---

Hejsa

Mens jeg sidder og skriver dette oplever jeg en ret voldsom portscanning.
Jeg bruger Sygate's gratis firewall, så hvis man kender denne kan man måske
bedre forstå hvad jeg nu skriver.

Når den står og blinker nede ved siden af uret, klikker jeg. Der kan jeg så
se seneste "angreb" på min ports. Siden klokken 18.13 har samme IP
(80.166.186.71) scannet mine porte. Når jeg så højreklikker på denne IP og
vælger backtrace så kan jeg se at der står følgende:

Hop IP address Name Time (ms)
1 80.166.136.57 lo1.albnxx10.ip.tele.dk 20
2 80.166.186.71 TOMMYVEMDRUP 40

Vælger jeg så Whois så kan jeg se at det er en TDC Bredbåndkunde.

Hvad faen foregår der og hvad kan jeg gøre? Skal jeg være "nervøs"?

Mvh.

Kenneth

---

(: MarlboroMan :) wrote:

> Mens jeg sidder og skriver dette oplever jeg en ret voldsom portscanning.

Og mens jeg skriver det her, er min 20 siders log fyldt med samme slags
skrammel.

> Når jeg så højreklikker på denne IP
> og vælger backtrace så kan jeg se at der står følgende:

[snip - lad være med at offentliggøre IP adresser]

> Hvad faen foregår der og hvad kan jeg gøre?

Blaster, slammer osv. - that's life.

> Skal jeg være "nervøs"?

Kun hvis du bliver 'ramt'.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:

> [snip - lad være med at offentliggøre IP adresser]

Hvad er problemet i at offentliggøre dem?

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

Thomas Strandtoft wrote:
> Stig Johansen wrote:
>
>
>>[snip - lad være med at offentliggøre IP adresser]
>
>
> Hvad er problemet i at offentliggøre dem?

Maskinen kan vaere saarbar og inficeret med en orm af en art. Der er
ingen grund til at oplyse i et offentligt forum IP-adressen af to aarsager:

   1. Den giver os ikke ekstra information (personligt gider jeg i
   hvert fald ikke kigge mine egne logs igennem for at se, om det
   er en genganger).
   2. Folk kan finde og misbruge saarbare maskiner uden at saette
   spor i deres soegen. dcom.c er vist et glimrende eksempel paa
   dette.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Michael Knudsen wrote:

[offentliggøre ipnumre]

> Maskinen kan vaere saarbar og inficeret med en orm af en art. Der er
> ingen grund til at oplyse i et offentligt forum IP-adressen af to aarsager:
>
> 1. Den giver os ikke ekstra information (personligt gider jeg i
> hvert fald ikke kigge mine egne logs igennem for at se, om det
> er en genganger).

Det kan give information der er relevant i henhold til en abuse
klage, blocklister og lignende.. I tråden her er ipnummeret
relevant i forhold til at den angrebne ønsker at klage til abuse.

> 2. Folk kan finde og misbruge saarbare maskiner uden at saette
> spor i deres soegen. dcom.c er vist et glimrende eksempel paa
> dette.

Hvis en maskine er sårbar skal den nok blive misbrugt uanset om ip
nummeret bliver postet herinde eller ej. Hvis den sårbare maskine
allerede er kompromitteret og igang med at portscanne til højre og
venstre er den ip nummer alligevel ikke nogen hemmelighed. Hvis en
skummel person virkelig ønsker at misbruge sårbare maskiner, så er
det da langt nemmere for vedkommende at sætte en server op, logge
forespørgslerne og bare vente på at de sårbare maskiner selv
melder sig, end det er at scanne newsgroups efter informationen.
Vil jeg fx. finde en Nimba inficeret IIS, så kan jeg bare kigge i
min webservers logfil over ipnumre der har forsøgt at finde
sårbarheder i min servers opsætning, det skal ikke tage mig mange
sekunder at lave en søgning på.

At poste et ipnummer herinde gør i mine øjne ingen forskel, er det
et sikkert system har det ingen betydning - er systemet sårbart så
er det garanteret allerede på spanden inden ipnummeret bliver
postet..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

Thomas Strandtoft wrote:
>> 1. Den giver os ikke ekstra information (personligt gider jeg i
>> hvert fald ikke kigge mine egne logs igennem for at se, om det
>> er en genganger).
>
>
> Det kan give information der er relevant i henhold til en abuse
> klage, blocklister og lignende.. I tråden her er ipnummeret
> relevant i forhold til at den angrebne ønsker at klage til abuse.

Du ser altsaa ingen problemer i at klage paa baggrund i et indlaeg i en
nyhedsgruppe? Jeg vil noedig forsvare logstumer, jeg ikke selv er
ansvarlig for.

Derudover vil jeg langt hellere forklare folk, hvordan de selv finder
abuse-contacts, end jeg paa baggrund af analyse af en pastet logfil vil
finde abuse-contact og fortaelle denne til brugere -- han faar
sandsynligvis brug for at kunne finde disse en anden gang.

>> 2. Folk kan finde og misbruge saarbare maskiner uden at saette
>> spor i deres soegen. dcom.c er vist et glimrende eksempel paa
>> dette.

[snip: soeforklaring]

Altsaa, fordi maskinen alligevel er blevet kompromitteret, goer det
ingen forskel, at endnnu flere folk uden indsats og risiko kan misbruge den?

> At poste et ipnummer herinde gør i mine øjne ingen forskel, er det
> et sikkert system har det ingen betydning - er systemet sårbart så
> er det garanteret allerede på spanden inden ipnummeret bliver
> postet..

Jeg giver ikke meget for dine garantier. Desuden er der ingen grund til
at goere det lettere for skumle folk. Kan vi i det mindste blive enige
om det?

Uddybning: Der er noget, der kaldes ``script kiddies'' -- folk der ikke
dur til noget som helst uden hjaelp fra andre. Naar disse ser et indlaeg
i et nyhedsgruppe, hvor nogen tydeligt goer opmaerksom paa, at en
maskine med en given IP har en konkret sikkerhedsbrist, og de
tilfaeldigvis ligger inde med et exploit til denne brist, vil de
stensikkert kaste sig som myrer over sukker over dette hul. Havde du
ikke oplyst IP-adressen, havde de selv skullet finde en saarbar maskine,
og det ville i mange tilfaelde holde dem langt fra at lave ballade.
Desuden ville mange afsloere sig selv i forsoeget paa at finde saarbare
maskiner.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Michael Knudsen wrote:

> > Det kan give information der er relevant i henhold til en abuse
> > klage, blocklister og lignende.. I tråden her er ipnummeret
> > relevant i forhold til at den angrebne ønsker at klage til abuse.
>
> Du ser altsaa ingen problemer i at klage paa baggrund i et indlaeg i en
> nyhedsgruppe? Jeg vil noedig forsvare logstumer, jeg ikke selv er
> ansvarlig for.

Jeg kunne ikke drømme om at klage på andres vegne. Jeg snakker om
at A poster en logbid herinde og spørger hvad pokker der foregår.
Gruppens kloge hoveder kigger på tingene og kommer med en
forklaring til A. Herefter kan A bruge sin log til en evt. klage.

> Derudover vil jeg langt hellere forklare folk, hvordan de selv finder
> abuse-contacts, end jeg paa baggrund af analyse af en pastet logfil vil
> finde abuse-contact og fortaelle denne til brugere -- han faar
> sandsynligvis brug for at kunne finde disse en anden gang.

Helt enig, det er den gamle historie med at hvis man giver en mand
en fisk, så er han mæt i en dag, men lærer man ham at fiske kan
han blive mæt mange gange.

Pædagogisk set kan der være en fordel ved at "undervise" udfra et
konkret eksempel der kan efterprøves. Hvis det hele syltes ind i
ord gejl som "den angribende maskines ISP bla, bla, bla" så kan
det godt blive svært at overskue.

> >> 2. Folk kan finde og misbruge saarbare maskiner uden at saette
> >> spor i deres soegen. dcom.c er vist et glimrende eksempel paa
> >> dette.
>
> [snip: soeforklaring]

Det er egentlig sjovt; når jeg skriver at jeg har en serverlog
fyldt med ipnumre på kompromiterede maskiner der forsøger at
påføre min server samme defekt, så er det en "søforklaring", men
når Kasper skriver det samme, så er det en "god pointe"..

Jeg kan helt passivt finde en hel stribe ipnumre på inficerede
maskiner, det er blot at kigge på de inficeringsforsøg fremmede
systemer har prøvet at lave på min server.

> Altsaa, fordi maskinen alligevel er blevet kompromitteret, goer det
> ingen forskel, at endnnu flere folk uden indsats og risiko kan misbruge den?

Hvis en maskine er blevet inficeret er det sandsynligvis fordi den
står pivåben. Erfaringer med CodeRed, Nimba, Blaster, Sasser og
den slags viser at det normalt kun er nødvendigt at have en
maskine stående åben i en 15-20 minutter inden en af ormene har
fundet vej til den, det går lynhurtigt. Efter disse 15-20 minutter
begynder den inficerede maskine selv at kontakte fremmede systemer
for at finde flere sårbare systemer, dvs. den går igang med at
sprede sit ipnummer til folks logfiler. Jeg aner ikke hvor hurtigt
ormene arbejder, men et bud er at i de 10 minutter det tager at
forfatte et indlæg her i gruppen med det "angribende" ipnummer,
der har den inficerede maskine måske forsøgt at inficere 5000
systemer. Mener du seriøst at det gør nogen som helst forskel om
ipnummeret bliver postet her når man sammenligner med hvor mange
systemer det inficerede system selv kontakter??

> Jeg giver ikke meget for dine garantier. Desuden er der ingen grund til
> at goere det lettere for skumle folk. Kan vi i det mindste blive enige
> om det?

Selvfølgelig skal vi ikke gøre det nemmere for skurkene, men jeg
synes det er unødigt hysteri hvis jeg skal høre for at have postet
et ipnummer her i gruppen, for et publikum på måske 2-300
mennesker, når den inficerede maskine måske selv kontakter 100.000
systemer i døgnet og demonstrerer for dem at det er inficeret. Set
i det lys synes jeg absolut den fordel vi får ved at kunne snakke
om den konkrete sag, langt overstiger den ulempe det er at en
håndfuld brådne kar får en alternativ måde at høste inficerede
ipnumre på..

[snip noget om scriptkiddies]

> Desuden ville mange afsloere sig selv i forsoeget paa at finde saarbare
> maskiner.

Hvorfor dog det, det er jo bare at kigge sin serverlog igennem
efter linier som nedenstående:

217.217.84.197 - - [12/Mar/2004:01:08:44 +0100] "GET
/scripts/root.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
217.217.84.197 - - [12/Mar/2004:01:08:45 +0100] "GET
/MSADC/root.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
217.217.84.197 - - [12/Mar/2004:01:08:46 +0100] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
217.217.84.197 - - [12/Mar/2004:01:08:48 +0100] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
217.217.84.197 - - [12/Mar/2004:01:08:49 +0100] "GET
/scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0
"-" "-"

Jeg har bunkevis af linier som ovenstående i mine logfiler, jeg
afslører ikke mig selv ved at lave en søgning på de linier.
Samtidigt kan du være sikker på at 217.217.84.197 også har forsøgt
at inficere tusindvis af andre systemer end mit, så at systemet
bag det ipnummer har et problem er ikke den store hemmelighed
længere. Scriptkiddies har også firewalls og webservere med
logfiler, så om jeg poster ipnummeret herinde eller ej har ikke
nogen praktisk betydning for deres vedkommende. Det kan have en
praktisk betydning for dig og mig, for det giver os noget konkret
at snakke om..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

Michael Knudsen wrote:
>
> 1. Den giver os ikke ekstra information (personligt gider jeg i
> hvert fald ikke kigge mine egne logs igennem for at se, om det
> er en genganger).

Jeg har engang set tilfælde, hvor der var en fejl i et
program, så det udskrev en forkert IP adresse. I
virkeligheden var det en uinitialiseret variabel, der
blev udskrevet, så uanset hvilken maskine man kiggede
på log oplysningerne fra ville der stå den samme IP
adresse.

Ved at se IP adressen kunne jeg hurtigt afgøre, at der
var tale om en fejl i programmet og at værdien i
virkeligheden bare var en pointer, der blevet fortolket
som en IP adresse. Den slags opdager man kun, hvis IP
adresserne faktisk bliver postet.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont wrote:
> Jeg har engang set tilfælde, hvor der var en fejl i et
> program, så det udskrev en forkert IP adresse. I
> virkeligheden var det en uinitialiseret variabel, der
> blev udskrevet, så uanset hvilken maskine man kiggede
> på log oplysningerne fra ville der stå den samme IP
> adresse.
>
> Ved at se IP adressen kunne jeg hurtigt afgøre, at der
> var tale om en fejl i programmet og at værdien i
> virkeligheden bare var en pointer, der blevet fortolket
> som en IP adresse. Den slags opdager man kun, hvis IP
> adresserne faktisk bliver postet.

Hvor tit sker dette? Hold lige det tal op mod antal postings af
IP-adresser med saarbare maskiner. Mit umiddelbare bud er en klar
overvaegt til sidste tal. Saa hellere lige et ekstra indlaeg med et
opklarende spoergsmaal.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Michael Knudsen wrote:
>
> Kasper Dupont wrote:
> > Jeg har engang set tilfælde, hvor der var en fejl i et
> > program, så det udskrev en forkert IP adresse. I
> > virkeligheden var det en uinitialiseret variabel, der
> > blev udskrevet, så uanset hvilken maskine man kiggede
> > på log oplysningerne fra ville der stå den samme IP
> > adresse.
> >
> > Ved at se IP adressen kunne jeg hurtigt afgøre, at der
> > var tale om en fejl i programmet og at værdien i
> > virkeligheden bare var en pointer, der blevet fortolket
> > som en IP adresse. Den slags opdager man kun, hvis IP
> > adresserne faktisk bliver postet.
>
> Hvor tit sker dette?

Jeg har flere gange oplevet, at en tilsyneladende
ligegyldig IP adresse har sat mig på sporet af
problemet.

> Hold lige det tal op mod antal postings af
> IP-adresser med saarbare maskiner.

Det antal kender jeg ikke. Jeg aner ikke, hvor mange
af de postede IP adresser, der er på sårbare maskiner.
Der er desuden lettere måder at finde sårbare maskiner
på.

> Mit umiddelbare bud er en klar
> overvaegt til sidste tal.

Hvad bygger du det på? Og har du desuden dokumentation
for, at en IP adresse postet på en nyhedsgruppe er
blevet brugt til at foretage angreb?

> Saa hellere lige et ekstra indlaeg med et
> opklarende spoergsmaal.

Det er da kun hvis jeg har fantasi til at forestille
mig, at den vil kunne bruges til noget. Sidste gang en
postet IP adresse satte mig på sporet af et problem
havde jeg faktisk allerede i et tidligere indlæg
skrevet, at den ikke kunne bruges til noget.

Men da IP adressen nu alligevel var blevet postet
prøvede jeg at slå den op og til min overraskelse
viste det sig, at der var en uoverensstemmelse mellem
det som opslaget viste, og det jeg havde forventet.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont wrote:
>>Hold lige det tal op mod antal postings af
>>IP-adresser med saarbare maskiner.
>
>
> Det antal kender jeg ikke. Jeg aner ikke, hvor mange
> af de postede IP adresser, der er på sårbare maskiner.
> Der er desuden lettere måder at finde sårbare maskiner
> på.

Naturligvis, men her saetter man ikke spor paa samtlige computere i en
/16 i sin soegen.

>>Mit umiddelbare bud er en klar
>>overvaegt til sidste tal.
>
>
> Hvad bygger du det på? Og har du desuden dokumentation
> for, at en IP adresse postet på en nyhedsgruppe er
> blevet brugt til at foretage angreb?

Jeg bygger det paa, at jeg aldrig foer har set et indlaeg her i gruppen
med den fejl, du beskriver, hvorimod jeg har set et stort, ukendt antal
uddrag af logs, hvor man ser Blaster, Nimda, dcom.c etc.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Michael Knudsen wrote:
>
> Kasper Dupont wrote:
> >>Hold lige det tal op mod antal postings af
> >>IP-adresser med saarbare maskiner.
> >
> >
> > Det antal kender jeg ikke. Jeg aner ikke, hvor mange
> > af de postede IP adresser, der er på sårbare maskiner.
> > Der er desuden lettere måder at finde sårbare maskiner
> > på.
>
> Naturligvis, men her saetter man ikke spor paa samtlige computere i en
> /16 i sin soegen.

Hvem har sagt man behøver det? Man kan jo starte med at selv
lytte efter forbindelser. Hvis jeg bare skal bruge sårbare
maskiner kan min egen log være lige så god som en tilfældig
poster på en nyhedsgruppe.

Desuden kan man foretage foretage portscanning uden at de
scannede maskiner nogensinde ser ens rigtige IP adresser.

>
> >>Mit umiddelbare bud er en klar
> >>overvaegt til sidste tal.
> >
> >
> > Hvad bygger du det på? Og har du desuden dokumentation
> > for, at en IP adresse postet på en nyhedsgruppe er
> > blevet brugt til at foretage angreb?
>
> Jeg bygger det paa, at jeg aldrig foer har set et indlaeg her i gruppen
> med den fejl, du beskriver, hvorimod jeg har set et stort, ukendt antal
> uddrag af logs, hvor man ser Blaster, Nimda, dcom.c etc.

Det kan da godt være. De tilfælde jeg lige kunne komme i
tanke om var fra andre grupper. Men vi har da haft nogen
indlæg, som var noget i retning af: Hjælp 194.239.10.42
prøver på at hacke min computer. De kan ret hurtigt
besvares, når man kender IP adressen.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont wrote:
>>>Det antal kender jeg ikke. Jeg aner ikke, hvor mange
>>>af de postede IP adresser, der er på sårbare maskiner.
>>>Der er desuden lettere måder at finde sårbare maskiner
>>>på.
>>
>>Naturligvis, men her saetter man ikke spor paa samtlige computere i en
>>/16 i sin soegen.
>
>
> Hvem har sagt man behøver det? Man kan jo starte med at selv
> lytte efter forbindelser. Hvis jeg bare skal bruge sårbare
> maskiner kan min egen log være lige så god som en tilfældig
> poster på en nyhedsgruppe.

Ah, god pointe, det havde jeg ikke lige taenkt haft i tankerne i den
forbindelse, men jeg har set det brugt til at patche angribende
maskiner, da en eller anden orm var loes. Jeg mener, at det var Niels
Provos, der havde skrevet artiklen, men jeg kan ikke finde den nu.

> Desuden kan man foretage foretage portscanning uden at de
> scannede maskiner nogensinde ser ens rigtige IP adresser.

Hvordan taenker du paa? Jeg er med paa, at det er muligt, hvis man har
adgang til en maskine paa ruten, men ellers kan jeg ikke lige komme paa
noget. Source routing er vist ikke rigtig muligt laengere.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Michael Knudsen wrote:
>
> Kasper Dupont wrote:
> > Desuden kan man foretage foretage portscanning uden at de
> > scannede maskiner nogensinde ser ens rigtige IP adresser.
>
> Hvordan taenker du paa?

http://www.insecure.org/nmap/idlescan.html

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.

---

"(: MarlboroMan :)" wrote:
>
> Hejsa
>
> Mens jeg sidder og skriver dette oplever jeg en ret voldsom portscanning.
> Jeg bruger Sygate's gratis firewall, så hvis man kender denne kan man måske
> bedre forstå hvad jeg nu skriver.
>
> Når den står og blinker nede ved siden af uret, klikker jeg. Der kan jeg så
> se seneste "angreb" på min ports. Siden klokken 18.13 har samme IP
> (80.166.186.71) scannet mine porte. Når jeg så højreklikker på denne IP og
> vælger backtrace så kan jeg se at der står følgende:
>
> Hop IP address Name Time (ms)
> 1 80.166.136.57 lo1.albnxx10.ip.tele.dk 20
> 2 80.166.186.71 TOMMYVEMDRUP 40
>
> Vælger jeg så Whois så kan jeg se at det er en TDC Bredbåndkunde.
>
> Hvad faen foregår der og hvad kan jeg gøre? Skal jeg være "nervøs"?

De oplysninger du har givet er ikke nok til at give noget
fornuftigt svar. Der er mange mulige forklaringer:

1) Maskinen er inficeret med en eller anden form for
orm. I så fald ville det være venligt at gøre ejeren
opmærksom på det, evt. gennem dennes udbyder, hvis du
ikke på anden vis kan komme i kontakt med ejeren.
2) Vedkommende er ved en fejltagelse kommet til at tilgå
en forkert adresse. Evt. kan der være tale om dynamisk
IP adresse, så du får trafik til en tidligere maskine
på samme IP.
3) Det kan være personen havde brug for at afprøve et
eller andet, og valgte så en tilfældig IP adresse. Det
er ikke pænt at gøre den slags, men der er ingen grund
til at gøre et stort nummer ud af det.
4) Det kan være personen er blevet irriteret over et af
dine usenet indlæg og valgte så at chikanere dig.

Find selv på flere gode eller dårlige forklaringer.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */

---

Den 28 apr 2004 mumlede Kasper Dupont noget i denne stil:

> 3) Det kan være personen havde brug for at afprøve et
> eller andet, og valgte så en tilfældig IP adresse. Det
> er ikke pænt at gøre den slags, men der er ingen grund
> til at gøre et stort nummer ud af det.

Ifølge TDC kundevilkår må man ikke foretage portscans, så der kunne
jo skrives til deres Abuse adresse, hvis det virkelig generede ham,
eller hvis det fortsætter uhæmmet i længere tid.

Men som I også antyder så er det ikke helt unormalt, og vil man
skrive til TDD hvergang er det nok en ide at lave en skabelon til
formålet, for det bliver til mange mails tror jeg..


--
Palle Jensen

---

Palle Jensen wrote:
>
> Den 28 apr 2004 mumlede Kasper Dupont noget i denne stil:
>
> > 3) Det kan være personen havde brug for at afprøve et
> > eller andet, og valgte så en tilfældig IP adresse. Det
> > er ikke pænt at gøre den slags, men der er ingen grund
> > til at gøre et stort nummer ud af det.
>
> Ifølge TDC kundevilkår må man ikke foretage portscans,

Hvor finder man den præcise ordlyd, for det du skriver
der er i hvert fald alt for upræcist formuleret til at
kunne bruges til noget.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */

---

On Thu, 29 Apr 2004 17:25:25 +0200, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

>Hvor finder man den præcise ordlyd, for det du skriver
>der er i hvert fald alt for upræcist formuleret til at
>kunne bruges til noget.

Do some footwork?

Vilkår for TDC Bredbånd:
http://download.tdconline.dk/pub/tdc/privat/internet/bredbaand/vilkaar/pdf/vilkaar_bredbaand_1.pdf

Punkt 14.B:
J) Kunden portscanner andre computere på internettet eller søger at
skaffe sig uautoriseret adgang til systemer tilsluttet internettet
(hacking).


Jeg tror godt, de kan bruges til noget. Forstået på den måde, at jeg
tror godt at TDC kan smide en kunde af på baggrund heraf, uden at
kunden ville kunne vinde en evt. efterfølgende sag anlagt mod TDC.

(jeg ville i hvert fald personligt glæde mig til at se
subkultur-rotter stå og te sig i en retssag, og diskutere ords
betydninger og henvise til The Jargon File og så videre :)

--
- Peter Brodersen

Ugens sprogtip: "Der er et yndigt land" (og ikke "Det er et yndigt land")

---

Peter Brodersen wrote:
>
> J) Kunden portscanner andre computere på internettet eller søger at
> skaffe sig uautoriseret adgang til systemer tilsluttet internettet
> (hacking).

Brug af ordet portscanning er tilpas upræcis til, at
der kan komme tvivl om hvad der er dækket.

Hvis jeg nu prøver at køre ssh til en maskine, som jeg
har ret til at logge ind på, og det ikke virker. Og
jeg derefter prøver at kontakte maskinen med telnet til
port 21, 22, 23, 25, 80 for at finde ud af hvad der er
galt, og det så til sidst viser sig, at det bare er
fordi den maskine jeg skulle have fat i har fået en
anden IP adresse og en anden maskine har fået den gamle.
Har jeg så foretaget en portscanning?

Og hvad menes der med andre computere? Så vidt jeg kan
se dækker ordet uautoriseret ikke over portscannings
delen. Det vil sige at autoriseret portscanning også
er en overtrædelse af betingelserne. Det vil sige, at
hvis jeg vil undersøge en maskine, jeg selv har sat op,
så må jeg ikke portscanne den fra en TDC bredbånd
maskine?

Hvad nu hvis jeg mener, at portscanning kun dækker,
hvis jeg prøver at kontakte en lang række forskellige
computere? Og at forsøg på at tilgå en enkelt computer
ikke har noget med scanning at gøre. Det er en rimelig
fortolkning af ordet, og i så fald kan vi slet ikke
vide, om der har været tale om en portscanning i det
konkrete tilfælde.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */

---

On Thu, 29 Apr 2004 18:08:48 +0200, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

>Brug af ordet portscanning er tilpas upræcis til, at
>der kan komme tvivl om hvad der er dækket.

Omvendt set vil der sagtens være tilfælde, hvor man ikke er i tvivl.
Det er det, der er hele humlen.

>Hvis jeg nu prøver at køre ssh til en maskine, som jeg
>har ret til at logge ind på, og det ikke virker. Og
>jeg derefter prøver at kontakte maskinen med telnet til
>port 21, 22, 23, 25, 80 for at finde ud af hvad der er
>galt, og det så til sidst viser sig, at det bare er
>fordi den maskine jeg skulle have fat i har fået en
>anden IP adresse og en anden maskine har fået den gamle.
>Har jeg så foretaget en portscanning?

Hvad forventer du? En udtømmende liste med en fast defineret grænse om
at det er okay at prøve fem porte på ti maskiner i timen, men ikke
seks porte på elleve maskiner?

Jeg går ud fra, at du godt selv kan se problemet ved dette.

>Og hvad menes der med andre computere? Så vidt jeg kan
>se dækker ordet uautoriseret ikke over portscannings
>delen. Det vil sige at autoriseret portscanning også
>er en overtrædelse af betingelserne. Det vil sige, at
>hvis jeg vil undersøge en maskine, jeg selv har sat op,
>så må jeg ikke portscanne den fra en TDC bredbånd
>maskine?

Hvis det er et aktuelt issue, så kunne du jo spørge TDC? Der er ingen
grund til at opføre sig som en hjælpeløs kunde.

Eller har du da planer om at indsende informationer om dine
portscanninger fra den anden ende, bare for at se hvordan TDC ville
reagere?

>Hvad nu hvis jeg mener, at portscanning kun dækker,
>hvis jeg prøver at kontakte en lang række forskellige
>computere? Og at forsøg på at tilgå en enkelt computer
>ikke har noget med scanning at gøre. Det er en rimelig
>fortolkning af ordet, og i så fald kan vi slet ikke
>vide, om der har været tale om en portscanning i det
>konkrete tilfælde.

Nej, nu spekulerer du blot på "Hvis jeg mener..." og tilføjer samtidig
"Det er en rimelig fortolkning". Hvad en tilfældig kunde mener, er
ikke så interessant.

Der er ingen grund til at fremstille et billede af udbydere og
abuse-medarbejdere som personer, der lige så godt kunne have været
erstattet med et lille script. Omstændighederne må tages i
betragtning, og kommer der flere henvendelser ind, kan udbyderen
passende forholde sig til det.

Der er derudover heller ingen, der siger, at udbyderen absolut behøver
at give folk sparket i første omgang (abonnementsbetingelserne er jo
tillige en sag mellem kunden og udbyderen). En passende løsning for
udbyderen kunne jo i lige så høj grad være at hive fat i kunden, gøre
opmærksom på abonnementsbetingelserne i den forbindelse, og så ta' den
derfra. Det ville ganske sikkert rydde op i en stor del, uden at man
behøver at tage drastiske metoder i brug.

--
- Peter Brodersen

Ugens sprogtip: "Der er et yndigt land" (og ikke "Det er et yndigt land")

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

>> Ifølge TDC kundevilkår må man ikke foretage portscans,

>Hvor finder man den præcise ordlyd, for det du skriver
>der er i hvert fald alt for upræcist formuleret til at
>kunne bruges til noget.

http://privat.tdc.dk/artikel.php?dogtag=tdc_p_int_bre_vilkaar
afsnit 14.B.J.

Alle kunder hos udbyderen mener, at formuleringen er helt
fin. Ellers havde de nok ikke lovet at overholde den?

Mvh.
   Klaus.

---

On Thu, 29 Apr 2004 15:40:19 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:

>Alle kunder hos udbyderen mener, at formuleringen er helt
>fin. Ellers havde de nok ikke lovet at overholde den?

Det er en meget, meget mærkelig slutning. Vi kunne jo lige så godt
være ovre i den anden grøft, hvor folk betragtede den for tilpas vag
til at den alligevel ville holde.

--
- Peter Brodersen

Ugens sprogtip: "Der er et yndigt land" (og ikke "Det er et yndigt land")