/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hvis man tror man kender en sikkerhedsrisi~
Fra : Bjarne Østergård


Dato : 15-11-02 19:35

Hvis man tror man kender en sikkerhedsrisiko.
Hvor bør man så offentliggøre dette, så man ikke risikerer at blive
retsforfulgt for at fortælle det.

Det drejer sig om at man fra en alm. hjemmeside kan eksekvere et hvilket som
helst program på brugerens maskine.
samt oprette tekstfil og skrive i den, også på brugerens maskine.

Er testet på Win2000 pro, XP, IE 6 (latest patches).

En harmløs test af funktionen kan afprøves her.
http://www.ydicon.dk/startprog.htm

Denne side opretter blot en tekstfil på brugerens drev C: ved navn
bjarne.txt
og åbner Dos vinduet samt starter brugerens nodpad

Så prøv den kun på eget ansvar.

Det er selvfølgelig forbudt at kopiere koden og anvende den i ond hensigt.


Mvh Bjarne Østergård
www.gigasoft.dk




 
 
Kim Schulz (15-11-2002)
Kommentar
Fra : Kim Schulz


Dato : 15-11-02 19:42

On Fri, 15 Nov 2002 19:34:34 +0100
"Bjarne Østergård" <boe@ydicon.dk> wrote:
> Hvis man tror man kender en sikkerhedsrisiko.
> Hvor bør man så offentliggøre dette, så man ikke risikerer at blive
> retsforfulgt for at fortælle det.
>
> Det drejer sig om at man fra en alm. hjemmeside kan eksekvere et
> hvilket som helst program på brugerens maskine.
> samt oprette tekstfil og skrive i den, også på brugerens maskine.
>
> Er testet på Win2000 pro, XP, IE 6 (latest patches).
>
> En harmløs test af funktionen kan afprøves her.
> http://www.ydicon.dk/startprog.htm
>
> Denne side opretter blot en tekstfil på brugerens drev C: ved navn
> bjarne.txt
> og åbner Dos vinduet samt starter brugerens nodpad
>
> Så prøv den kun på eget ansvar.
>
> Det er selvfølgelig forbudt at kopiere koden og anvende den i ond
> hensigt.


normal procedure er at anmelde fejlen til dem som står bag (i dette
tilfælde er det MS, så chancen for at de hører på dig er minimal).
Så giver du dem 3-4 uger til at rette fejlen, og derefter så
offentliggør du fejlen på f.eks. lister som nt-bugtraq, bugtaq,
vulnwatch osv.
Du kan også offentliggøre den her i gruppen f.eks.

Thor Larholm (15-11-2002)
Kommentar
Fra : Thor Larholm


Dato : 15-11-02 19:43

"Bjarne Østergård" <boe@ydicon.dk> wrote in message
news:3dd53e21$0$94777$edfadb0f@dread15.news.tele.dk...
Hej Bjarne,

> Hvis man tror man kender en sikkerhedsrisiko.
> Hvor bør man så offentliggøre dette, så man ikke risikerer at blive
> retsforfulgt for at fortælle det.

Du behøves slet ikke offentliggøre noget som helst, det er allerede
gjort - af ophavsmanden, ikke dig.

> En harmløs test af funktionen kan afprøves her.
> http://www.ydicon.dk/startprog.htm

Ovenstående er blot en kopi af den kode som Andreas Sandblad
offentliggjorde i hans advisory for nylig:

http://online.securityfocus.com/archive/1/298748/2002-11-02/2002-11-08/2

Det eneste du har ændret er hvilken kommando der skulle udføres. I
Andreas' kode står der

args = '/k echo You are vulnerable (Sandblad #10) & '+
'echo Sandblad #10 > c:/vulnerable.txt & winmine';

I din kode står der

args = '/k echo Bjarne var her (Bjarne #10) & '+
'echo Bjarne var her #10 > c:/bjarne.txt & notepad';

> Det er selvfølgelig forbudt at kopiere koden og anvende den i ond
hensigt.

Har du nu copyright på andres kode, siden du kan lægge begrænsninger på
dens brug? ;)

Hvis du gerne vil se åbne sikkerhedshuller i Internet Explorer kan du
kigge i min signatur, P.T. lister jeg 31 af slagens.
Det eksempel som Andreas offentliggjorde er ikke skrevet separat på
listen da det ikke er et sikkerhedshul i sig selv men blot en
demonstration af "assign method caching" hullet - som jeg allerede har
listet.

Hvorfor ville du egentlig tage æren for Andreas' fund?

--
Thor Larholm
<URL: http://jscript.dk/unpatched/> Unpatched IE vulnerabilities
<URL: http://www.jibbering.com/faq/> FAQ for comp.lang.javascript



Thor Larholm (15-11-2002)
Kommentar
Fra : Thor Larholm


Dato : 15-11-02 20:07

"Thor Larholm" <me@nowhere.invalid> wrote in message
news:LebB9.3688$WP.2713@news.get2net.dk...
> Hvis du gerne vil se åbne sikkerhedshuller i Internet Explorer kan du
> kigge i min signatur, P.T. lister jeg 31 af slagens.

Der skulle selvfølgelig stå "slagsens" istedet for "slagens" ;)

> Hvorfor ville du egentlig tage æren for Andreas' fund?

Indlæg forwardet til boe@ydicon.dk, det kunne være interessant at høre
svaret.


--
Thor Larholm
<URL: http://jscript.dk/unpatched/> Unpatched IE vulnerabilities
<URL: http://www.jibbering.com/faq/> FAQ for comp.lang.javascript



Kasper Dupont (15-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 15-11-02 23:24

Thor Larholm wrote:
>
> "Thor Larholm" <me@nowhere.invalid> wrote in message
> news:LebB9.3688$WP.2713@news.get2net.dk...
>
> > Hvorfor ville du egentlig tage æren for Andreas' fund?
>
> Indlæg forwardet til boe@ydicon.dk, det kunne være interessant at høre
> svaret.

Siden findes ikke mere, kan de to ting have noget med hinanden at gøre?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Bjarne Østergård (15-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 15-11-02 23:58


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DD57413.C378FB8A@daimi.au.dk...
> Thor Larholm wrote:
> >
> > "Thor Larholm" <me@nowhere.invalid> wrote in message
> > news:LebB9.3688$WP.2713@news.get2net.dk...
> >
> > > Hvorfor ville du egentlig tage æren for Andreas' fund?
> >
> > Indlæg forwardet til boe@ydicon.dk, det kunne være interessant at høre
> > svaret.
>
> Siden findes ikke mere, kan de to ting have noget med hinanden at gøre?

Sikke da noget forvrøvlet vås.

Jeg forsøgte bare endnu engang at påpegeg at selv om en ting kunne lade sig
gøre bør man ikk gøre det hvis det kan skade andre.
I en tidligere tråd beskrev jeg dette script, men fik straks at vide at
noget sådant ikke kunne lade sig gøre.

Nu har jeg haft det lagt op på en side, og straks taler i om noget helt
andet.

Der findes hundredevis af måder hvormed man kan skade en person der
fredeligt surfer på nettet, men blot fordi man ved det, og at det kan gøres
berettiger jo ikke til at gøre det.

Det er det sagen handler om.

En syg person skrev i en tidligere tråd at han kun kunne respektere mig hvis
jeg kunne smadre hans maskine.
og at et sådant script bestemt ikke fandtes.

Derfor lagde jeg det i et kort tidsrum op så i kunne se at det fandtes.
Faktisk findes der mange af den slags.

Og de vil kunne bruges på en ond måde, og en god måde.

Men bruges de på en ond måde vil i jo anklage dem det går ud over og
heliggøre skurken der brugte sin viden til at skade andre med.

Det viser jeres debat herinde om values da tydligt, og det er det jeg mener
er forkert.

Nå selv om jeg lagde omtalte lille script op, kan i åbenbart stadigvæk ikke
se det komiske i at straffe ofret og lade skurken gå fri.

Hvis det var en mordsag, ville man spytte på den døde, sætte pistolen i
spjældet, og give ham der trykkede på aftrækkeren en medalje.

Jeres holdning til edb sikkerhed er sgu underlig.


Mvh .Hilsen
Bjarne Østergård
www.gigasoft.dk








Kent Friis (16-11-2002)
Kommentar
Fra : Kent Friis


Dato : 16-11-02 00:42

Den Fri, 15 Nov 2002 23:57:43 +0100 skrev Bjarne Østergård:
>
>En syg person skrev i en tidligere tråd at han kun kunne respektere mig hvis
>jeg kunne smadre hans maskine.
>og at et sådant script bestemt ikke fandtes.

Men det kunne du jo ikke, da dit script først krævede at han skulle
installere et program med en fejl i der passede til dit script.

>Hvis det var en mordsag, ville man spytte på den døde, sætte pistolen i
>spjældet, og give ham der trykkede på aftrækkeren en medalje.
>
>Jeres holdning til edb sikkerhed er sgu underlig.

Nej, den er baseret på et ønske om at opnå sikkerhed. At sætte folk
i spjældet lukker ingen sikkerhedshuller, men det gør en fornuftig
opsætning og gennemtænkt programmering.

I den virkelige verden nøjes man heller ikke med at sætte folk i
fængsel, man gør begge dele. Banken opbevarer ikke pengene i en
papirspose, men derimod i en solid boks.

Mvh
Kent
--
Demokrati er lige som den 29. februar - begge dele forekommer
en gang hver fjerde år.

Jacob Atzen (16-11-2002)
Kommentar
Fra : Jacob Atzen


Dato : 16-11-02 00:44

"Bjarne Østergård" <boe@ydicon.dk> writes:

> Men bruges de på en ond måde vil i jo anklage dem det går ud over og
> heliggøre skurken der brugte sin viden til at skade andre med.

Det er der du tager fejl. I Valus sagen blev der faktisk ikke gjort
sønderlig stor skade. Serveren blev lukket ned og det var det. En
ondsindet person kunne have trukket data ud af databasen eller
ligefrem destrueret de data der lå i databasen. Det er i alt fald,
hvad jeg har kunne læse mig frem til.

Man kan så mene, at man burde have kontaktet Valus først og givet dem
en frist til at få lukket hullet før man offentliggjorde det.

Jeg tror ikke der er nogen i denne gruppe der "helliggør" ondsindede
personer der kun er ude at på ødelægge.

--
Med venlig hilsen
- Jacob Atzen

Kasper Dupont (16-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 16-11-02 10:52

Jacob Atzen wrote:
>
> Det er der du tager fejl. I Valus sagen blev der faktisk ikke gjort
> sønderlig stor skade. Serveren blev lukket ned og det var det. En
> ondsindet person kunne have trukket data ud af databasen eller
> ligefrem destrueret de data der lå i databasen. Det er i alt fald,
> hvad jeg har kunne læse mig frem til.

Ifølge en artikel på computerworld kom der faktisk efterfølgende
en ondsindet person og prøvede at destruere data i databasen.

http://www.computerworld.dk/Default.asp?Mode=2&ArticleID=16916

>
> Man kan så mene, at man burde have kontaktet Valus først og givet dem
> en frist til at få lukket hullet før man offentliggjorde det.

Det mener jeg bestemt ville have været bedre.

>
> Jeg tror ikke der er nogen i denne gruppe der "helliggør" ondsindede
> personer der kun er ude at på ødelægge.

Bestemt ikke. Men skal man gøre ejeren af en server opmærksom
på et sikkerhedshul, før man ved, om det eksisterer?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Jacob Atzen (16-11-2002)
Kommentar
Fra : Jacob Atzen


Dato : 16-11-02 12:57

Kasper Dupont <kasperd@daimi.au.dk> writes:

> Jacob Atzen wrote:
> >
> > Det er der du tager fejl. I Valus sagen blev der faktisk ikke gjort
> > sønderlig stor skade. Serveren blev lukket ned og det var det. En
> > ondsindet person kunne have trukket data ud af databasen eller
> > ligefrem destrueret de data der lå i databasen. Det er i alt fald,
> > hvad jeg har kunne læse mig frem til.
>
> Ifølge en artikel på computerworld kom der faktisk efterfølgende
> en ondsindet person og prøvede at destruere data i databasen.
>
> http://www.computerworld.dk/Default.asp?Mode=2&ArticleID=16916

Jeg refererede til Valus - ikke computerworld. Men derudover kan man
vel sige, at personen, der lukkede Valus database ned rent faktisk
gjorde dem en tjeneste. Han sørgede for at andre ikke kunne ødelægge
data i databasen.

> > Man kan så mene, at man burde have kontaktet Valus først og givet dem
> > en frist til at få lukket hullet før man offentliggjorde det.
>
> Det mener jeg bestemt ville have været bedre.
>
> > Jeg tror ikke der er nogen i denne gruppe der "helliggør" ondsindede
> > personer der kun er ude at på ødelægge.
>
> Bestemt ikke. Men skal man gøre ejeren af en server opmærksom
> på et sikkerhedshul, før man ved, om det eksisterer?

Modsiger du ikke dig selv i det ovenstående. Først siger du, at det er
bedre at gøre ejeren opmærksom først, dernæst, at man ikke skal gøre
ejeren opmærksom før man ved om det eksisterer?

Lige et lille citat fra artiklen:
"Manden, der lagde linket ud, er ... sigtet af politiet."

Velkommen DMCA.

--
Med venlig hilsen
- Jacob Atzen

Kasper Dupont (16-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 16-11-02 13:33

Jacob Atzen wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> >
> > Ifølge en artikel på computerworld kom der faktisk efterfølgende
> > en ondsindet person og prøvede at destruere data i databasen.
> >
> > http://www.computerworld.dk/Default.asp?Mode=2&ArticleID=16916
>
> Jeg refererede til Valus - ikke computerworld. Men derudover kan man
> vel sige, at personen, der lukkede Valus database ned rent faktisk
> gjorde dem en tjeneste. Han sørgede for at andre ikke kunne ødelægge
> data i databasen.

Netop. Hvis ikke databasen havde været lukket ned, kunne det jo have
været Valus, der mistede data. Det er i hvert fald det indtryk jeg
har fået af artiklen.

>
> > > Man kan så mene, at man burde have kontaktet Valus først og givet dem
> > > en frist til at få lukket hullet før man offentliggjorde det.
> >
> > Det mener jeg bestemt ville have været bedre.
> >
> > > Jeg tror ikke der er nogen i denne gruppe der "helliggør" ondsindede
> > > personer der kun er ude at på ødelægge.
> >
> > Bestemt ikke. Men skal man gøre ejeren af en server opmærksom
> > på et sikkerhedshul, før man ved, om det eksisterer?
>
> Modsiger du ikke dig selv i det ovenstående.

Nej.

> Først siger du, at det er
> bedre at gøre ejeren opmærksom først,

Ja, man bør gøre ejeren opmærksom før man offentliggører det.

> dernæst, at man ikke skal gøre
> ejeren opmærksom før man ved om det eksisterer?

Spørgsmålet er, hvor meget man skal undersøge, før man gør ejeren
opmærksom på et potentielt problem. Men at undersøge, om der er et
hul er ikke ensbetydende med at offentliggøre det.

>
> Lige et lille citat fra artiklen:
> "Manden, der lagde linket ud, er ... sigtet af politiet."

Aha. For hvad?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Lasse Reichstein Nie~ (16-11-2002)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 16-11-02 14:06

Kasper Dupont <kasperd@daimi.au.dk> writes:

> Jacob Atzen wrote:

> > Lige et lille citat fra artiklen:
> > "Manden, der lagde linket ud, er ... sigtet af politiet."

> Aha. For hvad?

"Medvirken", så vidt jeg husker. Han skrev det på dk.videnskab.jura
på et tidspunkt, du kan prøve at søge der.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

Asbjorn Hojmark (16-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 16-11-02 22:46

On 16 Nov 2002 12:56:52 +0100, Jacob Atzen <jacob@aub.dk> wrote:

> Men derudover kan man vel sige, at personen, der lukkede Valus
> database ned rent faktisk gjorde dem en tjeneste. Han sørgede
> for at andre ikke kunne ødelægge data i databasen.

Det er en fuldstændig idiotisk opstilling af sagen. Man kunne med
ca. samme ret sige, at jeg kunne gøre dig en tjeneste ved at
brække benet på dig, så du undgik risikoen for at blive kørt ned
på gaden.

Hvad der havde været fornuftigt ville have været at skrive noget
i stil med følgende til Valus: "Jeg har begrundet mistanke om, at
jeres web-sted er sårbart over for et angreb af typen <etc>. Det
mener jeg fordi <etc>. Jeg vil kraftigt anbefale, at I undersøger
sagen nærmere".

Men nej nej, i stedet giver indtil flere personer sig til at
undersøge, om det nu også er rigtigt, at folk på gaden dør af at
blive skudt i hovedet.

-A
--
http://www.hojmark.org/

Andreas Plesner Jaco~ (16-11-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 16-11-02 22:53

In article <goedtugnmg54vnjpgk86qr6aeikt5s65q9@news.tiscali.dk>, Asbjorn Hojmark wrote:
>
> Men nej nej, i stedet giver indtil flere personer sig til at
> undersøge, om det nu også er rigtigt, at folk på gaden dør af at
> blive skudt i hovedet.

Analogier....det havde jeg ikke troet om dig Asbjørn.

--
Andreas Plesner Jacobsen | revolutionary, adj.:
| Repackaged.

Asbjorn Hojmark (16-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 16-11-02 23:09

On Sat, 16 Nov 2002 21:52:58 +0000 (UTC), Andreas Plesner
Jacobsen <apj@daarligstil.dk> wrote:

> Analogier....det havde jeg ikke troet om dig Asbjørn.

Nej? Jeg bruger dem ellers ikke så sjældent.

-A
--
http://www.hojmark.org/

Jacob Atzen (16-11-2002)
Kommentar
Fra : Jacob Atzen


Dato : 16-11-02 23:36

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> writes:

> Det er en fuldstændig idiotisk opstilling af sagen. Man kunne med
> ca. samme ret sige, at jeg kunne gøre dig en tjeneste ved at
> brække benet på dig, så du undgik risikoen for at blive kørt ned
> på gaden.

Nu bryder jeg mig ikke om at blive kaldt idiot eller at få at vide at
mine udtalelser er idiotiske. Når det er sagt, må jeg give dig ret.

--
Med venlig hilsen
- Jacob Atzen

Kasper Dupont (16-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 16-11-02 23:50

Asbjorn Hojmark wrote:
>
> On 16 Nov 2002 12:56:52 +0100, Jacob Atzen <jacob@aub.dk> wrote:
>
> > Men derudover kan man vel sige, at personen, der lukkede Valus
> > database ned rent faktisk gjorde dem en tjeneste. Han sørgede
> > for at andre ikke kunne ødelægge data i databasen.
>
> Det er en fuldstændig idiotisk opstilling af sagen. Man kunne med
> ca. samme ret sige, at jeg kunne gøre dig en tjeneste ved at
> brække benet på dig, så du undgik risikoen for at blive kørt ned
> på gaden.

Snakker vi kun om en risiko? Det må fremgå af webserver loggen,
hvad der ellers er blevet forsøgt af angreb. Med disse oplysninger
vil vi kunne forholde os til fakta i stedet for at gætte.
Spørgsmålet er blot, om Valus vil offentliggøre noget, og om vi
tør tro på dem, hvis de gør.

Udfra den sidste artikel om sagen i computerworld lyder det som
om, der faktisk ville være sket større skade hvis ikke serveren
var blevet lukket ned.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Cubus (17-11-2002)
Kommentar
Fra : Cubus


Dato : 17-11-02 01:16

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev

> > Men derudover kan man vel sige, at personen, der lukkede Valus
> > database ned rent faktisk gjorde dem en tjeneste. Han sørgede
> > for at andre ikke kunne ødelægge data i databasen.
>
> Det er en fuldstændig idiotisk opstilling af sagen. Man kunne med
> ca. samme ret sige, at jeg kunne gøre dig en tjeneste ved at
> brække benet på dig, så du undgik risikoen for at blive kørt ned
> på gaden.
>
> Hvad der havde været fornuftigt ville have været at skrive noget
> i stil med følgende til Valus: "Jeg har begrundet mistanke om, at
> jeres web-sted er sårbart over for et angreb af typen <etc>. Det
> mener jeg fordi <etc>. Jeg vil kraftigt anbefale, at I undersøger
> sagen nærmere".
>
> Men nej nej, i stedet giver indtil flere personer sig til at
> undersøge, om det nu også er rigtigt, at folk på gaden dør af at
> blive skudt i hovedet.

Bravisimo! Du rammer sømmet direkte på hovedet i dine analogier til den
fysiske verden! Må jeg ikke fortsætte ud af samme tangent med at
foreslå en guillotine genfremsat på Kultorvet for at gøre verden fri
for de 100.000+ der havde den utrolige frækhed at kopiere en URL
ind i en browser og trykke Enter, eller ligefrem eksperimenterede
med at lave om på URLs som beskrevet her:

"Sikkerheden i det nye betalingssystem må siger at være til grin - se
fx dette eksempel på en betaling, som jeg i hvert fald ikke har lavet.
Hvis I vil lege med, så opret en konto på Valus og når I er logget ind,
så følg dette link. Prøv at ændre tallet 2443 lidt, og se transaktionerne
dukke op."

http://www.interestingstuff.dk/2002_05_01_archive.php

....
Eller har du bare grundlæggende svært ved at skelne mellem pis og papir?
Har du mon også svært ved at skelne mellem alvorsgraden af begivenheder
i den fysiske og den virtuelle verden? En person der bliver bliver skudt i
hovedet for at undersøge om vedkommende dør af det, og så en server
der går ned som følge af programmeringsfejl pga en undersøgelse af en
usandsynlig påstand om en URLs virkning??

Sidstnævnte begivenhed må skam betragtes med største alvor. Havde jeg
købt en web-løsning af et firma, der brød sammen ved indtastning af en
URL i en browser, var jeg så sandelig blevet stiktosset.

--
Cubus
http://cubus.adsl.dk/





Asbjorn Hojmark (18-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 18-11-02 00:29

On Sun, 17 Nov 2002 01:16:14 +0100, "Cubus" <cubus@sol.dk> wrote:

> Eller har du bare grundlæggende svært ved at skelne mellem pis
> og papir?

Nej, det var ikke mig, der forsøgte at lukke Valus' database.

> Har du mon også svært ved at skelne mellem alvorsgraden af
> begivenheder i den fysiske og den virtuelle verden?

Mon ikke snarere, du har et problem med at forstå, Nettet er lige
så håndgribelig en forretning som det, du omtaler som den fysiske
verden?

Der er for mig ingen principiel forskel på at ødelægge folks for-
retning ved at smadre deres web-sted eller at ødelægge en butiks-
rude.

> En person der bliver bliver skudt i hovedet for at undersøge om
> vedkommende dør af det, og så en server der går ned som følge af
> programmeringsfejl pga en undersøgelse af en usandsynlig påstand
> om en URLs virkning??

Jeg indrømmer, det er trukket ret skarpt op.

Men hvis man ikke er i stand til at begribe, at det man foretager
sig i det, du omtaler som den virtuelle verden, kan være lige så
ødelæggende som det man gør i det, du kalder den fysiske, så har
man opholdt sig for længe bag skærmen.

> Sidstnævnte begivenhed må skam betragtes med største alvor. Havde
> jeg købt en web-løsning af et firma, der brød sammen ved indtast-
> ning af en URL i en browser, var jeg så sandelig blevet stiktosset.

Jeg er fuldstændig enig i, at det var (er?) noget skodsoftware,
der lå (ligger?) bag Valus' web-sted. Men det gør det ikke OK at
ødelægge det.

-A
--
http://www.hojmark.org/

Alex Holst (17-11-2002)
Kommentar
Fra : Alex Holst


Dato : 17-11-02 03:34

Asbjorn Hojmark <Asbjorn@hojmark.org> wrote:
> Hvad der havde været fornuftigt ville have været at skrive noget
> i stil med følgende til Valus: "Jeg har begrundet mistanke om, at
> jeres web-sted er sårbart over for et angreb af typen <etc>. Det
> mener jeg fordi <etc>. Jeg vil kraftigt anbefale, at I undersøger
> sagen nærmere".

Har du proevet at sende den slags beskeder til virksomheder? Jeg har, og
er sjaeldent kommet saerligt langt. Een gang har det resulteret i, at
virksomheden rettede problemet efter en uge. Det kraevede at jeg
prikkede til dem midt paa ugen.

I mere end et par tilfaelde har jeg fundet alvorlige problemer i et
produkt produceret af et udviklingsfirma. I mange tilfaelde bruges
produktet paa deres eget site, samt paa kundernes som de behaendigt
linker til under "referencer". Disse fejl findes stadigt paa baade
virksomhedens og kundernes website.

Paa et tidspunkt bliver man noedt til at indse, at virksomheder som
tilsyneladende hverken forsoeger at levere kvalitet, og heller ikke
reagerer paa henvendelser fortjener en *vis* type reaktion. Det er
traettende og farligt at de samme banale fejl faar lov til at slippe ind
i vigtigt produktionssoftware. Jeg haelder mere og mere til Dan
Bernstein's synspunkt at der simpelthen skal meget mere motivation til
for at faa markedet til at levere sikre produkter.

Det betyder naturligvis ikke, at man maa splitte andres systemer ad. Jeg
har revideret juleoenskerne saa min holdning til dette er mere klar.
Vedkommende der begyndte at slette dele af databasen hos CW burde
anal-voldtages af en elefant.

Der er risiko for, at politiet en dag sigter mig eller dig fordi et IMG
eller EMBED tag i en HTML side pegede det forkerte sted hen. Maaske
finder de hen ad vejen ud af, at du ikke gjorde det, men paa det
tidspunkt har du undvaeret dine arbejdsredskaber i maanedsvis og du har
brugt den samme tid paa at forsvare dig selv, kun fordi det i mange
tilfaelde er muligt at bryde ind i online banker o.l. *uden* 6 maaneders
forberedelse og uden at man har adgang til design og
implementationsdata.

Nogle lande har love imod "entrapment". Denne lov siger, at hvis en
handling er ulovlig, er det ikke tilladt at goere den saa tiltraekkende
og interessant at folk ikke kan lade vaere med at proeve. Jeg deler
Brian Snow's holdning at kvaliteten af dagens software graenser til at
vaere entrapment.

Jeg har indtaget en rimelig stor dosis chokolade tidligere i dag, saa
jeg overlevede med noed og naeppe dine analogier. Pyha.

Alex

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Kasper Dupont (17-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 17-11-02 11:58

Alex Holst wrote:
>
> Vedkommende der begyndte at slette dele af databasen hos CW burde
> anal-voldtages af en elefant.

Dyremishandling.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Asbjorn Hojmark (18-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 18-11-02 00:49

On Sun, 17 Nov 2002 02:33:35 +0000, Alex Holst <a@mongers.org>
wrote:

> Har du proevet at sende den slags beskeder til virksomheder?

Jeg har prøvet at sende en enkelt, og det blev taget alvorligt.
Jeg har ligeledes prøvet at modtage en enkelt, og det blev taget
meget alvorligt.

Men uanset hvordan modtageren håndterer sådan en melding, så er
det ikke i orden at ødelægge deres forretning, og jeg kan ikke
begribe, at nogen kan argumentere for det synspunkt.

> Paa et tidspunkt bliver man noedt til at indse, at virksomheder
> som tilsyneladende hverken forsoeger at levere kvalitet, og hel-
> ler ikke reagerer paa henvendelser fortjener en *vis* type reak-
> tion.

Når de ikke vil lytte, så må de føle? Mener du virkelig det?

> Det betyder naturligvis ikke, at man maa splitte andres systemer
> ad.

Netop.

> Jeg har indtaget en rimelig stor dosis chokolade tidligere i dag,
> saa jeg overlevede med noed og naeppe dine analogier. Pyha.

Ja, ja, jeg har forstået.

-A
--
http://www.hojmark.org/

Alex Holst (18-11-2002)
Kommentar
Fra : Alex Holst


Dato : 18-11-02 01:35

Asbjorn Hojmark <Asbjorn@hojmark.org> wrote:
> On Sun, 17 Nov 2002 02:33:35 +0000, Alex Holst <a@mongers.org>
> wrote:
>
> Men uanset hvordan modtageren håndterer sådan en melding, så er
> det ikke i orden at ødelægge deres forretning, og jeg kan ikke
> begribe, at nogen kan argumentere for det synspunkt.

Jeg taler primaert om at dokumentere deres forretningsmetoder og
produktkvalitet saa kunderne og evt. myndighederne begynder at stille
spoergsmaal. Daarlig omtale koster meget mere end script kiddie agtige
indbrud.

Hvis en aendring af et argument i en URL (fra 93434 til KLAPTORSK) viser
at systemet udfoerer mangelfuld input validation, har udviklerne
fortjent alt den ballade opdageren har energi til at skabe.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Klaus Ellegaard (18-11-2002)
Kommentar
Fra : Klaus Ellegaard


Dato : 18-11-02 10:13

Alex Holst <a@mongers.org> writes:

>Jeg taler primaert om at dokumentere deres forretningsmetoder og
>produktkvalitet saa kunderne og evt. myndighederne begynder at stille
>spoergsmaal. Daarlig omtale koster meget mere end script kiddie agtige
>indbrud.

Faktisk oplever firmaer, der får dårlig omtale i aviserne, ofte
en ret stor tilstrømning af kunder. Folk kan normalt ikke huske,
hvad de læste om et givent firma - blot at de læste noget om
det.

>Hvis en aendring af et argument i en URL (fra 93434 til KLAPTORSK) viser
>at systemet udfoerer mangelfuld input validation, har udviklerne
>fortjent alt den ballade opdageren har energi til at skabe.

Udviklerne, ja. Firmaet, nej. Især ikke hvis løsningen er lavet
"ude i byen". I det tilfælde burde udviklerne afkræves erstatning
og om muligt straffes. Men det er stadig ikke en god plan at
ødelægge et uskyldigt firmas forretning, selvom det eksponerer
et alvorligt problem hos dem.

Man kunne forestille sig, at udviklerne blev dømt til i tre år
ikke at måtte udvikle løsninger, der involverede personoplysninger
og/eller pengeoverførsler. Medmindre de fik den enkelte løsning
auditeret af en ekstern konsulent eller revisor.

Mvh.
   Klaus.

Alex Holst (18-11-2002)
Kommentar
Fra : Alex Holst


Dato : 18-11-02 11:16

Klaus Ellegaard <klaus@ellegaard.dk> wrote:
> Alex Holst <a@mongers.org> writes:
>
> Udviklerne, ja. Firmaet, nej. Især ikke hvis løsningen er lavet
> "ude i byen".

I den danske lov er det den dataansvarlige der skal staa til regnskab
for at databehandlerne tager de noedvendige forholdsregler og leverer en
tilfredsstillende loesning.

Det virker ikke rimeligt paa mig, at man kan undskylde sig med, at "vi
har bare koebt loesningen". Det kraever hvertfald at udviklerne stiller
en garanti for, at der ikke er problemer i koden.

> Man kunne forestille sig, at udviklerne blev dømt til i tre år
> ikke at måtte udvikle løsninger, der involverede personoplysninger
> og/eller pengeoverførsler. Medmindre de fik den enkelte løsning
> auditeret af en ekstern konsulent eller revisor.

Det ville vaere interessant, men saa ville udviklerne vaere motiveret
til at levere kvalitet, mens kunden ville presse paa for at faa leveret
loesningen hurtigt. Det ville vaere ideelt hvis man kunne presse paa hos
baade leverandoer og kunden.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Peter Brodersen (18-11-2002)
Kommentar
Fra : Peter Brodersen


Dato : 18-11-02 01:18

On Sun, 17 Nov 2002 02:33:35 +0000, Alex Holst <a@mongers.org> wrote:

>Det betyder naturligvis ikke, at man maa splitte andres systemer ad.

... og nok også tillige, at det ikke er ens job at bekymre sig om
andres systemer.

Vi kan have en faglig stolthed, der gør os i stand til at pege fingre
af andres løsninger. Men det er ikke vores arbejde at vurdere, om "det
bedste" ville være at lukke en database ned eller ej. Vi skal ikke
foretager handlinger/beslutninger på andres vegne, også selvom vores
beslutninger er bedre (fx "databasen bør lukkes ned").

At vi er kunder de steder giver os ikke mere adgang til systemet, end
vi ikke var. Til gengæld har vi mulighed for at undlade at være kunde,
at henvende os til butikkerne, samt i yderste konsekves at lave noget,
grænsende til "udhængning", såfremt firmaet ikke reagerer på meget
kritisable problemstillinger. Det behøver ikke at omfatte
kodeeksempler.

Et medie som ComputerWorld kan man måske mene om hvad man vil, men de
har nu været medvirkende til øget fokus blandt ikke-teknikere på
dårlig datasikkerhed på det sidste (Harald Nyborg, Valus, Told&Skat,
opfølgning med udtalelser fra Datatilsynet og Ombudsmanden...).
Forhåbentligt kan det være en relevant pressionsfaktor, hvis det
virkelig skal ud i det.
--
- Peter Brodersen

Jonathan Stein (18-11-2002)
Kommentar
Fra : Jonathan Stein


Dato : 18-11-02 09:19

Peter Brodersen wrote:

> ... Men det er ikke vores arbejde at vurdere, om "det
> bedste" ville være at lukke en database ned eller ej. Vi skal ikke
> foretager handlinger/beslutninger på andres vegne, også selvom vores
> beslutninger er bedre (fx "databasen bør lukkes ned").

I nogle tilfælde er man nødt til at tænke selv.

Hvis man står over for en akut farlig situation (det være sig virtuelt
eller fysisk), må man vurdere, om man har mulighed for at afværge eller
minimere faren og hvilke alternativer der evt. er.
I den aktuelle sag, må der siges at være stor forskel på lige at skulle
se, om serveren virkelig gik ned og så at have foretaget en velovervejet
handling for at hindre større ulykker - selv om det måske i praksis er den
samme handling, man foretager i begge tilfælde. Som skrevet i et andet
indlæg, havde sagsforløbet nok været et andet, hvis man straks havde
skrevet til firmaet hvad man havde gjort og hvorfor.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Kim Ludvigsen (18-11-2002)
Kommentar
Fra : Kim Ludvigsen


Dato : 18-11-02 09:41

Jonathan Stein wrote:
>
> I nogle tilfælde er man nødt til at tænke selv.
>
> Hvis man står over for en akut farlig situation (det være sig virtuelt
> eller fysisk), må man vurdere, om man har mulighed for at afværge eller
> minimere faren og hvilke alternativer der evt. er.

Nu er der så blot ikke tale om en akut farlig situation i forbindelse
med Valus.

> I den aktuelle sag, må der siges at være stor forskel på lige at skulle
> se, om serveren virkelig gik ned og så at have foretaget en velovervejet
> handling for at hindre større ulykker - selv om det måske i praksis er den
> samme handling, man foretager i begge tilfælde.

Det er derfor vores retssystem ser på hensigten bag handlingen.

> Som skrevet i et andet
> indlæg, havde sagsforløbet nok været et andet, hvis man straks havde
> skrevet til firmaet hvad man havde gjort og hvorfor.

Ja, der var ikke gået fem måneder, før politiet dukkede op.

Jeg er forøvrigt helt enig med Peter Brodersen og Asbjørn Højmark i
denne tråd - og lur mig, om domstolene ikke også er det.

--
Mvh. Kim Ludvigsen

Kasper Dupont (18-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-11-02 09:54

Kim Ludvigsen wrote:
>
> Jonathan Stein wrote:
> >
> > I nogle tilfælde er man nødt til at tænke selv.
> >
> > Hvis man står over for en akut farlig situation (det være sig virtuelt
> > eller fysisk), må man vurdere, om man har mulighed for at afværge eller
> > minimere faren og hvilke alternativer der evt. er.
>
> Nu er der så blot ikke tale om en akut farlig situation i forbindelse
> med Valus.

Hvem som helst kunne have læst og ændret vilkårlige data i databasen.
Hvis ikke det er en akut farlig situation, så ved jeg ikke, hvad der er.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Bertel Lund Hansen (18-11-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 18-11-02 10:07

Kasper Dupont skrev:

>Hvem som helst kunne have læst og ændret vilkårlige data i databasen.
>Hvis ikke det er en akut farlig situation, så ved jeg ikke, hvad der er.

Var der nogen tegn på at der var ved at ske noget meget farligt?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Kim Ludvigsen (18-11-2002)
Kommentar
Fra : Kim Ludvigsen


Dato : 18-11-02 10:28

Kasper Dupont wrote:
>
> Kim Ludvigsen wrote:
>
> > Nu er der så blot ikke tale om en akut farlig situation i forbindelse
> > med Valus.
>
> Hvem som helst kunne have læst og ændret vilkårlige data i databasen.
> Hvis ikke det er en akut farlig situation, så ved jeg ikke, hvad der er.

En akut farlig situation kan for eksempel være, hvis der står vigtige
ting såsom menneskeliv på spil, og der ikke er tid til at advare ejeren
af databasen. At man kan læse eller ændre vilkårlige data i den
pågældende database kan ikke opfylde dette kriterie - uanset hvor
ubehagelige eller uønskede ændringerne ville være.

--
Mvh. Kim Ludvigsen


Jonathan Stein (18-11-2002)
Kommentar
Fra : Jonathan Stein


Dato : 18-11-02 11:34

Kim Ludvigsen wrote:

> > > Nu er der så blot ikke tale om en akut farlig situation i forbindelse
> > > med Valus.
> >
> > Hvem som helst kunne have læst og ændret vilkårlige data i databasen.
> > Hvis ikke det er en akut farlig situation, så ved jeg ikke, hvad der er.
>
> En akut farlig situation kan for eksempel være, hvis der står vigtige
> ting såsom menneskeliv på spil, og der ikke er tid til at advare ejeren
> af databasen. At man kan læse eller ændre vilkårlige data i den
> pågældende database kan ikke opfylde dette kriterie - uanset hvor
> ubehagelige eller uønskede ændringerne ville være.

"Farlig" behøver ikke kun at dreje sig om menneskeliv. Ofte sidestilles liv
med væsentlige økonomiske og/eller samfundsmæssige interesser (like it or
not).
Om det nystartede Valus vil komme under den betegnelse er måske tvivlsomt,
men tænk evt. en sag med samme sikkerhedshul i en web-bank.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Klaus Ellegaard (18-11-2002)
Kommentar
Fra : Klaus Ellegaard


Dato : 18-11-02 11:37

Jonathan Stein <jstein@image.dk> writes:

>Kim Ludvigsen wrote:

> "Farlig" behøver ikke kun at dreje sig om menneskeliv. Ofte sidestilles liv
>med væsentlige økonomiske og/eller samfundsmæssige interesser (like it or
>not).

Det er fair nok. Men hvis man afværger en "farlig situation", må
man som minimum også straks derefter gøre en gigantisk indsats
for at informere firmaet om det.

Hvis dem, der fik lagt databasen ned, personligt tog ud til Valus
(om det så var midt om natten for at sætte en Post-It på døren),
og på vejen prøvede at finde et telefonnummer eller lignende, så
ville det måske være acceptabelt.

Mvh.
   Klaus.

Kasper Dupont (18-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-11-02 13:41

Klaus Ellegaard wrote:
>
> Hvis dem, der fik lagt databasen ned, personligt tog ud til Valus
> (om det så var midt om natten for at sætte en Post-It på døren),

Det ville jo kræve, at man fysisk var i nærheden,
og at man rent faktisk kendte addressen.

> og på vejen prøvede at finde et telefonnummer eller lignende, så
> ville det måske være acceptabelt.

Jeg ville nok have nøjes med at sende en email.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Klaus Ellegaard (18-11-2002)
Kommentar
Fra : Klaus Ellegaard


Dato : 18-11-02 13:51

Kasper Dupont <kasperd@daimi.au.dk> writes:

>> Hvis dem, der fik lagt databasen ned, personligt tog ud til Valus
>> (om det så var midt om natten for at sætte en Post-It på døren),

>Det ville jo kræve, at man fysisk var i nærheden,
>og at man rent faktisk kendte addressen.

Så er vi måske derude, hvor dommeren begynder at tvivle på, om
man nu også mente, at situationen var så voldfarlig, at SHUTDOWN
var nødvendig.

Men jeg ved det selvfølgelig ikke...

Mvh.
   Klaus.

Bertel Lund Hansen (18-11-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 18-11-02 16:04

Kasper Dupont skrev:

>Jeg ville nok have nøjes med at sende en email.

Til et system du lige havde crashet?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Kasper Dupont (18-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-11-02 16:12

Bertel Lund Hansen wrote:
>
> Kasper Dupont skrev:
>
> >Jeg ville nok have nøjes med at sende en email.
>
> Til et system du lige havde crashet?

Det har jeg da ikke sagt noget om!

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Jonathan Stein (18-11-2002)
Kommentar
Fra : Jonathan Stein


Dato : 18-11-02 22:46

Klaus Ellegaard wrote:

> > "Farlig" behøver ikke kun at dreje sig om menneskeliv. Ofte sidestilles liv
> >med væsentlige økonomiske og/eller samfundsmæssige interesser (like it or
> >not).
>
> Det er fair nok. Men hvis man afværger en "farlig situation", må
> man som minimum også straks derefter gøre en gigantisk indsats
> for at informere firmaet om det.

Jeg ville nok udskifte "gigantisk" med "rimelig" - ellers er vi enige.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Kim Ludvigsen (18-11-2002)
Kommentar
Fra : Kim Ludvigsen


Dato : 18-11-02 11:42

Jonathan Stein wrote:
>
> Kim Ludvigsen wrote:
>
> > En akut farlig situation kan for eksempel være, hvis der står vigtige
> > ting såsom menneskeliv på spil, og der ikke er tid til at advare ejeren
> > af databasen. At man kan læse eller ændre vilkårlige data i den
> > pågældende database kan ikke opfylde dette kriterie - uanset hvor
> > ubehagelige eller uønskede ændringerne ville være.
>
> "Farlig" behøver ikke kun at dreje sig om menneskeliv. Ofte sidestilles liv
> med væsentlige økonomiske og/eller samfundsmæssige interesser (like it or
> not).

Enig, det var derfor, jeg skrev såsom.

> Om det nystartede Valus vil komme under den betegnelse er måske tvivlsomt,
> men tænk evt. en sag med samme sikkerhedshul i en web-bank.

Det skal vist være ret så slemt, før det kan aspirere til at være en
akut farlig situation, hvor man ikke kan nå at advare ejeren, inden det
går galt.

--
Mvh. Kim Ludvigsen

Kasper Dupont (18-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-11-02 13:37

Kim Ludvigsen wrote:
>
> Det skal vist være ret så slemt, før det kan aspirere til at være en
> akut farlig situation, hvor man ikke kan nå at advare ejeren, inden det
> går galt.

Hullet var jo allerede offentliggjort på nettet. Og det lyder som om
mange personer stod i kø for at prøve det, og nogen af dem havde nok
villet gøre større skade.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Kasper Dupont (18-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-11-02 11:45

Kim Ludvigsen wrote:
>
> Kasper Dupont wrote:
> >
> > Kim Ludvigsen wrote:
> >
> > > Nu er der så blot ikke tale om en akut farlig situation i forbindelse
> > > med Valus.
> >
> > Hvem som helst kunne have læst og ændret vilkårlige data i databasen.
> > Hvis ikke det er en akut farlig situation, så ved jeg ikke, hvad der er.
>
> En akut farlig situation kan for eksempel være, hvis der står vigtige
> ting såsom menneskeliv på spil, og der ikke er tid til at advare ejeren
> af databasen.

Jeg kan ikke i min vildeste fantasi forestille mig et sikkerhedshul i et
elektronisk betalingssystem, som kan bringe menneskers liv i fare.

> At man kan læse eller ændre vilkårlige data i den
> pågældende database kan ikke opfylde dette kriterie - uanset hvor
> ubehagelige eller uønskede ændringerne ville være.

Så vidt jeg kan se, er det et faktum, at risikoen ved at lade databasen
køre var større end risikoen ved at lukke den ned. Jeg kan ikke se noget
moralsk forkert i at forhindre en forbrydelse, at motivet bag handlingen
så har været noget andet ændrer selvfølgelig på sagen.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Kim Ludvigsen (18-11-2002)
Kommentar
Fra : Kim Ludvigsen


Dato : 18-11-02 12:46

Kasper Dupont wrote:
>
> Kim Ludvigsen wrote:
> >
> > En akut farlig situation kan for eksempel være, hvis der står vigtige
> > ting såsom menneskeliv på spil, og der ikke er tid til at advare ejeren
> > af databasen.
>
> Jeg kan ikke i min vildeste fantasi forestille mig et sikkerhedshul i et
> elektronisk betalingssystem, som kan bringe menneskers liv i fare.

Enig, man skal virkelig bruge fantasien. Og det betyder ikke, at man så
skal sænke grænsen for, hvornår man kan tillade sig at lukke en andens
server.

> Så vidt jeg kan se, er det et faktum, at risikoen ved at lade databasen
> køre var større end risikoen ved at lukke den ned.

Det er underordnet, hvad du mener er faktum. Så længe der ikke er en
akut farlig situation, kan man ikke tillade sig at lukke andres servere
ned. Og selv hvis der var en akut farlig situation, måtte man stå til
ansvar for sin handling. Hvis man går op i sikkerheden på andres
servere, kan man gøre ejeren opmærksom på problemet eller som Alex har
gjort det, melde virksomheden til myndighederne.


--
Mvh. Kim Ludvigsen

Alex Holst (18-11-2002)
Kommentar
Fra : Alex Holst


Dato : 18-11-02 13:54

Kim Ludvigsen <ludvig@mail.dk> wrote:
> ansvar for sin handling. Hvis man går op i sikkerheden på andres
> servere, kan man gøre ejeren opmærksom på problemet eller som Alex har
> gjort det, melde virksomheden til myndighederne.

Det minder mig om, at Datatilsynet har modtaget en redegoerelse fra Den
Norske Bank. Jeg er blevet lovet en kopi af Datatilsynets afgoerelse
naar den er klar.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Kim Ludvigsen (18-11-2002)
Kommentar
Fra : Kim Ludvigsen


Dato : 18-11-02 14:12

Alex Holst wrote:
>
>
> Det minder mig om, at Datatilsynet har modtaget en redegoerelse fra Den
> Norske Bank. Jeg er blevet lovet en kopi af Datatilsynets afgoerelse
> naar den er klar.

Bar' det altså snart var nu (kan ikke vente...)!

--
Mvh. Kim Ludvigsen

F.Larsen (18-11-2002)
Kommentar
Fra : F.Larsen


Dato : 18-11-02 23:27

"Alex Holst" <a@mongers.org> wrote in message
news:rg4na-bh1.ln1@miracle.mongers.org...

> Det minder mig om, at Datatilsynet har modtaget en redegoerelse fra Den
> Norske Bank. Jeg er blevet lovet en kopi af Datatilsynets afgoerelse
> naar den er klar.

Interresant, husk at give et refereat her ...

--
Flemming
http://home.cbkn.dk/Rhodos/
http://home.cbkn.dk/spyware/



Kim Ludvigsen (18-11-2002)
Kommentar
Fra : Kim Ludvigsen


Dato : 18-11-02 12:50

Kasper Dupont wrote:
>
>
> Så vidt jeg kan se, er det et faktum, at risikoen ved at lade databasen
> køre var større end risikoen ved at lukke den ned. Jeg kan ikke se noget
> moralsk forkert i at forhindre en forbrydelse, at motivet bag handlingen
> så har været noget andet ændrer selvfølgelig på sagen.

En fristes til at bruge "Bjarnes" sikkerhedshul til at lukke samtlige
Windowscomputere på nettet, inden andre kommer og misbruger hullet til
at gøre værre ting ved computerne.

--
Mvh. Kim Ludvigsen

Kasper Dupont (18-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-11-02 13:45

Kim Ludvigsen wrote:
>
> En fristes til at bruge "Bjarnes" sikkerhedshul til at lukke samtlige
> Windowscomputere på nettet, inden andre kommer og misbruger hullet til
> at gøre værre ting ved computerne.

Det virker jo kun hvis de kommer ind på din side. Og I så fald har
du vel allerede til dels deres opmærksomhed og kunne i stedet
tilbyde at downloade og installere en opdatering.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Bertel Lund Hansen (18-11-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 18-11-02 16:13

Kasper Dupont skrev:

>Det virker jo kun hvis de kommer ind på din side. Og I så fald har
>du vel allerede til dels deres opmærksomhed og kunne i stedet
>tilbyde at downloade og installere en opdatering.

Men hvad med Kims pointe? Er det ikke relevant at distribuere en
uskadelig virus der lukker folks systemer ned inden der kommer en
farlig en der lænser deres bankkonto? Eller slukker for deres
respirator??

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Peter Brodersen (18-11-2002)
Kommentar
Fra : Peter Brodersen


Dato : 18-11-02 19:05

On Mon, 18 Nov 2002 16:13:08 +0100, Bertel Lund Hansen
<nospam@lundhansen.dk> wrote:

>Men hvad med Kims pointe? Er det ikke relevant at distribuere en
>uskadelig virus der lukker folks systemer ned inden der kommer en
>farlig en der lænser deres bankkonto? Eller slukker for deres
>respirator??

Uden at komme ud i analogier, er det dog stadigvæk relevant at
forholde sig til sin grundlæggende sikkerhedsviden: Hvis folk
uautoriseret har ændret noget på ens system, kan man let komme i en
situation, hvor man ikke kan stole på sit eget system.

Såfremt nogle udnytter priviligerede rettigheder på mit system til at
lukke for adgangen til de priviligerede rettigheder, kan jeg som
udgangspunkt ikke stole på mit system mere. Jeg har ingen grund til at
tage folks ord for gode varer ("Hej, jeg har lige lukket nogle huller
for dig, så jeg har gjort dig en tjeneste").

Da en tilfældig besøgende ikke er en del af de folk, jeg har til at
vedligeholde en server, og er en del af den trustede omgangskreds, der
arbejder på denne server, har den tilfældige besøgende ikke gjort mig
nogen tjeneste overhovedet.

--
- Peter Brodersen

Kasper Dupont (18-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-11-02 20:15

Peter Brodersen wrote:
>
> Uden at komme ud i analogier, er det dog stadigvæk relevant at
> forholde sig til sin grundlæggende sikkerhedsviden: Hvis folk
> uautoriseret har ændret noget på ens system, kan man let komme i en
> situation, hvor man ikke kan stole på sit eget system.

Det har du selvfølgelig ret i. Men når du bliver opmærksom på
hullet, kan du ikke stole på systemet uanset om du har kendskab
til indgreb eller ej.

>
> Såfremt nogle udnytter priviligerede rettigheder på mit system til at
> lukke for adgangen til de priviligerede rettigheder, kan jeg som
> udgangspunkt ikke stole på mit system mere. Jeg har ingen grund til at
> tage folks ord for gode varer ("Hej, jeg har lige lukket nogle huller
> for dig, så jeg har gjort dig en tjeneste").

Nej, du skal selvfølgelig ikke ukritisk stole på dem, når de
siger, hvad du har gjort. Så medmindre du på anden vis kan se
præcist hvad, de har gjort, så kan du ikke mere stole på
systemet. Men hvis de intet havde gjort burde du stole lige så
lidt på systemet, du ville bare ikke vide, at du ikke skulle
stole på dit system.

>
> Da en tilfældig besøgende ikke er en del af de folk, jeg har til at
> vedligeholde en server, og er en del af den trustede omgangskreds, der
> arbejder på denne server, har den tilfældige besøgende ikke gjort mig
> nogen tjeneste overhovedet.

De har stadig gjort dig en tjeneste ved at gøre dig opmærksom
på hullet, men du kan selvfølgelig være i en situation, hvor du
er nødt til at gå systemet lige meget efter i sømmene, uanset,
om de har foretaget et indgreb eller ej.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Peter Brodersen (18-11-2002)
Kommentar
Fra : Peter Brodersen


Dato : 18-11-02 21:49

On Mon, 18 Nov 2002 20:15:13 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

>De har stadig gjort dig en tjeneste ved at gøre dig opmærksom
>på hullet, men du kan selvfølgelig være i en situation, hvor du
>er nødt til at gå systemet lige meget efter i sømmene, uanset,
>om de har foretaget et indgreb eller ej.

Men såfremt de ikke har foretaget et indgreb, kan jeg selv vurdere og
lægge en plan for den mest hensigtsmæssige nedlukning både for mig
selv og for de implicerede. Det kan den fremmede hjælper ganske enkelt
ikke.

--
- Peter Brodersen

Kasper Dupont (19-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 19-11-02 10:27

Peter Brodersen wrote:
>
> On Mon, 18 Nov 2002 20:15:13 +0100, Kasper Dupont
> <kasperd@daimi.au.dk> wrote:
>
> >De har stadig gjort dig en tjeneste ved at gøre dig opmærksom
> >på hullet, men du kan selvfølgelig være i en situation, hvor du
> >er nødt til at gå systemet lige meget efter i sømmene, uanset,
> >om de har foretaget et indgreb eller ej.
>
> Men såfremt de ikke har foretaget et indgreb,

Hvordan kan du vide det?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Bertel Lund Hansen (18-11-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 18-11-02 16:11

Kasper Dupont skrev:

>Jeg kan ikke i min vildeste fantasi forestille mig et sikkerhedshul i et
>elektronisk betalingssystem, som kan bringe menneskers liv i fare.

Det kan jeg let - også nogle der ikke er forskruede (tænk f.eks.
på en patient på et betalingshospital der får lænset sin konto),
men jeg mener ikke at så alvorlige situationer er relevante i den
aktuelle sag.

>Så vidt jeg kan se, er det et faktum, at risikoen ved at lade databasen
>køre var større end risikoen ved at lukke den ned.

Det giver ikke meget mening at du skriver "faktum" om noget som
du kun kan have en yderst tåget idé om.

>Jeg kan ikke se noget moralsk forkert i at forhindre en forbrydelse

Du har set for mange amerikanske film - og måske også for mange
tegnefilm med den lille, forpulede selvtægtsmus.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Jonathan Stein (18-11-2002)
Kommentar
Fra : Jonathan Stein


Dato : 18-11-02 11:20

Kim Ludvigsen wrote:

> > I nogle tilfælde er man nødt til at tænke selv.
> >
> > Hvis man står over for en akut farlig situation (det være sig virtuelt
> > eller fysisk), må man vurdere, om man har mulighed for at afværge eller
> > minimere faren og hvilke alternativer der evt. er.
>
> Nu er der så blot ikke tale om en akut farlig situation i forbindelse
> med Valus.

Det var et generelt udsagn, men Valus behandler personlige økonomiske
oplysninger, som kunne være misbrugt (slettet, ændret, kopieret m.v.), og et
sikkerhedshul der muliggjorde dette var blevet offentliggjort. Sådan har jeg i
hvert fald opfattet sagen, og hvis det er korrekt, mener jeg der foreligger en
"farlig" situation.

> > I den aktuelle sag, må der siges at være stor forskel på lige at skulle
> > se, om serveren virkelig gik ned og så at have foretaget en velovervejet
> > handling for at hindre større ulykker - selv om det måske i praksis er den
> > samme handling, man foretager i begge tilfælde.
>
> Det er derfor vores retssystem ser på hensigten bag handlingen.

Netop!

> > Som skrevet i et andet
> > indlæg, havde sagsforløbet nok været et andet, hvis man straks havde
> > skrevet til firmaet hvad man havde gjort og hvorfor.
>
> Ja, der var ikke gået fem måneder, før politiet dukkede op.

Måske var de kommet meget hurtigere - måske var de slet ikke kommet. Men der
havde næppe været belæg for at beslaglægge udstyr, og anklagen havde nok også
været en anden.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Bertel Lund Hansen (18-11-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 18-11-02 16:14

Jonathan Stein skrev:

> Det var et generelt udsagn, men Valus behandler personlige økonomiske
>oplysninger, som kunne være misbrugt (slettet, ændret, kopieret m.v.), og et
>sikkerhedshul der muliggjorde dette var blevet offentliggjort. Sådan har jeg i
>hvert fald opfattet sagen, og hvis det er korrekt, mener jeg der foreligger en
>"farlig" situation.

Jeg bemærker mig anførselstegnene. Tænk lidt over dem.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Jonathan Stein (18-11-2002)
Kommentar
Fra : Jonathan Stein


Dato : 18-11-02 23:11

Bertel Lund Hansen wrote:

> > Det var et generelt udsagn, men Valus behandler personlige økonomiske
> >oplysninger, som kunne være misbrugt (slettet, ændret, kopieret m.v.), og et
> >sikkerhedshul der muliggjorde dette var blevet offentliggjort. Sådan har jeg i
> >hvert fald opfattet sagen, og hvis det er korrekt, mener jeg der foreligger en
> >"farlig" situation.
>
> Jeg bemærker mig anførselstegnene. Tænk lidt over dem.

Jeg har sjovt nok tænkt over dem _inden_ jeg skrev dem...

Desværre tænkte jeg ikke helt så meget, da jeg første gang skrev "akut farlig
situation" - eller rettere sagt havde jeg nok ikke forventet, at udtrykket ville
bide sig fast i diskussionen.
Retteligt er der tale om "en situation med akut fare for misbrug, forvanskning,
sletning eller anden form for misbrug af data". Det er bare lidt længere at skrive.

Sagen om sletning af data i Computerworlds database viser jo, at der er en reel
fare for, at sådan et sikkerhedshul vil blive brugt destruktivt. Man må vælge, om
man vil se pasivt til (hvis man ikke kan komme i kontakt med ansvarlige personer)
eller om man vurderer, at der står så store interesser på spil, at man vil gribe
ind. Den vurdering må man i situationen selv foretage - og efterfølgende kan det
blive en dommers opgave at vurdere beslutningen.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Bertel Lund Hansen (19-11-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 19-11-02 08:26

Jonathan Stein skrev:

> Retteligt er der tale om "en situation med akut fare for misbrug, forvanskning,
>sletning eller anden form for misbrug af data". Det er bare lidt længere at skrive.

Ordvalget (akut fare) lader ane at vi er tæt på lovens
bestemmelser om nødværge. Men det er noget værre vrøvl, og jeg
tager afstand fra en sådan måde at prøve at legitimere en dybt
kritisabel adfærd på.

Hvis naboen har glemt at låse sin dør, er der ingen 'akut fare'
for indbrud. Der er en risiko.

> Sagen om sletning af data i Computerworlds database viser jo, at der er en reel
>fare for, at sådan et sikkerhedshul vil blive brugt destruktivt.

Og nu er der nogen der prøver at give denne destruktive adfærd et
legitimt skær.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Jonathan Stein (20-11-2002)
Kommentar
Fra : Jonathan Stein


Dato : 20-11-02 00:44

Bertel Lund Hansen wrote:

> > Retteligt er der tale om "en situation med akut fare for misbrug, forvanskning,
> >sletning eller anden form for misbrug af data". Det er bare lidt længere at skrive.
>
> Ordvalget (akut fare) lader ane at vi er tæt på lovens
> bestemmelser om nødværge. Men det er noget værre vrøvl, og jeg
> tager afstand fra en sådan måde at prøve at legitimere en dybt
> kritisabel adfærd på.

Mit formål er som tidligere nævnt ikke at legitimere noget ved en
efterrationalisering. Der skal ikke være nogen tvivl om, at jeg i Valus-sagen mener, at
Cubus har gjort noget dumt - og det bliver ikke mindre dumt af, at der kunne være sket
endnu mere alvorlige ting for Valus, for det var - efter hans egen forklaring - slet
ikke med i hans overvejelser.

> Hvis naboen har glemt at låse sin dør, er der ingen 'akut fare'
> for indbrud. Der er en risiko.

En meget god analogi. Hvis man opdager et sikkerhedshul er der normalt heller ikke
"akut fare" for, at det bliver udnyttet, men er hullet blevet offentliggjort (og findes
det hos et "interessant" offer) stiger risikoen ganske betragteligt. Man kunne
sammenligne med, at der i supermarkedet var et opslag med, at den lokale kunstsamler
havde glemt at låse sin dør.
Lad os trække eksemplet lidt længere. I næsten ethvert tænkeligt tilfælde, vil det
korekte være først at forsøge at kontakte naboen - dernæst politiet, hvis der er akut
fare. I helt ekstreme tilfælde kunne man tænke sig, at det bedste (eneste) praktisk
mulige var at fjerne naboens kunstsamling for at undgå tyveri.

> > Sagen om sletning af data i Computerworlds database viser jo, at der er en reel
> >fare for, at sådan et sikkerhedshul vil blive brugt destruktivt.
>
> Og nu er der nogen der prøver at give denne destruktive adfærd et
> legitimt skær.

Kan eller vil du ikke se forskellen? Er det f.eks. tyveri når man fjerner noget for at
beskytte det mod ødelæggelse?

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Bertel Lund Hansen (20-11-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 20-11-02 00:51

Jonathan Stein skrev:

> Kan eller vil du ikke se forskellen? Er det f.eks. tyveri når man fjerner noget for at
>beskytte det mod ødelæggelse?

Hvis man tager naboens maleri, kan man overskue konsekvenserne
(måske - der kunne faktisk komme nogle slemme misforståelser ud
af det). Det kan man ikke hvis man piller ved andres
computersystemer.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Jonathan Stein (20-11-2002)
Kommentar
Fra : Jonathan Stein


Dato : 20-11-02 01:22

Bertel Lund Hansen wrote:

> > Kan eller vil du ikke se forskellen? Er det f.eks. tyveri når man fjerner noget for at
> >beskytte det mod ødelæggelse?
>
> Hvis man tager naboens maleri, kan man overskue konsekvenserne
> (måske - der kunne faktisk komme nogle slemme misforståelser ud
> af det).

Som du er inde på, kan man altid konstruere eksempler, hvor der opstår situationer, man
ikke havde forudset.
Men ved heller ikke om barnet var ved at løbe ud foran bilen ved et uheld eller om det
ville advare bilisten mod ikke at køre ind i det andet barn, som man ikke havde set længere
fremme på vejen. Alligevel bør man ikke tøve med at stoppe et barn, der løber hurtigt ud mod
en vej, hvor der kommer en bil.

Nogle gange er man nødt til at træffe en hurtig beslutning på det foreliggende grundlag
uden at have mulighed for at undersøge alle teoretiske konsekvenser.

En handling, der bringer et system off-line vil - alt andet lige - være mindre skadelig end
en handling, der bringer systemet off-line _og_ sletter alle data.
Det betyder naturligvis ikke, at man bare tankeløst skal udføre denne handling, hvis man
kan gøre noget mere fornuftigt (f.eks. helt undlade at handle).

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Peter Brodersen (18-11-2002)
Kommentar
Fra : Peter Brodersen


Dato : 18-11-02 19:00

On Mon, 18 Nov 2002 09:19:26 +0100, Jonathan Stein <jstein@image.dk>
wrote:

> Hvis man står over for en akut farlig situation (det være sig virtuelt
>eller fysisk), må man vurdere, om man har mulighed for at afværge eller
>minimere faren og hvilke alternativer der evt. er.

Hm, du tænker ikke på nødværge eller deslige, vel?

Det er stadigvæk ikke dit eller mit job at stoppe databasen.

--
- Peter Brodersen

Cubus (18-11-2002)
Kommentar
Fra : Cubus


Dato : 18-11-02 19:14

"Peter Brodersen" <usenet@ter.dk> skrev

> > Hvis man står over for en akut farlig situation (det være sig virtuelt
> >eller fysisk), må man vurdere, om man har mulighed for at afværge eller
> >minimere faren og hvilke alternativer der evt. er.
>
> Hm, du tænker ikke på nødværge eller deslige, vel?
>
> Det er stadigvæk ikke dit eller mit job at stoppe databasen.

Mon ikke du trænger til et lille førstehjælpskursus?

Det står på side 2:

Stands ulykken.

--
Cubus
http://cubus.adsl.dk/



Peter Brodersen (18-11-2002)
Kommentar
Fra : Peter Brodersen


Dato : 18-11-02 21:49

On Mon, 18 Nov 2002 19:14:09 +0100, "Cubus" <cubus@sol.dk> wrote:

>Mon ikke du trænger til et lille førstehjælpskursus?
>
>Det står på side 2:
>
>Stands ulykken.

Da jeg lærte førstehjælp for ca. 10 år siden, omhandlede det primært
menneskers liv. Til trods for IT-æraen tror jeg næppe, det også
omfatter servere. Nødværgeparagraffen omhandler i hvert fald ikke at
slukke en database, fordi data er tilgængelig.

Man kan uden tvivl overføre de fire grundlæggende førstehjælpsråd på
en del krisearbejde, men man behøver ikke at slippe jordforbindelsen
af den grund.

--
- Peter Brodersen

Brian R. Jensen (18-11-2002)
Kommentar
Fra : Brian R. Jensen


Dato : 18-11-02 22:45


"Cubus" <cubus@sol.dk> skrev i en meddelelse
news:arbam2$oag$1@news.cybercity.dk...
> "Peter Brodersen" <usenet@ter.dk> skrev
>
> > > Hvis man står over for en akut farlig situation (det være sig
virtuelt
> > >eller fysisk), må man vurdere, om man har mulighed for at afværge eller
> > >minimere faren og hvilke alternativer der evt. er.
> >
> > Hm, du tænker ikke på nødværge eller deslige, vel?
> >
> > Det er stadigvæk ikke dit eller mit job at stoppe databasen.
>
> Mon ikke du trænger til et lille førstehjælpskursus?
>
> Det står på side 2:
>
> Stands ulykken.

Uanset hvad så skal du ikke lukke serveren.

Men jeg mener også du drejer argumentationen lidt, så vidt jeg husker dit
første indlæg, så var din begrundelse ikke at "standse ulykken".

Derimod var det "jeg har fået fortalt at denne komando/link kan lukke
serveren, det vil jeg da prøve", og set ud fra det er der ingen tvivl for
mig. Du har gjort noget du ikke skulle gøre, indse det og kom videre.

/Brian



Christian Andersen (19-11-2002)
Kommentar
Fra : Christian Andersen


Dato : 19-11-02 21:41

Cubus wrote:

> Mon ikke du trænger til et lille førstehjælpskursus?
>
> Det står på side 2:
>
> Stands ulykken.

Førstehjælpens fire hovedpunkter:

1. Stands ulykken
2. Giv livreddende førstehjælp
3. Tilkald hjælp
4. Giv almindelig førstehjælp

Nu ved jeg selvfølgelig ikke om din bog brugte side 1 til indledning

--
..signature

Jonathan Stein (18-11-2002)
Kommentar
Fra : Jonathan Stein


Dato : 18-11-02 23:38

Peter Brodersen wrote:

> > Hvis man står over for en akut farlig situation (det være sig virtuelt
> >eller fysisk), må man vurdere, om man har mulighed for at afværge eller
> >minimere faren og hvilke alternativer der evt. er.
>
> Hm, du tænker ikke på nødværge eller deslige, vel?

Måske "deslige" i en eller anden form, men ikke nødværge. Jeg tænker i
højere grad på, at forholdet ikke er strafbart, hvis handlingen er udført for
at forhindre større tab. Straffelovens §263 stk. 2 kan ikke bruges, da man
ikke selv har opnået adgang til dataene. §279a kan heller ikke bruges, da der
ikke er tale om egen eller andres uberettigede vinding. Tilbage er de
almindelige paragraffer, hvor hærværk jvf. §291 kunne være aktuelt, men jeg
er meget i tvivl om hvordan den evt. vil blive tolket i forhold til
data-kriminalitet.
Hvis vi kigger civilretsligt er det spørgsmålet, om der kan bevises et tab
- og om tabet kan forbindes til handlingen (hvilket måske bedst belyses ved
at vende spørgsmålet og se, om der ikke ville have været et tab, hvis
handlingen ikke havde været udført).
En cykelanalogi (for forandringens skyld): Man opdager, at naboen har glemt
at låse sin cykel, og låser den inde i sit skur. Den handlings eventuelle
strafbarhed vil givet afhænge af, om man (hurtigst muligt) informerer naboen
om hvad man har gjort.

> Det er stadigvæk ikke dit eller mit job at stoppe databasen.

Ansvarlige samfundsborgere må nogen gange gøre ting, der falder uden for
deres job. - På den anden side bliver hackere ikke ansvarlige samfundsborgere
af en efterrationalisering!

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Alex Holst (18-11-2002)
Kommentar
Fra : Alex Holst


Dato : 18-11-02 10:55

Peter Brodersen <usenet@ter.dk> wrote:
> On Sun, 17 Nov 2002 02:33:35 +0000, Alex Holst <a@mongers.org> wrote:
>
>>Det betyder naturligvis ikke, at man maa splitte andres systemer ad.
>
> .. og nok også tillige, at det ikke er ens job at bekymre sig om
> andres systemer.

Som forbruger har man en interesse i, at de produkter man benytter sig
af, virker korrekt. Jeg taler stadigt ikke om at oedelaegge andres
systemer, men hvis en tilfaeldig forbruger kan faa produktet til at
fejle (Syntax error at 'select CYKELPEDAL from users ...') kun ved
minimal indsats er det et ubehageligt tegn.

For 30 sekunder siden gjorde jeg endnu en virksomhed opmaerksom paa en
sikkerhedsfejl paa deres website. Nu faar vi se om de reagerer godt
eller skidt.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Jakob Andersen (18-11-2002)
Kommentar
Fra : Jakob Andersen


Dato : 18-11-02 18:00

"Alex Holst" <a@mongers.org> wrote
> Har du proevet at sende den slags
> beskeder til virksomheder?

Jeg har sendt op til flere af slagsen i forbindelse med at jeg lavede en
lille undersøgelse af mulighederne for SQL injection på et bredt udvalg af
de større danske hjemmesider, og ja der er meget stor forskel på hvordan de
reagerer. Jeg tjekkede faktisk samme dag som Valus tråden startede for sjov
om Computerworld selv havde fejet for egen dør og fandt til min gru' ud af
at deres debatsektion var hullet som en si, her sendte jeg en email til
webmasteren på debat.computerworld.dk og fik et svar tilbage dagen efter med
en lang smøre fra en såkaldt "Webadministrator" hvor han takkede for
oplysningen men at han var i tvivl om hvordan man løste det(det skal dog
siges til computerworlds forsvar at han ikke var en egentlig udvikler).

Jeg gad vide hvornår brugerdataene blev slettet, for hvis mailen var blevet
sendt hurtigere igennem systemet kunne det formentlig havde været undgået
hvis det er sket efter min henvendelse.

I samme lille undersøgelse fandt jeg også hullede sider en del andre steder
og jeg må sige det er en ufattelig lille procentdel af disse henvendelser
jeg har fået svar på og nu når jeg sidder her og kigger min sendt post
igennem fra den aften jeg lavede undersøgelsen kan jeg se at ud af de 24
henvendelser jeg sendte til webmastere eller hvad de nu kalder de respektive
personer er der stadig op til flere(10+) af hullerne der endnu ikke er
lukket og vi snakker i TOP 50 af danske sites.


> Det betyder naturligvis ikke, at man maa splitte andres systemer ad. Jeg
> har revideret juleoenskerne saa min holdning til dette er mere klar.
> Vedkommende der begyndte at slette dele af databasen hos CW burde
> anal-voldtages af en elefant.

Hørt!

--
Jakob Andersen



Kim Ludvigsen (18-11-2002)
Kommentar
Fra : Kim Ludvigsen


Dato : 18-11-02 19:03

Jakob Andersen wrote:
>
>
> igennem fra den aften jeg lavede undersøgelsen kan jeg se at ud af de 24
> henvendelser jeg sendte til webmastere eller hvad de nu kalder de respektive
> personer er der stadig op til flere(10+) af hullerne der endnu ikke er
> lukket og vi snakker i TOP 50 af danske sites.

Hvis det er steder, hvor der opbevares personoplysninger, skule du måske
lave en "Alex" - altså melde dem til rette myndighed.

--
Mvh. Kim Ludvigsen

Jacob Atzen (18-11-2002)
Kommentar
Fra : Jacob Atzen


Dato : 18-11-02 19:31

"Jakob Andersen" <jakob@effectus.dk> writes:

> Jeg har sendt op til flere af slagsen i forbindelse med at jeg lavede en
> lille undersøgelse af mulighederne for SQL injection på et bredt udvalg af
> de større danske hjemmesider, og ja der er meget stor forskel på hvordan de
> reagerer. Jeg tjekkede faktisk samme dag som Valus tråden startede for sjov
> om Computerworld selv havde fejet for egen dør og fandt til min gru' ud af
> at deres debatsektion var hullet som en si, her sendte jeg en email til
> webmasteren på debat.computerworld.dk og fik et svar tilbage dagen efter med
> en lang smøre fra en såkaldt "Webadministrator" hvor han takkede for
> oplysningen men at han var i tvivl om hvordan man løste det(det skal dog
> siges til computerworlds forsvar at han ikke var en egentlig udvikler).

Har du nogen referencer til gode artikler om den slags, altså sikker
web-kodning når der er en database bagved?

--
Med venlig hilsen
- Jacob Atzen

Alex Holst (18-11-2002)
Kommentar
Fra : Alex Holst


Dato : 18-11-02 19:46

Jacob Atzen <jacob@aub.dk> wrote:
> Har du nogen referencer til gode artikler om den slags, altså sikker
> web-kodning når der er en database bagved?

Der er referencer i 'videre', isaer David Wheeler's bog:

http://a.area51.dk/sikkerhed/videre

Jeg har ogsaa relevante links paa min egen recommended side:

http://a.mongers.org/recommended

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Jacob Atzen (18-11-2002)
Kommentar
Fra : Jacob Atzen


Dato : 18-11-02 19:55

Alex Holst <a@mongers.org> writes:

> Der er referencer i 'videre', isaer David Wheeler's bog:
>
> http://a.area51.dk/sikkerhed/videre
>
> Jeg har ogsaa relevante links paa min egen recommended side:
>
> http://a.mongers.org/recommended

Jeg takker, vil kaste mig over det med det samme.

--
Med venlig hilsen
- Jacob Atzen

Jakob Andersen (18-11-2002)
Kommentar
Fra : Jakob Andersen


Dato : 18-11-02 20:03

"Jacob Atzen" <jacob@aub.dk> wrote
> Har du nogen referencer til gode artikler om den slags, altså sikker
> web-kodning når der er en database bagved?

Udover Alex' links til de udmærkede værker har jeg i al beskedenhed skrevet
en lidt mere "low-tech" ASP/VBScript specifik artikel som er at finde her:

<http://activedeveloper.dk/locator.asp?guid=001000000297>

--
Jakob Andersen



Jacob Atzen (18-11-2002)
Kommentar
Fra : Jacob Atzen


Dato : 18-11-02 20:59

"Jakob Andersen" <jakob@effectus.dk> writes:

> Udover Alex' links til de udmærkede værker har jeg i al beskedenhed skrevet
> en lidt mere "low-tech" ASP/VBScript specifik artikel som er at finde her:
>
> <http://activedeveloper.dk/locator.asp?guid=001000000297>

Mægtigt! Mere af den slags

--
Med venlig hilsen
- Jacob Atzen

Alex Holst (18-11-2002)
Kommentar
Fra : Alex Holst


Dato : 18-11-02 21:11

Jacob Atzen <jacob@aub.dk> wrote:
>> <http://activedeveloper.dk/locator.asp?guid=001000000297>
>
> Mægtigt! Mere af den slags

En af mine tidligere ansatte har skrevet dette:

http://heap.nologin.net/aspsec.html

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Jacob Atzen (18-11-2002)
Kommentar
Fra : Jacob Atzen


Dato : 18-11-02 21:41

Alex Holst <a@mongers.org> writes:

> En af mine tidligere ansatte har skrevet dette:
>
> http://heap.nologin.net/aspsec.html

Både denne og Jakob Andersens artikel drejer sig om input validering.

David Wheeler nævner desuden for PHP:
- Register globals
- Fejl rapportering
- Filnavne
- Fil upload
- Ekskludering af ikke nødvendige filer fra det offentlige filtræ
- Sessions. Som jeg dog ikke kan se kan være farlige hvis man har en
trusted server?
Han nævner også, at en angriber kan placere filer på serveren med
vilkårligt indhold vha. sessions - hvordan det?
- De risikable funktioner (exec, system, etc)

Er der andre klasser af angreb man bør ruste sig imod når man laver
webkodning? Jeg har umiddelbart svært ved at se at en angriber skulle
have andre muligheder for at angribe koden.

--
Med venlig hilsen
- Jacob Atzen

Alex Holst (20-11-2002)
Kommentar
Fra : Alex Holst


Dato : 20-11-02 02:32

Jacob Atzen <jacob@aub.dk> wrote:
> - Sessions. Som jeg dog ikke kan se kan være farlige hvis man har en
> trusted server?

Hvis en lokal bruger kan laese PHP's temp session filer, eller hvis en
angriber har fundet en maade at laese filer paa din maskine, kan denne
information misbruges til blandt andet at fake sessions. Den klassiske
include fejl

http://www.example.com/?menu=/tmp/PHPSESSID_FOO

kan vaere en del af saadan et angreb.

> Han nævner også, at en angriber kan placere filer på serveren med
> vilkårligt indhold vha. sessions - hvordan det?

Sessions implementeres via cookies, der paa serveren skrives i /tmp, med
et filnavn baseret paa cookiens navn. Indholdet af cookien, som er
modtaget fra klienten, laegges i denne temp fil.

> Er der andre klasser af angreb man bør ruste sig imod når man laver
> webkodning? Jeg har umiddelbart svært ved at se at en angriber skulle
> have andre muligheder for at angribe koden.

De ikke-PHP specifikke dele af David's bog omhandler de andre problemer,
f.eks. tales der om hvordan man styrer login og logout over HTTP som er
en stateless protokol. PHP's sessions er protokol-level, hvis jeg husker
korrekt, hvilket betyder at din web applikation ikke umiddelbart har
mulighed for at se forskel paa bruger A og B, og bruger A som har logget
ind som sig selv, kan dermed tilgaa bruger B's data da hun har en gyldig
session id. Adgangskontrollen skal udfoeres paa applikationsniveau.

Det er ikke umuligt at et fejlbehaeftet PHP program kan lokkes til at
benytte meget RAM eller CPU, hvilket kan vaere et problem. Andre
generelle situationer er lige saa relevante for HTTP server-side kode
som det er for en klassisk client/server model. Jeg har ved adskellige
webmail loesninger set at adgangskontrol blev udfoert for sent i en fil
(eller slet ikke), hvilket betoed at enkelte dele af webmail systemet
tillod en angriber at tilgaa samtlige kunders mail og attachede filer.

Jeg ved ikke om du er bekendt med PHP audit projektet:

http://phpaudit.42-networks.com/

Deres fund giver ikke gro-bund for at man sover godt om natten. Derfor er
det maaske vaerd at overveje, om man kan loese sit problem uden at bruge
server-side CGIs, f.eks. ved at benytte et cronjob der skriver sit
output til en statisk HTML fil. Det er noget jeg selv benytter i hoej
grad, men det egner sig naturligvis ikke til alle opgaver.

Er der en bestemt opgave du forsoeger at loese, eller spoerger du af
nysgerrighed? Det kan hjaelpe os med at give mere specifikke raad.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

F.Larsen (21-11-2002)
Kommentar
Fra : F.Larsen


Dato : 21-11-02 10:13

"Alex Holst" <a@mongers.org> wrote in message
news:695ra-9d8.ln1@miracle.mongers.org...
> Jeg ved ikke om du er bekendt med PHP audit projektet:
>
> http://phpaudit.42-networks.com/
>

Er auditten hemmelig, men får nemlig

Forbidden
You were denied access because:
Access denied by access control list.

:=)

--
Flemming
http://home.cbkn.dk/Rhodos/
http://home.cbkn.dk/spyware/



Jacob Atzen (21-11-2002)
Kommentar
Fra : Jacob Atzen


Dato : 21-11-02 22:24

Alex Holst <a@mongers.org> writes:

> Sessions implementeres via cookies, der paa serveren skrives i /tmp, med
> et filnavn baseret paa cookiens navn. Indholdet af cookien, som er
> modtaget fra klienten, laegges i denne temp fil.

Jeg troede faktisk det var omvendt. At man kun gemte sessions id'et i
brugerens cookie og at alle sessionens data blev gemt i /tmp på
serveren. Den måde du beskriver virker da umiddelbart fjollet - og
farlig.

Jeg kan i øvrigt ikke helt se, hvorledes det kan hænge sammen med
muligheden for at benytte PHP's trans_sid - altså sessions uden
cookies med udelukkende ved et sid i URL'en. Oplys mig

> De ikke-PHP specifikke dele af David's bog omhandler de andre problemer,
> f.eks. tales der om hvordan man styrer login og logout over HTTP som er
> en stateless protokol. PHP's sessions er protokol-level, hvis jeg husker
> korrekt, hvilket betyder at din web applikation ikke umiddelbart har
> mulighed for at se forskel paa bruger A og B, og bruger A som har logget
> ind som sig selv, kan dermed tilgaa bruger B's data da hun har en gyldig
> session id. Adgangskontrollen skal udfoeres paa applikationsniveau.

Jeg tror jeg vil bruge noget mere tid i selskab med David's bog
snarest!

> Jeg ved ikke om du er bekendt med PHP audit projektet:

Det var jeg ikke.

> Deres fund giver ikke gro-bund for at man sover godt om natten. Derfor er
> det maaske vaerd at overveje, om man kan loese sit problem uden at bruge
> server-side CGIs, f.eks. ved at benytte et cronjob der skriver sit
> output til en statisk HTML fil. Det er noget jeg selv benytter i hoej
> grad, men det egner sig naturligvis ikke til alle opgaver.

Desværre ikke nej.

> Er der en bestemt opgave du forsoeger at loese, eller spoerger du af
> nysgerrighed? Det kan hjaelpe os med at give mere specifikke raad.

Det er lidt begge dele. Jeg benytter PHP i flere forskellige
sammenhænge - så er det jo godt at vide noget om, hvordan man undgår
de mest åbenlyse farer. Det er dog ikke noget så konkret, at jeg har
mere konkrete spørgsmål end hvad der allerede er stillet.

Men tak for hjælpen. Jeg vil vende tilbage, hvis jeg falder over andre
problemstillinger jeg skal have belyst.

--
Med venlig hilsen
- Jacob Atzen

Jonathan Stein (17-11-2002)
Kommentar
Fra : Jonathan Stein


Dato : 17-11-02 20:47

Asbjorn Hojmark wrote:

> > Men derudover kan man vel sige, at personen, der lukkede Valus
> > database ned rent faktisk gjorde dem en tjeneste. Han sørgede
> > for at andre ikke kunne ødelægge data i databasen.
>
> Det er en fuldstændig idiotisk opstilling af sagen. Man kunne med
> ca. samme ret sige, at jeg kunne gøre dig en tjeneste ved at
> brække benet på dig, så du undgik risikoen for at blive kørt ned
> på gaden.

Uden i øvrigt at tage stilling til sagen, ville den nok have udviklet
sig anderledes, hvis man først havde forsøgt at kontakte firmaet og
dernæst (hvis det ikke lykkedes) straks efter at have lukket serveren
havde skrevet til dem hvad man havde gjort og hvorfor.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Andreas Plesner Jaco~ (16-11-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 16-11-02 00:55

In article <3dd57bcc$0$1536$edfadb0f@dread11.news.tele.dk>, Bjarne Østergård wrote:
>
> En syg person skrev

Jeg forventer en undskyldning.

--
Andreas Plesner Jacobsen | You can't hug a child with nuclear arms.

Bjarne Østergård (16-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 16-11-02 01:28


"Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
news:slrnatb2ah.kh2.apj@slartibartfast.nerd.dk...
> In article <3dd57bcc$0$1536$edfadb0f@dread11.news.tele.dk>, Bjarne
Østergård wrote:
> >
> > En syg person skrev
>
> Jeg forventer en undskyldning.

Hvorfor dog det ?

Men nuvel, hvis du mener at en holdning om kun at ville respktere mennesker
der kan smadre andres maskiner ikke er en syg tanke. ja så må du da så meget
undskylde.

Mig og mine fordomme, beklager.
Troede ikke en sådan holdning i dag kune bo i et raskt menneske.

Har altid troet at den slaks tanker og holdninger var sygelige, men jeg tog
altså fejl igen.

Så altså meget undskyld til dig, du skal da ikke gå og være ked af det.

MVH
Bjarne



Andreas Plesner Jaco~ (16-11-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 16-11-02 01:44

In article <3dd590fe$0$94789$edfadb0f@dread15.news.tele.dk>, Bjarne Østergård wrote:
>
>> > En syg person skrev
>>
>> Jeg forventer en undskyldning.
>
> Hvorfor dog det ?

Fordi du har fornærmet mig.

> Men nuvel, hvis du mener at en holdning om kun at ville respktere mennesker
> der kan smadre andres maskiner ikke er en syg tanke. ja så må du da så meget
> undskylde.

Det vil jeg ikke, men som jeg allerede har forklaret dig een gang: Du
har bragt så mange intetsigende og direkte forkerte udtalelser på banen
at den eneste måde jeg på nogen måde kunne tro på at du vidste bare det
mindste om sikkerhed, endsige hvordan computere fungerer var ved et
praktisk eksempel.
Og synd at sige: Du dumpede, endnu en gang. Du antog (endnu en gang) for
meget om det angrebne, og at du ikke engang i teorien kan stable et
angreb på benene viser med al tydelighed at du ikke ved en klaphat om
hvad du taler om.
Derudover: Jeg bad om adgang til et sådant script, det kan på ingen måde
sammenholdes med at jeg kun har respekt for folk der ødelægger andres
computere. Faktisk har jeg enormt meget imod denne slags mennesker.
Men at være i stand til at bryde ind i en computer vil, over for mig
ihvertfald, være en måde at anskueliggøre at man har forstået noget som
helst af sikkerhed. Men desværre faldt du ikke inden for denne kategori.

> Mig og mine fordomme, beklager.
> Troede ikke en sådan holdning i dag kune bo i et raskt menneske.

Alex har allerede en gang givet udtryk for hvor rask man er, når man har
den grad af tillid til egen kode som du har.
Men du kan jo forklare, hvilken lidelse det er jeg lider af?

--
Andreas Plesner Jacobsen | You are the only person to ever get this message.

Bjarne Østergård (16-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 16-11-02 02:31


"Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
news:slrnatb56q.kh2.apj@slartibartfast.nerd.dk...
> In article <3dd590fe$0$94789$edfadb0f@dread15.news.tele.dk>, Bjarne
Østergård wrote:

> Det vil jeg ikke, men som jeg allerede har forklaret dig een gang: Du
> har bragt så mange intetsigende og direkte forkerte udtalelser på banen
> at den eneste måde jeg på nogen måde kunne tro på at du vidste bare det
> mindste om sikkerhed, endsige hvordan computere fungerer var ved et
> praktisk eksempel.

Det er sgu da også en mærkelig måde at anskue tingene på, man skal bevise at
man er kriminel for at kunne tale med om sikkerhed.
eller for at blive taget alvorligt.

> Og synd at sige: Du dumpede, endnu en gang. Du antog (endnu en gang) for
> meget om det angrebne, og at du ikke engang i teorien kan stable et
> angreb på benene viser med al tydelighed at du ikke ved en klaphat om
> hvad du taler om.
Og du føler dig fornærmet.

Jeg bragte et holdningsspørgsmål på banen.
Det var sgu da det hele.

> Derudover: Jeg bad om adgang til et sådant script, det kan på ingen måde
> sammenholdes med at jeg kun har respekt for folk der ødelægger andres
> computere.
Du påstod at et sådant scripr ikke fandtes, jeg påpegede faktisk bare at jeg
havde et sådant script liggende der kunne skrive på en brugers harddisk osv.

>Faktisk har jeg enormt meget imod denne slags mennesker.
> Men at være i stand til at bryde ind i en computer vil, over for mig
> ihvertfald, være en måde at anskueliggøre at man har forstået noget som
> helst af sikkerhed.
Man kan altså ikke arbejde med sikkerhed før man har bragt den i fare, tror
du da at alle vagtmænd, først skal røve en bank før de kan køre med
pengetransporter.
Hvad er det for nogle omvendte holdninger du har til al ting.

Men desværre faldt du ikke inden for denne kategori.
Ja jeg har aldrig i mit liv forsøgt at bruge min edb viden eller færdigheder
til at skade andre, eller til at bryde ind i andres computere.
Altså må jeg ikke have en mening om sikkerhed.

Med fare for at fornærme dig igen.
Jeg kan altså ikke se det fornuftige i at kun folk der laver indbrud, må
have meninger om sikkerhed.
Så jeg vil ikke igen bruge ordet en syg holdning, men den er da en mærkelig
og omvendt måde at anskue kvalifikationer på.
Du godeste, tænk hvis disse kvalifikationskrav gjalt for andre brancher
også.
Tænk bare på livredere og brandmænd, )
"Godag, jeg vil gerne have jobbet som livreder". ok! Hvor mange har du
druknet ?
Jeg kunne godt finde på flere men det gider du vel ikke høre på.

> Alex har allerede en gang givet udtryk for hvor rask man er, når man har
> den grad af tillid til egen kode som du har.
Hvad skal min egen kode blandes ind i dette for og hvad har min tillid til
egen kode med denne debat at skaffe.
Med hensyn til Alex har jeg ingen kommentarer.

> Men du kan jo forklare, hvilken lidelse det er jeg lider af?
he he skrivekrampe og søvnmangel er mit bud

Men jeg er ikke læge så det skal jeg ikke kunne sige dig, og undersøge dig
må jeg vel ikke.

Med venlig hilsen
Bjarne Østergård



Kent Friis (16-11-2002)
Kommentar
Fra : Kent Friis


Dato : 16-11-02 09:23

Den Sat, 16 Nov 2002 02:30:48 +0100 skrev Bjarne Østergård:
>
>"Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
>news:slrnatb56q.kh2.apj@slartibartfast.nerd.dk...
>> In article <3dd590fe$0$94789$edfadb0f@dread15.news.tele.dk>, Bjarne
>Østergård wrote:
>
>> Det vil jeg ikke, men som jeg allerede har forklaret dig een gang: Du
>> har bragt så mange intetsigende og direkte forkerte udtalelser på banen
>> at den eneste måde jeg på nogen måde kunne tro på at du vidste bare det
>> mindste om sikkerhed, endsige hvordan computere fungerer var ved et
>> praktisk eksempel.
>
>Det er sgu da også en mærkelig måde at anskue tingene på, man skal bevise at
>man er kriminel for at kunne tale med om sikkerhed.
>eller for at blive taget alvorligt.

Skal man være kriminel for at kunne komme med et praktisk eksempel?

Eller har du bare - endnu en gang - ikke fattet hvad der bliver snakket
om?

>Men desværre faldt du ikke inden for denne kategori.
>Ja jeg har aldrig i mit liv forsøgt at bruge min edb viden eller færdigheder
>til at skade andre, eller til at bryde ind i andres computere.

Naturligvis, vi ved alle sammen at din viden - i hvert fald om it
sikkerhed - er ikke-eksisterende.

>Med fare for at fornærme dig igen.
>Jeg kan altså ikke se det fornuftige i at kun folk der laver indbrud, må
>have meninger om sikkerhed.
>Så jeg vil ikke igen bruge ordet en syg holdning, men den er da en mærkelig
>og omvendt måde at anskue kvalifikationer på.

Problemet er ikke at du opfatter det som en syg holdning. Problemet er
at du beskylder Andreas for at have denne holdning.

Hvis du prøver at læse indlæggene igen, så vil du se at han har en PC
stående netop til dette formål. Hvis[1] han skal teste det nye exploit, så
angriber / smadrer han altså sin egen PC, har du noget problem i det?

Prøv at spørge folk der sælger brandsikre pengeskabe, om de nogensinde
har forsøgt at tænde ild omkring skabet. Det har de, trust me.

Prøv at spørge folk der laver biler, om de nogensinde har prøvet at køre
en bil ind i en mur. Det har de. Ikke allesammen, men den afdeling der
står for at teste bilens sikkerhed.

Mvh
Kent

[1] Disclaimer: Jeg ved faktisk ikke om Andreas tester exploits.
--
IE is the only thing capable of making Netscape look good
- D. Spider in comp.os.linux.advocacy

Andreas Plesner Jaco~ (16-11-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 16-11-02 13:41

In article <3dd59fab$0$94737$edfadb0f@dread15.news.tele.dk>, Bjarne Østergård wrote:
>
>> Det vil jeg ikke, men som jeg allerede har forklaret dig een gang: Du
>> har bragt så mange intetsigende og direkte forkerte udtalelser på banen
>> at den eneste måde jeg på nogen måde kunne tro på at du vidste bare det
>> mindste om sikkerhed, endsige hvordan computere fungerer var ved et
>> praktisk eksempel.
>
> Det er sgu da også en mærkelig måde at anskue tingene på, man skal bevise at
> man er kriminel for at kunne tale med om sikkerhed.

Sludder. Det vil ikke være en kriminel handling at foretage
penetration-testing på en maskine, hvor du er blevet bedt om det.

Jeg har på intet tidspunkt bedt dig om at foretage dig noget ulovligt.
Jeg har selv aldrig forsøgt at bryde ind i systemer uden forudgående
aftale med ejeren.

Alligevel bliver du ved med at antyde det, for at få dine egne
argumenter til at passe.

> Jeg bragte et holdningsspørgsmål på banen.

Nej, det gjorde du ikke. Du begyndte at omtale en helt konkret
sikkerhedsfejl. Derefter forvrængede du, hvad jeg sagde og kaldte mine
holdninger kriminelle, og mig selv syg.

>> Derudover: Jeg bad om adgang til et sådant script, det kan på ingen måde
>> sammenholdes med at jeg kun har respekt for folk der ødelægger andres
>> computere.
> Du påstod at et sådant scripr ikke fandtes, jeg påpegede faktisk bare at jeg
> havde et sådant script liggende der kunne skrive på en brugers harddisk osv.

Nej, det gjorde jeg ikke. Jeg spurgte om du kunne give mig adgang til
det. Det gjorde jeg fordi jeg var interesseret i om du havde fundet et
nyt sikkerhedshul. I så fald skulle dette rapporteres til producenten af
softwaren, og muligvis offentliggøres. Det var dog desværre ingen nyhed
du kom med.

> Man kan altså ikke arbejde med sikkerhed før man har bragt den i fare, tror
> du da at alle vagtmænd, først skal røve en bank før de kan køre med
> pengetransporter.
> Hvad er det for nogle omvendte holdninger du har til al ting.

Hvem har snakket om at bringe sikkerheden i fare? Du bliver da nødt til
at forstå din fjende? Jeg har endnu engang ikke bedt nogen om at bryde
ind i tilfældige systemer. Selvfølgelig skal man forstå hvordan et
bufferoverflow virker for at kunne finde et bufferoverflow, det siger da
sig selv.
Hvorfor bliver du ved med at antage at en evne til at KUNNE bryde ind er
ensbetydende med at man vil bruge denne evne på en kriminel måde?

>> Men desværre faldt du ikke inden for denne kategori.
> Ja jeg har aldrig i mit liv forsøgt at bruge min edb viden eller færdigheder
> til at skade andre, eller til at bryde ind i andres computere.

Har jeg da bedt dig om det?

> Altså må jeg ikke have en mening om sikkerhed.

Du må godt have en mening. Du kan dog ikke forvente at folk gider lytte,
når du reelt set ikke ved noget om emnet.

> Jeg kan altså ikke se det fornuftige i at kun folk der laver indbrud, må
> have meninger om sikkerhed.

Hvornår har jeg sagt det?

> Så jeg vil ikke igen bruge ordet en syg holdning, men den er da en mærkelig
> og omvendt måde at anskue kvalifikationer på.

Lad os vende den om: Hvor mange sikkerhedseksperter er IKKE i stand til
at læse og forstå en rapport om et sikkerhedshul? Hvis de ikke er det,
hvordan kan de så forhindre at det bliver udnyttet?

> Du godeste, tænk hvis disse kvalifikationskrav gjalt for andre brancher
> også.

Analogier igen. Som andre allerede har gennemhullet.

>> Alex har allerede en gang givet udtryk for hvor rask man er, når man har
>> den grad af tillid til egen kode som du har.
> Hvad skal min egen kode blandes ind i dette for og hvad har min tillid til
> egen kode med denne debat at skaffe.

At du ikke har forstået, hvordan man opnår sikkerhed i software.

Hvis du bliver ved med at fordreje det jeg siger vil dette blive mit
sidste indlæg i denne tråd af hensyn til de andre i gruppen.

--
Andreas Plesner Jacobsen | There's no such thing as a free lunch.
|    -- Milton Friendman

Kasper Dupont (16-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 16-11-02 15:38

Andreas Plesner Jacobsen wrote:
>
> In article <3dd59fab$0$94737$edfadb0f@dread15.news.tele.dk>, Bjarne Østergård wrote:
> >
> >> Det vil jeg ikke, men som jeg allerede har forklaret dig een gang: Du
> >> har bragt så mange intetsigende og direkte forkerte udtalelser på banen
> >> at den eneste måde jeg på nogen måde kunne tro på at du vidste bare det
> >> mindste om sikkerhed, endsige hvordan computere fungerer var ved et
> >> praktisk eksempel.
> >
> > Det er sgu da også en mærkelig måde at anskue tingene på, man skal bevise at
> > man er kriminel for at kunne tale med om sikkerhed.
>
> Sludder. Det vil ikke være en kriminel handling at foretage
> penetration-testing på en maskine, hvor du er blevet bedt om det.
>
> Jeg har på intet tidspunkt bedt dig om at foretage dig noget ulovligt.
> Jeg har selv aldrig forsøgt at bryde ind i systemer uden forudgående
> aftale med ejeren.
>
> Alligevel bliver du ved med at antyde det, for at få dine egne
> argumenter til at passe.

Det er vist omtrent det samme som er blevet sagt tidligere
uden at Bjarne forstod det.

>
> > Jeg bragte et holdningsspørgsmål på banen.
>
> Nej, det gjorde du ikke. Du begyndte at omtale en helt konkret
> sikkerhedsfejl. Derefter forvrængede du, hvad jeg sagde og kaldte mine
> holdninger kriminelle, og mig selv syg.

Hvis det kan glæde dig, så er de fleste her i gruppen nok mere
tilbøjelige til at betragte Bjarne som værende syg.

>
> Hvorfor bliver du ved med at antage at en evne til at KUNNE bryde ind er
> ensbetydende med at man vil bruge denne evne på en kriminel måde?

Hvis ikke man ved, hvordan et indbrud foretages, er det jo svært
at gøre noget ved det. Man bliver ikke sikkerhedsekspert uden
først at vide hvordan sådan et indbrud foretages. Men selvfølgelig
skal man kun bryde ind de stedder man har lov til det. Og indtil
det modsatte er bevist antager jeg, at en person ikke er brudt ind
hvor han ikke havde lov.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Stig Johansen (16-11-2002)
Kommentar
Fra : Stig Johansen


Dato : 16-11-02 21:34

Hej.

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> wrote in message
news:slrnatcf7p.kh2.apj@slartibartfast.nerd.dk...
> Sludder. Det vil ikke være en kriminel handling at foretage
> penetration-testing på en maskine, hvor du er blevet bedt om det.

Enig, og jeg er faktisk med i et projekt, hvor vi betaler mange DKK, for
netop at få foretaget en penetreringstest(og mm.) mod en løsning hostet i et
ganske stort firma.
Det udførende firma har dog krævet en 'out of jail' erklæring.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)






Andreas Plesner Jaco~ (16-11-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 16-11-02 01:07

In article <3dd57bcc$0$1536$edfadb0f@dread11.news.tele.dk>, Bjarne Østergård wrote:
>
> I en tidligere tråd beskrev jeg dette script, men fik straks at vide at
> noget sådant ikke kunne lade sig gøre.

Du havde endnu engan brugt ganske bombastiske vendinger i dine
udtalelser. Grunden til at det ikke kunne lade sig gøre i dette tilfælde
var at jeg ville have brugt lynx til at vise din side, og denne browser
har ingen scripting-muligheder, så med mindre du havde fundet et
bufferoverflow i den (hvilket jeg simpelt hen ikke tror på at du er i
stand til) kunne jeg føle mig ganske sikker.

> Nu har jeg haft det lagt op på en side, og straks taler i om noget helt
> andet.

Igen pga den måde du omtalte problemet. Det var et ganske kendt
sikkerhedshul, hvorfor ikke bare bruge det almindeligt kendte navn for
det i stedet for at blæse en stemning op i bedste grc-stil?

> Der findes hundredevis af måder hvormed man kan skade en person der
> fredeligt surfer på nettet, men blot fordi man ved det, og at det kan gøres
> berettiger jo ikke til at gøre det.

Nej, men man skal stadig tale sagligt om det.

> Det er det sagen handler om.

Gør det? Mener du da at hovedparten af de sikkerhedskyndige mennesker
herinde sidder og hacker pc'er i al deres fritid?

> En syg person skrev i en tidligere tråd at han kun kunne respektere mig hvis
> jeg kunne smadre hans maskine.
> og at et sådant script bestemt ikke fandtes.

Det vil jeg stadig mene at det ikke gør, da den browser jeg ville
benytte slet ikke kan udføre scripts.

> Derfor lagde jeg det i et kort tidsrum op så i kunne se at det fandtes.
> Faktisk findes der mange af den slags.

Det er vi klar over. Vi føler bare at det er vores pligt at omtale
tingene på en stille og rolig måde. Vi kan alle finde ud af at læse
bugtraq og læse den seneste annoncering om sikkerhedshuller i Internet
Explorer. Det kræver sgu ikke mere hjerne end de fleste mennesker der
besidder en mail-klient er i stand til at skrabe sammen.

> Og de vil kunne bruges på en ond måde, og en god måde.

Hvis Microsoft var deres opgave voksen ville disse huller ikke være
tilgængelige i så lange perioder efter deres offentliggørelse. Og ofte
har Microsoft fået kendskab til disse huller flere uger før de bliver
offentliggjort.

> Men bruges de på en ond måde vil i jo anklage dem det går ud over og
> heliggøre skurken der brugte sin viden til at skade andre med.

Sludder. Hvornår er det sket?

> Det viser jeres debat herinde om values da tydligt, og det er det jeg mener
> er forkert.

Der er ingen tvivl om at det Cubus gjorde var ulovligt. Det store
spørgsmål har været om det Valus har gjort er etisk forsvarligt. Deres
database blev lukket ned på en pæn måde, de blev opmærksom på et
sikkerhedshul de ikke kendte. Historien kunne slutte med at Valus fixede
deres lortekode, men de valgte at tage den et skridt videre.

> Nå selv om jeg lagde omtalte lille script op, kan i åbenbart stadigvæk ikke
> se det komiske i at straffe ofret og lade skurken gå fri.

Det er overhovedet ikke pointen.

> Hvis det var en mordsag, ville man spytte på den døde, sætte pistolen i
> spjældet, og give ham der trykkede på aftrækkeren en medalje.

Analogier holder ikke. Lad være med at bruge dem.

> Jeres holdning til edb sikkerhed er sgu underlig.

Sjovt, for vores holdning afspejler mange af de anerkendte
sikkerhedseksperters holdning i resten af verden.

--
Andreas Plesner Jacobsen | It's like deja vu all over again.
|    -- Yogi Berra

Bjarne Østergård (16-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 16-11-02 01:51

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
news:slrnatb31q.kh2.apj@slartibartfast.nerd.dk...

> > Hvis det var en mordsag, ville man spytte på den døde, sætte pistolen i
> > spjældet, og give ham der trykkede på aftrækkeren en medalje.
>
> Analogier holder ikke. Lad være med at bruge dem.
Det mener i jo kun hvis de giver udtryk for en anden menig en den i denne
grubbe fremherskende.

Se dog ned gennem debatten, det er altid de forudrettede i kritiserer, og
nuvel men god grund måske, men ligefrem at lateligøre dem hver eneste gang
og samtidig i debatten fremhæve dem der egentlig er de skyldige som nogle
vældige karle er altså for meget.

Jeg ved godt at jeg er i bragende minretal med denn holdning her i denne NG.
men nogen bør altså fremføre denne holdning, det er vel et åbent debatforum
vi befinder os i. og ikke et meningsdiktatur.

Det føles som om i er blevet argument resistente her inde.

> > Jeres holdning til edb sikkerhed er sgu underlig.

> Sjovt, for vores holdning afspejler mange af de anerkendte
> sikkerhedseksperters holdning i resten af verden.

Såh ?? Det er jeg nu ikke enig med dig i.
For så kan jeg da hurtigt udråbe nogle nye såkaldte førende og anerkendte
eksperter.
Det der med anerkendte eksperter holder ikke en meter.

Skriv en bog eller kom i medierne og du er ekspert.

Disse begreber er jo noget jurnilister har opfundet for at stive tyndbenede
artikler af.

He, he, reglen er da vist snare den, at hver gang man støder på begrebet,
at det mener de førende eksperter, ja så bør man sgu virkelig blive
skeptsisk.

Nå men jeg har altså en anden indgang til begrebet edb sikkerhed end de
fleste herinde, og jeg indrømmer at det måske også er lidt på tros, da jeg
mener at holdningen over for dem der virkelig bevidst sidder og anvender EDB
teknologien til at lave skade og ødelægge i debatten er al for vag, ingen
tager jo virkelig afstand fra disse hærværksmænd.

Ok systemerne bør være sikre, men alligevel bare læs rundt omkring i
debatten, det er som om det er systemernens skyld det hele og at dem der er
ofrene når sikkerheden svigter bærer hele ansvaret allene.

Det er bare den holdning jeg gerne vil gøøre op med.

Men pyh - ha, det ser ud til at være svært.

Med venlig hilsen
Bjarne Østerård



Andreas Plesner Jaco~ (16-11-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 16-11-02 02:02

In article <3dd5964b$0$94772$edfadb0f@dread15.news.tele.dk>, Bjarne Østergård wrote:
>
>> > Hvis det var en mordsag, ville man spytte på den døde, sætte pistolen i
>> > spjældet, og give ham der trykkede på aftrækkeren en medalje.
>>
>> Analogier holder ikke. Lad være med at bruge dem.
>
> Det mener i jo kun hvis de giver udtryk for en anden menig en den i denne
> grubbe fremherskende.

Vis mig en analogi der ikke kan bøjes til fordel for begge parter og jeg
vil give dig ret.

> Se dog ned gennem debatten, det er altid de forudrettede i kritiserer, og
> nuvel men god grund måske, men ligefrem at lateligøre dem hver eneste gang
> og samtidig i debatten fremhæve dem der egentlig er de skyldige som nogle
> vældige karle er altså for meget.

Du siger "i" - vil du finde et indlæg, hvor jeg har gjort dette?

> Jeg ved godt at jeg er i bragende minretal med denn holdning her i denne NG.
> men nogen bør altså fremføre denne holdning, det er vel et åbent debatforum
> vi befinder os i. og ikke et meningsdiktatur.

Jada, men du bør også være i stand til at argumentere for dit synspunkt,
og indtil videre har du ikke argumenteret med andet end "det står i
loven" - hvilket i sig selv er problematisk i enhver debat, da man så må
begynde at tage udgangspunkt i de supplerende tekster og debatter, der
ligger til grund for §§ne. Ofte vil disse debatter ligge så fjernt fra
den aktuelle sag at det vil ende med et rent "menings-kasteri" - og så
er det jo ikke en debat længere.

> Det føles som om i er blevet argument resistente her inde.

Jeg har ikke set nogen argumenter fra din side, kun påstande.

>> > Jeres holdning til edb sikkerhed er sgu underlig.
>
>> Sjovt, for vores holdning afspejler mange af de anerkendte
>> sikkerhedseksperters holdning i resten af verden.
>
> Såh ?? Det er jeg nu ikke enig med dig i.
> For så kan jeg da hurtigt udråbe nogle nye såkaldte førende og anerkendte
> eksperter.
> Det der med anerkendte eksperter holder ikke en meter.

Så kom da med eksperter der fremfører de samme meninger som dig.

> Skriv en bog eller kom i medierne og du er ekspert.

Nej. Steve Gibson er faktisk god til at være medieluder, det er visse
danskere også, men i bund og grund ville de ikke kunne genkende et
bufferoverflow om de så satte sig på det.

> Nå men jeg har altså en anden indgang til begrebet edb sikkerhed end de
> fleste herinde, og jeg indrømmer at det måske også er lidt på tros, da jeg
> mener at holdningen over for dem der virkelig bevidst sidder og anvender EDB
> teknologien til at lave skade og ødelægge i debatten er al for vag, ingen
> tager jo virkelig afstand fra disse hærværksmænd.

Sikke noget forkvaklet sludder. Du eksponerer nogle få personers
meninger på hele gruppen, blot fordi vi er enige i visse tekniske
detaljer betyder det ikke at vi er enige i alt.

> Ok systemerne bør være sikre, men alligevel bare læs rundt omkring i
> debatten, det er som om det er systemernens skyld det hele og at dem der er
> ofrene når sikkerheden svigter bærer hele ansvaret allene.

Nej, dem der bærer ansvaret er:
1. Dem der udvikler usikre systemer
og
2. Dem der bryder ind i systemer

Så længe personer i kategori 2 eksisterer kan og bør vi (altså de "vi"
der kan ende i kategori 1) kun designe helt sikre systemer, det er et af
de grundlæggende axiomer.

> Det er bare den holdning jeg gerne vil gøøre op med.

Der er ingen herinde der mener at mennesker der bryder ind i systemer er
helte. Der er dog heller ingen der mener at de mennesker der designer
usikre systemer er helte; specielt de mennesker der gang på gang
annoncerer bod og bedring og alligevel ikke gør en skid ved det (her
tænker jeg specielt på Microsoft og ISC).
De virkelige helte skal findes blandt de whitehats, der finder
sikkerhedshuller og rapporterer dem til producenterne. Desværre er de
selvsamme producenter så langsomme i betrækket at den eneste måde at få
dem til at fixe problemerne er ved at offentliggøre problemet; man skal
jo huske at problemet ikke går væk fordi offentligheden ikke kender det,
og når problemet er til stede i softwaren vil der muligvis også være
onde personer der kender til det. Her er vi så tilbage ved at vi kun kan
gå ud fra at der er mindst en person i kategori 2, og at denne person
kender til sikkerhedshullet. Derfor er det også vigtigt at det bliver
fixet så hurtigt som muligt.

Og Bjarne: Gør mig en tjeneste: svar på alt hele mit indlæg, ikke kun de
stumper du kan forvrænge til at passe med dit verdensbillede.

--
Andreas Plesner Jacobsen | Too much of everything is just enough.
|    -- Bob Wier

Christian E. Lysel (16-11-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 16-11-02 02:02

Bjarne Østergård wrote:
> Ok systemerne bør være sikre, men alligevel bare læs rundt omkring i
> debatten, det er som om det er systemernens skyld det hele og at dem
> der er ofrene når sikkerheden svigter bærer hele ansvaret allene.

http://www.snakeoil.dk/kommentarer/20021114-1

....Det er ulovligt at sløse med f.eks. regnskabet eller vedligeholdelse
af bygninger. Vi forstår ikke hvorfor det samme ikke er gældende for
IT-systemer som bliver mere og mere kritiske...


--
Christian E. Lysel, http://www.spindelnet.dk/


Andreas Plesner Jaco~ (16-11-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 16-11-02 02:05

In article <3DD59911.4070407@spindelnet.dk>, Christian E. Lysel wrote:

> > Ok systemerne bør være sikre, men alligevel bare læs rundt omkring i
> > debatten, det er som om det er systemernens skyld det hele og at dem
> > der er ofrene når sikkerheden svigter bærer hele ansvaret allene.
>
> http://www.snakeoil.dk/kommentarer/20021114-1
>
> ...Det er ulovligt at sløse med f.eks. regnskabet eller vedligeholdelse
> af bygninger. Vi forstår ikke hvorfor det samme ikke er gældende for
> IT-systemer som bliver mere og mere kritiske...

Det er vigtigt at fremhæve at de tanker der ligger bag dette er følgende
(vil jeg tro):

En sikkerhedsfejl koster jo ikke kun ejeren af systemet dyrt, men også
alle brugerne, der i mange af de aktuelle sager kan få offentliggjort
mange personlige data (Københavns E, Told&Skat, Valus). Derfor er det at
ejeren af systemet har et så stort ansvar, og burde stå til offentlig
afstraffelse, hvis de ikke har sikret deres software godt nok.

--
Andreas Plesner Jacobsen | Excellent day to have a rotten day.

Bjarne Østergård (16-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 16-11-02 03:17


"Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
news:slrnatb6ep.kh2.apj@slartibartfast.nerd.dk...
> In article <3DD59911.4070407@spindelnet.dk>, Christian E. Lysel wrote:
>
> > > Ok systemerne bør være sikre, men alligevel bare læs rundt omkring i
> > > debatten, det er som om det er systemernens skyld det hele og at dem
> > > der er ofrene når sikkerheden svigter bærer hele ansvaret allene.
> >
> > http://www.snakeoil.dk/kommentarer/20021114-1
> >
> > ...Det er ulovligt at sløse med f.eks. regnskabet eller vedligeholdelse
> > af bygninger. Vi forstår ikke hvorfor det samme ikke er gældende for
> > IT-systemer som bliver mere og mere kritiske...
>
> Det er vigtigt at fremhæve at de tanker der ligger bag dette er følgende
> (vil jeg tro):
>
> En sikkerhedsfejl koster jo ikke kun ejeren af systemet dyrt, men også
> alle brugerne, der i mange af de aktuelle sager kan få offentliggjort
> mange personlige data (Københavns E, Told&Skat, Valus). Derfor er det at
> ejeren af systemet har et så stort ansvar, og burde stå til offentlig
> afstraffelse, hvis de ikke har sikret deres software godt nok.

Jammen de love og regler har vi jo allerrede, registerloven f.eks.
Jeg har da selv for nylig lavet en ansøgning og indberetning til
datatilsynet, hvor jeg skulle gøre rede for vores måde at opbevare og
behandle data på.

Det har alle jo pligt til.
Og disse regler skal man overholde, ændre man noget skal man indberette.

Vi har altså systemer i det offentlige til at tage sig af IT Bygningerne.
Man kan ikke tillade sig selv at lege indbrudstyv for at se om ens data er
gemt godt nok.

Den holder altså ikke, det bliver jo totalt kaos hvis jeres ideer virkelig
blev ført ud i livet.

Med venlig hilsen
Bjarne Østergård




Andreas Plesner Jaco~ (16-11-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 16-11-02 13:32

In article <3dd5aa8d$0$1478$edfadb0f@dread11.news.tele.dk>, Bjarne Østergård wrote:
>
>> En sikkerhedsfejl koster jo ikke kun ejeren af systemet dyrt, men også
>> alle brugerne, der i mange af de aktuelle sager kan få offentliggjort
>> mange personlige data (Københavns E, Told&Skat, Valus). Derfor er det at
>> ejeren af systemet har et så stort ansvar, og burde stå til offentlig
>> afstraffelse, hvis de ikke har sikret deres software godt nok.
>
> Jammen de love og regler har vi jo allerrede, registerloven f.eks.

Virker de? Er det virkelig dyrere at lave fejl end at lave det rigtigt?
Hvis det ikke er virker loven jo ikke.

> Den holder altså ikke, det bliver jo totalt kaos hvis jeres ideer virkelig
> blev ført ud i livet.

Du bliver ved med at lægge ord i munden på folk. Der er ingen der har
sagt at det er en god ide at tilfældige mennesker bryder ind i systemer.

--
Andreas Plesner Jacobsen | APL hackers do it in the quad.

Asbjorn Hojmark (16-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 16-11-02 22:56

On Sat, 16 Nov 2002 12:31:43 +0000 (UTC), Andreas Plesner
Jacobsen <apj@daarligstil.dk> wrote:

> Du bliver ved med at lægge ord i munden på folk. Der er ingen
> der har sagt at det er en god ide at tilfældige mennesker bryder
> ind i systemer.

Jo, det er desværre sket flere gange i diskussionen om Valus'
sikkerhedsproblemer, hvor flere har argumenteret for, at man
gjorde dem en tjeneste ved at ødelægge deres web-sted.

-A
--
http://www.hojmark.org/

Kasper Dupont (16-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 16-11-02 23:52

Asbjorn Hojmark wrote:
>
> On Sat, 16 Nov 2002 12:31:43 +0000 (UTC), Andreas Plesner
> Jacobsen <apj@daarligstil.dk> wrote:
>
> > Du bliver ved med at lægge ord i munden på folk. Der er ingen
> > der har sagt at det er en god ide at tilfældige mennesker bryder
> > ind i systemer.
>
> Jo, det er desværre sket flere gange i diskussionen om Valus'
> sikkerhedsproblemer, hvor flere har argumenteret for, at man
> gjorde dem en tjeneste ved at ødelægge deres web-sted.

Hvad er blevet ødelagt? (Bortset fra Valus troværdighed,
og det kan de vist kun takke sig selv for.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Asbjorn Hojmark (18-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 18-11-02 00:39

On Sat, 16 Nov 2002 23:52:00 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

>> Jo, det er desværre sket flere gange i diskussionen om Valus'
>> sikkerhedsproblemer, hvor flere har argumenteret for, at man
>> gjorde dem en tjeneste ved at ødelægge deres web-sted.

> Hvad er blevet ødelagt?

Er det et retorisk spørgsmål?

Hvis man har noget teknik, der udfører en bestemt funktion, og
man påfører det en eller anden påvirkning, der får den funktion
til ikke længere at virke, så har man i min begrebsverden øde-
lagt det.

-A
--
http://www.hojmark.org/

Allan Olesen (18-11-2002)
Kommentar
Fra : Allan Olesen


Dato : 18-11-02 07:24

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:

>Hvis man har noget teknik, der udfører en bestemt funktion, og
>man påfører det en eller anden påvirkning, der får den funktion
>til ikke længere at virke, så har man i min begrebsverden øde-
>lagt det.

Jeg skal lige huske at oedelaegge min computer, inden jeg tager
paa arbejde. Foer i tiden ville jeg have lukket den, men nu har
du udvidet mit vokabularium.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Bertel Lund Hansen (18-11-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 18-11-02 09:07

Allan Olesen skrev:

>Jeg skal lige huske at oedelaegge min computer, inden jeg tager
>paa arbejde. Foer i tiden ville jeg have lukket den, men nu har
>du udvidet mit vokabularium.

Jeg kan nu godt forstå hvor Asbjørn vil hen. I første omgang
tænkte jeg også at databasen 'bare' var lukket ned og at der
derfor ikke var ødelagt noget. Men hvis min computer *lige nu*
'bare' blev lukket ned, ville jeg rent faktisk blive ret sur, og
det ville tage mig lidt tid at få liv i den igen og komme ind i
den tankegang jeg var midt i. Hvis jeg drev en bankvirksomhed og
mit system 'bare' blev lukket ned med et brag, så ville alle
kasseterminaler og medarbejdercomputer (og
hjemmebankforbindelser) blive virkningsløse på sekunden med
fristrerede medarbejdere og sure kunder til følge. Det er
rimeligt at sidestille det med hærværk.

I 'normale ' sammenhænge er vi vant til at der er visse
omgangsformer der fungerer også når nogen træder ved siden af
loven. Man har ikke lov at gå ind i naboens hus selv om han har
glemt at låse døren, men man udviser godt naboskab ved at minde
ham om det når man træffer ham igen. Man må ikke køre folk ned på
gaden selv om de fjumrer ud midt i trafikken, og det er forbudt
at køre med andres bil selv om den holder med nøglerne i og tændt
motor.

Den slags tager man som en selvfølge. Men edb-land betragtes
stadig som stedet hvor alt kan ske og idioterne der ikke ved det
og ikke tager højde for det, er til grin. Det er ikke en holdbar
indstilling i længden.

Asbjørn har ret når han påpeger at der på en måde ikke er noget
virtuelt ved nettet. At lukke nettjenester ned er en handling af
samme type - omend ikke nødvendigvis i samme fareklasse - som at
lukke telefonnettet eller radioen eller tv-stationerne eller
politiets systemer eller hospitalssystemer.

Dette må på ingen måde opfattes som et forsvar for Valus'
amatøragtige system. Det er naturligvis chokerende at sådan noget
overhovedet når længere end til skitsestadiet.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Allan Olesen (18-11-2002)
Kommentar
Fra : Allan Olesen


Dato : 18-11-02 21:30

Bertel Lund Hansen <nospam@lundhansen.dk> wrote:

>>Jeg skal lige huske at oedelaegge min computer, inden jeg tager
>>paa arbejde. Foer i tiden ville jeg have lukket den, men nu har
>>du udvidet mit vokabularium.
>
>Jeg kan nu godt forstå hvor Asbjørn vil hen. I første omgang
>tænkte jeg også at databasen 'bare' var lukket ned og at der
>derfor ikke var ødelagt noget.

Vi kan da sagtens alle vaere enige om, at der var tale om en
uberettiget nedlukning. Maaske ogsaa strafbar - det vil vise sig.

Men at nedlukningen var uberettiget er en daarlig undskyldning
for at kalde den andet end en nedlukning, og det er ydermere
sproglig inflation. Hvilket ord skal vi nu bruge i situationer,
hvor der vitterligt _er_ tale om oedelaeggelse?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Peder Vendelbo Mikke~ (19-11-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 19-11-02 01:04

Allan Olesen skrev:

Dette er ikke specielt rettet imod dit indlæg eller dig (hvis du skulle
være i tvivl), jeg synes blot at dit indlæg var et passende afsæt.

I øvrigt synes jeg at sproget bedst debatteres i dk.kultur.sprog.

> Hvilket ord skal vi nu bruge i situationer, hvor der vitterligt _er_
> tale om oedelaeggelse?

Ordet sabotage eller hærværk virker fint for mig, f.eks. i de nylige
sager hvor nogle har kunnet lave indbrud på nogle servere og smugle tro-
janske heste ind i nogle opensource programmer.

Man kan selvfølgelig forsøge at argumentere for at den økonomiske skade
er minimal, da det har drejet sig om frit software, jeg synes dog stadig-
væk at det er sabotage og ikke harmløse drengestreger man skal se gennem
fingre med.

Hvordan skal man nogensinde kunne tro på at de involverede programmer er
trojan-fri? Man ved jo ikke om næste trojanske hest i programmet offent-
liggøres i næste uge.

Såvidt jeg har forstået, er det ikke engang udviklernes skyld da serverne
vistnok blev driftet "ude i byen".
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >


Allan Olesen (19-11-2002)
Kommentar
Fra : Allan Olesen


Dato : 19-11-02 01:29

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote:

>I øvrigt synes jeg at sproget bedst debatteres i dk.kultur.sprog.

Ja, hvis der var tale om en generel diskussion af sprogligt
forfald. Men ikke, hvis der er tale om at faa begreberne paa
plads for at kunne gennemfoere en diskussion.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Bertel Lund Hansen (19-11-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 19-11-02 08:31

Allan Olesen skrev:

>Men at nedlukningen var uberettiget er en daarlig undskyldning
>for at kalde den andet end en nedlukning, og det er ydermere
>sproglig inflation. Hvilket ord skal vi nu bruge i situationer,
>hvor der vitterligt _er_ tale om oedelaeggelse?

Dels forstår jeg godt at Asbjørn var lidt skarp fordi han skrev
midt i en bølge af forsvar for nedlukningen, dels har han vel
villet understrege at en nedlukning kan ødelægge den del af en
forretning som ville være forekommet hvis databasen havde været
åben.

Hvem ved hvad konsekvensen vil være af at lukke et fremmed
systems database ned? Det gør ingen ud over samme systems
operatører.

Kalder man det ikke hærværk eller ødelæggelse hvis nogen fjerner
et færdselsskilt selv om de gemmer det omhyggeligt af vejen og
passer på det?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Allan Olesen (19-11-2002)
Kommentar
Fra : Allan Olesen


Dato : 19-11-02 17:54

Bertel Lund Hansen <nospam@lundhansen.dk> wrote:

>Kalder man det ikke hærværk eller ødelæggelse hvis nogen fjerner
>et færdselsskilt selv om de gemmer det omhyggeligt af vejen og
>passer på det?

Godt spoergsmaal. Jeg tror det ikke, men du har muligvis ret.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Jonathan Stein (20-11-2002)
Kommentar
Fra : Jonathan Stein


Dato : 20-11-02 00:48

Bertel Lund Hansen wrote:

> Kalder man det ikke hærværk eller ødelæggelse hvis nogen fjerner
> et færdselsskilt selv om de gemmer det omhyggeligt af vejen og
> passer på det?

Det kommer an på formålet. Hvis man vil genere trafikken, kan det
måske kaldes hærværk. Hvis man ser nogle hærværksfolk gå rundt og
ødelægge færdselsskilte, vil man nok kalde det beskyttelse af
færdselsskiltet.
Bruger man tiden på at fjerne skiltet i stedet for at tilkalde
politiet, som med stor sandsynlighed kunne have stoppet hærværket, ville
man nok kalde det uovervejet eller tåbelig beskyttelse af
færdselsskiltet.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Asbjorn Hojmark (18-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 18-11-02 23:14

On Mon, 18 Nov 2002 07:24:09 +0100, Allan Olesen
<aolesen@post3.tele.dk> wrote:

> Jeg skal lige huske at oedelaegge min computer, inden jeg tager
> paa arbejde. Foer i tiden ville jeg have lukket den, men nu har
> du udvidet mit vokabularium.

Du gør hvad du kan for at undgå at forstå?

-A
--
http://www.hojmark.org/

Allan Olesen (18-11-2002)
Kommentar
Fra : Allan Olesen


Dato : 18-11-02 23:55

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:

>Du gør hvad du kan for at undgå at forstå?

Se mit svar til Bertel vedr. sproglig inflation.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Cubus (17-11-2002)
Kommentar
Fra : Cubus


Dato : 17-11-02 01:16

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev

> ødelægge deres web-sted.

Hørt!, - det var jo nærmest en omgang 11. september i den
virtuelle verden! ... Nej, det var endnu værre!

--
Cubus
http://cubus.adsl.dk/



Asbjorn Hojmark (18-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 18-11-02 00:41

On Sun, 17 Nov 2002 01:16:12 +0100, "Cubus" <cubus@sol.dk> wrote:

>> ødelægge deres web-sted.

> Hørt!, - det var jo nærmest en omgang 11. september i den
> virtuelle verden! ... Nej, det var endnu værre!

Hvis du virkelig har så store problemer med at indse, at det du
foretager dig ved din pc kan have virkelig betydning for dem det
går ud over, så vil jeg sgu næsten håbe, du bliver dømt og dermed
får lejlighed til at genoverveje situationen.

-A
--
http://www.hojmark.org/

Cubus (18-11-2002)
Kommentar
Fra : Cubus


Dato : 18-11-02 17:28

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev

> så vil jeg sgu næsten håbe, du bliver dømt og dermed
> får lejlighed til at genoverveje situationen.

Jeg kunne ikke være mere enig. Jeg vil personligt arbejde for at
skærpende omstændigheder kommer på tale, så kun den
allerstrengeste straf kan blive en realitet. Så kan jeg lære det kan jeg!

--
Cubus
http://cubus.adsl.dk/



Asbjorn Hojmark (16-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 16-11-02 22:55

On Sat, 16 Nov 2002 03:17:13 +0100, "Bjarne Østergård"
<boe@ydicon.dk> wrote:

> Jammen de love og regler har vi jo allerrede, registerloven f.eks.

Der er ikke (længere) noget, der hedder "registerloven" og der
var i øvrigt før i tiden to. Din viden om lovgivningen på området
er måske begrænset?

> Vi har altså systemer i det offentlige til at tage sig af IT
> Bygningerne. Man kan ikke tillade sig selv at lege indbrudstyv
> for at se om ens data er gemt godt nok.

Det er jeg til gengæld fuldstændig enig med dig i.

-A
--
http://www.hojmark.org/

Stig Johansen (16-11-2002)
Kommentar
Fra : Stig Johansen


Dato : 16-11-02 23:06

Hej.

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:ucfdtuokd61b5ia0ggohla17d3aih8qf8q@news.tiscali.dk...
> Der er ikke (længere) noget, der hedder "registerloven" og der

Næh, og før 1/7 2001 hed det vist endda registerforskrifter?

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)




Bjarne Østergård (16-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 16-11-02 03:10


"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> skrev i en meddelelse
news:3DD59911.4070407@spindelnet.dk...
> Bjarne Østergård wrote:
> > Ok systemerne bør være sikre, men alligevel bare læs rundt omkring i
> > debatten, det er som om det er systemernens skyld det hele og at dem
> > der er ofrene når sikkerheden svigter bærer hele ansvaret allene.
>
> http://www.snakeoil.dk/kommentarer/20021114-1
>
> ...Det er ulovligt at sløse med f.eks. regnskabet eller vedligeholdelse
> af bygninger. Vi forstår ikke hvorfor det samme ikke er gældende for
> IT-systemer som bliver mere og mere kritiske...

Se det var et godt argument, og det kan jeg kun tilslutte mig.

Men i den virkelige verden har vi myndigheder nedsat gennem demokratiske
regler og principper.
Der går borgerne ikke på egen hånd, og på eget intiativ rundt og vælter
folks bygninger, blot fordi de ikke kan lide fasaden, eller indretningen.

Mvh
Bjarne Østergård



Kent Friis (16-11-2002)
Kommentar
Fra : Kent Friis


Dato : 16-11-02 09:35

Den Sat, 16 Nov 2002 03:09:54 +0100 skrev Bjarne Østergård:
>
>"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> skrev i en meddelelse
>news:3DD59911.4070407@spindelnet.dk...
>> Bjarne Østergård wrote:
>> > Ok systemerne bør være sikre, men alligevel bare læs rundt omkring i
>> > debatten, det er som om det er systemernens skyld det hele og at dem
>> > der er ofrene når sikkerheden svigter bærer hele ansvaret allene.
>>
>> http://www.snakeoil.dk/kommentarer/20021114-1
>>
>> ...Det er ulovligt at sløse med f.eks. regnskabet eller vedligeholdelse
>> af bygninger. Vi forstår ikke hvorfor det samme ikke er gældende for
>> IT-systemer som bliver mere og mere kritiske...
>
>Se det var et godt argument, og det kan jeg kun tilslutte mig.

Utroligt.

>Men i den virkelige verden har vi myndigheder nedsat gennem demokratiske
>regler og principper.
>Der går borgerne ikke på egen hånd, og på eget intiativ rundt og vælter
>folks bygninger, blot fordi de ikke kan lide fasaden, eller indretningen.

Der er heller ikke nogen herinde der angriber *folks* computere (Cubus
undtaget, men han har vist også fortrudt). Og du glemmer lige en ting:
Mange herinde er rent faktisk ansat til at arbejde med sikkerhed. De går
altså ikke rundt "på egen hånd", de gør det fordi de får løn for det.

Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"

Christian E. Lysel (16-11-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 16-11-02 01:52

Bjarne Østergård wrote:
> Hvis det var en mordsag, ville man spytte på den døde, sætte pistolen i
> spjældet, og give ham der trykkede på aftrækkeren en medalje.

Du sammenligner mord med kende trivielle fejl (her tænkes på direkte
kørelse af SQL udtryk og sårbar software versioner der eksistere
fejlrettelser til). Det gider jeg ikke at tage stilling til.

Som køber/bruger af et produkt, er det i min interesse at huller bliver
offentlige kende, så jeg kan tage stilling til dette.

> Jeres holdning til edb sikkerhed er sgu underlig.

Hvem er "Jeres"?

Min holdning er, at man finde en fejl, kontakter producenten,
producenten bygger en patch, man gør fejlen offentlig kendt.

Der kan dog være situationer, hvor det kan være i offentlighedens
interesse at kende til eksistensen af hullet og evt. hvordan hullet kan
omgåes inden fejlen bliver rettet.

Af andre problemer kan nævnes at producenten ikke kan se eller afviser
at der er et sikkerhedsproblem.

Endvidere hvordan finder man fejl på lovlig vis, i et edb-system der
eges af andre (som fx Valus)? Hvis jeg kan se der er et sikkerhedproblem
i systemmet, men gerne vil teste det inden jeg går videre med det,
hvordan gør jeg så. Ringer jeg til Valus og spørger om de vil sætte et
testmiljø jeg kan teste i?


Jeg har selv oplevet en sikkerhedsproducent der brugte 6 måneder på at
rette en fejl i en firewall. Her valgte jeg dog ikke fortælle offentligt
om fejlen inden patchen.


Endvidere skal det nævnes at nogle producenter ikke fortæller om
sikkerhedsproblemmer de retter!!


--
Christian E. Lysel, http://www.spindelnet.dk/


Bjarne Østergård (16-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 16-11-02 03:04


"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> skrev i en meddelelse
news:3DD596B9.4000203@spindelnet.dk...
> Bjarne Østergård wrote:
> > Hvis det var en mordsag, ville man spytte på den døde, sætte pistolen i
> > spjældet, og give ham der trykkede på aftrækkeren en medalje.
>
> Du sammenligner mord med kende trivielle fejl (her tænkes på direkte
> kørelse af SQL udtryk og sårbar software versioner der eksistere
> fejlrettelser til). Det gider jeg ikke at tage stilling til.
Det var altså metn humoristisk

> Som køber/bruger af et produkt, er det i min interesse at huller bliver
> offentlige kende, så jeg kan tage stilling til dette.
>
> > Jeres holdning til edb sikkerhed er sgu underlig.
>
> Hvem er "Jeres"?
"jeres" Er en tiltaleform der bruges når man taler til en gruppe i stedet
for til en enkelt person
i dette tilfælde er det dem der selv føler at de tilhøter den gruppe der
tales til, og som jo nok er dem der også deltager.

> Min holdning er, at man finde en fejl, kontakter producenten,
> producenten bygger en patch, man gør fejlen offentlig kendt.
>
> Der kan dog være situationer, hvor det kan være i offentlighedens
> interesse at kende til eksistensen af hullet og evt. hvordan hullet kan
> omgåes inden fejlen bliver rettet.
Hvem udnævner dig til offentlig politibetjent, og hvem giver dig beføjelser
til indbrud for blot at konttrolere om det kan lade sig gøre.
kan du ikke selv høre at det er et totalt retsløst samfund du argumentere
for.

Selvudnævnte politifolk og dommere, bevar mig vel
i Afganistan kalder den slags folk sig for krigsherrer.

> Af andre problemer kan nævnes at producenten ikke kan se eller afviser
> at der er et sikkerhedsproblem.
Har du ikke tillid til købmanden så køb ikke hans varer, det er et frit
valg. og fortæl da også gerne under alm. ansvar hvorfor du ikke vil handle
med ham. Men at udsætte ham for kriminelle handlinger blot fordi du eller en
anden mener at skulle bevise noget i jeres egenskab af selvudnævnt
sikkerhedspoliti, kan jeg altså ikke gå ind for.

> Endvidere hvordan finder man fejl på lovlig vis, i et edb-system der
> eges af andre (som fx Valus)? Hvis jeg kan se der er et sikkerhedproblem
> i systemmet, men gerne vil teste det inden jeg går videre med det,
> hvordan gør jeg så. Ringer jeg til Valus og spørger om de vil sætte et
> testmiljø jeg kan teste i?
Gør det som der gøres i det øvrige samfund.
Vi har udmærkede myndigheder, vi kan ikke ha folk til at udnævne sig selv
til myndighed og tildele sig selv rettigheder.

> Jeg har selv oplevet en sikkerhedsproducent der brugte 6 måneder på at
> rette en fejl i en firewall. Her valgte jeg dog ikke fortælle offentligt
> om fejlen inden patchen.
Hvem har dog pålagt dig den opgave at offentliggøre virksomheders udbyggelse
af deres sikkerhedssystemer.
Hvad er det der sker? hvad er det dog for et samfund i genren vil ha.
For mig lyder det altså uhyggeligt.
Hvis jeg ikke vidste bedere ville jeg tro det var et filmmanuskript du
henviste til om en fremtidsfilm med uhyggelige tilstande i samfundet
Det komplet lovløse samfund.

> Endvidere skal det nævnes at nogle producenter ikke fortæller om
> sikkerhedsproblemmer de retter!!

Forventer du da virkelig at virksomheder skulle sidde og offentliggørre hver
gang de videreudvikler på deres projekter.

Hvam skulle betale for al den tid, og hvorfor pokker skulle man dog fortælle
sine konkkurenter om det

Jeg kan ikke dele din filofosi, for meg virker hele den holdning til tingene
med selvudnævnte sikkerhedspolitibetjente skræmmende og afskueligt.
Beklager.

I middelalderen havde vi heksejægere, lad os ikke få disse tilstande i
informationssamfundets middelalder.

Med venlig hilsen
Bjarne Østergård





Christian E. Lysel (16-11-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 16-11-02 11:05

Bjarne Østergård wrote:
> Det var altså metn humoristisk

Godt.

>>Hvem er "Jeres"?
>
> "jeres" Er en tiltaleform der bruges når man taler til en gruppe i stedet
> for til en enkelt person
> i dette tilfælde er det dem der selv føler at de tilhøter den gruppe der
> tales til, og som jo nok er dem der også deltager.

Jeg forstod det som resten af Internet.

>>Min holdning er, at man finde en fejl, kontakter producenten,
>>producenten bygger en patch, man gør fejlen offentlig kendt.
>>
>>Der kan dog være situationer, hvor det kan være i offentlighedens
>>interesse at kende til eksistensen af hullet og evt. hvordan hullet kan
>>omgåes inden fejlen bliver rettet.
> Hvem udnævner dig til offentlig politibetjent, og hvem giver dig beføjelser
> til indbrud for blot at konttrolere om det kan lade sig gøre.
> kan du ikke selv høre at det er et totalt retsløst samfund du argumentere
> for.

Jeg snakker ikke om indbrud, men om at finde software fejl.

>>Af andre problemer kan nævnes at producenten ikke kan se eller afviser
>>at der er et sikkerhedsproblem.
> Har du ikke tillid til købmanden så køb ikke hans varer, det er et frit
> valg. og fortæl da også gerne under alm. ansvar hvorfor du ikke vil handle
> med ham. Men at udsætte ham for kriminelle handlinger blot fordi du eller en
> anden mener at skulle bevise noget i jeres egenskab af selvudnævnt
> sikkerhedspoliti, kan jeg altså ikke gå ind for.

Mener du virkelig at hvis jeg bruger penge på noget software og finde et
sikkerhedshul skal jeg købe et andet produkt?

Hvilken software producent tager deres varer retur?

>>Endvidere hvordan finder man fejl på lovlig vis, i et edb-system der
>>eges af andre (som fx Valus)? Hvis jeg kan se der er et sikkerhedproblem
>>i systemmet, men gerne vil teste det inden jeg går videre med det,
>>hvordan gør jeg så. Ringer jeg til Valus og spørger om de vil sætte et
>>testmiljø jeg kan teste i?
> Gør det som der gøres i det øvrige samfund.
> Vi har udmærkede myndigheder, vi kan ikke ha folk til at udnævne sig selv
> til myndighed og tildele sig selv rettigheder.

Hvilken myndighed ville du henvende dig til i fx Valus sagen?

Hvis du snakker om datatilsynet, så har Alex kontaktet dem.

>>Jeg har selv oplevet en sikkerhedsproducent der brugte 6 måneder på at
>>rette en fejl i en firewall. Her valgte jeg dog ikke fortælle offentligt
>>om fejlen inden patchen.
> Hvem har dog pålagt dig den opgave at offentliggøre virksomheders udbyggelse
> af deres sikkerhedssystemer.

Jeg mener jeg har en pligt over for bla. mine kunder jeg installere
sikkerhedsløsninger for at informere om sikkerhedsproblemer.

Endvidere mener jeg det er i offentlighedens interesse at vide om
sikkerhedsproblemmerne.

> Hvad er det der sker? hvad er det dog for et samfund i genren vil ha.
> For mig lyder det altså uhyggeligt.
> Hvis jeg ikke vidste bedere ville jeg tro det var et filmmanuskript du
> henviste til om en fremtidsfilm med uhyggelige tilstande i samfundet
> Det komplet lovløse samfund.

Mener du seriøst at følgende er lovløst,

http://www.spindelnet.dk/?path=/security/vulnerability

Vi snakker forbi hinanden. Jeg tror du snakker om at vælte systemer, jeg
snakker om at finde fejl i dem og informere producenten.



Men Bjarne, jeg har nu i sidste uge fundet et andet seriøst
sikkerhedshul i den mest udbredte VPN løsning.

Skal jeg blot ignorere problemet, eller melde det til en myndighed,
eller melde det til producenten, og skal jeg fortælle offentligt om dette?

>>Endvidere skal det nævnes at nogle producenter ikke fortæller om
>>sikkerhedsproblemmer de retter!!
> Forventer du da virkelig at virksomheder skulle sidde og offentliggørre hver
> gang de videreudvikler på deres projekter.

Ja, hvordan skal jeg som køber ellers sikre mig?

> Hvam skulle betale for al den tid, og hvorfor pokker skulle man dog fortælle
> sine konkkurenter om det

Forventer du det samme om en bilproducent der finder sikkerhedsfejl i
deres bremser, at man blot hemligholder informationen fordi hensynet til
konkurrence er størrer end hensynet til køberen.

> Jeg kan ikke dele din filofosi, for meg virker hele den holdning til tingene
> med selvudnævnte sikkerhedspolitibetjente skræmmende og afskueligt.
> Beklager.

Jeg kan ikke forstå sammenligningen med selvudnævnt sikkerhedspoltibetjent.

> I middelalderen havde vi heksejægere, lad os ikke få disse tilstande i
> informationssamfundets middelalder.

Har vi disse tilstande?

--
Christian E. Lysel, http://www.spindelnet.dk/


Søren Christensen (16-11-2002)
Kommentar
Fra : Søren Christensen


Dato : 16-11-02 16:06


"Bjarne Østergård" <boe@ydicon.dk> wrote in message
news:3dd5a77f$0$15031$edfadb0f@dread14.news.tele.dk...
> Hvem udnævner dig til offentlig politibetjent, og hvem giver dig
beføjelser
> til indbrud for blot at konttrolere om det kan lade sig gøre.
> kan du ikke selv høre at det er et totalt retsløst samfund du argumentere
> for.
>
> Selvudnævnte politifolk og dommere, bevar mig vel
> i Afganistan kalder den slags folk sig for krigsherrer.

Prøv med følgende eksempel.
Om 6 måneder kommer to almindelige udklædte folk på besøg hos dig. De har
en udskrift fra byretten om at de må foretage en ransagning hos dig - det er
to politifolk fra CCU. Du bliver samtidig informeret om at du er sigtet for
at have udøvet 'hacking' og 'hærværk' mod et firma du aldrig har hørt om. Et
par uger senere får du og din advokat forsvarets genparter til gennemgang. I
disse dokumenter fremgår det tydeligt at det er din IP addresse der har
sendt et request til det 'ukendtes' firmas server der medførte at deres
system gik ned (for et eksempel; en shutdown som Cubus udførte).
Problemet er bare at du aner ikke hvordan dette er sket og du har
ihvertfald ikke selv gjort det. Politiet tror dig desværre ikke for du er jo
producent af et sikkerhedsprodukt. Dommen fældes, du får 2 års betinget
fængsel, bødestraf på et par tusinde og den computer som politiet
konfiskerede beholder de til evig eje.
Du står stadig som et spørgsmålstegn for du aner ikke hvad der er sket. En
meget meget ubehaglig situation at være i.

Nu er dette fiktion, men hvad der rent faktisk kunne have været sket er
følgende:
I en sen nattestund sad du og browsede på webbet som så mange gange før. Du
surfede ind på en tilfældig side lavet af en 'hacker' som indeholdt
informationer omkring sikkerhed, du fandt denne side fra en søgemaskine. Det
viste sig at der på siden ikke var noget specielt godt information, så du
surfede hurtigt væk. MEN siden indeholdt en lille frame nede i højre hjørne
der lavede forespørgelser på det, for dig, ukendte firmas websted. Disse
forespørgelser var malformet så de lage firmaets websted ned. Du så dem bare
aldrig eller havde overhovedet nogen ide om at de var der. Du surfede jo
bare rundt på webbet. Men det var fra din computer at de blev lavet og du er
jo IT mand så ligegyldigt hvad du siger så tror politiet dig ikke - for de
har jo din IP i webstedets logfiler uden referrer eller andet. Siden hvorpå
disse forespørgelser blev lavet er forlængst taget ned. Faktum er, selvom du
er uskyldig så bliver du dømt fordi du ikke kan modbevise politiets beviser.

Er dette et utænkeligt scenario. Bestemt ikke, Valus understregede jo selv
hvordan simple URLer kan nedlægge deres databaseserver. Du havde selv et
lignende sikkerhedshul på dit websted. Hundredevis af andre danske websteder
har også disse huller - det er bare et spørgsmål om tid før en scripttumpe
eller en anden ondsindet person laver en side med en usynlig frame og et
meta tag der laver sjove forespørgelser.

Faktum er, at situationen er ekstrem sprængfarlig hvis ikke det bliver
lovgivet at det er firmaerne selv der er ansvarlige for simple
forespørgelser mod deres maskiner - ellers kan uskyldige folk blive dømt.
Samtidig med er det også lidt uhyggeligt at fordi Politiet har din IP
addresse fra en logfil, så er det dit ansvar at bevise at du ikke har haft
ondsindet hensigt.

Det er endnu mere *suk* når du forestiller dig at halvdelen af firmaerne du
kontakter, for at gøre dem opmærksom på et sådant hul på deres websted,
fuldstændig ignorere det. At 25% ikke umiddelbart tror på dig. At kun
enkeltstående firmaer tager konsekvensen og får det rettet indefor 24 timer.
At andre firmaere sviner dig til for at have 'hacket' deres websted. At
endnu andre firmaer truer med fysisk vold eller retsager. At ingen firmaer
overhovedet gør deres kunder opmærksom på at de har haft et hul.
Efter lidt tid med dette gider man ikke kontakte flere firmaere, men i
stedet gør man opmærksom på problemerne når et firma kommer i medierne - for
derefter at blive sigtet for 4 gange medviken til hacking og hærværk...






Kasper Dupont (16-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 16-11-02 11:26

"Bjarne Østergård" wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> news:3DD57413.C378FB8A@daimi.au.dk...
> > Thor Larholm wrote:
> > >
> > > "Thor Larholm" <me@nowhere.invalid> wrote in message
> > > news:LebB9.3688$WP.2713@news.get2net.dk...
> > >
> > > > Hvorfor ville du egentlig tage æren for Andreas' fund?
> > >
> > > Indlæg forwardet til boe@ydicon.dk, det kunne være interessant at høre
> > > svaret.
> >
> > Siden findes ikke mere, kan de to ting have noget med hinanden at gøre?
>
> Sikke da noget forvrøvlet vås.

URLen var: http://www.ydicon.dk/startprog.htm
Og hold nu godt øje med denne http session:

[kasperd@horse02:pts/6:kasperd] telnet www.ydicon.dk 80
Trying 80.196.101.22...
Connected to www.ydicon.dk.
Escape character is '^]'.
HEAD /startprog.htm HTTP/1.0
HOST: www.ydicon.dk
USER-AGENT: kasperd

HTTP/1.1 404 Object Not Found
Server: Microsoft-IIS/5.0
Date: Sat, 16 Nov 2002 10:01:41 GMT
Content-Length: 4040
Content-Type: text/html

Connection closed by foreign host.
[kasperd@horse02:pts/6:kasperd]

Under antagelse af, at siden faktisk på et tidspunkt fandtes er det
altså fuldstændig korrekt, når jeg siger, at den ikke findes mere.

>
> Jeg forsøgte bare endnu engang at påpegeg at selv om en ting kunne lade sig
> gøre bør man ikk gøre det hvis det kan skade andre.

Så vidt jeg forstod prøvede du blot på at tage æren for en anden
persons opdagelse. (Bemærk, at jeg betragter Thors udsagn som mere
troværdige end dine.)

> I en tidligere tråd beskrev jeg dette script, men fik straks at vide at
> noget sådant ikke kunne lade sig gøre.

Reference?

>
> Nu har jeg haft det lagt op på en side, og straks taler i om noget helt
> andet.

Du kunne jo bare have påpeget securityfocus siden i den pågældende
tråd. Og lad dog være med at begynde at snakke om hullet uden at
fortælle hvor du kender det fra.

>
> Der findes hundredevis af måder hvormed man kan skade en person der
> fredeligt surfer på nettet, men blot fordi man ved det, og at det kan gøres
> berettiger jo ikke til at gøre det.

Men derfor kan man da godt påpege hvad skade, man kan gøre. Så
folk ved det. Jeg har en side liggende, med et link som kan
afbryde nogle modem brugeres netforbindelse. Men jeg gør meget
tydligt opmærksom på, hvad der kan ske.

http://www.daimi.au.dk/~kasperd/modem/

Og læg mærke til, at jeg tydligt fortæller, hvor jeg kender
hullet fra. Siden er udelukkende lavet for at teste om modems
lidder af fejlen. (Opkalds delen har jeg ikke fået til at
virke endnu, derfor virker linket ikke.)

>
> Det er det sagen handler om.

?

>
> En syg person skrev i en tidligere tråd at han kun kunne respektere mig hvis
> jeg kunne smadre hans maskine.
> og at et sådant script bestemt ikke fandtes.

Det kan jeg ikke erindrer at have læst. Men jeg kan tilgengæld
erindre, at en person har givet dig lov til at gøre alt den
skade mod hans maskine, som du er i stand til via en html side.
Og at du desuden ville få mere respekt hvis det faktisk lykkedes.

>
> Derfor lagde jeg det i et kort tidsrum op så i kunne se at det fandtes.
> Faktisk findes der mange af den slags.
>
> Og de vil kunne bruges på en ond måde, og en god måde.
>
> Men bruges de på en ond måde vil i jo anklage dem det går ud over og
> heliggøre skurken der brugte sin viden til at skade andre med.

Sikke da noget sludder. Vi vil ikke anklage de personer, det går
ud over. Vi vil derimod ankalge de personer, der er skyld i at
hullet eksisterer, og i endnu højere grad de personer som burde
lukke hullet, men ikke gør det.

Jeg vil ikke heliggøre den skurk, som udnytter det til at anrette
skade. Men vi vil dog rose den person som finder hullet og
demonstrerer hvad skade det kan gøre. Så længe man kun anretter
skade på et testsystem hvor man har lov til det, skal man ikke
straffes for det.

>
> Det viser jeres debat herinde om values da tydligt, og det er det jeg mener
> er forkert.

Jeg tror dit problem er, at cubus har fået mere respekt her i
gruppen end dig selv. Han har begået en fejl og indrømmet det.
Blot et lille fejltrin, som mest af alt skyldes manglende teknisk
indsigt, hvilket han ikke har lagt skjul på. Jeg har ikke på
noget tidspunkt haft grund til at mistænke ham for at lyve.

>
> Nå selv om jeg lagde omtalte lille script op, kan i åbenbart stadigvæk ikke
> se det komiske i at straffe ofret og lade skurken gå fri.

Hvem har snakket om at straffe ofrene? Jeg har i hvert fald aldrig
foreslået, at man skulle straffe Valus kunder.

>
> Hvis det var en mordsag, ville man spytte på den døde, sætte pistolen i
> spjældet, og give ham der trykkede på aftrækkeren en medalje.

Hvad kan vi bruge den analogi til? Bortset fra at tage os til
hovedet.

>
> Jeres holdning til edb sikkerhed er sgu underlig.

Jeg tror nærmere, det er dig der ikke har evner til at følge med
i diskutionen.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Bjarne Østergård (16-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 16-11-02 01:14

"Thor Larholm" <me@nowhere.invalid> skrev i en meddelelse
news:LebB9.3688$WP.2713@news.get2net.dk...
> "Bjarne Østergård" <boe@ydicon.dk> wrote in message
> news:3dd53e21$0$94777$edfadb0f@dread15.news.tele.dk...
> Hej Bjarne,
>
> > Hvis man tror man kender en sikkerhedsrisiko.
> > Hvor bør man så offentliggøre dette, så man ikke risikerer at blive
> > retsforfulgt for at fortælle det.
>
> Du behøves slet ikke offentliggøre noget som helst, det er allerede
> gjort - af ophavsmanden, ikke dig.
>
> > En harmløs test af funktionen kan afprøves her.
> > http://www.ydicon.dk/startprog.htm
>
> Ovenstående er blot en kopi af den kode som Andreas Sandblad
> offentliggjorde i hans advisory for nylig:
Nej det er det nu ikke.
Det er en kopi, ikke en blot kopi.

> > Det er selvfølgelig forbudt at kopiere koden og anvende den i ond
> hensigt.
>
> Har du nu copyright på andres kode, siden du kan lægge begrænsninger på
> dens brug? ;)
Jeg måtte vel helere gør det klart, at jeg ikke opfordrer til at anvende
kode i onde hensigter selv om man kan.
For jeg kan jo forstå at det modsatte da ellers ser ud til at gælde for
mange i denne NG.

Følger man debatten herinde skulle man nærmest tro at reglen lyder som
følgend.
(Finder du noget farligt kode har du pligt til straks, at udnytte den, til
at øve al den skade du kan, ellers lever du ikke op til janteloven, og kan
straffes i henhold hertil)
Straffen idømmes, udmåles, og eksekveres at denne nyhedsgrubbes selvudnævnte
konger, og kan ikke ankes.


> Hvis du gerne vil se åbne sikkerhedshuller i Internet Explorer kan du
> kigge i min signatur, P.T. lister jeg 31 af slagens.
> Det eksempel som Andreas offentliggjorde er ikke skrevet separat på
> listen da det ikke er et sikkerhedshul i sig selv men blot en
> demonstration af "assign method caching" hullet - som jeg allerede har
> listet.
>
> Hvorfor ville du egentlig tage æren for Andreas' fund?

Vil jeg da det ?, og hvad har denne mand da fundet, der er så ærefuldt.

Så længe man mener, at det er ærefuldt, at nedlægge en ærlig virksomheds
server, bare fordi at man kan, må man gerne beholde al ære selv.

MVH
Bjarne Østergård
www.gigasoft.dk









Thor Larholm (16-11-2002)
Kommentar
Fra : Thor Larholm


Dato : 16-11-02 14:16

"Bjarne Østergård" <boe@ydicon.dk> wrote in message
news:3dd58db4$0$1480$edfadb0f@dread11.news.tele.dk...
> "Thor Larholm" <me@nowhere.invalid> skrev i en meddelelse
> news:LebB9.3688$WP.2713@news.get2net.dk...
> > Hvorfor ville du egentlig tage æren for Andreas' fund?
>
> Vil jeg da det ?

Du skrev et indlæg hvor du spurgte om vejledning til hvad du skulle gøre
nu hvor du havde fundet et sikkerhedshul. Samtidig gav du et link til en
demoside på dit domæne, der dog blot indeholdt en tilrettet udgave af
Andreas' fund. Hvorfor ville du tage æren for hans fund? Og hvorfor
snakker du udenom?

Resten af dit indlæg er snippet, det var blot pedanteri, hentydninger og
konspiration.

--
Thor Larholm
<URL: http://www.jibbering.com/faq/> FAQ for comp.lang.javascript
<URL: http://jscript.dk/unpatched/> Unpatched IE vulnerabilities



Stig Johansen (16-11-2002)
Kommentar
Fra : Stig Johansen


Dato : 16-11-02 22:00

Hej.


"Thor Larholm" <me@nowhere.invalid> wrote in message
news:LebB9.3688$WP.2713@news.get2net.dk...
> Du behøves slet ikke offentliggøre noget som helst, det er allerede
> gjort - af ophavsmanden, ikke dig.
>
> Ovenstående er blot en kopi af den kode som Andreas Sandblad
> offentliggjorde i hans advisory for nylig:
>
> http://online.securityfocus.com/archive/1/298748/2002-11-02/2002-11-08/2
>

Er det ikke bare den fra marts måned, der er 'genopdaget'?
http://www.computerworld.dk/default.asp?Mode=2&ArticleID=13995

NB: Jeg tror ikke på alt, der står i CW, men jeg prøvede det selv dengang,
det var aktuelt.


--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)




Thor Larholm (17-11-2002)
Kommentar
Fra : Thor Larholm


Dato : 17-11-02 00:32

"Stig Johansen" <stig.johansen@udvikling.it> wrote in message
news:ar6bh9$li4$1@sunsite.dk...
> Hej.

Hej Stig,

> "Thor Larholm" <me@nowhere.invalid> wrote in message
> news:LebB9.3688$WP.2713@news.get2net.dk...
> > Ovenstående er blot en kopi af den kode som Andreas Sandblad
> > offentliggjorde i hans advisory for nylig:
> >
> >
http://online.securityfocus.com/archive/1/298748/2002-11-02/2002-11-08/2
>
> Er det ikke bare den fra marts måned, der er 'genopdaget'?
> http://www.computerworld.dk/default.asp?Mode=2&ArticleID=13995

Nej, den fra marts måned som CW omtalte var "codebase localpath"
sikkerhedshullet som thePull opdagede. Efter Microsoft frigav MS02-005
patchen blev dette lukket i Internet zonen, selvom det dog stadig kan
bruges i lokale sikkerhedszoner - hvilket netop ofte bliver brugt til at
afvikle vilkårlige programmer når man har brugt andre huller til at
komme ind i disse zoner. Det som Andreas nu har fundet er dog en
interessant ny indgangsvinkel, hvor man bruger HTMLHelp til at afvikle
kommandoen istedet for codebase og dermed også kan angive parametre.

Ligesom codebase kan det dog ikke betegnes som et separat sikkerhedshul
da man netop er i en lokal sikkerhedszone hvor dette er tilladt - tro
det eller ej, så er det en feature og Microsoft har ikke lyst til at
fjerne den da det ville bryde en vis funktionalitet i de hjælpetekster
der følger med til Windows. Istedet satser de på at forhindre adgang fra
Internet zonen til de lokale sikkerhedszoner.

> NB: Jeg tror ikke på alt, der står i CW, men jeg prøvede det selv
dengang,
> det var aktuelt.

Og dengang virkede det helt fint :)

Det site som CW omtalte havde blot lavet en Østergård, kopieret koden
fra et eksisterende proof-of-concept eksempel og kaldt det sit eget.
Hvis du søger på domænenavnet på Google Groups er det første hit endda
et indlæg fra mig hvor jeg påpeger dette ;)

<URL: http://groups.google.com/groups?q=%22liquidwd.freeserve.co.uk%22 >

--
Thor Larholm
<URL: http://www.jibbering.com/faq/> FAQ for comp.lang.javascript
<URL: http://jscript.dk/unpatched/> Unpatched IE vulnerabilities



Stig Johansen (17-11-2002)
Kommentar
Fra : Stig Johansen


Dato : 17-11-02 09:27

Hej.

Tak for den fine udredning.
Godt man bruger Konqueror/Linux, så man slipper for William's 'features'.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)




Kasper Dupont (17-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 17-11-02 12:02

Stig Johansen wrote:
>
> Hej.
>
> Tak for den fine udredning.
> Godt man bruger Konqueror/Linux, så man slipper for William's 'features'.

Har du husket at opgradere efter den SSL fejl der blev opdaget for
et par måneder siden? (Og er der forresten kommet en opdatering som
retter den tilsvarende fejl i IE?)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Thor Larholm (18-11-2002)
Kommentar
Fra : Thor Larholm


Dato : 18-11-02 12:39

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3DD7771D.2B835332@daimi.au.dk...
> Har du husket at opgradere efter den SSL fejl der blev opdaget for
> et par måneder siden? (Og er der forresten kommet en opdatering som
> retter den tilsvarende fejl i IE?)

MS02-050 skulle rette fejlen i IE (eller rettere, Windows samt
Office/IE/Outlook til Mac):

<URL: http://microsoft.com/technet/security/bulletin/MS02-050.asp >


--
Thor Larholm
<URL: http://www.jibbering.com/faq/> FAQ for comp.lang.javascript
<URL: http://jscript.dk/unpatched/> Unpatched IE vulnerabilities



Kasper Dupont (18-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-11-02 13:51

Thor Larholm wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> news:3DD7771D.2B835332@daimi.au.dk...
> > Har du husket at opgradere efter den SSL fejl der blev opdaget for
> > et par måneder siden? (Og er der forresten kommet en opdatering som
> > retter den tilsvarende fejl i IE?)
>
> MS02-050 skulle rette fejlen i IE (eller rettere, Windows samt
> Office/IE/Outlook til Mac):
>
> <URL: http://microsoft.com/technet/security/bulletin/MS02-050.asp >

OK, jeg kan ikke huske hvad dato hullet blev offentliggjort.

Jeg synes bieffekterne ved patchen er noget foruroligende:

customers may see unexpected warning messages or be
blocked from adding or changing system hardware.

Hvad i alverden har dette hul at gøre med hardwaren?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Alex Holst (15-11-2002)
Kommentar
Fra : Alex Holst


Dato : 15-11-02 20:51

"Bjarne Østergård" <boe@ydicon.dk> wrote:
> Hvis man tror man kender en sikkerhedsrisiko.
> Hvor bør man så offentliggøre dette, så man ikke risikerer at blive
> retsforfulgt for at fortælle det.

Du kan poste til bugtraq fra hushmail.com eller en lignende email
service der ikke umiddelbart giver laesere mulighed for at finde ud af
hvor du poster fra.

Snakeoil.dk tager gerne imod anonyme bidrag til sager omhandlende danske
produkter.

Som Thor naevner, saa har du ikke opdaget den fejl du beskriver. Vi har
jo tidligere har set, at du ikke kan genkende en sikkerhedsfejl selv
hvis jeg eller andre rullede den sammen og slog dig oven i hovedet med
den igen og igen og igen.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Socketd (16-11-2002)
Kommentar
Fra : Socketd


Dato : 16-11-02 12:42

On Fri, 15 Nov 2002 19:34:34 +0100, Bjarne Østergård wrote:

Bjarne, du kender denne gruppe og du ved at alt ender med at folk hakker
på hinanden og pisser deres territorie af.
Har du nogensinde kunne skrive herind uden at bliver overfaldet og at
tråden er endt i minimum 200 posts?
Jeg sidder tit og undre mig over at du aldrig bliver klogere.....

socketd

Bjarne Østergård (16-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 16-11-02 18:09


"Socketd" <db@traceroute.dk> skrev i en meddelelse
news:pan.2002.11.16.11.41.37.148831.157@traceroute.dk...
> On Fri, 15 Nov 2002 19:34:34 +0100, Bjarne Østergård wrote:
>
> Bjarne, du kender denne gruppe og du ved at alt ender med at folk hakker
> på hinanden og pisser deres territorie af.
> Har du nogensinde kunne skrive herind uden at bliver overfaldet og at
> tråden er endt i minimum 200 posts?
> Jeg sidder tit og undre mig over at du aldrig bliver klogere.....
>
> socketd

Du har helt ret jeg burde være blevet klogere.
Iritere mig bare at nogen kan have ejerskab over en news gruppe.

Mvh
Bjarne





Kasper Dupont (17-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 17-11-02 00:01

"Bjarne Østergård" wrote:
>
> "Socketd" <db@traceroute.dk> skrev i en meddelelse
> news:pan.2002.11.16.11.41.37.148831.157@traceroute.dk...
> > On Fri, 15 Nov 2002 19:34:34 +0100, Bjarne Østergård wrote:
> >
> > Bjarne, du kender denne gruppe og du ved at alt ender med at folk hakker
> > på hinanden og pisser deres territorie af.
> > Har du nogensinde kunne skrive herind uden at bliver overfaldet og at
> > tråden er endt i minimum 200 posts?
> > Jeg sidder tit og undre mig over at du aldrig bliver klogere.....
> >
> > socketd
>
> Du har helt ret jeg burde være blevet klogere.
> Iritere mig bare at nogen kan have ejerskab over en news gruppe.

Hvad mener du med det?

Vi kan alle se, at du ikke er blevet klogere.
Og det drejer sig ikke om at nogen ejer gruppen,
det drejer sig udelukkende om den manglende
fornuft i dine indlæg.

Men NU tror jeg altså ikke jeg gidder diskutere
dine mindreværdskomplekser mere.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Bjarne Østergård (17-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 17-11-02 13:01


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DD6CE2C.4729E90@daimi.au.dk...
> > Du har helt ret jeg burde være blevet klogere.
> > Iritere mig bare at nogen kan have ejerskab over en news gruppe.
>
> Hvad mener du med det?
Det er da ellers tydligt nok, løs indlægene.

> Vi kan alle se, at du ikke er blevet klogere.
> Og det drejer sig ikke om at nogen ejer gruppen,
> det drejer sig udelukkende om den manglende
> fornuft i dine indlæg.
Ja et hver indlæg der ikke mener det samme som flokken, og tillader sig ikke
at hyle sammen med den, er jo ufornuftige.

> Men NU tror jeg altså ikke jeg gidder diskutere
> dine mindreværdskomplekser mere.

Vidste selt ikke at det var dem vi diskuterede, men det er altså dem du
diskuterer.
Ja det anede mig godt nok. sådan plejer det jo at være her inde.

Men det glæder mig da at du nu i det mindste vil stoppe med at diskutere
mine mindreværkskomplekser, det er da også et underligt emne, at bruge tid
på.

Faktisk ville det klæde gruppen, ikke altid at gå efter manden, hver gang de
ikke deler hans sysnpunkt på et konkret emne.

Nå jeg er vel for optimistisk.

Med venlig hilsen
Bjarne Østergård




Carsten Overgaard (18-11-2002)
Kommentar
Fra : Carsten Overgaard


Dato : 18-11-02 13:32


"Bjarne Østergård" <boe@ydicon.dk> skrev i en meddelelse
news:3dd53e21$0$94777$edfadb0f@dread15.news.tele.dk...
> Hvis man tror man kender en sikkerhedsrisiko.
> Hvor bør man så offentliggøre dette, så man ikke risikerer at blive
> retsforfulgt for at fortælle det.

Få en udlænding til at gøre det.

Herhjemme ser det ud til at sikkerhed i software og systemer mere skal
administreres via frygt for represalier end egentlig udvikling og kontrol.

Vi brugere, som overvejer at indføre nye faciliteter, takker med kyshånd for
oplysning om sikkerhedsbrister, så vi kan blokere for adgang til knækkede og
dermed risikale systemer.

Når der ikke er basis for en åben debat omkring sikkerhedsbrister, så vi kan
gøre noget ved det, så må vi helt undvære software af en given type.

Med venlig hilsen
Carsten Overgaard



Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408941
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste