Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Tiistai, 26.3.2002

Microsoftin sivustoille tunkeuduttiin vanhan IIS-bugin avulla

Kräkkerit ovat onnistuneet tunkeutumaan kolmelle eri Microsoftin sivustolle hyödyntäen jo pitkään tiedossa ollutta tietoturvareikää IIS-palvelimen FrontPage Server Extensions-komponentissa. Murtojen takana on brasilialainen kräkkeriryhmä Silver Lords, jonka 15-vuotias jäsen Lord Choo3s totesi verkkohaastattelussa käyttäneensä apunaan kiinalaisen tietoturvayrityksen NSfocuksen kyseisestä tietoturva-aukosta julkaisemia tietoja. Microsoft on julkaissut reiän paikkaavan korjauspaketin jo viime vuoden kesäkuussa, mutta ilmeisesti tieto sen tarpeellisuudesta ei ole levinnyt yrityksen sisällä riittävän hyvin.

Yksi kohteena olleista nettisivuista oli viime sunnuntaina kräkkeröity cust-supp-chat.one.microsoft.com, joka ei ole vieläkään palannut toimintaan. Kräkkerien muokkaamasta ulkoasusta on kopio tallessa täällä. Kaksi muuta kräkkeröityä sivustoa olivat Microsoft Researchin Social Computing Groupin kotisivut ja Office-tuotepaketin tiedotusryhmän kotisivut.

Lue juttu K2, 26.3.2002 10:42. Lähde: Newsbytes

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 29 uutta / 29 )
pistettä.
Näytä vain kommentit joilla on vähintään
ms fanit vs muut
Anonyymi kommentoija, 26.3.2002 10:59:32		 Pisteet: 0
Tästä treadista tulee varmaan taas aika järkyttävä. ms fanit syyttävät sektoria puolueettomasta uutisoinnista ja muut nauravat ms:lle. joten jos jätetään väliin tämä? :)
Re: ms fanit vs muut
Anonyymi kommentoija, 26.3.2002 11:01:24		 Pisteet: 0
Jep. Parempi jättää uutiset kokonaan pois, koska ne voivat hermostuttaa ihmisiä. Lisää koiranpentukuvia sektoriin!
Naurettavaa
Anonyymi kommentoija, 26.3.2002 11:09:23		 Pisteet: +1
Täytyy kyllä sanoa että nämä tapaukset ovat aivan naurettavia, ei voi ymmärtää miten täysin avuton scriptilapsi pystyy tekemään moista tuhoa. Olen sitä mieltä että tietoturvaan pitäis kiinnittää paljon nykyistä enemmän huomiota ettei kuka tahansa pääse minne tahansa. Pääasiassa voi sanoa että nämä uutisiin pääsevät kräkkeröintitapaukset ovat juuri näitä amatöörien tekemiä, koska taitavat eivät kaipaa itselleen huomiota. Toki on muutamia poikkeuksia kuten Adrian Lamo. Olettekos ikinä ottaneet läppäriä mukaan wlanin kera ja kokeilleet helsingin keskustassa kuinka monen firman verkkoon pääsette murtamatta edes mitään suojausta. On toki totta ettei ikinä saada täydellistä suojausta ja että aina murtaminen on helpompaa kuin kehittäminen mutta kokeilisivat saada edes jotain aikaan.
rakki Re: Naurettavaa
rakki, 26.3.2002 11:47:48		 Pisteet: +1
Täytyy kyllä sanoa että nämä tapaukset ovat aivan naurettavia, ei voi ymmärtää miten täysin avuton scriptilapsi pystyy tekemään moista tuhoa. Olen sitä mieltä että tietoturvaan pitäis kiinnittää paljon nykyistä enemmän huomiota ettei kuka tahansa pääse minne tahansa.
Emmä nyt ihan usko että toi 15 vuotias ole mikään idiootti, vaikka työkaluja käyttääkin.
Toki tietoturvaan pitää kiinnittää huomiota, vasta sitten ku se on paranoidilla tasolla se alkaa lähentelemään tietoturvaa. Silloinkin siinä on reikiä.
[rakki]
jii Re: Naurettavaa
jii, 26.3.2002 15:48:56		 Pisteet: 0
Olettekos ikinä ottaneet läppäriä mukaan wlanin kera ja kokeilleet helsingin keskustassa kuinka monen firman verkkoon pääsette murtamatta edes mitään suojausta.
Oletko itse kokeillut?

Ymmärtääkseni tuossa Suomessa yleisesti käytetyssä WLAN-protokollassa on jonkinsortin salaus + käyttäjäautentikointi.

Lontoossahan on ollut tämä keissi että liikenne on salaamatonta ja autentikoimatonta joten pelkän pringles-modatun antennin + läppärin kanssa pääsee verkkoon.

jee, 60 kommenttia :)
anylo Re: Naurettavaa
anylo, 27.3.2002 14:06:42		 Pisteet: 0
Ymmärtääkseni tuossa Suomessa yleisesti käytetyssä WLAN-protokollassa on jonkinsortin salaus + käyttäjäautentikointi.
WLAN itsessään on käsittämättömän turvaton, eipä paljon ilman VPN:ää kannata käyttää.
jii Re: Naurettavaa
jii, 28.3.2002 08:38:24		 Pisteet: 0
Ymmärtääkseni tuossa Suomessa yleisesti käytetyssä WLAN-protokollassa on jonkinsortin salaus + käyttäjäautentikointi.
WLAN itsessään on käsittämättömän turvaton, eipä paljon ilman VPN:ää kannata käyttää.
Mun kommentti koski tälläistä : "kokeilleet helsingin keskustassa kuinka monen firman verkkoon pääsette murtamatta edes mitään suojausta".

Jotta WLAN-verkkoon pääsee, täytyy murtaa suojaus (ja tiedän kyllä ettei se ole vaikeaa). Painotan että kyseessä oli "murtamatta edes mitään suojausta".
wolve Re: Naurettavaa
wolve, 26.3.2002 19:22:17		 Pisteet: 0

Ymmärtääkseni tuossa Suomessa yleisesti käytetyssä WLAN-protokollassa on jonkinsortin salaus + käyttäjäautentikointi. Lontoossahan on ollut tämä keissi että liikenne on salaamatonta ja autentikoimatonta joten pelkän pringles-modatun antennin + läppärin kanssa pääsee verkkoon.
jee, 60 kommenttia :)
WEPpi on aika helppo murtaa ja siihen tarjotaan työkalut valmiina intternjetistä, täytyy vaan anaalisoida jonkunverran dataa
anger Windows vs. Linux
anger, 26.3.2002 15:20:31		 Pisteet: 0
irc.brasnet.org #silverlords / e-mail: silverlords@linuxmail.org
Olikohan kyseessä ryhmä Linux-fanaatikkoja?
anony Kiinni ja vankilaan
anony, 26.3.2002 12:26:00		 Pisteet: 0
Ei muuta kuin otetaan kiinni nuo kräkkerit ja heitetään vankilaan n:ksi vuodeksi niin oppivat kunnioittamaan toisten omaisuutta.
"Don't waste time downloading Linux!" -linux-magazine.co.uk
ATQ0 Re: Kiinni ja vankilaan
ATQ0, 26.3.2002 15:01:42		 Pisteet: 0
Ei muuta kuin otetaan kiinni nuo kräkkerit ja heitetään vankilaan n:ksi vuodeksi niin oppivat kunnioittamaan toisten omaisuutta.
Luvaton tietomurto on tietysti oma lukunsa, mutta ihan mielenkiinnosta, niin missä vaiheessa kajotaan jonkun omaisuuten jos tehdään "ussh root@joku.microsoft.com cp index.html index.old ; uscp index.html root@joku.microsoft.com/inetpub/"?
--
/(ATQ0)
anony Re: Kiinni ja vankilaan
anony, 26.3.2002 16:48:24		 Pisteet: 0
Ehkäpä siinä vaiheessa kun sitä muutetaan.
"Don't waste time downloading Linux!" -linux-magazine.co.uk
ATQ0 Re: Kiinni ja vankilaan
ATQ0, 26.3.2002 23:47:12		 Pisteet: +1
[Missä vaiheessa kajotaan toisen omaisuuteen]

Ehkäpä siinä vaiheessa kun sitä muutetaan.
Vaan kun siirretään sinne omaa sisältöä (onko weppidokumentti omaisuutta?) ja vanha kopioidaan sellaisenaan uudelle nimelle. Juu kyllä tiedostonimi muuttuu, se on kyllä totta mutta itse sisältö ei, eli sisältö "piilotetaan" yleisöltä (vrt. index.old) mutta ei sitä hävitetä minnekään. Toki voi olla että ollaan tuhottu se weppidokumentti mutta jos se sama dokumentti löytyy esimerkiksi varmistusnauhalta niin onko silloin kenenkään omaisuuten kajottu kun se "omaisuus" ei itse asiassa ole kadonnut yhtään minnekään?

Toki voidaan spekuloida sillä, onko jo pelkkä järjestelmään liittyminen omaisuuten kajoamista, vaan eipä ainakaan näin periaatteellisella tasolla pitäisi olla kun (bugiselle) ohjelmalle annetaan vain syötettä ja ohjelma tekee työtä käskettyä ja päästää ulkopuolisen järjestelmään sisälle.

Luvaton tunkeutuminen on tietysti omalla tavalla tuomittava teko, mutta omaisuuden tuhoamista se ei välttämättä ole niin kuin asia perinteisesti ymmärretään.

(Että sellaisia filosofisia pikselin viilauksia tällä kertaa ;-)
--
/(ATQ0)
Tenkanen Re: Kiinni ja vankilaan
Tenkanen, 27.3.2002 23:54:34		 Pisteet: +1
Toki voidaan spekuloida sillä, onko jo pelkkä järjestelmään liittyminen omaisuuten kajoamista, vaan eipä ainakaan näin periaatteellisella tasolla pitäisi olla kun (bugiselle) ohjelmalle annetaan vain syötettä ja ohjelma tekee työtä käskettyä ja päästää ulkopuolisen järjestelmään sisälle. Luvaton tunkeutuminen on tietysti omalla tavalla tuomittava teko, mutta omaisuuden tuhoamista se ei välttämättä ole niin kuin asia perinteisesti ymmärretään.
Höpönpöpöä! Esimerkiksi Suomen lain mukaan mainittu teko täyttää aivan selvästi murtautumismiskriteerit ja tietojärjestemän luvattoman käytön, josta seuraa oikeudellinen rangaistus.

On turha luulla että jos buginen ohjelma mahdollistaa tietomurron tekemisen, niin että tekijä kiinni jäädessään voisi jotenkin vedota tähän seikkaan.

Käytännön esimerkki oikeasta elämästä menisi vaikkapä näin; asuntosi ovi on suojattu normaalilla lukkojärjestelmällä, mutta oven takanasi puuhastelisi aina poissaollessasi murtomies kokeilemassa lukon mahdollisia heikkouksia. Kun heikkous löytyisi ja varas tärväisi omaisuutesi, mutta jäisi myöhemmin kiinni ja perustelisi syyttömyyttään lukon heikkoudella.

Sama pätee esimerkiksi tietoliikenneverkkojen laitteiden ohjelmistojen bugien hyväksikäyttämistä tietoliikenteen häirinnässä tms. toiminnassa.
Re: Kiinni ja vankilaan
Anonyymi kommentoija, 30.3.2002 17:22:56		 Pisteet: 0
un heikkous löytyisi ja varas tärväisi omaisuutesi, mutta jäisi myöhemmin kiinni ja perustelisi syyttömyyttään lukon heikkoudella.
Itse asiassa tässä tapauksessa varas ei tärväisi omaisuuttasi, vaan vaikkapa piilottaisi rolexin kahvinkeittimen taakse ja pistäisi oman muovisen tiimari-kellonsa tilalle :D
anony Re: Kiinni ja vankilaan
anony, 26.3.2002 20:39:08		 Pisteet: 0
Tai siis, silloin kun sinne logataan sisään. Eihän sitä voi tietää, että onko siellä tehty jotain muutoksia. Tällöin joudutaan varmaankin olettamaan, että on tehty. Et varmaankaan haluaisi, jos omistaisit auton, että joku kävisi siellä sisällä ilman lupaasi, vaikkapa yöllä.
"Don't waste time downloading Linux!" -linux-magazine.co.uk
Re: Kiinni ja vankilaan
Anonyymi kommentoija, 26.3.2002 22:07:37		 Pisteet: 0
Tai siis, silloin kun sinne logataan sisään. Eihän sitä voi tietää, että onko siellä tehty jotain muutoksia. Tällöin joudutaan varmaankin olettamaan, että on tehty. Et varmaankaan haluaisi, jos omistaisit auton, että joku kävisi siellä sisällä ilman lupaasi, vaikkapa yöllä.
Minulla on ainakin autossani sellainen lukko, jota ei murreta ohjelmalla, yhdellä sormen painalluksella ja vaikka murrettaisiin niin autoni olisi luultavasti käyttökelpoinen vielä seuraavanakin päivänä.
ATQ0 Re: Kiinni ja vankilaan
ATQ0, 26.3.2002 23:54:57		 Pisteet: 0
Tai siis, silloin kun sinne logataan sisään.
Minä en kyllä ymmärrä miten loggautuminen on omaisuuteen kajoamista.

Eihän sitä voi tietää, että onko siellä tehty jotain muutoksia.
Ei se välttämättä helppoa ole, mutta kyllä voi.

Tällöin joudutaan varmaankin olettamaan, että on tehty.
Arvailu ei ole paras tapa selvittää asioita ;)

Et varmaankaan haluaisi, jos omistaisit auton, että joku kävisi siellä sisällä ilman lupaasi, vaikkapa yöllä.
No en minä tässä kenenkään halumisista ole puhunut, vaan omaisuuteen kajoamisesta ;)
--
/(ATQ0)
anony Re: Kiinni ja vankilaan
anony, 27.3.2002 08:03:14		 Pisteet: 0
Ei kaikki mikä on mahdollista ole sallittua.
Tarkoitatte siis että jos olet vahingossa jättänyt autosi oven auki, niin sinne saa mennä sisälle kuka vain?
"Don't waste time downloading Linux!" -linux-magazine.co.uk
microsoftin tietoturvastrategia
mxmattil, 26.3.2002 11:08:31		 Pisteet: 0
Mitähän se kertoo yrityksen asenteista tietoturvaa kohtaan jos edes omiin servereihin ei päivitetä uusimpia patcheja?

Pelottavaa
http://www.dvd.to - DVD hakukone
feenix Re: microsoftin tietoturvastrategia
feenix, 26.3.2002 16:57:53		 Pisteet: 0
Mitähän se kertoo yrityksen asenteista tietoturvaa kohtaan jos edes omiin servereihin ei päivitetä uusimpia patcheja?
Aika monet MS:n palvelimista ovat muiden hoidossa (esim Conexantilla), eikä yritys itse niitä hoida. Silti on aika heikkoa etteivät firmat osaa päivityksiä laittaa, varsinkin kun ovat myyvinään osaamistaan palveluna ulospäin.

"Tule meille, sinun ei tarvitse miettiä tekniikkaa..." Niin, vain sitä onko sivut olemassa enää viikon päästä osaamattoman ylläpidon käsissä :P

Kyseisistä sivuista ei heti selvinnyt ovatko MS:n omia palvelimia vaiko jonnekin ulkoistettuja.
lussmu Tietoturva
lussmu, 26.3.2002 11:40:34		 Pisteet: 0
Kuka siihen haluaa satsata, kun ei ne satsaukset näy missään. 99 kertaa 100sta ei ole mitään väliä, onko uusin päivitys asennettu vai ei. Kaiken kaikkiaan, aika harva niiden langattomien verkkojenkaan kautta sisään tulee. Jos markkinoinnista nipistetään, sehän näkyy heti firman näkyvyydessä. Entäs jos tuotekehittelystä nipistetään, sekin näkyy ensi kautena, kun ei ole uusia malleja mitä tuoda markkinoille. Vaan pelataanpa venäläistä rulettia ja nipistetään tietoturvasta. Luultavasti ei näy missään!

Aina välillä yritykset sitten palautuvat maan päälle tällaisten juttujen myötä.
Re: Tietoturva
rugueux, 26.3.2002 11:57:51		 Pisteet: +1
Kuka siihen haluaa satsata, kun ei ne satsaukset näy missään. 99 kertaa 100sta ei ole mitään väliä, onko uusin päivitys asennettu vai ei. Kaiken kaikkiaan, aika harva niiden langattomien verkkojenkaan kautta sisään tulee.
Jos yrityksellä on varaa käyttää yhtään suuremmalti langatonta verkkoa, niin on myös varaa huolehtia tietoturvasta. Ehkä sitä ei vain nähdä tärkeäksi jostain kummallisesta syystä. Typeryydestä kuuluu sakottaa.

Jos markkinoinnista nipistetään, sehän näkyy heti firman näkyvyydessä. Entäs jos tuotekehittelystä nipistetään, sekin näkyy ensi kautena, kun ei ole uusia malleja mitä tuoda markkinoille. Vaan pelataanpa venäläistä rulettia ja nipistetään tietoturvasta. Luultavasti ei näy missään!
Yrityks, joka avoimesti ilmoittaa panostavansa tietoturvaan kaivaa itselleen hautaa, kun ei viitsi edes omia päivityksiään asentaa. Ja uskon ettei Microsoft kaipaa tämän tapaista näkyvyyttä. Ja kutsutaanko sitä tuotekehittelyksi, että asiakas toimii koekäyttäjänä ja jatkuvalla syötöllä tarjotaan päivityksiä bugisiin tuotteisiin.

Ja jokaisessa yrityksessä on jonkinlainen IT-tuki. Eikö se ole heidän tehtävänsä asentaa päivitykset ja korjaukset. Miten se on tuotekehityksestä ja markkinoinnista pois, jos IT-osasto tekee työnsä?
--
Mihin on kadonnut perinteinen harakointi?
lussmu Re: Tietoturva
lussmu, 27.3.2002 18:48:23		 Pisteet: +1
Yrityks, joka avoimesti ilmoittaa panostavansa tietoturvaan kaivaa itselleen hautaa, kun ei viitsi edes omia päivityksiään asentaa.
Microsoftin ohjelmistosuunnittelijat eivät varmastikaan ole samoja ihmisiä, kuin ne, jotka ylläpitävät www-sivuja. Ennen ainakin microsoft.comkin oli ulkoistettu jollekin firmalle, en tiedä tästä kyseisestä tapauksesta.

Tietoturva on toki aina tärkeää, mutta kuitenkin erityisesti esim. pankeille ja valtiolle. Nämä ihmiset haluavat tietoturvallisia käyttöjärjestelmiä, koska heillä on oikeasti tärkeitä asiakasjuttuja, joita suojata: tilitiedot, kansalaisten tiedot.

Tässäkin tapauksessa pahin juttu Microsoftille oli lommo imagossa. Onhan heilläkin systeemejä mitä salata, kuten esim. käyttöjärjestelmän lähdekoodi. Kerran on eräs tyyppi päässyt lähelle, muttei näköjään hänkään saanut lähdekoodia loppujen lopuksi.

Ja uskon ettei Microsoft kaipaa tämän tapaista näkyvyyttä.
Totta. Olen kyyninen tietoturvan suhteen, myönnän, mutta eikö ole vähän turha vetää johtopäätöstä www-palvelinta ei ole turvattu -> tekee tietoturvatonta softaa.

Ja kutsutaanko sitä tuotekehittelyksi, että asiakas toimii koekäyttäjänä ja jatkuvalla syötöllä tarjotaan päivityksiä bugisiin tuotteisiin.
Kyllä vain. Jos katsot esim Securityfocuksen http://www.securityfocus.com/vulns/stats.shtml) tilastoja aiheesta, huomaat, että vuonna 2001 entry-level server päässä Windows NT:n ehkä pahimmalla kilpailijalla Red Hat Linuxilla oli 54 aukkoa, kun taas NT:ssä oli 42. Toki tällaisia luotettavia, vertailtavia ja yleispäteviä tilastoja on mahdoton tehdä, mutta suuntaa tutkimus kyllä antaa. Kaikki monipuoliset palvelinkäyttikset ovat TÄYNNÄ reikiä.

Ja jokaisessa yrityksessä on jonkinlainen IT-tuki. Eikö se ole heidän tehtävänsä asentaa päivitykset ja korjaukset. Miten se on tuotekehityksestä ja markkinoinnista pois, jos IT-osasto tekee työnsä?
Lähinnä se kait on IT-tuen puutteesta.
Re: Tietoturva
Anonyymi kommentoija, 27.3.2002 18:59:35		 Pisteet: 0
Tässäkin tapauksessa pahin juttu Microsoftille oli lommo imagossa. Onhan heilläkin systeemejä mitä salata, kuten esim. käyttöjärjestelmän lähdekoodi. Kerran on eräs tyyppi päässyt lähelle, muttei näköjään hänkään saanut lähdekoodia loppujen lopuksi.
Mistä tiedät tämän varmasti - siis ettei kukaan ole saanut koodia käsiinsä :)?
lussmu Re: Tietoturva
lussmu, 28.3.2002 14:24:30		 Pisteet: 0
Mistä tiedät tämän varmasti - siis ettei kukaan ole saanut koodia käsiinsä :)?
Ehh.. "näköjään". Olisinpa kuvitellut, että leviäisi jo jossain hämärillä FTP-saiteilla tai gnutellasta. Vaan eihän sitä tiedä, ehkä myyvät sitä pimeästi :)