---

Hej

1.
Efter at have installeret Sygate PF ligger jeg marker til at
Kernel32.dll prøver at få forbindelse med en UDF (hedder det det?)
Jeg har ikke lige set alt hvad der stod men der stod noget med BootPC.
Er det noget jeg skal frygte eller skal jeg bare give den fuld adgang
til nettet?

2.
Hvor meget bedre er SPF Pro iforhold til SPF og kan jeg som meget amatør
overhovdet benyttet den hvis jeg ikke gider sætte mig ind i al mulig?

MVH
Vinther

---

Hej beskeden lidt efter her så kan I se den

Win32 Kernel-hovedkomponent (kernel32.dll) has received a Broadcast
packet from the remote machine [172.19.0.1]. Do you want to allow this
program to access the network?

File Version :      4.10.0.2222
File Description :   Win32 Kernel-hovedkomponent (kernel32.dll)
File Path :      C:\WINDOWS\SYSTEM\kernel32.dll
Process ID :      0xFFF0C20D (Heximal) 4293968397 (Decimal)

Connection origin :   remote initiated
Protocol :      UDP
Local Address :    255.255.255.255
Local Port :      68 (BOOTPC - Dynamic Host Configuration Protocol [DHCP]
Client)
Remote Name :         
Remote Address :   172.19.0.1
Remote Port :       67

Ethernet packet details:
Ethernet II (Packet Length: 352)
   Destination:    ff-ff-ff-ff-ff-ff
   Source:    00-04-27-78-37-38
Type: IP (0x0800)
Internet Protocol
   Version: 4
   Header Length: 20 bytes
   Flags:
      .0.. = Don't fragment: Not set
      ..0. = More fragments: Not set
   Fragment offset:0
   Time to live: 255
   Protocol: 0x11 (UDP - User Datagram Protocol)
   Header checksum: 0x7849 (Correct)
   Source: 172.19.0.1
   Destination: 255.255.255.255
User Datagram Protocol
   Source port: 67
   Destination port: 68
   Length: 8
   Checksum: 0xe825 (Correct)
Bootstrap Protocol
   Boot Reply
   Option 53: DHCP Message Type = DHCP Offer
   Option 1: Subnet Mask = 255.255.255.0
   Option 58: Renewal Time value = 4 days
   Option 59: Rebinding Time value = 7 days
   Option 51: IP Address Lease Time = 8 days
   Option 54: Server Identifier = 172.31.0.0
   Option 15: Domain Name: flatrate.dk
   Option 3: Router = 80.197.157.0
   Option 6: Domain Name Server
      IP Address: 194.239.134.83
      IP Address: 193.162.153.164
   Option 46: Unknown Option (1 Bytes)

Binary dump of the packet:
0000: FF FF FF FF FF FF 00 04 : 27 78 37 38 08 00 45 00 | ........'x78..E.
0010: 01 4F C5 11 00 00 FF 11 : 49 78 AC 13 00 01 FF FF | .O......Ix......
0020: FF FF 00 43 00 44 01 3B : 25 E8 02 01 06 00 00 00 | ...C.D.;%.......
0030: B3 B0 00 00 80 00 00 00 : 00 00 50 C5 9D 3D AC 1F | ..........P..=..
0040: 00 0F AC 13 00 01 00 12 : 17 49 4F FA 00 00 00 00 | .........IO.....
0050: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
0060: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
0070: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
0080: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
0090: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
00A0: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
00B0: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
00C0: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
00D0: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
00E0: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
00F0: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
0100: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
0110: 00 00 00 00 00 00 63 82 : 53 63 35 01 02 01 04 FF | ......c.Sc5.....
0120: FF FF 00 3A 04 00 05 46 : 00 3B 04 00 09 3A 80 33 | ...:...F.;...:.3
0130: 04 00 0A 8C 00 36 04 AC : 1F 00 0F 0F 0C 66 6C 61 | .....6.......fla
0140: 74 72 61 74 65 2E 64 6B : 00 03 04 50 C5 9D 01 06 | trate.dk...P....
0150: 08 C2 EF 86 53 C1 A2 99 : A4 2E 01 08 FF F7 34 C4 | ....S.........4.

MVH
Vinther

---

MVJ wrote:
>
> Hej beskeden lidt efter her så kan I se den
>
> Win32 Kernel-hovedkomponent (kernel32.dll) has received a Broadcast
> packet from the remote machine [172.19.0.1]. Do you want to allow this
> program to access the network?
>
> File Version : 4.10.0.2222
> File Description : Win32 Kernel-hovedkomponent (kernel32.dll)
> File Path : C:\WINDOWS\SYSTEM\kernel32.dll
> Process ID : 0xFFF0C20D (Heximal) 4293968397 (Decimal)
>
> Connection origin : remote initiated

Bemærk lige på den linie, og kig så på subject.

Der står ikke noget sted at nogen programmer på maskinen
vil have adgang til nettet. Tværtimod står der, at pakken,
som firewallen beklager sig over, er afsendt fra en anden
maskine.

Ved første øjekast ligner pakken en ganske normal del af
en DHCP protokol. En typisk afvikling kunne involvere
fire pakker. Først broadcaster klienten en DISCOVER pakke,
dernæst svarer med et OFFER. Klienten requester så den
tilbudte IP, og serveren accepterer.

Jeg kan så se tre mulige forklaringer på at firewallen
brokker sig over pakken.

1) Maskinen har ikke sendt nogen forespørgsel,
og der forventes derfor ikke noget svar.
2) Maskinen har sendt en forespørgsel og får et
gyldigt svar, men firewallen er for dum til
at indse det.
3) Der er noget galt med svar pakken.

Når jeg kigger ned over dekodningen af pakken er der
tre ting som undrer mig.

1) Hvorfor broadcastes en OFFER pakke? Det giver
i mine øjne ingen mening at broadcaste en
OFFER pakke, og det kan potentielt give
problemer. (Det vil være endnu værre hvis
også den sidste pakke i DHCP protokollen
broadcastes, da to maskiner som kører DHCP
samtidig så risikerer at få samme IP adresse).
2) Hvorfor står der ikke nogen IP adresse i OFFER
pakken? Muligvis er det bare firewallen som er
for dårlig til at dekode DHCP, og jeg kan
altså ikke dekode DHCP i hovedet.
3) Hvorfor ligger afsender IP adressen, server
indentifier og gateway i tre forskellige
netsegmenter?

Nogen af tingene kan sikkert skyldes at din udbyder
har et lidt mærkeligt setup. Så medmindre du kan give
en præcis beskrivelse af din udbyders netværk, så kan
jeg ikke fortælle dig, om pakken er legitim.

Selvfølgelig kan man forestille sig at en broadcastet
DHCP OFFER pakke er en del af et udspekuleret angreb
med det formål at hijacke din forbindelse ved at give
dig en fake gateway. Om sådan et angreb vil kunne
gennemføres afhænger af din DHCP klient og hvordan
din udbyders netværk ser ud.

Personligt gider jeg ikke prøve at blokere DHCP trafik
i en firewall. Jeg lader DHCP klienten modtage det
hele og selv vurdere, hvad der er godt, og hvad der
er skidt. Det gør jeg udfra et princip om, at et
program, der er skrevet til det ene formål, har en
større chance for at træffe en rigtig beslutning end
en compliceret firewall, som forventes at forstå alle
protokoller.

> Protocol : UDP
> Local Address : 255.255.255.255
> Local Port : 68 (BOOTPC - Dynamic Host Configuration Protocol [DHCP]
> Client)
> Remote Name :
> Remote Address : 172.19.0.1

DHCP serveren har en RFC1918 adresse, er det normalt
hos din udbyder?

> Remote Port : 67
>
> Ethernet packet details:
> Ethernet II (Packet Length: 352)
> Destination: ff-ff-ff-ff-ff-ff

Hvorfor broadcastes pakken, ville det ikke være et
dumt valg for en legitim DHCP OFFER pakke?

> Source: 00-04-27-78-37-38

Man kunne selvfølgelig undersøge source MAC adressen
nærmere, men er pakken fake, så kunne source MAC
lige så vel være spoofet.

> Type: IP (0x0800)
> Internet Protocol
> Version: 4
> Header Length: 20 bytes
> Flags:
> .0.. = Don't fragment: Not set
> ..0. = More fragments: Not set
> Fragment offset:0
> Time to live: 255
> Protocol: 0x11 (UDP - User Datagram Protocol)
> Header checksum: 0x7849 (Correct)
> Source: 172.19.0.1
> Destination: 255.255.255.255
> User Datagram Protocol
> Source port: 67
> Destination port: 68
> Length: 8
> Checksum: 0xe825 (Correct)
> Bootstrap Protocol
> Boot Reply
> Option 53: DHCP Message Type = DHCP Offer
> Option 1: Subnet Mask = 255.255.255.0
> Option 58: Renewal Time value = 4 days
> Option 59: Rebinding Time value = 7 days
> Option 51: IP Address Lease Time = 8 days
> Option 54: Server Identifier = 172.31.0.0

Hvorfor afviger den fra source IP adressen, og
hvorfor ligger den i et andet segment?

> Option 15: Domain Name: flatrate.dk
> Option 3: Router = 80.197.157.0

Og hvorfor ligger gatewayen i et helt tredje segment?

> Option 6: Domain Name Server
> IP Address: 194.239.134.83
> IP Address: 193.162.153.164
> Option 46: Unknown Option (1 Bytes)
>
> Binary dump of the packet:
> 0000: FF FF FF FF FF FF 00 04 : 27 78 37 38 08 00 45 00 | ........'x78..E.
> 0010: 01 4F C5 11 00 00 FF 11 : 49 78 AC 13 00 01 FF FF | .O......Ix......
> 0020: FF FF 00 43 00 44 01 3B : 25 E8 02 01 06 00 00 00 | ...C.D.;%.......
> 0030: B3 B0 00 00 80 00 00 00 : 00 00 50 C5 9D 3D AC 1F | ..........P..=..
> 0040: 00 0F AC 13 00 01 00 12 : 17 49 4F FA 00 00 00 00 | .........IO.....
> 0050: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
[...]
> 0100: 00 00 00 00 00 00 00 00 : 00 00 00 00 00 00 00 00 | ................
> 0110: 00 00 00 00 00 00 63 82 : 53 63 35 01 02 01 04 FF | ......c.Sc5.....
> 0120: FF FF 00 3A 04 00 05 46 : 00 3B 04 00 09 3A 80 33 | ...:...F.;...:.3
> 0130: 04 00 0A 8C 00 36 04 AC : 1F 00 0F 0F 0C 66 6C 61 | .....6.......fla
> 0140: 74 72 61 74 65 2E 64 6B : 00 03 04 50 C5 9D 01 06 | trate.dk...P....
> 0150: 08 C2 EF 86 53 C1 A2 99 : A4 2E 01 08 FF F7 34 C4 | ....S.........4.

Hvis jeg vidste hvordan jeg fik det hexdump over
i ethereal ville jeg sikkert kunne vurdere pakken
lidt bedre.

--
Kasper Dupont

---

On Tue, 15 Feb 2005 23:10:48 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

> 1) Hvorfor broadcastes en OFFER pakke? Det giver i mine øjne ingen
> mening at broadcaste en OFFER pakke, og det kan potentielt give
> problemer.

Jo, det giver god mening: Klienten har endnu ingen IP-adresse, så et
offer kan logisk set ikke sendes som unicast.

> 2) Hvorfor står der ikke nogen IP adresse i OFFER pakken? Muligvis
> er det bare firewallen som er for dårlig til at dekode DHCP, og
> jeg kan altså ikke dekode DHCP i hovedet.

Jeg gætter på, MVJ har klippet det ud. (Det kan selvfølgelig også være
firewall-softwaren, der er defekt). Den adresse han tilbydes står fint
i pakken og er 80.197.157.61 (50 C5 9D 3D).

> 3) Hvorfor ligger afsender IP adressen, server indentifier og
> gateway i tre forskellige netsegmenter?

Source (172.19.0.1) er DHCP relay'et. Selve DHCP-serveren kan sagtens
stå et centralt sted og have en helt anden adresse. Her er server
identifier 172.31.0.15 (AC 1F 00 0F i tredje-sidste linie), og det ser
igen ud til, MVJ har ændret i klartexten (eller at firewall-softwaren
er defekt).

Det er muligt at have DHCP-tingen i et subnet og live trafik i et
andet (men på samme L2-net / broadcast-medie)). Det kunne fx være for
at køre uprovisioneret trafik på private address space (RFC1918).



Mit gæt er, at der er tale om et shared medie af en art, og at MVJs
maskine derfor hører andre maskiners DHCP-svar. (Adresserne ser ud til
at være Dansk Kabel TVs, og det passer med det shared medie).

Hvis maskinen ikke selv har bedt om adressen (og ser et broadcastet
svar), vil den se bort fra svaret, og firewall'en gør altså mere skade
end gavn, fordi den forvirrer blot brugeren.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote:
>
> On Tue, 15 Feb 2005 23:10:48 +0100, Kasper Dupont
> <kasperd@daimi.au.dk> wrote:
>
> > 1) Hvorfor broadcastes en OFFER pakke? Det giver i mine øjne ingen
> > mening at broadcaste en OFFER pakke, og det kan potentielt give
> > problemer.
>
> Jo, det giver god mening: Klienten har endnu ingen IP-adresse, så et
> offer kan logisk set ikke sendes som unicast.

Du glemer at skelne mellem ethernet laget og IP laget.
Det er korrekt at maskinen endnu ingen IP adresse har,
men den har en MAC adresse, og den MAC adresse kender
serveren fra DISCOVER pakken.

Når pakken broadcastes, hvordan kan man så skelne svar
sendt til to maskiner, som kører DHCP samtidig?

>
> > 2) Hvorfor står der ikke nogen IP adresse i OFFER pakken? Muligvis
> > er det bare firewallen som er for dårlig til at dekode DHCP, og
> > jeg kan altså ikke dekode DHCP i hovedet.
>
> Jeg gætter på, MVJ har klippet det ud. (Det kan selvfølgelig også være
> firewall-softwaren, der er defekt). Den adresse han tilbydes står fint
> i pakken og er 80.197.157.61 (50 C5 9D 3D).

OK (Jeg går ud fra du kender DHCP lidt bedre end mig).
Det passer så også fint med router adressen som ligger
på samme segment. Men nu lægger jeg mærke til, at den
opgivne IP på routeren slutter med .0, hvilket jeg
anser for ret usandsynligt.

>
> > 3) Hvorfor ligger afsender IP adressen, server indentifier og
> > gateway i tre forskellige netsegmenter?
>
> Source (172.19.0.1) er DHCP relay'et. Selve DHCP-serveren kan sagtens
> stå et centralt sted og have en helt anden adresse. Her er server
> identifier 172.31.0.15 (AC 1F 00 0F i tredje-sidste linie), og det ser
> igen ud til, MVJ har ændret i klartexten (eller at firewall-softwaren
> er defekt).

Samme fejl som på router adressen. Hvordan den end er
opstået ser det noget mærkeligt ud. En fejl i
firewallens dekodnings kode er naturligvis en oplagt
mulighed. Der må jo være *meget* dekodningskode at
teste, og der er jo alligevel sjældent nogen som
kikker på det output den producerer.

Kan vi nu stole på subnet mask? Hvis ellers 01 04 FF
FF FF 00 angiver subnet mask ser det ud til, at den
faktisk slutter på 0 (hvilket også lyder rimeligt).

>
> Det er muligt at have DHCP-tingen i et subnet og live trafik i et
> andet (men på samme L2-net / broadcast-medie)). Det kunne fx være for
> at køre uprovisioneret trafik på private address space (RFC1918).

Det giver mening.

>
> Mit gæt er, at der er tale om et shared medie af en art, og at MVJs
> maskine derfor hører andre maskiners DHCP-svar.

Det er selvfølgelig en mulighed, hvis de legitime
svar rent faktisk broadcastes.

>
> Hvis maskinen ikke selv har bedt om adressen (og ser et broadcastet
> svar), vil den se bort fra svaret, og firewall'en gør altså mere skade
> end gavn, fordi den forvirrer blot brugeren.

Det må man jo give dig ret i. Endnu et argument for
at den slags firewalls er til besvær. Men på den
anden side mener jeg også det demonstrerer, at
broadcast af DHCP svar ikke er nogen god idé.

Faktisk har jeg svært ved at få øje på nogen
situation hvor broadcast er en god idé, hvis man
allerede ved pakken kun har relevans for en modtager,
og man kender dennes MAC adresse.

--
Kasper Dupont

---

On Wed, 16 Feb 2005 01:37:08 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

> Du glemer at skelne mellem ethernet laget og IP laget. Det er korrekt
> at maskinen endnu ingen IP adresse har, men den har en MAC adresse,
> og den MAC adresse kender serveren fra DISCOVER pakken.

Serveren selv kan ikke selv nå klienten på L2. (Det er et routet net).
DHCP relay'et kunne potentielt gøre det i nogle situationer, men det
afhænger af aktuel state og i et et vist omfang, hvad klienten selv
har bedt om. Der er nok også en høj grad af historie i det, fordi det
reelt er BootP relay.

Det korte af det lange er, at det ikke er 'forkert' at gøre sådan. Vi
er dog IMO på den anden side af, hvad der er rimeligt at diskutere i
d.e.s, men kan fortsætte i d.e.netværk, hvis du synes.

> Men nu lægger jeg mærke til, at den opgivne IP på routeren slutter
> med .0, hvilket jeg anser for ret usandsynligt.

Det passer heller ikke. Der står 50 C5 9D 01 i DHCP-pakken.

> Kan vi nu stole på subnet mask?

Den ser rigtig ud.

-A

---

On 2005-02-15, MVJ <mvj@adslhome.nospam.dk> wrote:
> Efter at have installeret Sygate PF ligger jeg marker til at
> Kernel32.dll prøver at få forbindelse med en UDF (hedder det det?)
> Jeg har ikke lige set alt hvad der stod men der stod noget med BootPC.
> Er det noget jeg skal frygte eller skal jeg bare give den fuld adgang
> til nettet?
>
> 2.
> Hvor meget bedre er SPF Pro iforhold til SPF og kan jeg som meget amatør
> overhovdet benyttet den hvis jeg ikke gider sætte mig ind i al mulig?

Hvad kan du bruge en firewall til, naar du ikke forstaar (og ikke `gider'
forstaa) det noedvendige, relevante teknologi?

   http://sikkerhed-faq.dk/
   http://sikkerhed-faq.dk/indledning#bedste
   http://sikkerhed-faq.dk/hjemme_pc#firewall
   http://sikkerhed-faq.dk/hjemme_pc#fwbehov
   http://sikkerhed-faq.dk/hjemme_net#fwbesked

Men det gider du sikker heller ikke laese.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Michael Knudsen wrote:

[snip spørgsmål om bootp]

> Hvad kan du bruge en firewall til, naar du ikke forstaar (og ikke `gider'
> forstaa) det noedvendige, relevante teknologi?
>
> http://sikkerhed-faq.dk/
> http://sikkerhed-faq.dk/indledning#bedste
> http://sikkerhed-faq.dk/hjemme_pc#firewall
> http://sikkerhed-faq.dk/hjemme_pc#fwbehov
> http://sikkerhed-faq.dk/hjemme_net#fwbesked
>
> Men det gider du sikker heller ikke laese.

Ok - OP gider ikke at sætte sig ind i 'alt muligt', men hvor er det lige, at
bootp bliver omtalt i de links du nævner?

--
Med venlig hilsen
Stig Johansen

---

On 2005-02-15, Stig Johansen <> wrote:
>> Hvad kan du bruge en firewall til, naar du ikke forstaar (og ikke `gider'
>> forstaa) det noedvendige, relevante teknologi?
>>
>> http://sikkerhed-faq.dk/
>> http://sikkerhed-faq.dk/indledning#bedste
>> http://sikkerhed-faq.dk/hjemme_pc#firewall
>> http://sikkerhed-faq.dk/hjemme_pc#fwbehov
>> http://sikkerhed-faq.dk/hjemme_net#fwbesked
>>
>> Men det gider du sikker heller ikke laese.
>
> Ok - OP gider ikke at sætte sig ind i 'alt muligt', men hvor er det lige, at
> bootp bliver omtalt i de links du nævner?

   ``Jeg har ikke lige set alt hvad der stod men der stod noget
   med BootPC. Er det noget jeg skal frygte eller skal jeg bare
   give den fuld adgang til nettet?''

http://sikkerhed-faq.dk/hjemme_net#fwbesked -- ``Hvad betyder logbeskederne
fra min firewall?''

Bemaerk, at mit maal var ikke at svare paa hans spoergsmaal med at faa
ham til at indse, at han ikke har nogen glaede af en firewall, naar han
ikke forstaar at bruge den.

Gruppens arkiv er i forvejen fyldt med diskussioner, om hvorvidt dette
er den rette holdning, og det er formaalsloest at bringe den op igen.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Michael Knudsen wrote:

[snip]
> Bemaerk, at mit maal var ikke at svare paa hans spoergsmaal med at faa
> ham til at indse, at han ikke har nogen glaede af en firewall, naar han
> ikke forstaar at bruge den.

Jeps, og bemærk, at baggrunden for mit indlæg var, at OP er nybegynder, og
ved ikke hvad bootp er. Det kunne være et lidt pænere svar, at vejlede
ham(hende?) istedet for ukritisk at anbefale fjernelse af diverse FW
produkter.
OP spørger jo: 'Er det noget jeg skal frygte...'
Hvad med at svare: 'Nej, det er ikke noget du skal frygte. Bootp er en
forudsætning for at DHCP virker osv..'?

> Gruppens arkiv er i forvejen fyldt med diskussioner, om hvorvidt dette
> er den rette holdning, og det er formaalsloest at bringe den op igen.

Enig, der er /ikke/ en endegyldig 'rette holdning' til enhver
problemstilling.

--
Med venlig hilsen
Stig Johansen

---

15 Feb 2005 17:35:58 GMT, skrev Michael Knudsen <e@mongers.org> :

>
>Bemaerk, at mit maal var ikke at svare paa hans spoergsmaal med at faa
>ham til at indse, at han ikke har nogen glaede af en firewall, naar han
>ikke forstaar at bruge den.
>
>Mvh. Michael.

Så skal man måske også vide hvordan ABS-en virker for at kunne få
glæde af den når man kører bil

Hilsen Lars

---

"L.E.P." wrote:
>
> Så skal man måske også vide hvordan ABS-en virker for at kunne få
> glæde af den når man kører bil

Ja. Jeg har hørt om personer der blev så forskrækket da
ABS bremsen blev aktiveret, at de straks fjernede foden
fra bremsepedalen.

--
Kasper Dupont

---

L.E.P. wrote:
> Så skal man måske også vide hvordan ABS-en virker for at kunne få
> glæde af den når man kører bil

Absolut! Den kan sagtens forskrække folk til at lade være med at bremse.

--
Anders Lund - anders@andersonline.dk
Take back the web - www.mozilla.org/firefox
I have plenty of Gmail invites - just ask!

---

L.E.P. <nyheder@sletplakaten.dk> wrote:

>>Bemaerk, at mit maal var ikke at svare paa hans spoergsmaal med at faa
>>ham til at indse, at han ikke har nogen glaede af en firewall, naar han
>>ikke forstaar at bruge den.
>
> S? skal man m?ske ogs? vide hvordan ABS-en virker for at kunne f?
> gl?de af den n?r man k?rer bil

Din analogi er ikke helt god. Problemet er at den tid det tager at
laere hvordan en ABS-bremse virker til et niveau hvor du faar glade
af den er ret lille. Du skal stort set vide at den er der, og at den
sikrer at bilen ikke skrider i en opbremsning. Og saa lige huske det
naar man bremser og den kicker ind.

Det gaar ikke paa samme maade med en firewall. Du skal kende ret meget
til netvaerk for at kunne bestemme hvad der smutte igennem den og hvad
der skal afvises. Det er ikke tilfaeldigt at det er saadan. En firewall
er reelt set ikke et specielt godt redskab til at sikre en. Men det kan
vaere bedre end ingenting. Det egentlige problem er naar PR-afdelingen
hos firewallproducenterne forsoeger at faa hjernevasket folk til at
tro firewalls er analogt til ABS-bremser.


--
jlouis

---

L.E.P. wrote:
> Så skal man måske også vide hvordan ABS-en virker for at kunne få
> glæde af den når man kører bil

Du skal i hvert fald vide hvordan ABS virker hvis du vil have et
koerekort nu om dage.

Jeg skulle ogsaa svare paa spoergsmaal om hvilken tilstand motoren
skulle holdes i, hvor langt frem lygterne skal lyse og hvad der
forsagede et givent slitagemoenster paa et daek.

Det er urimeligt at man skal vide den slags irrelevante detaljer bare
fordi man vil koere i bil. Kan man ikke lave en bil til folk der ikke
gider saette sig ind i noget?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

On Thu, 17 Feb 2005 16:17:05 +0100, Alex Holst <a@mongers.org> wrote:

>Kan man ikke lave en bil til folk der ikke
>gider saette sig ind i noget?

De findes da. De er rent faktisk ret lette at komme i gang med at
bruge, og kræver ikke nogen store investeringer.

De hedder taxier og plejer at være i en fin kvalitet.

Der findes også en gul udgave (er du her i landet pt.?) som er endnu
billigere.

--
- Peter Brodersen

---

Peter Brodersen wrote:
> De hedder taxier og plejer at være i en fin kvalitet.
>
> Der findes også en gul udgave (er du her i landet pt.?) som er endnu
> billigere.

Er der ikke noget med de skal sætte sig ind meget mere end normalt?

---

Christian E. Lysel wrote:

>> De hedder taxier og plejer at være i en fin kvalitet.
>>
>> Der findes også en gul udgave (er du her i landet pt.?) som er endnu
>> billigere.
>
> Er der ikke noget med de skal sætte sig ind meget mere end normalt?

Sidste gang jeg kørte i taxa skulle jeg ikke svare på nogle spørgsmål
(ud over "hvor skal vi hen?"). Jeg ved ikke om du har haft andre
oplevelser.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

We don't go to Ravenholm

---

Niels Callesøe wrote:

> Sidste gang jeg kørte i taxa skulle jeg ikke svare på nogle spørgsmål
> (ud over "hvor skal vi hen?"). Jeg ved ikke om du har haft andre
> oplevelser.

.... men du skulle dog sætte dig ind i den
Så det er vel noget, man skal sætte sig ind i.

--
Benny Nissen
http://bennynissen.dk

---

Niels Callesøe wrote:
>>Er der ikke noget med de skal sætte sig ind meget mere end normalt?
> Sidste gang jeg kørte i taxa skulle jeg ikke svare på nogle spørgsmål
> (ud over "hvor skal vi hen?"). Jeg ved ikke om du har haft andre
> oplevelser.

Sidste jeg kørte taxa, var der en fører, der have sat sig så meget ind
i reglerne at han havde taget en køre prøve og taxa prøve, og havde
kørekort.

I de store gule, har han/hun et stort kørekort.

---

Den 17-02-05 16.17 skrev Alex Holst følgende:

> Kan man ikke lave en bil til folk der ikke
> gider saette sig ind i noget?

En bus?
(en bil med ståplads)

--
Mvh. Kim Ludvigsen
Nemmere, hurtigere og mere sikkert internet med Firefox
http://kimludvigsen.dk

---

Stig Johansen <stig_johansen_it_at_=(@)hotmail.com> wrote:

> Ok - OP gider ikke at s?tte sig ind i 'alt muligt', men hvor er det lige, at
> bootp bliver omtalt i de links du n?vner?

Ingen steder. Det Michael henviser til er at hvis du ikke forstaar en
fejlbesked fra din firewall, hvordan skal du saa kunne reagere naar
der pludselig er trafik, som du ikke oensker, men er ude af stand
til at formulere regler for?

En firewall er jo bare et stykke software der implementerer en
specifikation for filtrering af trafik. Hvis specifikationen er gal,
saa hjaelper det ikke meget.

I det konkrete tilfaelde kunne man jo starte med at laese om bootp,
og samtidig lige tage dhcp med. Som et udgangspunkt boer en computer
stole paa sin DHCP-server. Ellers saa er der ikke nogen grund til at
koere en dhcp-server i netvaerket, velsagtens. Saa et svar er alligevel
afhaengigt af den givne situation for brugeren.

At raade nogen til at lade kernel32.dll have forbindelse til internettet
er lidt problematisk, da vi ikke kender sikkerhedspolitikken eller
grafen for netvaerket (jeg hader at benytte ordet topologi -- Det er
totalt misbrugt i den her sammenhaeng).

--
jlouis

---

Michael Knudsen wrote:
> On 2005-02-15, MVJ <mvj@adslhome.nospam.dk> wrote:
>
>>Efter at have installeret Sygate PF ligger jeg marker til at
>>Kernel32.dll prøver at få forbindelse med en UDF (hedder det det?)
>>Jeg har ikke lige set alt hvad der stod men der stod noget med BootPC.
>>Er det noget jeg skal frygte eller skal jeg bare give den fuld adgang
>>til nettet?
>>
>>2.
>>Hvor meget bedre er SPF Pro iforhold til SPF og kan jeg som meget amatør
>>overhovdet benyttet den hvis jeg ikke gider sætte mig ind i al mulig?
>
>
> Hvad kan du bruge en firewall til, naar du ikke forstaar (og ikke `gider'
> forstaa) det noedvendige, relevante teknologi?
>
>    http://sikkerhed-faq.dk/
>    http://sikkerhed-faq.dk/indledning#bedste
>    http://sikkerhed-faq.dk/hjemme_pc#firewall
>    http://sikkerhed-faq.dk/hjemme_pc#fwbehov
>    http://sikkerhed-faq.dk/hjemme_net#fwbesked
>
> Men det gider du sikker heller ikke laese.
>
> Mvh. Michael.
Jeg synes der er mange begreber at sætte sig ind i, men jeg mener at jeg
ved hjælp af en firewall kan kontroller hvilke programmer der skal have
adgang til nettet og derfor bør jeg og kunne sikre mig mod trojanere.
Men så vidt jeg kan forstå på hva du har sendt mig så bør jeg ikke have
en firewall? Jeg undre mig bare over at kernel32 søger om adgang da jeg
aldrig tilligere ved ZoneAlarm har oplevet dette.

MVH
Vinther

---

Den Tue, 15 Feb 2005 18:16:10 +0100 skrev MVJ:
>
> Jeg synes der er mange begreber at sætte sig ind i, men jeg mener at jeg
> ved hjælp af en firewall kan kontroller hvilke programmer der skal have
> adgang til nettet og derfor bør jeg og kunne sikre mig mod trojanere.
> Men så vidt jeg kan forstå på hva du har sendt mig så bør jeg ikke have
> en firewall? Jeg undre mig bare over at kernel32 søger om adgang da jeg
> aldrig tilligere ved ZoneAlarm har oplevet dette.

Det må jeg sige, det var noget af en overraskelse - et punkt hvor
ZA er bedre end Sygate. Det er sg* det første positive jeg har
hørt om ZA.

Spørgsmål: Hvorfor kører et program på din maskine, hvis det ikke skal
have lov til at kommunikere? Normalt er kommunikationen da en del af
programmets virkemåde. Var det ikke nemmere bare at lade helt være
med at installere programmet så. Og hvis endelig du vælger at
installere en trojan, hvad forhindrer det så i at afinstallere din
firewall, eller give sig selv adgang til nettet? Hvad du kan kan
et program også - alt hvad du clicker på bliver udført af et program,
den eneste bit folk får lov at ændre direkte nutildags er den der
hedder "power".

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 2005-02-15, MVJ <mvj@adslhome.nospam.dk> wrote:
> Jeg synes der er mange begreber at sætte sig ind i, men jeg mener at jeg
> ved hjælp af en firewall kan kontroller hvilke programmer der skal have
> adgang til nettet og derfor bør jeg og kunne sikre mig mod trojanere.

Kent har ret i, hvad han skriver, men jeg vil lige tilfoeje, at de mange
begreber er _noedvendige_ for at bruge en firewall korrekt. Du kan ikke
forsvarligt flyve en F-16 uden viden om alt muligt, jeg ikke har forstand
paa, og man kan ikke administrere en firewall uden viden om alt muligt,
jeg ved en smule om.

> Men så vidt jeg kan forstå på hva du har sendt mig så bør jeg ikke have
> en firewall? Jeg undre mig bare over at kernel32 søger om adgang da jeg
> aldrig tilligere ved ZoneAlarm har oplevet dette.

Vi har i gruppen set mange eksempler paa folk, der har installeret en
firewall for at beskytte sig. Derefter har de observeret, at mange ting
ikke har fungeret som normalt, hvorefter de har slaaet
firewallfunktionaliteten fra. De har stadig firewallen installeret og
tror derfor, at den stadig er aktiveret (at de stadig er beskyttet).

Desuden er det i yderst faa tilfaelde den rigtige loesning med en firewall
for alm. netbrugere. At installere sikkerhedspatches til Windows og ellers
holde deres software opdateret er langt vigtigere. Det vigtigste er at
taenke sig om. Brug en times tid paa at laese afsnittet om brugeropfoersel
i gruppens OSS, hvis du ikke allerede har gjort det:

   http://sikkerhed-faq.dk/brugere

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Ok. Det var ret. Jeg er selv meget flittig og installeret altid den
nyeste updates til Windows. Desuden bruger flittigt Spybot og kører
selvfølgelig FF frem for IE. Men jeg har bare altid haft den opfattelse
at en firewall bør man have den dækker vel lidt? Ellers synes jeg at tv
udsendelse er meget villedende når de siger: "Jamen, så installere man
bare en firewall og så har man dækket sig ind for hackere." Jeg er godt
klar over at det ikke vil tage den store hacker at bryde ind hos mig men
jeg tror så ikke rigtig at hackere gider det eller er det en meget
forkert opfattelse? Derfor har jeg en firewall bare for at dæmme op for
lidt da jeg forventer at Sygate har lavet et startregelsæt i programmet
som kan dæmme op for lidt uønsket traffik eller er det også forkert?

MVH
Vinther

---

Den 15-02-05 20.03 skrev MVJ følgende:

> Derfor har jeg en firewall bare for at dæmme op for
> lidt da jeg forventer at Sygate har lavet et startregelsæt i programmet
> som kan dæmme op for lidt uønsket traffik eller er det også forkert?

Problemet med en personlig firewall som Sygate er, at hvis du giver
tilladelse til et forkert program, er du ikke beskyttet. Og hvis du så
samtidig opfører dig mere ufornuftigt, fordi du tror, du er beskyttet,
er du reelt i større fare end uden firewall.

Det, at du spørger i stedet for bare at tillade trafikken, er dog et
positivt tegn, selvom reaktionerne herinde ikke er så forfærdelig positive.

Et andet problem med en firewall er, at der risikerer at være
sikkerhedshuller i den, og at de slemme programmer kan slå den fra. Det
er dog efter min mening i stor grad en akademisk diskussion.

Opfører man sig fornuftigt og opsætter man computeren fornuftigt, har
man reelt ikke brug for en firewall. Men hvis andre har adgang til
computeren, for eksempel børn eller mindre computerkyndige personer, kan
det være en god ide med en firewall. Det kræver dog, at den opsættes og
styres af en kompetent person, og at de andre ikke kan ændre
indstillingerne i programmet.

--
Mvh. Kim Ludvigsen
Nemmere, hurtigere og mere sikkert internet med Firefox
http://kimludvigsen.dk

---

"Kim Ludvigsen" skrev i en meddelelse

> opsætter man computeren fornuftigt

Et par gratis hjælpere, der måske er værd at kigge nærmere på:

Harden-It: http://majorgeeks.com/download.php?det=4458
Secure-It: http://majorgeeks.com/download.php?det=4475

Mvh John

---

MVJ skrev:

Emnelinien er ændret, da jeg skriver om noget der ikke har noget med
det oprindelige emne at gøre.

> Jeg er godt klar over at det ikke vil tage den store hacker at bryde
> ind hos mig men jeg tror så ikke rigtig at hackere gider det eller er
> det en meget forkert opfattelse?

Jeg mener det er en forkert opfattelse, da jeg tror at de fleste ind-
brud i maskiner sker på grund af orme-trafik, på grund af at folk selv
aktiverer skadelige programmer og på grund af andre automatiske pro-
grammer der afsøger en håndfuld mere eller mindre tilfældigt udvalgte
IP-adresser efter nogle specifikke sårbarheder.

Personerne der bryder ind er sjældent ude efter personen eller per-
sonens oplysninger når de angriber, de er ude efter ressourcer. De gør
det til dels for at kunne bruge ressourcerne til at finde yderligere
sårbare maskiner, til at have et sted at opbevare data af den ene eller
anden art og til at "gemme" sig bagved. I nogle tilfælde anvendes
maskinerne yderligere til at sende spam med og til at angribe bestemte
mål på internettet.

Jeg synes at kunne huske at have læst en undersøgelse på sans.org om
det, eller også var det en artikel på et andet websted om sikkerhed,
men kan naturligvis ikke finde den nu (undersøgelsen/ artiklen handlede
om hvem som gør det og hvorfor de gør det. Baggrunden var en række
interviews med folk som var blevet taget i at "hacke").

Vi har tærsket langhalm på hvad man kan gøre ved det i gruppen mange
gange før, og er ikke nået til enighed om det, de fleste ting man
realistisk set (som privatbruger) kan gøre er beskrevet i gruppens OSS:

http://sikkerhed-faq.dk/start

Man kan finde andet dansksproget vejledning på Microsofts danske web-
sted:

http://www.microsoft.dk/sikkerhed

Der er lavet en specifik side som er henvendt til normale hjemmebru-
gere:

http://www.microsoft.com/danmark/hjemmebruger/sikkerhed/default.asp?subsite=athome

Indrømmet, jeg er uenige i nogle af rådene på ovennævnte side, speci-
fikt omkring anvendelsen af personlige firewalls i andet end special-
tilfælde (f.eks. hvis man har behov for at retablere en maskine fra
et retableringsprogram og ikke har mulighed for at kunne hente op-
dateringer førend retableringen er helt afsluttet).

> da jeg forventer at Sygate har lavet et startregelsæt i programmet
> som kan dæmme op for lidt uønsket traffik eller er det også forkert?

Jeg ved det desværre ikke, da jeg ikke kender Sygate Personal Firewall,
det står forhåbentlig i dokumentationen til programmet.
--
History books in Ireland and Scotland are littered with the 'wrong'
spelling, and there is no law that tells you how to spell whisky. The
Welsh even spell it 'chwisgi', which makes sense after two or three
large ones. - from http://uk.glenfiddich.com/world/faqs/

---

> Jeg mener det er en forkert opfattelse, da jeg tror at de fleste ind-
> brud i maskiner sker på grund af orme-trafik, på grund af at folk selv
> aktiverer skadelige programmer og på grund af andre automatiske pro-
> grammer der afsøger en håndfuld mere eller mindre tilfældigt udvalgte
> IP-adresser efter nogle specifikke sårbarheder.

Netop orme traffik forventer at mit antivirus (AVG) skal dæmme op for
hovedsaglig, så man kan vel komme til den konklusion at en firewall er
ikke specielt nødvendigt hvis man sørger for at have en up-to-date
antivirus som Windows og andre programmer ikke sandt?

MVH
Vinther

---

On 2005-02-16, MVJ <mvj@adslhome.nospam.dk> wrote:
> Netop orme traffik forventer at mit antivirus (AVG) skal dæmme op for
> hovedsaglig, så man kan vel komme til den konklusion at en firewall er
> ikke specielt nødvendigt hvis man sørger for at have en up-to-date
> antivirus som Windows og andre programmer ikke sandt?

Hvis du patcher Windows og dine andre programmer, kan ormene ikke ramme
dig, med mindre du selv starter den. Laes afsnittet om brugeropfoersel i
OSS'en igen.

--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

MVJ skrev:

> Netop orme traffik forventer at mit antivirus (AVG) skal dæmme op
> for hovedsaglig

Jeg har ikke kunnet finde noget information om det på grisoft.com, så
jeg regner kun med at AVG undersøger filer skrevet til disken (hvis
AVG undersøgte aktivt indhold i hukommelsen, tror jeg at Grisofts mar-
kedsføringsafdeling nok skulle sørge for at få det beskrevet i deres
tekniske FAQ).

Men, jeg kender ikke produktet og der er derfor risiko for at jeg tager
fejl.

> så man kan vel komme til den konklusion at en firewall er ikke
> specielt nødvendigt hvis man sørger for at have en up-to-date
> antivirus som Windows og andre programmer ikke sandt?

Det virker i alt fald for mig også selvom jeg ikke har antiviruspro-
grammer installeret på mine private maskiner.

---

Peder Vendelbo Mikkelsen wrote:

> Jeg mener det er en forkert opfattelse, da jeg tror at de fleste ind-
> brud i maskiner sker på grund af orme-trafik ...[snip]

Tror du så også nedenstående er en orm ?

68.73.228.15 - - [17/Feb/2005:00:14:58 +0100] "GET
/scripts/root.exe?/c+dir HTTP/1.0" 404 1043 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:14:59 +0100] "GET
/MSADC/root.exe?/c+dir HTTP/1.0" 404 1043 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:00 +0100] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1043 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:00 +0100] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1043 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:00 +0100] "GET
/scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1043 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:01 +0100] "GET
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 1043 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:01 +0100] "GET
/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 1043 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:01 +0100] "GET
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 1043 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:02 +0100] "GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1043 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:02 +0100] "GET
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1043 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:03 +0100] "GET
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1043 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:03 +0100] "GET
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1043 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:03 +0100] "GET
/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 976 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:04 +0100] "GET
/scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 976 "-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:04 +0100] "GET
/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1043
"-" "-"
68.73.228.15 - - [17/Feb/2005:00:15:04 +0100] "GET
/scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404

--
Benny

---

Benny Nissen wrote:
> Tror du så også nedenstående er en orm ?

[snip noget log fra en webserver]

Mit uprofessionelle bud: ja.

--
Anders Lund - anders@andersonline.dk
Take back the web - www.mozilla.org/firefox
I have plenty of Gmail invites - just ask!

---

On Thu, 17 Feb 2005 03:26:38 +0100, Benny Nissen <news@bennynissen.dk>
wrote:

>Tror du så også nedenstående er en orm ?

Alt tyder på at det er en Code Red-worm. Med 5-10 requests i sekundet
er der i hvert fald tale om en automatiseret proces.

... og ved at google lidt efter ordnene finder man præcis de samme
requests, som du har dér:
http://www.kriminalitet.dk/cr.html

Så for at svare på dit spørgsmål: Ikke alene tror, alt tyder på det.

--
- Peter Brodersen

---

Peter Brodersen wrote:
>
> On Thu, 17 Feb 2005 03:26:38 +0100, Benny Nissen <news@bennynissen.dk>
> wrote:
>
> >Tror du så også nedenstående er en orm ?
>
> Alt tyder på at det er en Code Red-worm.

Mener du ikke Nimda? Code Red ser mig bekendt anderledes ud.

--
Kasper Dupont

---

On Thu, 17 Feb 2005 14:24:40 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

>> Alt tyder på at det er en Code Red-worm.
>
>Mener du ikke Nimda? Code Red ser mig bekendt anderledes ud.

Bumbum, jo - det var vist netop Nimda, der prøvede en lang række
requests, inklusive tidligere ormes bagdøre.

--
- Peter Brodersen

---

Benny Nissen skrev:

> Peder Vendelbo Mikkelsen wrote:
>> Jeg mener det er en forkert opfattelse, da jeg tror at de fleste
>> indbrud i maskiner sker på grund af orme-trafik ...[snip]

> Tror du så også nedenstående er en orm ?

Det ligner i alt fald en orm der banker på.

Hvis det er et manuelt angrebsforsøg, uden en eller anden form for
automatik, er det ret imponerende at kunne skrive så hurtigt i adres-
selinien.

---

Peder Vendelbo Mikkelsen wrote:

> Hvis det er et manuelt angrebsforsøg, uden en eller anden form for
> automatik, er det ret imponerende at kunne skrive så hurtigt i adres-
> selinien.

Jeg er da godt klar over, at det er et program der sender alle disse
requests, men er brugeren af ipadressen bevidst om, at de bliver sendt
eller ej ?
Altså har han selv startet programmet (script_kiddies_toolbox.exe) med
vilje og derfor bevidst forsøgt at skaffe sig adgang, eller er han
uvidende om forsøget ? Altså er der en orm på hans maskine han ikke
kender til ?

Det synes jeg ligesom gør en forskel

--
Benny Nissen
http://bennynissen.dk

---

Den Thu, 17 Feb 2005 14:06:33 +0100 skrev Benny Nissen:
> Peder Vendelbo Mikkelsen wrote:
>
>> Hvis det er et manuelt angrebsforsøg, uden en eller anden form for
>> automatik, er det ret imponerende at kunne skrive så hurtigt i adres-
>> selinien.
>
> Jeg er da godt klar over, at det er et program der sender alle disse
> requests, men er brugeren af ipadressen bevidst om, at de bliver sendt
> eller ej ?
> Altså har han selv startet programmet (script_kiddies_toolbox.exe) med
> vilje og derfor bevidst forsøgt at skaffe sig adgang, eller er han
> uvidende om forsøget ? Altså er der en orm på hans maskine han ikke
> kender til ?
>
> Det synes jeg ligesom gør en forskel

For hvem?

Modtageren? Som modtager kan man da være ligeglad med om det er
scriptkiddie'n selv der har startet den på afsender-PC'en, eller han har
sendt den til en million tilfældige modtagere i forventning om at
halvdelen af dem starter programmet for ham.

Mvh
Kent
--
The frozen north will hatch a flightless bird,
who will spread his wings and dominate the earth
And cause an empire by the sea to fall
To the astonishment, and delight of all.

---

Kent Friis wrote:

>>Det synes jeg ligesom gør en forskel
>
>
> For hvem?

For ham. Er han uskyldig eller skyldig i ulovlig forsøg på indtrængen i
fremmede pc systemer ?

> Modtageren? Som modtager kan man da være ligeglad med om det er
> scriptkiddie'n selv der har startet den på afsender-PC'en,

Ja det kan du da have ret i.

Forresten. Er der nogen der har forsøge at sætte en Apache server op til
at give svar på disse forsøg ?
Altså når der forsøges adgang til '/c/winnt/system32/cmd.exe?/c+dir' så
giv han en dirliste. Lad så alle filerne i listen indeholde junk (virus,
porno eller hvad ved jeg). Eller teksten "Bigbrother is watching you !" :)


--
Benny Nissen
http://bennynissen.dk

---

Den Thu, 17 Feb 2005 14:20:53 +0100 skrev Benny Nissen:
> Kent Friis wrote:
>
>>>Det synes jeg ligesom gør en forskel
>>
>>
>> For hvem?
>
> For ham. Er han uskyldig eller skyldig i ulovlig forsøg på indtrængen i
> fremmede pc systemer ?

Den der står bag er vel skyldig uanset om det er ejeren af computeren
eller ej, og uanset om han selv har startet programmet eller har sendt
en mail og lokket modtageren til at starte programmet.

>> Modtageren? Som modtager kan man da være ligeglad med om det er
>> scriptkiddie'n selv der har startet den på afsender-PC'en,
>
> Ja det kan du da have ret i.
>
> Forresten. Er der nogen der har forsøge at sætte en Apache server op til
> at give svar på disse forsøg ?

Jep. Og connectede tilbage igen til angriberen og kørte cmd.exe (da
angriberen er inficeret, må han nødvendigvis have samme hul) med
noget i retning af "start http://www.example.invalid/codered.html",
så der poppede en IE op på angriberens skærm med en forklaring itl
hvad Code Red (eller hvilken af dem det nu var) er, og hvordan man
slipper af med den.

Mvh
Kent
--
IE is the only thing capable of making Netscape look good
- D. Spider in comp.os.linux.advocacy

---

On 17 Feb 2005 13:34:11 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Jep. Og connectede tilbage igen til angriberen og kørte cmd.exe (da
>angriberen er inficeret, må han nødvendigvis have samme hul) med
>noget i retning af "start http://www.example.invalid/codered.html",
>så der poppede en IE op på angriberens skærm med en forklaring itl
>hvad Code Red (eller hvilken af dem det nu var) er, og hvordan man
>slipper af med den.

Godt at du sådan går og opdrager brugere til at følge diverse
instruktioner i uventede popup-vinduer :)

--
- Peter Brodersen

---

Den Thu, 17 Feb 2005 16:34:18 +0100 skrev Peter Brodersen:
> On 17 Feb 2005 13:34:11 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>Jep. Og connectede tilbage igen til angriberen og kørte cmd.exe (da
>>angriberen er inficeret, må han nødvendigvis have samme hul) med
>>noget i retning af "start http://www.example.invalid/codered.html",
>>så der poppede en IE op på angriberens skærm med en forklaring itl
>>hvad Code Red (eller hvilken af dem det nu var) er, og hvordan man
>>slipper af med den.
>
> Godt at du sådan går og opdrager brugere til at følge diverse
> instruktioner i uventede popup-vinduer :)

Mig? Jeg videregiver blot beskrivelsen af hvad vedkommende havde
gjort.

Personligt ville jeg foretrække samme løsning som Windows-folk plejer
at anbefale når man har et mindre problem med computeren - formater
og geninstaller.

Mvh
Kent
--
NT er brugervenligt - det er bare brugerne der ikke kan finde ud af det
- en NT-administrator

---

Benny Nissen wrote:

Nu har du fået at vide, at der er tale om Nimbda, men:

> Jeg er da godt klar over, at det er et program der sender alle disse
> requests, men er brugeren af ipadressen bevidst om, at de bliver sendt
> eller ej ?

Der er ikke tale om en 'bruger', men en inficeret IIS. Det kan sagtens være
en intranet server, eller en PWS, der udfører 'angrebsforsøgene'. Det
eneste du kan se er IP adressen på WAN siden.

> Altså har han selv startet programmet (script_kiddies_toolbox.exe) med
> vilje og derfor bevidst forsøgt at skaffe sig adgang, eller er han
> uvidende om forsøget ?

Nu er Code Red og Nibmda /ret/ gamle. men (på det tidspunkt) alene at have
eks. en bærbar koblet på nettet kunne medføre inficering. Bliver(blev)
denne bærbar senere tilsluttet en virksomheds LAN, bliver(blev) IIS'ere +
PWS'ere inficeret

> Altså er der en orm på hans maskine han ikke
> kender til ?

Højst sandsynligt - ja det er en orm - nej han/de kender ikke til det.

--
Med venlig hilsen
Stig Johansen

---

Benny Nissen skrev:

> Peder Vendelbo Mikkelsen wrote:
>> Hvis det er et manuelt angrebsforsøg, uden en eller anden form
>> for automatik, er det ret imponerende at kunne skrive så hurtigt
>> i adresselinien.

> Jeg er da godt klar over, at det er et program der sender alle
> disse requests, men er brugeren af ipadressen bevidst om, at de
> bliver sendt eller ej ?

Det er svært at spå om med mindre man var til stede foran maskinen på
det pågældende tidspunkt.

Sidste gang, det er godt nok ved at være lang tid siden (det var vist-
nok da Blaster var moderne), jeg testede hvordan maskiner opfører sig
når de inficerede var det tydeligt at der skete etellerandet som gjorde
at maskinen var på hårdt arbejde.

På den anden side set, så arbejdede maskinen ikke hårdere end hvis den
lige var genetableret til fabriksindstillinger med alverdens udvidel-
sesprogrammer aktiveret fra fabrikantens side af.

Jeg kan ikke huske navnene på dem, men har hørt om virus som behersker
sig i forsøget på at sprede sig netop for at undgå at blive opdaget.

Tom Liston fra isc.sans.org havde en interessant føljeton sidste år,
den handlede om hvad der skete med en nyinstalleret maskine (med
standard opsætning og ingen opdateringer) som havde været i lidt for
intim kontakt med en enkelt ondsindet webside:

Follow the Bouncing Malware:

"In the beginning, there was Joe Average. And Joe didst buy himself a
computer and conneceth it to the Internet. And with his computer, Joe
did surfeth, and readeth email, and playeth many games. And Joe looked
upon the Internet, and it was Good.

But while Joe did possess knowledge of the Internet Good, he did not
understand that Evil too lived on the Internet. And he patcheth not.

Then one day, Joe didst unknowingly go to a Bad Place, and much Evil
befell his shiny new computer."

Part I - http://isc.sans.org/diary.php?date=2004-07-23
Part II - http://isc.sans.org/diary.php?date=2004-08-23
Part III - http://isc.sans.org/diary.php?date=2004-11-04
Part IV - http://isc.sans.org/diary.php?date=2004-11-24

> Altså har han selv startet programmet (script_kiddies_toolbox.exe)
> med vilje og derfor bevidst forsøgt at skaffe sig adgang, eller er
> han uvidende om forsøget ? Altså er der en orm på hans maskine han
> ikke kender til ?

Det er svært at se forskel når der anvendes automatiske værktøjer, især
hvis ens udkigspunkt er en enkelt maskine/ IP-adresse.

Internetudbyderens netværksafdeling er den eneste som kan sige noget
konklusivt om angrebet er målrettet efter den enkelte pc/ IP-adresse,
eller om det er et mere generelt og tilfældigt angreb.
--
"When in fear, and when in doubt;
Run in circles, scream and shout!"
- Anonymous

---

"Michael Knudsen" <e@mongers.org> wrote in message
news:slrnd14828.5j9.e@miracle.mongers.org...
> On 2005-02-15, MVJ <mvj@adslhome.nospam.dk> wrote:
>> Efter at have installeret Sygate PF ligger jeg marker til at
>> Kernel32.dll prøver at få forbindelse med en UDF (hedder det det?)
>> Jeg har ikke lige set alt hvad der stod men der stod noget med BootPC.
>> Er det noget jeg skal frygte eller skal jeg bare give den fuld adgang
>> til nettet?
>>
>> 2.
>> Hvor meget bedre er SPF Pro iforhold til SPF og kan jeg som meget amatør
>> overhovdet benyttet den hvis jeg ikke gider sætte mig ind i al mulig?
>
> Hvad kan du bruge en firewall til, naar du ikke forstaar (og ikke `gider'
> forstaa) det noedvendige, relevante teknologi?
>
> http://sikkerhed-faq.dk/
> http://sikkerhed-faq.dk/indledning#bedste
> http://sikkerhed-faq.dk/hjemme_pc#firewall
> http://sikkerhed-faq.dk/hjemme_pc#fwbehov
> http://sikkerhed-faq.dk/hjemme_net#fwbesked
>
> Men det gider du sikker heller ikke laese.
>
> Mvh. Michael.
> --
> Rumour is information distilled so finely that it can filter through
> anything.
> -- (Terry Pratchett, Feet of Clay)

Hold da op et svar, tænk hvis lægen svarede på samme måde og det var dig der
lå på hospitalsengen og havde ondt uden at forstå hvorfor?

Mvh Kim

---

KT wrote:
> Hold da op et svar, tænk hvis lægen svarede på samme måde og det var dig der
> lå på hospitalsengen og havde ondt uden at forstå hvorfor?

Så ville man nok bede lægen eller en sygeplejeske om at forklare hvad
der var i vejen... det er jo noget af det de får løn for.

--
Anders Lund - anders@andersonline.dk
Take back the web - www.mozilla.org/firefox
I have plenty of Gmail invites - just ask!