Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Torstai, 17.7.2003

Vakava haavoittuvuus Windowsin RPC-rajapinnassa

CERT-FI varoittaa Microsoftin Distributed Component Object Model (DCOM) -palvelun toteutuksessa käytettävästä RPC-rajapinnasta löytyneestä puskuriylivuotohaavoittuvuudesta. RPC-protokollan (Remote Procedure Call) avulla tietojärjestelmä voi kutsua toisessa tietojärjestelmässä olevia ohjelmia.

Kriittiseksi luokitellun haavoittuvuuden hyväksikäyttö on mahdollista lähettämällä TCP-porttiin 135 tietyllä tavalla muokattuja viestejä. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan. Windows NT 4.0, 2000, XP ja 2003 -käyttöjärjestelmät ovat haavoittuvuudelle alttiita. Haavoittuvuuden voi paikata estämällä verkkoliikenteen TCP-porttiin 135 tai asentamalla Microsoftin julkaiseman korjauspaketin.

Lue juttu oma, 17.7.2003 12:12. Lähde: CERT-FI, Microsoft

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 37 uutta / 37 )
pistettä.
Näytä vain kommentit joilla on vähintään
Trustworthy Computing
Anonyymi kommentoija, 17.7.2003 12:38:25		 Pisteet: 0
Ilmeisesti Microsoftin "Trusthworthy Computing" -kampanja koskee vain uutta koodia. Ymmärrän hyvin, että Windowsissa on pirusti koodia, mutta miten vaikeaa voi olla TCP/UDP -pakettien oikeellisuuden testaaminen heti kun paketti on vastanotettu? Jos tietyllä kentällä on koodin/standardin määrittämä maksimipituus, niin kaikki kyseisen pituuden ylittävät paketit saman tien roskiin ja 90% ylivuodoista on hoidettu.

Onko realiteetti MS:lläkin tämä:

ohjelmoija: "mä lisään sen tarkistuksen tähän kunhan mä saan tän eka toimimaan"
...
pari päivää kuluu, ohjelma jo *melkein* toimii.

pomo: "missä se softa viipyy, me luvattiin se eiliseksi?"
...
Re: Trustworthy Computing
Anonyymi kommentoija, 17.7.2003 13:19:30		 Pisteet: 0
Ilmeisesti Microsoftin "Trusthworthy Computing" -kampanja koskee vain uutta koodia. Ymmärrän hyvin, että Windowsissa on pirusti koodia, mutta miten vaikeaa voi olla TCP/UDP -pakettien oikeellisuuden testaaminen heti kun paketti on vastanotettu? Jos tietyllä kentällä on koodin/standardin määrittämä maksimipituus, niin kaikki kyseisen pituuden ylittävät paketit saman tien roskiin ja 90% ylivuodoista on hoidettu. Onko realiteetti MS:lläkin tämä:
ohjelmoija: "mä lisään sen tarkistuksen tähän kunhan mä saan tän eka toimimaan"
...
pari päivää kuluu, ohjelma jo *melkein* toimii.
pomo: "missä se softa viipyy, me luvattiin se eiliseksi?"
...
Varmasti, jos softaa ikuisuudet hierotaan se ei tuu koskaan valmiiks, ja usein käy myös niin että aikataulut tehdään liian tiukoiks.
Re: Trustworthy Computing
Anonyymi kommentoija, 17.7.2003 14:14:56		 Pisteet: 0

Varmasti, jos softaa ikuisuudet hierotaan se ei tuu koskaan valmiiks, ja usein käy myös niin että aikataulut tehdään liian tiukoiks.
Mikään ohjelma ei ole koskaan valmis, mikäli on kyse jostain muustakin kuin
10 PRINT "*Anonyymi kommentoija on kova jätkä* ";
20 GOTO 10
Re: Trustworthy Computing
Anonyymi kommentoija, 18.7.2003 17:07:04		 Pisteet: 0
Varmasti, jos softaa ikuisuudet hierotaan se ei tuu koskaan valmiiks, ja usein käy myös niin että aikataulut tehdään liian tiukoiks.
Mikään ohjelma ei ole koskaan valmis, mikäli on kyse jostain muustakin kuin
10 PRINT "*Anonyymi kommentoija on kova jätkä* ";
20 GOTO 10
Kyllä vain on valmis ja vielä aikataulussaan jos määrittely on tehty hyvin eikä siitä hötkyillä kuin määritellyn prosessin kautta.
Re: Trustworthy Computing
Anonyymi kommentoija, 17.7.2003 13:43:15		 Pisteet: 0
Ilmeisesti Microsoftin "Trusthworthy Computing" -kampanja koskee vain uutta koodia. Ymmärrän hyvin, että Windowsissa on pirusti koodia, mutta miten vaikeaa voi olla TCP/UDP -pakettien oikeellisuuden testaaminen heti kun paketti on vastanotettu? Jos tietyllä kentällä on koodin/standardin määrittämä maksimipituus, niin kaikki kyseisen pituuden ylittävät paketit saman tien roskiin ja 90% ylivuodoista on hoidettu.

Mun käsityksen mukaan se riippuu vähän niistä C:n funktioista mitä missäkin on käytetty, että mitä tapahtuu kun sisään tulee liian pitkä rimpsu kamaa.. eli tapahtuuko ylivuoto, ja jos, niin aiheutuuko siitä tietoturvariski.. tai jotain sinnepäin :)

Se kai siinä onkin se ongelma jos otetaan vastaan sitä määriteltyä pidempiä "arvoja", että miten käy ylijäämän..


Voipi tietysti olla että oon täysin pihalla, mutta joku muu voi sit kertoa miten se toimii :)
Re: Trustworthy Computing
Anonyymi kommentoija, 17.7.2003 14:29:24		 Pisteet: +1

Mun käsityksen mukaan se riippuu vähän niistä C:n funktioista mitä missäkin on käytetty, että mitä tapahtuu kun sisään tulee liian pitkä rimpsu kamaa.. eli tapahtuuko ylivuoto, ja jos, niin aiheutuuko siitä tietoturvariski.. tai jotain sinnepäin :)
Sitä varten se pituus onkin syytä tutkia etukäteen. Pelkkä strncpy():n käyttö strcpy():n tilalla ei auta, koska se ei lopeta ylipitkiä stringejä. OpenBSD tarjoaa näppärät strlcpy() ja strlcat() -funktiot, jotka on helppo tehdä itsekin.
Re: Trustworthy Computing
Anonyymi kommentoija, 17.7.2003 14:38:20		 Pisteet: +1
Re: Trustworthy Computing
Anonyymi kommentoija, 17.7.2003 15:02:32		 Pisteet: +1
Toki on helppoa ladella monenlaisia tapoja kuinka ylivuotoja voi ja pitäisi estää. "tarkistakaa kaikki kenttien pituudet", "älkää lukeko enemmän kuin x merkkiä", "kapsuloikaa taulukko-aksessit ja pistäkää sinne tarkastus" jne. jne. jne. Kuitenkin ohjelmoijia on paljon, kuten myös ohjelmointitapoja. On kohtuutonta vaatia että jokainen yksittäinen ohjelmoija olisi edes lähes täydellinen. Lisäksi ihmisten lukumäärä ei välttämättä vaikuta paljonkaan tuohon (kun MS:llä on töissä enemmän kuin 1 koodaaja). Usein muiden koodin katsominen on sekavaa, ja voi olla ettei code review prosesseja ole edes harrastettu jokaisessa kohdassa (syitä voi olla monia, esim. aikataulut).

Kuitenkin ohjelmointi on aina jo olemassaolevan päälle rakentamista, ja vanhojen funktioiden toimintaa/tarkistuksia ei aina voi muistaa/tietää. Lisäksi usein käytetään toimintoja jollain uudella tavalla, tyyliin "tämähän tämän ratkaisee". Näitä kun on tuhansia pienessäkin ohjelmassa, niin helposti noita jää isoonkin. On helppo ajatella pragmaattisesti että jokaisella paikkansa ja tehtävänsä, tarkistamme siis ne. Ohjelman teko on kuitenkin usein enemmän asteittaista evoluutiota.
Re: Trustworthy Computing
Anonyymi kommentoija, 17.7.2003 15:28:21		 Pisteet: 0
Helpompaa se toki olisi kirjoittaa kerralla kunnollista koodia, mutta eiköhän MS:n rahojen pitäisi riittää sen tarkistamiseen jälkeenpäinkin.

Vuosi sitten puhuttiin 5000 työntekijän palkkaamisesta tuotekehittelyyn ( http://www.tietokone.fi/uutta/uutinen.asp?news_id=... ), nyt siirretään työpaikkoja Intiaan ( http://news.zdnet.co.uk/story/0,,t269-s2136975,00.... ). MS voisi noiden konsulttien tilalle palkata uusia koodaajia ja laitaa kokeneemmasta päästä väkeä tarkistamaan vanhaa koodia. Ei se konsultteja lohduttaisi, mutta yleisön silmissä kuva kirkastuisi.
Bream Re: Trustworthy Computing
Bream, 18.7.2003 07:49:32		 Pisteet: +1
Helpompaa se toki olisi kirjoittaa kerralla kunnollista koodia,
(Tässä kohtaa repesin nauruun ;-)
Jokainen edes jossain määrin ohjelmistoalaa tunteva tietää, että paraskin koodaaja tekee bugeja. Bugien luonne kyllä muuttuu kokemuksen mukana. Aloittelija tekee selviä ja helposti löytyviä virheitä - melkein kuin kirjoitusvirheitä. Kokeneemman kodarin virheet ovat sellaisia jotka ilmenevät nimenomaan pidemmällä aikavälillä ja joiden muodostumiseen tarvitaan useita epäsuotuisia yhteensattumia. Tämän tyyppiseltä tuo kyseinen RPC virhekin vaikuttaa.
Testaus on tietysti avainasemassa laadukkaan ohjelman teossa. Tämän tyyppiset viat kuitenkin löytyvät lähinnä "apinatestejä" muistuttavissa summittaisissa rasitustesteissä, joiden tekeminen ja dokumentoiminen on työlästä ja vaikeaa.

MS voisi noiden konsulttien tilalle palkata uusia koodaajia ja laitaa kokeneemmasta päästä väkeä tarkistamaan vanhaa koodia.
Ja kuinkahan monta kokeneempaa koodaajaa suostuu "ihan halvalla" moiseen suoraan sanottuna paskahommaan? Tämä sama koskee testausta, sillä myös se voi olla hyvin turhauttavaa.

Mutta itse viasta.. Ennenkaikkea tuo nakertaa DCOM:in (ja COM:in yleensäkin) uskottavuutta, joka jo nykyisin on kyllä vankalla pohjalla. Voisi melkein todeta, että onneksi tätä vikaa ei löydetty aiemmin.
Re: Trustworthy Computing
Anonyymi kommentoija, 18.7.2003 13:28:16		 Pisteet: +1
Jokainen edes jossain määrin ohjelmistoalaa tunteva tietää, että paraskin koodaaja tekee bugeja.
19 vuoden kokemuksella tiedän tuon omakohtaisesti. Se, että ihmiset tekevät virheitä, ei kuitenkaan kumoa sitä tosiseikkaa, että on helpompaa kirjoittaa alusta alkaen kunnon koodia kuin korjata sitä jälkeenpäin.


Kokeneemman kodarin virheet ovat sellaisia jotka ilmenevät nimenomaan pidemmällä aikavälillä ja joiden muodostumiseen tarvitaan useita epäsuotuisia yhteensattumia. Tämän tyyppiseltä tuo kyseinen RPC virhekin vaikuttaa.
Kun kyseessä on pinosta varatun puskurin ylivuoto niin ohjelmoijan on aivan turha vedota marginaalisiin todennäköisyyksiin. Kun kyseessä on vielä verkkokomponentti niin tuollainen virhe alkaa olla anteeksiantamaton.

http://lsd-pl.net/special.html

Ja kuinkahan monta kokeneempaa koodaajaa suostuu "ihan halvalla" moiseen suoraan sanottuna paskahommaan? Tämä sama koskee testausta, sillä myös se voi olla hyvin turhauttavaa.
Jonkun ne on paskahommatkin tehtävä.
Olettaisin Microsoftin menettävän asiakkaita jatkuvien tietoturva-aukkojen ilmitulon vuoksi sen verran paljon, että työstä voi maksaa enemmän. Löytyneistä bugeista vielä bonukset päälle.
Re: Trustworthy Computing
Anonyymi kommentoija, 18.7.2003 17:04:26		 Pisteet: 0
(Tässä kohtaa repesin nauruun ;-) Jokainen edes jossain määrin ohjelmistoalaa tunteva tietää, että paraskin koodaaja tekee bugeja. Bugien luonne kyllä muuttuu kokemuksen mukana. Aloittelija tekee selviä ja helposti löytyviä virheitä - melkein kuin kirjoitusvirheitä. Kokeneemman kodarin virheet ovat sellaisia jotka ilmenevät nimenomaan pidemmällä aikavälillä ja joiden muodostumiseen tarvitaan useita epäsuotuisia yhteensattumia. Tämän tyyppiseltä tuo kyseinen RPC virhekin vaikuttaa.
No voihan hölkyn kölkyn köö. Itseasiassa kyllä se homma menee niin että ne vaikeasti toistettavat virheet johtuvat suureksi osaksi arkkitehtuuriongelmista (kuten tässäkin) ja kokeneempi suunnittelija ei tee koskaan niin paljoa arkkitehtuurimokia kuin aloittelija. Näitä kirjoitusvirhe-tyyppisiä virheitä kyllä tulee aina mutta niille ei voi mitään muuta kuin karsia ne testausvaiheessa.
Re: Trustworthy Computing
Anonyymi kommentoija, 17.7.2003 15:06:28		 Pisteet: 0
Ilmeisesti Microsoftin "Trusthworthy Computing" -kampanja koskee vain uutta koodia.
No eikös sen 2003 serverin pitänyt olla "uutta koodia". Tuo Trustworhyhän julkistettiin jo yli vuosi ennen 2003 serveriä.
Ja saadaksesi updatepaketin surffailet ensin sivulle jolla kerrotaan:
You need to be running a version of Internet Explorer 5 or higher in order to use Windows Update.
Download the latest version of Internet Explorer...
If you prefer to use a different Web browser, updates to Windows may be downloaded from the Microsoft Download Center.

Eikä tietenkään sivulla ole linkkiä tuohon Download centeriin.
Re: Trustworthy Computing
Anonyymi kommentoija, 17.7.2003 15:36:25		 Pisteet: 0
No eikös sen 2003 serverin pitänyt olla "uutta koodia".
Jos sama vaiva on NT:ssä niin ihan kaikkea ei ole uusiksi kirjoitettu...


Operallakin näkyy pääsevän patchin jäljille:
http://www.microsoft.com/downloads/results.aspx?fr...
Re: Trustworthy Computing
Anonyymi kommentoija, 17.7.2003 21:15:10		 Pisteet: 0

Operallakin näkyy pääsevän patchin jäljille: http://www.microsoft.com/downloads/results.aspx?fr...
Ja pääsipä Mozillallakin, kunhan näki mikrosoftin sivulta puuttuvan linkin Sektori.comissa :-)
feenix Re: Trustworthy Computing
feenix, 22.7.2003 10:08:28		 Pisteet: 0
Ja saadaksesi updatepaketin surffailet ensin sivulle jolla kerrotaan:
Tai otat sen FTP-klientin esiin. Pitääkö kaiken olla HTTP:n takana?

En myöskään ymmärrä miten Trustworthy liittyy siihen, että SPitä tuli. Ei saa julkistaa päivityksiä, jos tekee tarkistusta softalle? Ei vaikka niissä päivityksissä vaikka tulisi tarkistuksen satoa? Outoa.
Re: Trustworthy Computing
Anonyymi kommentoija, 17.7.2003 17:27:28		 Pisteet: 0
Ilmeisesti Microsoftin "Trusthworthy Computing" -kampanja koskee vain uutta koodia.
No jo olemassaolevien komponenttien korjaaminen vaatii aina erillisiä päivityksiä, etenkin kun ne on jo kuluttajillakin ollut jo vuosia käytössä. Nythän voidan luvata suuria muutoksia kehitystapoihin mutta mitään näkyvää tuosta ei saada ennen uusien ohjelmien julkaisua.
Re: Trustworthy Computing
Anonyymi kommentoija, 17.7.2003 19:43:17		 Pisteet: 0
Tammikuu 2002: MS aloittaa "Trustworthy Computing" -kampanjan, joka Bill Gatesin sanojen mukaan on tärkeysjärjestyksessä ensimmäisenä.
Elokuu 2002: Win2000 SP3
Helmikuu 2003: Win XP SP1
Kesäkuu 2003: Win2000 SP4

Tuossa välissä koko liuta yksittäisiä päivityksiä. Ei MS:lla tunnu olevan mitään päivyspakettien tekoa vastaan. Tietoturvapäivitykset tuntuvat tulevan vasta sen jälkeen kun joku muu on reiän löytänyt, joten MS:a ei tunnu p***an vertaa kiinnostavan vanhan koodin turvalliseksi päivittäminen vaikka sitä uusiin tuotteisiinkin käytetäänkin.
Re: Trustworthy Computing
Anonyymi kommentoija, 18.7.2003 08:19:44		 Pisteet: 0
Tammikuu 2002: MS aloittaa "Trustworthy Computing" -kampanjan, joka Bill Gatesin sanojen mukaan on tärkeysjärjestyksessä ensimmäisenä. Elokuu 2002: Win2000 SP3
Helmikuu 2003: Win XP SP1
Kesäkuu 2003: Win2000 SP4
Tuossa välissä koko liuta yksittäisiä päivityksiä. Ei MS:lla tunnu olevan mitään päivyspakettien tekoa vastaan. Tietoturvapäivitykset tuntuvat tulevan vasta sen jälkeen kun joku muu on reiän löytänyt, joten MS:a ei tunnu p***an vertaa kiinnostavan vanhan koodin turvalliseksi päivittäminen vaikka sitä uusiin tuotteisiinkin käytetäänkin.
Oletko ihan varma, että MS ei löydä sisäisessä testauksesta Windowseistaan tietoturva-aukkoja? Eivät ne perkeleet nyt niin tyhmiä ole, että ryhtyvät omista mokistaan meteliä nostamaan?
Re: Trustworthy Computing
Anonyymi kommentoija, 18.7.2003 12:06:27		 Pisteet: 0
Oletko ihan varma, että MS ei löydä sisäisessä testauksesta Windowseistaan tietoturva-aukkoja? Eivät ne perkeleet nyt niin tyhmiä ole, että ryhtyvät omista mokistaan meteliä nostamaan?
Vanhaa koodia harvemmin testaillaan firman sisällä. Tekovaiheessa, ennen julkistamista ehkä vähän enemmän.

Avainsana on raha.
Niinpäniin
Anonyymi kommentoija, 17.7.2003 13:00:32		 Pisteet: 0
Jokanen joka pitää porttia 135 auki intter nettiin päin ansaitsee tulla hirtetyksi CAT5sella.
Re: Niinpäniin
Anonyymi kommentoija, 17.7.2003 13:48:34		 Pisteet: 0
Jokanen joka pitää porttia 135 auki intter nettiin päin ansaitsee tulla hirtetyksi CAT5sella.
Luonnollisesti tuo on tyhmää, mutta mietipä onko oikeutettua olettaa Tauno Tavallisen tajuavan, että Windowsin default-asetukset ja laajakaista ovat huono yhdistelmä? Ei varmasti ole. Jos tuolle linjalle lähdet, saat hirttää aika lailla jengiä.
Re: Niinpäniin
Anonyymi kommentoija, 17.7.2003 15:53:02		 Pisteet: 0
Jokanen joka pitää porttia 135 auki intter nettiin päin ansaitsee tulla hirtetyksi CAT5sella.
Luonnollisesti tuo on tyhmää, mutta mietipä onko oikeutettua olettaa Tauno Tavallisen tajuavan, että Windowsin default-asetukset ja laajakaista ovat huono yhdistelmä? Ei varmasti ole. Jos tuolle linjalle lähdet, saat hirttää aika lailla jengiä.
Eikä tarvi olla edes Tauno Tavallinen että portit on auki. Ainoat jotka noita portteja itseasiassa tukkii on "teknisesti orioidut" ihmiset. Itse väännän päivät pitkät "nettimediaa" ja minullakaan ei ole harmainta aavistusta porteista, tai siitä mitä niille pitäs tehdä. Ja suoraan sanottuna asia ei minulle kuulu, eikä kyllä kiinnostakkaan. Sitä varten talossa on atk ylläpitö...
Re: Niinpäniin
Anonyymi kommentoija, 17.7.2003 20:16:21		 Pisteet: 0
Jokanen joka pitää porttia 135 auki intter nettiin päin ansaitsee tulla hirtetyksi CAT5sella.
Luonnollisesti tuo on tyhmää, mutta mietipä onko oikeutettua olettaa Tauno Tavallisen tajuavan, että Windowsin default-asetukset ja laajakaista ovat huono yhdistelmä? Ei varmasti ole. Jos tuolle linjalle lähdet, saat hirttää aika lailla jengiä.
Eikä tarvi olla edes Tauno Tavallinen että portit on auki. Ainoat jotka noita portteja itseasiassa tukkii on "teknisesti orioidut" ihmiset. Itse väännän päivät pitkät "nettimediaa" ja minullakaan ei ole harmainta aavistusta porteista, tai siitä mitä niille pitäs tehdä. Ja suoraan sanottuna asia ei minulle kuulu, eikä kyllä kiinnostakkaan. Sitä varten talossa on atk ylläpitö...
Minäkin haluan kotiini ATK-ylläpidon! :)

Ottaen huomioon laajakaistan yleisyyden jo nyt, huonosti tai ei lainkaan patchattuja kotikoneita on netissä jo miljoonia. Ne ovat mielestäni vähintään yhtä suuri uhka niin yrityksille kuin yksityisillekin kuin mikä tahansa työpaikan verkkoon liitetty kone. Niillä kotikoneilla on kuitenkin vaikka kuinka työdokumentteja, -ohjelmakoodia ja asetuksiin talletettuja salasanoja.
Re: Niinpäniin
Anonyymi kommentoija, 17.7.2003 17:59:26		 Pisteet: 0
Jokanen joka pitää porttia 135 auki intter nettiin päin ansaitsee tulla hirtetyksi CAT5sella.
Luonnollisesti tuo on tyhmää, mutta mietipä onko oikeutettua olettaa Tauno Tavallisen tajuavan, että Windowsin default-asetukset ja laajakaista ovat huono yhdistelmä? Ei varmasti ole. Jos tuolle linjalle lähdet, saat hirttää aika lailla jengiä.
Oletko koskaan yrittänyt vakuuttaa kys. ihmistyyppiä siitä, että turvallisuuspätsit ja firewallit on kova juttu <tm>? Aina selitellään tyyliin "ei ne kuitenkaan mua.." ja sitten ollaan itkemässä kun kone meni rikki.
Re: Niinpäniin
Anonyymi kommentoija, 17.7.2003 20:12:48		 Pisteet: 0
Jokanen joka pitää porttia 135 auki intter nettiin päin ansaitsee tulla hirtetyksi CAT5sella.
Luonnollisesti tuo on tyhmää, mutta mietipä onko oikeutettua olettaa Tauno Tavallisen tajuavan, että Windowsin default-asetukset ja laajakaista ovat huono yhdistelmä? Ei varmasti ole. Jos tuolle linjalle lähdet, saat hirttää aika lailla jengiä.
Oletko koskaan yrittänyt vakuuttaa kys. ihmistyyppiä siitä, että turvallisuuspätsit ja firewallit on kova juttu <tm>? Aina selitellään tyyliin "ei ne kuitenkaan mua.." ja sitten ollaan itkemässä kun kone meni rikki.
Miljoona kertaa, kyllä. Mutta ei se asia veppikaapelilla hirttämiseen korjaannu.
Re: Niinpäniin
Anonyymi kommentoija, 19.7.2003 10:12:20		 Pisteet: 0
Oletko koskaan yrittänyt vakuuttaa kys. ihmistyyppiä siitä, että turvallisuuspätsit ja firewallit on kova juttu <tm>? Aina selitellään tyyliin "ei ne kuitenkaan mua.." ja sitten ollaan itkemässä kun kone meni rikki.
Ainahan sitä voi kysyä vaikka IRCistä neuvoa:
http://www.taivaansusi.net/archive/warez_fi-kusetu...

:)

/jari
Re: Niinpäniin
Anonyymi kommentoija, 22.7.2003 09:30:18		 Pisteet: 0
ttp://www.taivaansusi.net/archive/warez_fi-kusetus.txt :)
/jari

Aika k**ipäistä toimintaa tommonen..
miksuh Re: Niinpäniin
miksuh, 18.7.2003 13:34:57		 Pisteet: 0
Jokanen joka pitää porttia 135 auki intter nettiin päin ansaitsee tulla hirtetyksi CAT5sella.
Luonnollisesti tuo on tyhmää, mutta mietipä onko oikeutettua olettaa Tauno Tavallisen tajuavan, että Windowsin default-asetukset ja laajakaista ovat huono yhdistelmä? Ei varmasti ole. Jos tuolle linjalle lähdet, saat hirttää aika lailla jengiä.
Oletko koskaan yrittänyt vakuuttaa kys. ihmistyyppiä siitä, että turvallisuuspätsit ja firewallit on kova juttu <tm>? Aina selitellään tyyliin "ei ne kuitenkaan mua.." ja sitten ollaan itkemässä kun kone meni rikki.
Nykyään tietoikoneita käyttää kotona nettikäyttöön niin monenlaiset ihmiset, että ei tommosta voi olettaa kaikkien hallitsevan tai osaavan tai muistavan. Tietokoneiden käyttäjissä on nörttien lisöäksi ihan lapsia ja vanhuksia jne. Kaikki ei ole tietoturvaasiantuntijhoita tai edes niin kokeneita tietokoneen käytöstä, että osaisivat tuommoiseen varautua. Siksi tuommoisten turvareikien tukkiminen ON ehdottomasti ensisijaisesti käyttiksen tekijöiden eli microsoftin tehtävä.
kinnunen Re: Niinpäniin
kinnunen, 17.7.2003 19:41:24		 Pisteet: +2
Jokanen joka pitää porttia 135 auki intter nettiin päin ansaitsee tulla hirtetyksi CAT5sella.
Ennemmin pistäisin kiikkumaan sen neron, joka keksi pistää käyttikseen palvelun joka väkisin haluaa pitää pitää portin auki ulkomaailmalle myös client-käytössä. On tarpeeksi paha että käyttöjärjestelmissä on oletuksena päällä turhia nettiä kuuntelevia palveluita, mutta tämä RPC on kyllä ihan omaa luokkaansa. RPC palvelun sulkeminen nimittäin estää melkein kaiken normaalin käytön. Näin kävi kun aikoinaan koitin W2K:ssa sulkea RPC:n - XP:ssä sitä ei näemmä saa kiinni ollenkaan.

Mielelläni kuulisin Microsoftin perustelut, miksi skanneria tai tulostinta käyttääkseni minun täytyy pitää käynnissä palvelua joka kuuntelee ulkomaailmasta tulevia palvelupyyntöjä. Kyseessä on aivan käsittämätön suunnitettelumoka, joko laitetaan client- ja palvelin-osat eri moduuleihin, tai jos tehdään yksi iso moduuli (mikä saattaa RPC:n tapauksessa olla ihan järkevää) niin sisällytetään siihen optio olla kuuntelematta nettiä. Ja molemmissa tapauksissa oletuksena niin, että nettiä ei kuunneella.

Palomuuri on hyödyllinen juttu, mutta on todella leväperäistä tehdä softaa periaatteella "no avataan ne portit nyt varmuuden vuoksi, kyllä käyttäjä ne sitten filtteröi palomuurillaan".


ps. kirjoittakaapa muuten huviksenne command promptissa "netstat -na" ja laskekaa avoimet UDP-portit ja LISTENING-tilassa olevat TCP-portit. Tahtoo tulla aika iso luku.
miksuh Re: Niinpäniin
miksuh, 18.7.2003 13:30:43		 Pisteet: 0
Jokanen joka pitää porttia 135 auki intter nettiin päin ansaitsee tulla hirtetyksi CAT5sella.
Ei siitä voi tavallista käyttäjää syyttää, kyllä tommosten tukkiminen on ensisijaisesti käyttiksen tekijöiden asia ei loppukäyttäjän.
Korttitalo sortuu
Anonyymi kommentoija, 18.7.2003 00:41:00		 Pisteet: 0
Vika ei ole nykyisten koodaajien, vaan koko Windowsin perusrakenne on syynä ongelmiin. Verkko-ominaisuudet on lisätty jälkeenpäin käyttikseen, joka on suunniteltu toimimaan yksittäisessä PC:ssä. Turvallinen TCP/IP toteutus vaatisi varmaankin virtuaalikoneen tapaisen "saarekkeen" taustalleen. Ja mieluusti jonkun muun tahon kuin Microsoftin toteuttamana.