SEgW7ptRLvslXdYQpT; path=/
Content-Type: text/html
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html lang="no">
....
(Hmmm, skummelt jeg sender en HEAD og får html dokumentet :)
Måske er der faktisk 3 forskellige systemer
http://www.valus.dk/publisering/default.asp, kører IIS/5.0 på Windows.
http://www.valus.dk/, kører Apache på UNIX.
https://www.valus.dk/LoginPayment.jsp, kører Apache med WebLogic på UNIX.
Det angrev du og andre snakker er på
http://www.valus.dk/publisering/default.asp, dvs på IIS'en, jeg er ret
ligeglad med dette system hvis tilbagemeldelsen til datatilsynet er at
den sidder på et selvstændigt netværkssegment. Men hvis det ikke er
tilfældet kan det give sikkerhedsproblemer.
Alex har dog også i sin anmeldelse beskrevet at Apaches/openssl banner
tyder på at den var sårbar, og bannerne er nu rettet, så måske er der
noget om snakken.
Men på den anden side er det trivielt at sætte sine banner op til at
påstår man er sårbar, når folks så vil udnytte de kende huller, tager et
IDS sig af politianmeldelsen :)
>>Jeg fortrækker nu stærkere beviser før jeg kalder folk/firmaer grove ting.
> Måske skulle du sætte dig ind i den anvendte teknologi i stedet.
Hmm, kan du ikke starte med at kikke på http://java.sun.com/products/jsp/
og
http://www.bea.com/index.shtml
Ovenståender systemer er en del af betalingssystemet.
Jeg er mere af holdningen af at folk bør inden de kommer med grove
anklager måske bør tænke sig om.
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Christian E. Lysel (02-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-11-02 12:26 |
|
Christian E. Lysel wrote:
> Men på den anden side er det trivielt at sætte sine banner op til at
> påstår man er sårbar, når folks så vil udnytte de kende huller, tager et
Redhat pathcer deres apache source træ uden at ændre bannerne, således
svarer en opdateret Redhat server,
Server: Apache/1.3.23 (Unix) (Red-Hat/Linux) mod_ssl/2.8.7 OpenSSL/0.9.6b
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Jesper Louis Anderse~ (02-11-2002)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 02-11-02 12:55 |
|
On Sat, 02 Nov 2002 12:26:12 +0100,
Christian E. Lysel <sunsite.dk.nntp@spindelnet.dk> wrote:
> Christian E. Lysel wrote:
> Redhat pathcer deres apache source træ uden at ændre bannerne, således
> svarer en opdateret Redhat server,
>
> Server: Apache/1.3.23 (Unix) (Red-Hat/Linux) mod_ssl/2.8.7 OpenSSL/0.9.6b
http://uptime.netcraft.com/up/graph/?host=www.valus.dk
Det tyder ikke på at det er det de gør...
Desuden er diskussionen ude på et ligegyldigt sidespor.
--
Jesper
| |
Christian E. Lysel (02-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-11-02 13:16 |
|
Jesper Louis Andersen wrote:
> http://uptime.netcraft.com/up/graph/?host=www.valus.dk
> Det tyder ikke på at det er det de gør...
Hvis du henviser til at netcraft mener det er en solaris, kan dette også
være en proxy på en solaris server.
Men følgende er da interessant,
Solaris Apache/1.3.27 (Unix) mod_ssl/2.8.11 OpenSSL/0.9.6g 23-Oct-2002
Solaris Apache/1.3.27 (Unix) mod_ssl/2.8.11 OpenSSL/0.9.6g 22-Oct-2002
Solaris Apache/1.3.26 (Unix) mod_ssl/2.8.9 OpenSSL/0.9.6 21-Jun-2002
Solaris Apache/1.3.19 (Unix) mod_ssl/2.8.3 OpenSSL/0.9.6 29-Apr-2002
> Desuden er diskussionen ude på et ligegyldigt sidespor.
Er det ligegyldigt at CW kritisere en webserver der ikke noget med
betalingssystemet at gøre?
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Bertel Lund Hansen (02-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-02 15:17 |
|
Christian E. Lysel skrev:
>Er det ligegyldigt at CW kritisere en webserver der ikke noget med
>betalingssystemet at gøre?
Nej, det er tværtimod meget vigtigt hvis denne webserver giver
adgang til følsomme data.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Christian E. Lysel (02-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-11-02 16:11 |
|
Bertel Lund Hansen wrote:
>>Er det ligegyldigt at CW kritisere en webserver der ikke noget med
>>betalingssystemet at gøre?
> Nej, det er tværtimod meget vigtigt hvis denne webserver giver
> adgang til følsomme data.
"Hvis", og hvor er beviset på at det er tilfældet?
Du får det til at lyde som det er den sammen webserver som SHUTDOWN'en
er udført på (hvilket er http://www.valus.dk/publisering/default.asp) og
som betalingssystemet ligger på.
Men http://www.valus.dk/publisering/default.asp, kører IIS/5.0 på
Windows og https://www.valus.dk/LoginPayment.jsp, kører Apache med
WebLogic på UNIX.
Vil du stadigvæk mene at det er én webserver, der både kører IIS på
Windows og Apache på UNIX?
Vil du stadigvæk mener at CW's artikler er gode som grundlag for en form
for bevis, selvom de har "glemt" at beskrive ovenstående i deres artikler?
Stoler du stadigvæk på alt hvad du læser?
Vil du stadigvæk mener at ...Vi har et bevis forat det er fuldstændig
usikkert... ?
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Bertel Lund Hansen (03-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 03-11-02 00:54 |
|
Christian E. Lysel skrev:
>Stoler du stadigvæk på alt hvad du læser?
Det er sjette gang du spørger. Jeg har spurgt dig én gang om du
tæver din kone, og den debat har du omgående henvist til
muddergruppen.
EOD.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Christian E. Lysel (03-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 03-11-02 09:20 |
|
Bertel Lund Hansen wrote:
>>Stoler du stadigvæk på alt hvad du læser?
> Det er sjette gang du spørger. Jeg har spurgt dig én gang om du
> tæver din kone, og den debat har du omgående henvist til
> muddergruppen.
Den slags hører til i muddergruppen, endvidere har du ikke kunne svarer
hvorfor det hører sig til dk.edb.sikkerhed. Hvis du virkelig mener det
er et interessant emne, så forsæt den dog i muddergruppen, istedet for
at spilde dk.edb.sikkerhed's tid på den slags.
Men lad os holde os til sikkerhed, som denne gruppe handler om, og Valus
som denne tråd handler, og CW's troværdighed som jeg sætter
spørgsmålstegn ved.
"Hvis", og hvor er beviset på at det er tilfældet?
Vil du stadigvæk mene at det er én webserver, der både kører IIS på
Windows og Apache på UNIX?
Vil du stadigvæk mener at CW's artikler er gode som grundlag for en form
for bevis, selvom de har "glemt" at beskrive ovenstående i deres artikler?
Vil du stadigvæk mener at ...Vi har et bevis forat det er fuldstændig
usikkert... ?
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Christian Andersen (04-11-2002)
| Kommentar Fra : Christian Andersen |
Dato : 04-11-02 15:07 |
|
Christian E. Lysel wrote:
> Vil du stadigvæk mene [...]
> Vil du stadigvæk mener [...]
> Vil du stadigvæk mener [...]
Jeg har et forslag.
I to kan gå ud på toilettet, trække bukserne ned og se hvis tissemand der
er størst.
Er det ikke dét, det efterhånden handler om?
Find selv en passende gruppe at futte til.
--
..signature
| |
Christian E. Lysel (04-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 04-11-02 18:38 |
|
Christian Andersen wrote:
> Jeg har et forslag.
>
> I to kan gå ud på toilettet, trække bukserne ned og se hvis tissemand
> der er størst.
>
> Er det ikke dét, det efterhånden handler om?
Nej, jeg er blot træt af folk der sviner firmaer til fordi de bliver
hængt ud i pressen, uden at vide hvad der i virkeligheden er forgået.
Uden at tænke over at pressen måske ikke kender hele sandheden eller
tilbageholder oplysninger.
Endvidere er jeg træt af folk der påstår at ..."Vi har et bevis forat
det er fuldstændig usikkert"..., når vi ikke har det.
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Stig Johansen (04-11-2002)
| Kommentar Fra : Stig Johansen |
Dato : 04-11-02 21:04 |
|
Hej.
"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> wrote in message
news:3DC6B079.6090500@spindelnet.dk...
> Christian Andersen wrote:
> > Jeg har et forslag.
> >
> > I to kan gå ud på toilettet, trække bukserne ned og se hvis tissemand
> > der er størst.
> >
> > Er det ikke dét, det efterhånden handler om?
>
> Nej, jeg er blot træt af folk der sviner firmaer til fordi de bliver
> hængt ud i pressen, uden at vide hvad der i virkeligheden er forgået.
> Uden at tænke over at pressen måske ikke kender hele sandheden eller
> tilbageholder oplysninger.
>
> Endvidere er jeg træt af folk der påstår at ..."Vi har et bevis forat
> det er fuldstændig usikkert"..., når vi ikke har det.
>
Enig, og du skal have ros for, at du overhovedet gad at bruge tid for at
redegøre for det faktuelle servermiljø.
--
Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)
| |
Stig Johansen (04-11-2002)
| Kommentar Fra : Stig Johansen |
Dato : 04-11-02 21:46 |
|
Lige en husker på, at:
Når en sikkerhedsbrist stammer fra inkompetent databaseprogrammering, så er
det ligegyldigt om den bliver eksponeret via eksempelvis:
- ASP/IIS
- Apache/Whatever
- Unix/Weblogic
- You name it...
--
Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)
| |
Keld Dirk (06-11-2002)
| Kommentar Fra : Keld Dirk |
Dato : 06-11-02 00:14 |
|
"Stig Johansen" <stig.johansen@udvikling.it> wrote in message news:<aq6m7p$1cl$1@sunsite.dk>...
> Lige en husker på, at:
> Når en sikkerhedsbrist stammer fra inkompetent databaseprogrammering, så er
> det ligegyldigt om den bliver eksponeret via eksempelvis:
> - ASP/IIS
> - Apache/Whatever
> - Unix/Weblogic
> - You name it...
Hvad vil du med dette sige?
Keld Dirk
| |
Stig Johansen (06-11-2002)
| Kommentar Fra : Stig Johansen |
Dato : 06-11-02 06:50 |
|
Hej.
"Keld Dirk" <kelddirk@hotmail.com> wrote in message
news:25c214a7.0211051514.21143e96@posting.google.com...
> "Stig Johansen" <stig.johansen@udvikling.it> wrote in message
news:<aq6m7p$1cl$1@sunsite.dk>...
> > Lige en husker på, at:
> > Når en sikkerhedsbrist stammer fra inkompetent databaseprogrammering, så
er
> > det ligegyldigt om den bliver eksponeret via eksempelvis:
> > - ASP/IIS
> > - Apache/Whatever
> > - Unix/Weblogic
> > - You name it...
>
> Hvad vil du med dette sige?
>
N-tier model:
Bruger -> Præsentation (I*server) -> AppServer -> DBServer
Altså hvis sikkerhedsbristen er 'implementeret' i Applikationslaget, så er
det fuldstændig ligegyldigt hviket præsentationslag man bruger, og hvilken
SSL implementering osv. Det er slet ikke der problemet ligger.
Mere specifikt vedr. Valus og Harald Nyborg:
Hvis Applikationen er følsom over for 'SQL injection' eller man
glemmer/unlader at checke resultatsæt op mod bruger login, så er det
fuldstændig lygegyldigt om det er IIS / Apache osv..
Det var også lige så meget ment som response på Christian og Bertel's
"mundhuggeri" om hvilke servere der bruges på hvilke domainer, og
forhåbentlig en afklaring af, at de problemer, der vedrører hhv. Valus og
Harald Nyborg ligger på Applikationslaget.
--
Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)
| |
Christian E. Lysel (06-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 06-11-02 07:38 |
|
Stig Johansen wrote:
> Det var også lige så meget ment som response på Christian og Bertel's
> "mundhuggeri" om hvilke servere der bruges på hvilke domainer, og
> forhåbentlig en afklaring af, at de problemer, der vedrører hhv. Valus og
> Harald Nyborg ligger på Applikationslaget.
Jeg tror ikke vi ueninge om at der er et domain, og dette drives at
flere webserver, evt også en proxy.
Med IIS'er er det ret tydeligt at de har haft to simpelt problem (input
validering og brugerrettigheder) der kunne bruges til at lukke en
databasen til informationssiderne ned med. (Man kan så undre sig over
hvorfor de smider statiske html sider i en database)
Men med Apache serveren er der en der skriver at der var en i CW's debat
forum der også havde fundet sårbarheder, jeg har derefter spurgt om et link.
Som jeg ser det er vi uenige om er om det der står i CW og at ..."Vi har
et bevis forat det er fuldstændig usikkert"...
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Stig Johansen (07-11-2002)
| Kommentar Fra : Stig Johansen |
Dato : 07-11-02 06:13 |
|
Hej.
"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> wrote in message
news:3DC8B8E2.5060604@spindelnet.dk...
> Stig Johansen wrote:
> > Det var også lige så meget ment som response på Christian og Bertel's
> > "mundhuggeri" om hvilke servere der bruges på hvilke domainer, og
> > forhåbentlig en afklaring af, at de problemer, der vedrører hhv. Valus
og
> > Harald Nyborg ligger på Applikationslaget.
>
> Jeg tror ikke vi ueninge om at der er et domain, og dette drives at
> flere webserver, evt også en proxy.
Ikke dig og mig, men det kan godt være Bertel ikke ved, at der kan gemme sig
adskillige fysisk adskilte servere/miljøer bag et domaine, som intet har med
hinanden at gøre.
>
> Med IIS'er er det ret tydeligt at de har haft to simpelt problem (input
> validering og brugerrettigheder) der kunne bruges til at lukke en
> databasen til informationssiderne ned med. (Man kan så undre sig over
> hvorfor de smider statiske html sider i en database)
Det er ikke et faktum, men når det er IIS/asp sider er det som regel et
udtryk for, at det ikke er den største kompetance, der ligger bag. Dette
krydret med sandsynligheden for der også ligger en MS SQLServer bag, som
ikke er det mest sikre produkt gør at:
Når man laver risikoanalyse, bør man efterhånden inddrage inkompetent
databaseprogrammering som en højrisikofaktor. Altså på baggrund af det
stigende antal forekomster.
>
> Men med Apache serveren er der en der skriver at der var en i CW's debat
> forum der også havde fundet sårbarheder, jeg har derefter spurgt om et
link.
Mon ikke det er en udokumenteret påstand?
>
> Som jeg ser det er vi uenige om er om det der står i CW og at ..."Vi har
> et bevis forat det er fuldstændig usikkert"...
Igen ikke dig og mig, min faktuelle holdning er:
1) At man finder en sårbarhed på en server på et domain implicerer ikke
sårbarheder på resten af domainet.
2) Hvis man kan få adgang(evt. ved selvsyn), er det et faktum, at der er
tale om inkompentent databaseprogrammering på den givne server. se 1)
3) Hvis en given server er sårbar over for sql-injection(pas på ved
selvsyn), er det et faktum, at der er tale om inkompentent
databaseprogrammering på den givne server. se 1)
--
Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)
| |
Søren Christensen (03-11-2002)
| Kommentar Fra : Søren Christensen |
Dato : 03-11-02 17:17 |
|
"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> wrote in message
> At de andre angreb som folk påstår er mulige, også virker.
Det skal jeg ikke kunne sige noget om.
> Hvad er du ifølge politiet anklaget for?
Fire tilfælde af §263, stk 2, jf §23 og §291, stk. 1 jf. §23 -
medvirken til hvad de andre er sigtet for. Medvirken er så enten
"Dåd", "Råd" eller "Tilskyndelse" - det er forventet at sigtelsen
bygger på "Tilskyndelse". De fire andre sigtede peget direkte på mit
indlæg som værende den afgørende faktor for deres handling.
> Giv mig nogle referencer til din påstand. (helst ikke fra CW)
Jeg kan ikke undgå at komme med lidt fra CW..:) Hans Hansens indlæg i
debatten på ComputerWorld. Basalt set kunne man ved indsættelese af
eksempelvis et ' eller et 'x' i stedet for et tal i URI fremprovokere
en SQL Server fejl der blev vist af ASP systemet.
Det kan ikke på samme måde påvises i dag, da Valus har valgt ikke at
vise systemfejlmeddelser mere.
> Jeg snakker om www.valus.dk, deres login side hedder fx
> https://www.valus.dk/LoginPayment.jsp
Jeg snakker om valus.dk og mere specifik kun det system der styrer
deres hjemmeside (at det måske bruges andensteds aner jeg intet om -
man kunne forestille sig det da det ellers må siges at være et ret
dyrt setup for bare at drive deres 12-14 informationssider ). Det er
det system der er blevet 'hacket'.
> > Men det kan da godt være det ikke et sikkerhedsproblem at man via en
> > URL kan oprette en fil på deres lokale filsystem og eksekvere denne?
> > at man kan lave shell kommandoer under Local System kontoen (eks. "net
> > user per pwd /add" )?
> Selvfølgelig er det et problem, men kan/kunne man det?
Ja, det kunne man. Om man stadig kan det i dag ved jeg ikke (har ikke
rigtig lyst til at teste det..:), men jeg vil ikke blive overrasket
hvis man på en eller anden måde kunne injicere SQL.
> Og på hvilken system?
Igen Valus.dk.
> Men hvad vil du bevise med ovenstående link, jeg kan ikke se knytningen
> til Valus's betalingssytem.
Det kan jeg heller ikke..:)
> Det angrev du og andre snakker er på
> http://www.valus.dk/publisering/default.asp, dvs på IIS'en, jeg er ret
> ligeglad med dette system hvis tilbagemeldelsen til datatilsynet er at
> den sidder på et selvstændigt netværkssegment. Men hvis det ikke er
> tilfældet kan det give sikkerhedsproblemer.
Helt enig i. Alt hvad politiet har sigtet for har været udført på IIS
maskinen. Første hul der dog blev påvist af Anders Hal var i deres
betalingssystem.
> Alex har dog også i sin anmeldelse beskrevet at Apaches/openssl banner
> tyder på at den var sårbar, og bannerne er nu rettet, så måske er der
> noget om snakken.
Det er der med stor sandsynlighed, idet Valus også tilbage i maj var
nød til at patche deres systemer - det har de så lige glemt at gøre
løbende over sommeren.
Det var påviseligt at deres IIS baseret system var pivåbent (og man
kan ikke patche sig ud af dette problem), deres betalingssystem havde
et meget simpelt og ekstremt dumt sikkerhedshul der lagde grund til
hele debatten. Deres Apache banner både fra den gang i Maj og ved
Alexs' seneste undersøgelse viser at der har være problemer omkring
opdateringen og ligeledes kørte de med en ikke opdateret version af
det WebLogic system de anvender.
Alt dette kombineret gør at jeg med sindsro kan kalde de involverede
konsulentbureauer (Accenture og det norske firma NetExpert eller hvad
de nu hedder) for teknologiignoranter der tydeligvis må have sovet
igennem de seneste 2 års debatter om sikkerhed.
> Hmm, kan du ikke starte med at kikke på http://java.sun.com/products/jsp/
> http://www.bea.com/index.shtml
> Ovenståender systemer er en del af betalingssystemet.
Ellers tak. Jeg holder mig langt væk fra alt hvad der hedder Java og
andet der ikke kompileres til maskinkode - endvidere har jeg ved
konfiskeringen mistet mit bredbånd og modem i dag er bestemt ikke så
fedt som det var da 56.6 var 'højhastighed'.
> Jeg er mere af holdningen af at folk bør inden de kommer med grove
> anklager måske bør tænke sig om.
Enig, men i dette tilfælde er det efter min overbevisning i orden at
bruge grove vendinger - specielt set i lyset af at Valus ikke har
informeret deres kunder om alt dette. Valus har faktisk overhovedet
ikke sagt noget som helst andet et par smarte kommentarer fra Rune
Bech. Hvis de nu havde meldt ud da de første huller blev påvist; sagt
at de undskylder for dette, advaret deres kunder og været mere ydmyg i
deres udtalelser, så ved jeg ihvertfald at et indlæg i debatten ikke
vil have været lavet.
| |
Christian E. Lysel (03-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 03-11-02 22:58 |
|
Søren Christensen wrote:
> Fire tilfælde af §263, stk 2, jf §23 og §291, stk. 1 jf. §23 -
> medvirken til hvad de andre er sigtet for. Medvirken er så enten
> "Dåd", "Råd" eller "Tilskyndelse" - det er forventet at sigtelsen
> bygger på "Tilskyndelse". De fire andre sigtede peget direkte på mit
> indlæg som værende den afgørende faktor for deres handling.
*Suk*
>>Men hvad vil du bevise med ovenstående link, jeg kan ikke se knytningen
>>til Valus's betalingssytem.
> Det kan jeg heller ikke..:)
:)
> Helt enig i. Alt hvad politiet har sigtet for har været udført på IIS
> maskinen. Første hul der dog blev påvist af Anders Hal var i deres
> betalingssystem.
Det første hul, har jeg ikke læst om, har du en reference? (evt. til CW :)
>>Alex har dog også i sin anmeldelse beskrevet at Apaches/openssl banner
>>tyder på at den var sårbar, og bannerne er nu rettet, så måske er der
>>noget om snakken.
> Det er der med stor sandsynlighed, idet Valus også tilbage i maj var
> nød til at patche deres systemer - det har de så lige glemt at gøre
> løbende over sommeren.
Det viser netcraft også.
> Det var påviseligt at deres IIS baseret system var pivåbent (og man
> kan ikke patche sig ud af dette problem), deres betalingssystem havde
> et meget simpelt og ekstremt dumt sikkerhedshul der lagde grund til
> hele debatten. Deres Apache banner både fra den gang i Maj og ved
> Alexs' seneste undersøgelse viser at der har være problemer omkring
> opdateringen og ligeledes kørte de med en ikke opdateret version af
> det WebLogic system de anvender.
Genialt.
> Alt dette kombineret gør at jeg med sindsro kan kalde de involverede
> konsulentbureauer (Accenture og det norske firma NetExpert eller hvad
> de nu hedder) for teknologiignoranter der tydeligvis må have sovet
> igennem de seneste 2 års debatter om sikkerhed.
:)
> Ellers tak. Jeg holder mig langt væk fra alt hvad der hedder Java og
> andet der ikke kompileres til maskinkode - endvidere har jeg ved
> konfiskeringen mistet mit bredbånd og modem i dag er bestemt ikke så
> fedt som det var da 56.6 var 'højhastighed'.
Tak, når min ISP bliver DDoS'et er jeg også tvunget til at bruge mit
gamle 28.8Kbaud modem. *suk*
> Enig, men i dette tilfælde er det efter min overbevisning i orden at
> bruge grove vendinger - specielt set i lyset af at Valus ikke har
Jeg mener stadigvæk ikke det berettiger ordvalget.
> informeret deres kunder om alt dette. Valus har faktisk overhovedet
> ikke sagt noget som helst andet et par smarte kommentarer fra Rune
> Bech. Hvis de nu havde meldt ud da de første huller blev påvist; sagt
> at de undskylder for dette, advaret deres kunder og været mere ydmyg i
> deres udtalelser, så ved jeg ihvertfald at et indlæg i debatten ikke
> vil have været lavet.
Enig.
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Søren Christensen (01-11-2002)
| Kommentar Fra : Søren Christensen |
Dato : 01-11-02 14:43 |
| | |
|
|