---

Er der nogen der kender en mere teknisk beskrivelse af nedenstående ?




Sakset fra Eb. http://ekstrabladet.dk/visartikel.iasp?pageID=246394




Internettet trues af sikkerhedshul

Britiske myndigheder advarer mod et nyt sikkerhedshul, som kan lægge store
dele af nettet død


Karen Seneca - 11:20 - 21. apr. 2004


I går aftes udsendte britiske myndigheder fra National Infrastructure
Security Coordination Centre en advarsel om en ny sårbarhed i
netværksprotokollen TCP.

Netværksprotokkolen TCP bruges i de fleste computere, og styrer det meste af
kommunikationen på nettet, og ifølge Nettavisen blev der sidste år fundet et
hul i sikkerheden, der gør nettet sårbart.

- Ved at udnytte den sårbarhed, kan hackere slå store dele af internettet
ned, siger chefen for National Infrastructure.

Grunden til at myndighederne først advarer om sikkerhedshullet nu er, at de
ikke troede, det var alvorligt. De regnede med, at det ville tage mellem
fire og 142 timer at foretage et alvorligt angreb på TCP, men nu ser det ud
tl, at det kan gøres på få minutter.

---

"Thomas" <frasier@oekINVALID.dk> wrote in message
news:c65n32$le4$1@news.net.uni-c.dk...
> Er der nogen der kender en mere teknisk beskrivelse af nedenstående ?
>
>
>
>
> Sakset fra Eb. http://ekstrabladet.dk/visartikel.iasp?pageID=246394
>
https://www.cert.dk/perl/publicsystem/PublicSystem.cgi?context=5KkxYGUF8ZSIheAGvyKqS1JhbmRvbUlWxI18H3kbPXITcwA6rl9LUB76KEkF7PmKvNpmXCdfjDGD3Q%2bKtcYFXOiF4fXKbWiUndWV9aEDJcPrZGHPnsncUMmmJobzQtWuPDFOEZZmT36E%2b9FARv3Acaj%2b0uxMAYclmXDhHLt5rMk=

http://www.uniras.gov.uk/vuls/2004/236929/index.htm

---

"Thomas" <frasier@oekINVALID.dk> writes:

> Internettet trues af sikkerhedshul
>
> Britiske myndigheder advarer mod et nyt sikkerhedshul, som kan lægge store
> dele af nettet død

Følgende ser ud til at beskrive hullet:
http://www.osvdb.org/displayvuln.php?osvdb_id=4030
http://www.uniras.gov.uk/vuls/2004/236929/index.htm

Tilsyneladende er frygten mest at man kan lave et DoS mod
routing-protokollerne.

--
Peter Makholm | According to the hacker ethic, the meaning of life
peter@makholm.net | is not Friday, but it is not Sunday either
http://hacking.dk | -- Peeka Himanen

---

Peter Makholm wrote:
>
> Tilsyneladende er frygten mest at man kan lave et DoS mod
> routing-protokollerne.

Problemet påvirker alt kommunikation, der baserer sig på
TCP. Grunden til at man specielt frygter angreb mod BGP
routnings protokolen (der kører ovenpå TCP) er, at et
angreb mod BGP ikke bare vil betyde at nogen enkelte TCP
forbindelser bliver afbrudt. Angiveligt ville man ved at
udnytte hullet nemt kunne afbryde en udbyders forbindelse
med omverdenen i timevis.

Udfra hvad jeg har læst på slashdot, skulle udbyderne have
brugt ugen op til annonceringen på at forebygge angreb mod
BGP.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */

---

Den Wed, 21 Apr 2004 17:17:52 +0200 skrev Kasper Dupont:
> Peter Makholm wrote:
>>
>> Tilsyneladende er frygten mest at man kan lave et DoS mod
>> routing-protokollerne.
>
> Problemet påvirker alt kommunikation, der baserer sig på
> TCP. Grunden til at man specielt frygter angreb mod BGP
> routnings protokolen (der kører ovenpå TCP) er, at et
> angreb mod BGP ikke bare vil betyde at nogen enkelte TCP
> forbindelser bliver afbrudt. Angiveligt ville man ved at
> udnytte hullet nemt kunne afbryde en udbyders forbindelse
> med omverdenen i timevis.

"Implement ingress and egress filtering to check that the traffic
entering or leaving the network has a source IP address that is
expected on the router/firewall interface that receives the traffic"

Og det skulle man jo have gjort for mange år siden alligevel, så
det er bare med at komme igang.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 2004-04-21, Kasper Dupont <kasperd@daimi.au.dk> wrote:
>>
>> Tilsyneladende er frygten mest at man kan lave et DoS mod
>> routing-protokollerne.
>
> Problemet påvirker alt kommunikation, der baserer sig på
> TCP.

Mjaeh, problemet er at det er simplere end man troede at benytte RST til
at afbryde længerevarende TCP-forbindelser. Du skal stadig gætte source
og destination-port, da begge disse i de fleste tilfælde ikke er givet.
Problemet med lige præcis BGP er, at det via looking-glasses kan være
nemt at finde noget af den information der skal til for at stille et
angreb på benene og at BGP-TCP-forbindelser er meget langvarige (uger,
måneder), og at en afbrydelse af en BGP-session kan have drastiske
konsekvenser.

Som almindelig internet-bruger ville dette slet ikke interessere mig,
selvom dommedagsprofetier fra cw nok skal få folk op af stolen; fx er
dette citat:
"Selv om man kan forestille sig, at angribere på den måde sætter en
webserver ud af drift, er det ikke den største bekymring."
Fra http://www.computerworld.dk/default.asp?Mode=2&ArticleID=23403 endnu
engang tegn på ualmindelig dårlig journalistik fra cw's side - de har
endnu engang ikke formået at forstå problemstillingen.

Hvis nogen skulle finde på at benytte dette til at angribe en webserver
skulle de angribe hver eneste forbindelse til denne webserver, fx skulle
de forsøge at afbryde en klients download af en side, et window of
opportunity, der ofte kun er åbent i nogle få sekunder. At lægge en
webserver ned på basis af dette kan der ikke være tale om.

--
Andreas Plesner Jacobsen | The meek don't want it.

---

Andreas Plesner Jacobsen wrote:
>
> Problemet med lige præcis BGP er, at det via looking-glasses kan være

Hvad mener du med looking-glasses?

>
> Som almindelig internet-bruger ville dette slet ikke interessere mig,
> selvom dommedagsprofetier fra cw nok skal få folk op af stolen; fx er
> dette citat:
> "Selv om man kan forestille sig, at angribere på den måde sætter en
> webserver ud af drift, er det ikke den største bekymring."

Den kommentar undrede jeg mig også lidt over.
Men det er langt fra den værste jeg har set.
Et sted, der blev skrevet om problemet havde
de ikke lige forstået forskellen på at resete
en TCP forbindelse og resete en maskine.

> Fra http://www.computerworld.dk/default.asp?Mode=2&ArticleID=23403 endnu
> engang tegn på ualmindelig dårlig journalistik fra cw's side - de har
> endnu engang ikke formået at forstå problemstillingen.

Når det drejer sig om sikkerhed tager jeg
ikke CW særlig seriøst. Faktisk vil jeg gå
så vidt som at sige, at hvis der er tale om
nogen form for tekniske oplysninger, så er
der mere pålidelige kilder en CW.

>
> Hvis nogen skulle finde på at benytte dette til at angribe en webserver
> skulle de angribe hver eneste forbindelse til denne webserver, fx skulle
> de forsøge at afbryde en klients download af en side, et window of
> opportunity, der ofte kun er åbent i nogle få sekunder. At lægge en
> webserver ned på basis af dette kan der ikke være tale om.

Det er jeg enig i. Det gør ikke ret meget
hvis man kan komme af sted med at resette en
HTTP forbindelse. Mine SSH forbindelser føler
jeg lidt mere for (jeg har faktisk tit savnet
en mulighed i protokollen for at lave en ny
TCP forbindelse og fortsætte SSH sessionen
der, hvis den første TCP forbindelse skulle
blive afbrudt). Men stadigvæk er det begrænset
hvor meget en afbrudt SSH forbindelse påvirker
mit brug af netværket.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */

---

On 2004-04-21, Kasper Dupont <kasperd@daimi.au.dk> wrote:
>>
>> Problemet med lige præcis BGP er, at det via looking-glasses kan være
>
> Hvad mener du med looking-glasses?

Mange operatører har websider, hvor du kan udføre udvalgte diagnostiske
kommandoer på deres BGP routere.

--
Andreas Plesner Jacobsen | "Don't drop acid, take it pass-fail!"
| -- Bryan Michael Wendt

---

At Wed, 21 Apr 2004 22:40:49 +0200, Kasper Dupont mumbled something like:
> Når det drejer sig om sikkerhed tager jeg
> ikke CW særlig seriøst. Faktisk vil jeg gå
> så vidt som at sige, at hvis der er tale om
> nogen form for tekniske oplysninger, så er
> der mere pålidelige kilder en CW.

Umiddelbart har jeg svært ved at ihukomme en mindre pålidelig kilde end CW.
De er og bliver en IT-pendant til Ekstra Bladet og Se&Hør.

> Det er jeg enig i. Det gør ikke ret meget
> hvis man kan komme af sted med at resette en
> HTTP forbindelse. Mine SSH forbindelser føler
> jeg lidt mere for (jeg har faktisk tit savnet
> en mulighed i protokollen for at lave en ny
> TCP forbindelse og fortsætte SSH sessionen
> der, hvis den første TCP forbindelse skulle
> blive afbrudt).

screen? -> http://www.guckes.net/screen/

--
Lasse Bjørn Jensen
BOFH excuse #79:
Look, buddy: Windows IS 'A General Protection Fault'.

---

inthenews@id10t.dk (Lasse Bjørn Jensen) writes:

> Umiddelbart har jeg svært ved at ihukomme en mindre pålidelig kilde end CW.
> De er og bliver en IT-pendant til Ekstra Bladet og Se&Hør.

Lige præcis i denne tråd der begyndte med en henvisning til en artikel
i Ekstra Bladet ved jeg nu ikke. Jeg tror meget mere på at CW kan
finde en relevant kilde til noget teknisk end at eb kan.

--
Peter Makholm | Sit back and watch the messages. This is actually
peter@makholm.net | more important than one might think as there is a
http://hacking.dk | bug in GNU Mach whereby hitting a key during the
| boot process causes the kernel to panic
| -- GNU Hurd Installation Guide

---

Peter Makholm wrote:
>
> inthenews@id10t.dk (Lasse Bjørn Jensen) writes:
>
> > Umiddelbart har jeg svært ved at ihukomme en mindre pålidelig kilde end CW.
> > De er og bliver en IT-pendant til Ekstra Bladet og Se&Hør.
>
> Lige præcis i denne tråd der begyndte med en henvisning til en artikel
> i Ekstra Bladet ved jeg nu ikke. Jeg tror meget mere på at CW kan
> finde en relevant kilde til noget teknisk end at eb kan.

Ekstra Bladets artikel indeholder ingen links til hvor
man kan læse mere, på det punkt er CW bedre. Men i
modsætning til så mange andre, så har EB faktisk ikke
skrevet noget forkert om den her sag.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */

---

Lasse Bjørn Jensen wrote:
>
> > Mine SSH forbindelser føler
> > jeg lidt mere for (jeg har faktisk tit savnet
> > en mulighed i protokollen for at lave en ny
> > TCP forbindelse og fortsætte SSH sessionen
> > der, hvis den første TCP forbindelse skulle
> > blive afbrudt).
>
> screen? -> http://www.guckes.net/screen/

Jeg kender godt screen, og jeg bruger det tit. Det er
udmærket til en terminal session, men SSH er meget
mere end det. Jeg bruger både X forwarding og TCP
port forwarding.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */

---

At Thu, 22 Apr 2004 06:18:50 +0200, Kasper Dupont mumbled something like:
> Jeg kender godt screen, og jeg bruger det tit. Det er
> udmærket til en terminal session, men SSH er meget
> mere end det. Jeg bruger både X forwarding og TCP
> port forwarding.

"Doesn't run in a terminal? - Not interested." :)

--
Lasse Bjørn Jensen
"We don't like their sound, and guitar music is on the way out."
-- Decca Recording Co. rejecting the Beatles in 1962.

---

On 21 Apr 2004 14:11:09 +0200, Peter Makholm <peter@makholm.net>
wrote:

> Tilsyneladende er frygten mest at man kan lave et DoS mod
> routing-protokollerne.

Det må vist være protokoll*en*, altså BGP. (For det første er det
den, der bruges i Internet. For det andet kan jeg ikke lige komme
i tanker om andre, der bruger TCP).

De To Store har været ret hurtigt (eller i hvert fald rettidigt)
ude med beskrivelser af, hvordan problemet kan omgås og med kode-
rettelser, så det helt fjernes.

I øvrigt er problemet begrænset, hvis man i forvejen har en
fornuftig konfiguration på sit border-udstyr, så mon ikke de
praktiske konsekvenser hos fornuftige udbydere vil være til at
overskue?

-A
--
http://www.hojmark.org/