Discussion:
Eilinen MOT ja tietoturva
(too old to reply)
Jari Lehtonen
2004-05-25 09:55:40 UTC
Permalink
Katselin eilen Ylen MOT-ohjelman tietohyökkäyksistä (uusitaan tänään
TV1 16.30), ja lopussa näytetty esimerkki koneen luvattomasta
haltuunotosta verkon yli herätti kysymyksiä.

Asiantuntijat hoi:

Miten on mahdollista, että koneeseen, jossa on sekä päällä oleva
virustorjunta, että palomuuriohjelmisto päällä voidaan tuosta vain
asentaa takaporttiohjelma yksinkertaisesti houkuttelemalla käyttäjä
avaamaan scriptin sisältävä HTML-sähköposti. Kuulemma perustui
Windowsin paikkaamattomaan aukkoon.

Haltuunoton jälkeen kaveri oli ihan suvereenina käyttäjänä uhrin
koneessa käyttäen ilmeisesti Winvnc -ohjelmistoa. Hiukan näytti liian
helpolta, olemmeko tosissaan noin alasti kaikista hienoista
"tietoturva"ohjelmistamme huolimatta?

Jari
Jukka Makela
2004-05-25 10:06:19 UTC
Permalink
Post by Jari Lehtonen
Katselin eilen Ylen MOT-ohjelman tietohyökkäyksistä (uusitaan tänään
TV1 16.30), ja lopussa näytetty esimerkki koneen luvattomasta
haltuunotosta verkon yli herätti kysymyksiä.
Miten on mahdollista, että koneeseen, jossa on sekä päällä oleva
virustorjunta, että palomuuriohjelmisto päällä voidaan tuosta vain
asentaa takaporttiohjelma yksinkertaisesti houkuttelemalla käyttäjä
avaamaan scriptin sisältävä HTML-sähköposti. Kuulemma perustui
Windowsin paikkaamattomaan aukkoon.
Taas yksi syy vähemmän käyttää IE:tä.
--
Jukka
Jari Lehtonen
2004-05-25 10:39:50 UTC
Permalink
On Tue, 25 May 2004 13:06:19 +0300, Jukka Makela
Post by Jukka Makela
Taas yksi syy vähemmän käyttää IE:tä.
Mitä tekemistä IE:llä on tämän kanssa?
J.
Jukka Makela
2004-05-25 10:51:48 UTC
Permalink
Post by Jari Lehtonen
On Tue, 25 May 2004 13:06:19 +0300, Jukka Makela
Post by Jukka Makela
Taas yksi syy vähemmän käyttää IE:tä.
Mitä tekemistä IE:llä on tämän kanssa?
J.
Haavoittuvuus toimii kyseisellä selaimella.
--
Jukka
Kari Jarvinen
2004-05-25 10:14:10 UTC
Permalink
Post by Jari Lehtonen
olemmeko tosissaan noin alasti kaikista hienoista
"tietoturva"ohjelmistamme huolimatta?
Periaatteessa niin kauan kuin käyttäjän typeryys (tai itse asiasa
tietämättömyys) yhdistetään yhdenkin järjestelmän aukon kanssa, on
tilanne tämä. Ja aina järjestelmästä ei edes aukkoa tarvitse löytyä.
--
The leader of Pugilism and the third autistic cuckoo was called Pain
Jari Lehtonen
2004-05-25 10:42:44 UTC
Permalink
Post by Kari Jarvinen
Periaatteessa niin kauan kuin käyttäjän typeryys (tai itse asiasa
tietämättömyys) yhdistetään yhdenkin järjestelmän aukon kanssa, on
tilanne tämä. Ja aina järjestelmästä ei edes aukkoa tarvitse löytyä.
Eli missä kohtaa tässä on typeryys? Ohjelmassa sähköpostin
lähettäjäksi oli naamioitu ko. ohjelman tuottaja. Olemmeko typeriä
käyttäjiä jo siinä, että luemme näitä news-posteja, jotka saattavat
tulla ties keneltä? Oletko itsekään varma oletko oikeasti Kari
Järvinen vai alienin sisältävä klooni??? :-D

J.L.
Kari Jarvinen
2004-05-25 10:55:10 UTC
Permalink
Post by Jari Lehtonen
Eli missä kohtaa tässä on typeryys?
No esimerkiksi itse en ajele _yhtäkään_ suoritettavaa binääriä suoraan
mailista (eikä se itse asiassa tässä Linuxissa olisi edes mahdollista)
ennen kuin olen "varma" lähettäjästä ja lähettäjän
tarkoitusperistä. No, siltikin saatan jättää sen pornoscreensaverin
ajamatta :)

Samoin yksikään mailisoftani ei näytä html- tms. "skriptiviestejä".
Post by Jari Lehtonen
Olemmeko typeriä
käyttäjiä jo siinä, että luemme näitä news-posteja,
Huono analogia. Ensinnäkin nyysseissä ei ole tapana lähetellä
liitetiedostoja tai html-viestejä[1] ja toisaalta näiden viestien
lukemisesta ei pitäisi seurata mielenhäiriötä pahempaa vahinkoa.

[1] Jolloin niitä ei _todellakaan_ pidä katsoa tai ajaa ja toisaalta
nyytistin pitäisi olla sellainen, joka ei esikatselussa näytä joka
helkutin html-viestiä tai mahdollista liitetiedostojen ajamista
"suoraan".
--
The leader of Pugilism and the third autistic cuckoo was called Pain
Jari Lehtonen
2004-05-25 13:17:33 UTC
Permalink
Post by Kari Jarvinen
Post by Jari Lehtonen
Eli missä kohtaa tässä on typeryys?
No esimerkiksi itse en ajele _yhtäkään_ suoritettavaa binääriä suoraan
mailista (eikä se itse asiassa tässä Linuxissa olisi edes mahdollista)
ennen kuin olen "varma" lähettäjästä ja lähettäjän
tarkoitusperistä. No, siltikin saatan jättää sen pornoscreensaverin
ajamatta :)
Käsitin sen niin, ettei siinä meilissä ollut liitteenä mitään
ajettavaa, Ainoastaan skripti, joka latasi tuon www-sivun jossa oli se
skripti, joka asensi hallintaohjelman kyselemättä käyttäjältä mitään,
Siis käyttäjä ei tehnyt muuta kuin avasi postin.
Post by Kari Jarvinen
Samoin yksikään mailisoftani ei näytä html- tms. "skriptiviestejä".
Ei sinun, mutta 90% tietokoneen käyttäjistä näyttää kyllä.
Post by Kari Jarvinen
Post by Jari Lehtonen
Olemmeko typeriä
käyttäjiä jo siinä, että luemme näitä news-posteja,
Huono analogia. Ensinnäkin nyysseissä ei ole tapana lähetellä
liitetiedostoja tai html-viestejä[1] ja toisaalta näiden viestien
lukemisesta ei pitäisi seurata mielenhäiriötä pahempaa vahinkoa.
Mistäs senkin tietää, joku voi sanoa noin sähköposteistakin, usko
siinä sitten....
Post by Kari Jarvinen
[1] Jolloin niitä ei _todellakaan_ pidä katsoa tai ajaa ja toisaalta
nyytistin pitäisi olla sellainen, joka ei esikatselussa näytä joka
helkutin html-viestiä tai mahdollista liitetiedostojen ajamista
"suoraan".
Niin pitäisi, pitäisihän meidän käyttää pyöräillessä kypärää ja
kännykässä handsfreetä ja kotona ei saisi tehdä mitään sähkötöitä eikä
meidän pitäisi syödä eläinrasvoja, puhdistettua sokeria, pesemättömiä
vihanneksia....

Jari
Jussi Lind
2004-05-25 14:42:06 UTC
Permalink
Post by Jari Lehtonen
Niin pitäisi, pitäisihän meidän käyttää pyöräillessä kypärää ja
kännykässä handsfreetä ja kotona ei saisi tehdä mitään sähkötöitä eikä
meidän pitäisi syödä eläinrasvoja, puhdistettua sokeria, pesemättömiä
vihanneksia....
...käyttää Windowsia...
--
-lind-jii

http://www.debian.org
http://www.iki.fi/jussi.lind
Thor Kottelin
2004-05-25 17:25:05 UTC
Permalink
Post by Jari Lehtonen
Post by Kari Jarvinen
No esimerkiksi itse en ajele _yhtäkään_ suoritettavaa binääriä suoraan
mailista (eikä se itse asiassa tässä Linuxissa olisi edes mahdollista)
ennen kuin olen "varma" lähettäjästä ja lähettäjän
tarkoitusperistä.
Käsitin sen niin, ettei siinä meilissä ollut liitteenä mitään
ajettavaa, Ainoastaan skripti, joka latasi tuon www-sivun jossa oli se
skripti, joka asensi hallintaohjelman kyselemättä käyttäjältä mitään,
Siis käyttäjä ei tehnyt muuta kuin avasi postin.
Siis ajettiin ensin skripti, ja sitten hallintaohjelma? Lopputuloksen
kannaltahan on samantekevää käynnistääkö käyttäjä nuo softat käsin vai
antaako hän surkuhupaisan meiliohjelmahkon tehdä sen puolestaan
automaattisesti.

Thor
--
http://thorweb.anta.net/ IRCnet #areena
Jaakko Leinonen
2004-05-26 06:11:25 UTC
Permalink
[...]
Post by Jari Lehtonen
Käsitin sen niin, ettei siinä meilissä ollut liitteenä mitään
ajettavaa, Ainoastaan skripti, joka latasi tuon www-sivun jossa oli se
skripti, joka asensi hallintaohjelman kyselemättä käyttäjältä mitään,
Siis käyttäjä ei tehnyt muuta kuin avasi postin.
Typeryys on siinä, että käyttää sellaista sähköpostiohjelmaa, joka surutta
ajelee kaikenmaailman skriptit ja liitteet ihan tuosta vaan.
Helppokäyttöisyys on viety turvallisuuden (ja järkevyyden) edelle.
Post by Jari Lehtonen
Post by Kari Jarvinen
Samoin yksikään mailisoftani ei näytä html- tms. "skriptiviestejä".
Ei sinun, mutta 90% tietokoneen käyttäjistä näyttää kyllä.
Niin, siinä se vika onkin. Kiitos "Trustwrthy Computing" Microsoftin.
Käyttämällä jotain muuta selainta kuin IE:ia ja jotain muuta
sähköpostiohjelmaa kuin OE:ia tai Outlookia välttää jo suurimman osan
kaikista riskeistä. Harmi vain, ettei sitä kerrota käyttäjille.

--j
--
Hiljaa hyvä tulee, melskaamalla naapuri valittamaan.
-- Alivaltiosihteeri, "Virallisimmat ajatukset"
Kari Jarvinen
2004-05-26 07:51:44 UTC
Permalink
Post by Jaakko Leinonen
Typeryys on siinä, että käyttää sellaista sähköpostiohjelmaa, joka surutta
En ehkä siltikään puhuisi kaikkien käyttäjien kohdalla juuri
typeryydestä. Ehkä ilmaisu "asiasta tietämättömyys" kuvaisi ilmiötä
paremmin.

Tosin voihan sitä tietty miettiä, onko tiettyjen asioiden
opettelematta jättäminen jonkinlaista typeryyttä. Ehkä, ehkä ei.
--
The leader of Pugilism and the third autistic cuckoo was called Pain
Timo Pietilä
2004-05-27 07:00:44 UTC
Permalink
Post by Kari Jarvinen
Post by Jaakko Leinonen
Typeryys on siinä, että käyttää sellaista sähköpostiohjelmaa, joka surutta
En ehkä siltikään puhuisi kaikkien käyttäjien kohdalla juuri
typeryydestä. Ehkä ilmaisu "asiasta tietämättömyys" kuvaisi ilmiötä
paremmin.
Tietämättömyys ei ole oikea sana. Välinpitämättömyys ehkä olisi. On
nimittäin näitä epämääräisten liitteiden klikkailijoita vaikka ohjeita
on annettu jo monta vuotta.

Paikattu IE/OE järjen kanssa ei ole sen turvattomampi kuin mikään
muukaan sähköpostiohjelma.

Timo Pietilä
--
Tietoturvan osalta en voi paljon kritisoida, mutta mielestäni M$ väki
on opetettu kävelemään alasti pakkasella ja syömään kuumelääkkeitä.
--Janne Tourunen
jukka
2004-05-27 07:36:55 UTC
Permalink
Post by Timo Pietilä
Tietämättömyys ei ole oikea sana. Välinpitämättömyys ehkä olisi. On
nimittäin näitä epämääräisten liitteiden klikkailijoita vaikka ohjeita
on annettu jo monta vuotta.
Paikattu IE/OE järjen kanssa ei ole sen turvattomampi kuin mikään
muukaan sähköpostiohjelma.
Oliko paikattu IE/OE yhtä turvallinen kuin Mozilla juuri ennen esim
Sasserin julkituloa ?
Jukka
Timo Pietilä
2004-05-27 08:34:09 UTC
Permalink
Post by jukka
Oliko paikattu IE/OE yhtä turvallinen kuin Mozilla juuri ennen esim
Sasserin julkituloa ?
Paikattu ja järjen kanssa. Kyllä. Sasser käyttää turva-aukkoa johon oli
paikka julkaistu paria viikkoa ennen.

Tosin Mozillaa turvallisempaa näin yleisesti ei taida olla kuin Firefox.

Timo Pietilä
Jari Jylhä
2004-05-27 07:51:14 UTC
Permalink
Post by Timo Pietilä
Tietämättömyys ei ole oikea sana. Välinpitämättömyys ehkä olisi. On
nimittäin näitä epämääräisten liitteiden klikkailijoita vaikka ohjeita
on annettu jo monta vuotta.
Miksi sitten ohjelmantekijät eivät ole tehneet asialle mitään?
Post by Timo Pietilä
Paikattu IE/OE järjen kanssa ei ole sen turvattomampi kuin mikään
muukaan sähköpostiohjelma.
Järjetöntä. Kyllä on kummallista jos asiantilaa pidetään
hyvänä ja samalla varoitetaan ehdottomasti avaamasta
postia ja sohimalla rotalla linkkejä. Eihän koko hommassa
ole mitään järkeä.
Timo Pietilä
2004-05-27 08:20:24 UTC
Permalink
Post by Jari Jylhä
Post by Timo Pietilä
Tietämättömyys ei ole oikea sana. Välinpitämättömyys ehkä olisi. On
nimittäin näitä epämääräisten liitteiden klikkailijoita vaikka ohjeita
on annettu jo monta vuotta.
Miksi sitten ohjelmantekijät eivät ole tehneet asialle mitään?
Kysy Billiltä.
Post by Jari Jylhä
Post by Timo Pietilä
Paikattu IE/OE järjen kanssa ei ole sen turvattomampi kuin mikään
muukaan sähköpostiohjelma.
Järjetöntä. Kyllä on kummallista jos asiantilaa pidetään
hyvänä ja samalla varoitetaan ehdottomasti avaamasta
postia ja sohimalla rotalla linkkejä. Eihän koko hommassa
ole mitään järkeä.
Siksipä se "järjen kanssa".

Timo Pietilä
anttil
2004-05-27 11:09:24 UTC
Permalink
Post by Jari Jylhä
Miksi sitten ohjelmantekijät eivät ole tehneet asialle mitään?
Siksi että koodarit koodaavat suunnittelijoiden suunnitelmien
pohjalta jotka suunnitellaan konseptisuunnitelmien pohjalta ja
jotka taas ovat markkina- ja käytettävyystutkimuksien pohjalta
mietitty. Ei kukaan tee mitään hetken mielijohteesta, vaan
kaikki on aivan varmasti tutkimusten tuloksia. Jos suurin osa
peruskäyttäjistä näin haluaa niin se on niin. Se onkin sitten
toinen asia, ymmärtävätkö em. tutkimuksiin osallistujat
kokonaisuutta (ja kerrotaanko heille tarpeeksi asiasta).

Tietenkin koodarit ja suunnittelijat ymmärtävät tietoturvan
merkityksen ja varmasti osaa koodareista hävettää koodata
sellaista sontaa, mutta minkäs teet.

Nykypäivänä isommat softa- ja www -kehitys-talot uhraavat
käytettävyyden tietoturvan edelle, koska tietoturva hankaloittaa
käytettävyyttä. Se, miksi ei sitten tutkita enempää (näin varmasti
kuitenkin jonkunverran edes tehdään) näiden kahden yhteen
sulauttamista, onkin mielenkiintoinen kysymys. Luultavimmin kyse on
rahasta.

Itse kuitenkin suuresti toivon, että asia tulee muuttumaan
tulevaisuudessa.
--
antti l.
Ari Saastamoinen
2004-05-27 14:47:27 UTC
Permalink
Post by Jari Jylhä
Miksi sitten ohjelmantekijät eivät ole tehneet asialle mitään?
Mitä ne voisivat tehdä? Poistaa mahdollisuuden liitetiedostojen
lähettelyyn? Erittäin monet vain kuvittelevat tarvitsevansa tuota,
joten jos se jostain poistettaisiin, niin he vaihtaisivat parempaan
ohjelmaan, jossa olisi heidän tarvitsemansa toiminnot.
Post by Jari Jylhä
Järjetöntä. Kyllä on kummallista jos asiantilaa pidetään
hyvänä ja samalla varoitetaan ehdottomasti avaamasta
postia ja sohimalla rotalla linkkejä. Eihän koko hommassa
ole mitään järkeä.
Esitä asiaan ihan oikeasti toimiva ratkaisu, niin ehkä joku sitten
voisi tehdä hyvän postiohjelman antamasi ohjeen perusteella. Minä
ainakaan en keksi miten tuo voitaisiin "korjata", vaikka ehkä muuten
sen sähköpostiohjelman osaisinkin tehdä.
--
Arzka oh3mqu+***@vip.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Timo Pietilä
2004-05-27 16:39:48 UTC
Permalink
Post by Ari Saastamoinen
Post by Jari Jylhä
Järjetöntä. Kyllä on kummallista jos asiantilaa pidetään
hyvänä ja samalla varoitetaan ehdottomasti avaamasta
postia ja sohimalla rotalla linkkejä. Eihän koko hommassa
ole mitään järkeä.
Esitä asiaan ihan oikeasti toimiva ratkaisu, niin ehkä joku sitten
voisi tehdä hyvän postiohjelman antamasi ohjeen perusteella. Minä
ainakaan en keksi miten tuo voitaisiin "korjata", vaikka ehkä muuten
sen sähköpostiohjelman osaisinkin tehdä.
Oikeastaan kohtalaisen helppoa. Estetään ajettavien ohjelmien käynnistys
suoraan sähköpostista ja annetaan vaihtoehdoksi ainoastaan tallennus
levylle. Jos käyttäjä sitten _vieläkin_ ajaa sen ei ongelma ole
s-postiohjelman. Muut tiedostot voisi aukaista suoraankin (siis
s-postiohjelma avaa ohjelman joka sitten avaa sen tiedoston). Jos sitten
saa wordin makroviruksen niin ongelma on wordissä jossa on makrot
enabloitu, ei s-postiohjelmassa.

Sähköpostiohjelmassa hötömötön suhteen ajetaan sitä IE:tä kaikki
mahdollinen paikallisella koneella ajettava scriptikieli kiellettynä
mukaanlukien java, javascript ja ActiveX -komponentit (jos sitä
hötömötöä nyt ylipäätään pitää käyttää, mielestäni ei). Jos posti
sisältää linkin jonnekkin niin se sitten avaa oletusselaimen tuolle
sivulle. Ja jälleen, jos sieltä saa viruksen on ongelma sen selaimen, ei
s-postiohjelman.

Timo Pietilä
pazi
2004-05-28 07:36:27 UTC
Permalink
Post by Timo Pietilä
Oikeastaan kohtalaisen helppoa. Estetään ajettavien ohjelmien käynnistys
suoraan sähköpostista ja annetaan vaihtoehdoksi ainoastaan tallennus
levylle.
Hmm... Tiimiposti on tehnyt näin vuodesta miekka ja
kypärä: SYSTEM.INI (vai oliko se WIN.INI?) / Registryn
Programs-luettelossa olevat tiedostopäätteet määräävät
ajokiellossa olevat liitteet. Yksinkertaista, mutta
ihmeen vaikeaa joillekin sähköpostiohjelmien tekijöille.

Uudemmissa Windows-versioissa on tullut SCR, VBS, SHS jne
ajettavia tiedostotyyppejä mukaan, joten tarkkana toki silti
saa olla.

Itse viestiosan suhteen olen ollut ja olen edelleen sitä
mieltä, että HTML on saatanasta.

-zi
Taneli Saastamoinen
2004-05-28 07:48:52 UTC
Permalink
Post by Timo Pietilä
Oikeastaan kohtalaisen helppoa. Estetään ajettavien ohjelmien käynnistys
suoraan sähköpostista ja annetaan vaihtoehdoksi ainoastaan tallennus
levylle. Jos käyttäjä sitten _vieläkin_ ajaa sen ei ongelma ole
s-postiohjelman. Muut tiedostot voisi aukaista suoraankin (siis
s-postiohjelma avaa ohjelman joka sitten avaa sen tiedoston). Jos sitten
saa wordin makroviruksen niin ongelma on wordissä jossa on makrot
enabloitu, ei s-postiohjelmassa.
Tai sitten Windows+Outlook -yhdistelmä on niin paska, että sopivanlaiset
tiedostot suoritetaan ohjelmina, vaikka Outlook luulee niitä esim.
tiedostopäätteen takia dokumenteiksi.

Tietysti jos käyttää Outlookin sijaan esim. jotain sähköpostiohjelmaa,
tätäkään ongelmaa ei ole.
Post by Timo Pietilä
hötömötöä nyt ylipäätään pitää käyttää, mielestäni ei). Jos posti
sisältää linkin jonnekkin niin se sitten avaa oletusselaimen tuolle
sivulle. Ja jälleen, jos sieltä saa viruksen on ongelma sen selaimen, ei
s-postiohjelman.
Eli jos virusmailissa on linkki paikkaan http://evil.com/get_infected/ ,
käynnistetään automaagisesti IE, joka surffaa tuolle sivulle ja tietysti
äärettömän paskana selaimena nappaa sivulta mukaan n+1 erilaista
virusta.

Tietysti jos käyttää IE:n sijaan esim. jotain webbiselainta, tätäkään
ongelmaa ei ole.

Eli yhteenvetona: jos ei käytä Outlookkia ja IE:tä, asiat ovat jo
melkoisen paljon paremmin. Sitten ei ole enää kuin n+1 vakavaa
Windows-aukkoa, jotka käytännössä vaativat erillisen rautapalomuurin
Windowsin ja internetin väliin. Niin, ja IE:täkään ei saa koneesta edes
pois, joten siitäkin on pakko huolehtia, vaikkei mokomaa paskakasaa edes
käyttäisi.

Mutta onhan Windows tietysti "ihan hyvä", jos tykkää kaikenlaisesta
turhasta säätämisestä ja ajoittaisista uudelleenasennuksista (virukset
saattavat päästä säätämisestäkin huolimatta iskemään, kun Microsoft ei
vain paikkaa kaikkia reikiä ajoissa). Laiskemmat, kuten minä, käyttävät
esim. Mac OS X:ää.

Pistänpä vielä follarit, siltä varalta että jollekulle jäi jokin asia
epäselväksi.
--
begin LOVE-LETTER-FOR-YOU.TXT.vbs
Ari Laitinen
2004-05-27 17:53:25 UTC
Permalink
Post by Ari Saastamoinen
Post by Jari Jylhä
Järjetöntä. Kyllä on kummallista jos asiantilaa pidetään
hyvänä ja samalla varoitetaan ehdottomasti avaamasta
postia ja sohimalla rotalla linkkejä. Eihän koko hommassa
ole mitään järkeä.
Esitä asiaan ihan oikeasti toimiva ratkaisu, niin ehkä joku sitten
voisi tehdä hyvän postiohjelman antamasi ohjeen perusteella. Minä
ainakaan en keksi miten tuo voitaisiin "korjata", vaikka ehkä muuten
sen sähköpostiohjelman osaisinkin tehdä.
Sähköpostin kanssa toimivaksi on osoittautunut tiedostojen päätteet sotkeva
postipalvelin. Posti menee perille mutta voi voi jos ei ymmärrä
tietotekniikasta. Se ei aukea mikäli liite ei ollut tuttu ja turvallinen TXT
tai JPG jne... Oikeutus liitteen avaamiselle saadaan yksinkertaisella
tasokokeella. Jos käyttäjä tietää mikä oli liitteen oikea pääte niin hän saa
sen auki.

Kynnys on niin korkea että jäävät kokeilematta kun on oikeasti parempaakin
tekemistä.
Paul Keinanen
2004-05-27 08:30:07 UTC
Permalink
On Thu, 27 May 2004 10:00:44 +0300, Timo Pietilä
Post by Timo Pietilä
Paikattu IE/OE järjen kanssa ei ole sen turvattomampi kuin mikään
muukaan sähköpostiohjelma.
Se voi olla tällä viikolla turvallinen, mutta siitä ei voi olla
mitenkään varma ensi viikolla.

Paikattu IE/OE on eri asia kuin ehjä ohjelma.

Perusvirhe on tehty jo noiden ohjelman suunnittelussa tai itse asiassa
jo vaatimusmäärittelyissä, kun on oletettu, että niitä käytetään
ainoastaan ystävällismielisessä ympäristössä, esim. pelkästään firman
sisäverkossa asiantuntevan ATK ylläpidon hoitamana.

Paul
anttil
2004-05-27 10:41:12 UTC
Permalink
Post by Timo Pietilä
Tietämättömyys ei ole oikea sana. Välinpitämättömyys ehkä olisi. On
nimittäin näitä epämääräisten liitteiden klikkailijoita vaikka ohjeita
on annettu jo monta vuotta.
Kyllä se on nimenomaan tietämättömyyttä. Jos koneen omistaja on
esim. vanhempi ihminen eikä osaavia sukulaisia löydy, kuka hänelle
ohjeita antaisia ja mikä vielä tärkempää, selittäisi ne selkokielellä?
Siinä ei suuremmin auta, jos Mustan Pörssin myyjä selittelee ympäri-
pyöreitä ja nappaa tietoturvakirjasen kaupan päälle kun ihminen
ei yksinkertaisesti ymmärrä lukemaansa.

Tottakai tietoa löytyy myös netistä, mutta miten henkilö osaisi
mennä oikeille sivuille ja mistä hänen päähänsä tulisi yleensäkään
ajatus etsiä tietoa asiasta? Nykypäivänä sentään uutisoivat jo
televisiossa ja isoimmissa sanomalehdissä suurimmista madoista,
joten asia on hieman helpottunut tämän myötä.
--
antti l.
Timo Pietilä
2004-05-27 12:16:14 UTC
Permalink
Post by anttil
Post by Timo Pietilä
Tietämättömyys ei ole oikea sana. Välinpitämättömyys ehkä olisi. On
nimittäin näitä epämääräisten liitteiden klikkailijoita vaikka ohjeita
on annettu jo monta vuotta.
Kyllä se on nimenomaan tietämättömyyttä. Jos koneen omistaja on
esim. vanhempi ihminen eikä osaavia sukulaisia löydy, kuka hänelle
ohjeita antaisia ja mikä vielä tärkempää, selittäisi ne selkokielellä?
Tällaisesaa tapauksessa tietenkin kyse on myös tietämättömyydestä, mutta
kun itse olen isossa verkkoympäristössä huomannut ettei se ohjeistus
mitään auta joidenkin ihmisten kohdalla, niin välinpitämättömys on
minusta parempi kuvaus asialle.
Post by anttil
Tottakai tietoa löytyy myös netistä, mutta miten henkilö osaisi
mennä oikeille sivuille ja mistä hänen päähänsä tulisi yleensäkään
ajatus etsiä tietoa asiasta?
Ongelma vain ei ole pelkästään tietämättömän kotikäyttäjän, vaan myös
ison verkon lusereiden.

Ehkäpä kyse on näiden kahden kombinaatiosta, eli ei tiedetä, eikä edes
viitsitä ottaa selvää. "Sama kai se vaikka virus olisikin omalla
koneella jos konetta voi yhä käyttää" -tyypin ihmisiä.
Post by anttil
Nykypäivänä sentään uutisoivat jo
televisiossa ja isoimmissa sanomalehdissä suurimmista madoista,
joten asia on hieman helpottunut tämän myötä.
Juu, ja paniikki kasvanut. Asentavat softamurin ja sitten ihmettelevät
hirmuista määrää "hyökkäyksiä"...

Timo Pietilä
--
Tietoturvan osalta en voi paljon kritisoida, mutta mielestäni M$ väki
on opetettu kävelemään alasti pakkasella ja syömään kuumelääkkeitä.
--Janne Tourunen
Jouko Holopainen
2004-06-04 02:27:47 UTC
Permalink
Post by Timo Pietilä
Paikattu IE/OE järjen kanssa ei ole sen turvattomampi kuin mikään
muukaan sähköpostiohjelma.
Mistä tuollaisen saa?

<http://www.eeye.com/html/Research/Upcoming/index.html>
--
@jhol

Ihmisiä ei voi ostaa, heidät voi vain vuokrata. Tosin aika halvalla,
ilmeisesti lisääntyvä tarjonta laskee hintoja.
Jukka Mustasilta
2004-05-25 14:21:00 UTC
Permalink
Post by Kari Jarvinen
No esimerkiksi itse en ajele _yhtäkään_ suoritettavaa binääriä suoraan
Jos IE:ssä ei ole kaikkia pätsejä niin riittää, että klikkaat sopivaa
linkkiä ja koneeseesi asentuu ohjelma. Kyllä tuolla on helppo uunottaa
fiksumpaakin.
Pluto
2004-05-25 10:16:51 UTC
Permalink
en itse nähnyt MOT ohjelmaa mutta olettaisin että
sähköpostin scripti ajettiin niin että uhri oli koneella admin oikeuksin
kirjaantuneena konella ja siten voi asentaa softaa & tehdä mitä haluaa...
kun admin oikat hallussa.

jos uhri olisi ollut vain "user" tason oikeuksilla konella
jolla ei mitään lupaa asentaa softaa ja muutenkaan tehdä vahinkoa
koneella niin olisi hakkerin pitänyt murtaa saada admin salasana / tunnus
jotta olisi
edes voinnut asentaa vinvnc koneelle? mutta kait se olisi silti kait
onnistunut? siis murtautuminen.

enneminkin haluasin nähdä ohjelman jossa on järjestelmä mihin yritetään
murtaua muttei pystytä...
-> ei ole sellaista ?


"Windows pc on kuin, 1001 yön satu ...1001 tapaa murtautua siihen, mutta
unix/linux vain 1 tapa ja
sekin tiedetään jo."





"Jari Lehtonen" <***@hukassa.com> wrote in message news:***@4ax.com...
Katselin eilen Ylen MOT-ohjelman tietohyökkäyksistä (uusitaan tänään
TV1 16.30), ja lopussa näytetty esimerkki koneen luvattomasta
haltuunotosta verkon yli herätti kysymyksiä.

Asiantuntijat hoi:

Miten on mahdollista, että koneeseen, jossa on sekä päällä oleva
virustorjunta, että palomuuriohjelmisto päällä voidaan tuosta vain
asentaa takaporttiohjelma yksinkertaisesti houkuttelemalla käyttäjä
avaamaan scriptin sisältävä HTML-sähköposti. Kuulemma perustui
Windowsin paikkaamattomaan aukkoon.

Haltuunoton jälkeen kaveri oli ihan suvereenina käyttäjänä uhrin
koneessa käyttäen ilmeisesti Winvnc -ohjelmistoa. Hiukan näytti liian
helpolta, olemmeko tosissaan noin alasti kaikista hienoista
"tietoturva"ohjelmistamme huolimatta?

Jari
Jori Mantysalo
2004-05-25 13:28:08 UTC
Permalink
jos uhri olisi ollut vain "user" tason oikeuksilla konella jolla ei
mitään lupaa asentaa softaa ja muutenkaan tehdä vahinkoa koneella
niin olisi hakkerin pitänyt murtaa saada admin salasana / tunnus
jotta olisi edes voinnut asentaa vinvnc koneelle? mutta kait se
olisi silti kait onnistunut? siis murtautuminen.
No peruskäyttäjänä voi joka tapauksessa lähettää maailmalle käyttäjän
dokumentteja ym. ikävää. Myös takaportti on mahdollista avata uhrin
koneelta ulospäin eikä niin että uhrin kone kuuntelisi verkkoa,
vaikka käytännössä homma silloin menee vaikeammaksi. Mutta periaatteessa
esim. Admin-tunnuksilla tehdyt varmuuskopiot ovat tallessa user-tason
käyttäjän teoista riippumatta. Käytännössä sitten voi vielä olla
local root -tyypin reikiä.

Jotain tässä tietenkin voi auttaa, jos palomuuri vahtii ulos lähtevää
liikennettä. Tällöin haittaohjelma voi yrittää käyttää epäsuorasti
apunaan tunnettua ohjelmaa, esim. selainta. Toisaalta palomuuri voi yrittää
seurata tällaisia yrityksiä.

En kyllä silti ole kovin luottavainen siihen, että palomuurit pitkän
päälle mitään pelastavat. Kyse on minusta vähän kuin leijonan karkuun
juoksemisesta: nyt auttaa juosta kaveria nopeammin, mutta isommassa
mittakaavassa on kyse siitä voidaanko juosta leijonaa nopeammin.

* * *

Ja sitten hopi hopi nyysietikettiä lukemaan. Aloita vaikka laittamalla
.invalid osoitteesi loppuun ellet enempää tee (email.fi on olemassa oleva
domain!), ja josko harkitsisit ihan nimen käyttöä. Ja tapana on myös
vastata viestin alle eikä päälle.

Lisätietoa esim. Nyysioppaasta:
http://www.cs.tut.fi/~jkorpela/nyysit/
tuo on hyvää luettavaa muutenkin kuin netiketin osalta.
--
"Vetrauksesi ei osu kodhalleen. Tietokiilenteen räihintä on kiros.
Mineni ei ole Arto."
-- Atro, s.v.roskapostit -ryhmässä
Timo Pietilä
2004-05-25 10:18:59 UTC
Permalink
Post by Jari Lehtonen
Katselin eilen Ylen MOT-ohjelman tietohyökkäyksistä (uusitaan tänään
TV1 16.30), ja lopussa näytetty esimerkki koneen luvattomasta
haltuunotosta verkon yli herätti kysymyksiä.
Miten on mahdollista, että koneeseen, jossa on sekä päällä oleva
virustorjunta, että palomuuriohjelmisto päällä voidaan tuosta vain
asentaa takaporttiohjelma yksinkertaisesti houkuttelemalla käyttäjä
avaamaan scriptin sisältävä HTML-sähköposti. Kuulemma perustui
Windowsin paikkaamattomaan aukkoon.
Takaportin asennushan tuossa tapahtuu käyttäjän toimesta (mahdollisesti
itse koodi tulee vaikkapa XML:ää hyväksikäyttäen HTML:n käyttämää
porttia 80 pitkin verkosta), eli ei siinä palomuurit auta. Virustorjunta
saattaisi auttaa jos virustorjunta tunnistaa ladattavan koodin. Ja
reiäthän pitää tietenkin tukkia, eli windowsupdatea pitää käyttää.

Palomuuri saattaa kyllä älähtää siinä vaiheessa kun tuo takaportti
aktivoidaan (siis jos kyseessä ei ole XP:n "palomuuri") tai jos se ei
käytä normaalisti aukiolevia portteja (kuten HTML:80) ja jos palomuuri
on konffattu niin, että se kysyy saako ohjelma mennä verkkoon.
Post by Jari Lehtonen
Haltuunoton jälkeen kaveri oli ihan suvereenina käyttäjänä uhrin
koneessa käyttäen ilmeisesti Winvnc -ohjelmistoa. Hiukan näytti liian
helpolta, olemmeko tosissaan noin alasti kaikista hienoista
"tietoturva"ohjelmistamme huolimatta?
Kyllä ja ei. Jos koneessa on aukko ja palomuuri on leikkimuuri ja
virustorjunta ei koodia tunnista niin helppoahan se sitten on.

Timo Pietilä
--
Tietoturvan osalta en voi paljon kritisoida, mutta mielestäni M$ väki
on opetettu kävelemään alasti pakkasella ja syömään kuumelääkkeitä.
--Janne Tourunen
Olli
2004-05-25 10:42:19 UTC
Permalink
Post by Timo Pietilä
Palomuuri saattaa kyllä älähtää siinä vaiheessa kun tuo takaportti
aktivoidaan (siis jos kyseessä ei ole XP:n "palomuuri") tai jos se ei
käytä normaalisti aukiolevia portteja (kuten HTML:80) ja jos palomuuri
on konffattu niin, että se kysyy saako ohjelma mennä verkkoon.
Ongelma ei ole niinkään siinä että ohjelma käyttäisi jotain "normaaleja
portteja" vaan saattaa olla siinä että jos takaportti käyttää jotain
sallittua ohjelmaa kommunikointiin (FTP:tä, browseria, telnettiä, mitä
vaan) niin palomuuri ei siitä älähdä. Aika useinhan kaikki ulospäin
menevä TCP on sallittu. Antivirus sitten älähtää kyllä tuosta takaovesta
kunhan päivitykset ovat ajantasalla.

MOT:n esimerkissä käytettiin esim WinVNC:tä ja siitä kyllä palomuuri
(yleensä) älähtäisi koska siinä on uusi ohjelma pyrkimässä verkkoon tai
toimimassa palvelimena. Tämä tietysti vaatii että tietoturva-asetukset
ovat kunnossa ja sovelluksia ei kysymättä sallita.

Olli
Lada
2004-05-25 11:02:18 UTC
Permalink
Wintoosassa ja IE:ssä on vielä paikkaamattomia aukkoja. Ei se ettei myös
muissa softissa ole, mutta niitä käytetään niin vähän että ei ole
järkevää tutkia marginaali ryhmien käyttämien sovellusten aukkoja.
Ja siiehn että olemmeko typeriä vai ei? Vastaus on helppo: OLEMME.
Ainakin isojoukko klikkaa auki tietoturvapäivityksen, jonka on saanut
mikkisoftalta sähköpostina, luuletteko tosiaan että kyseinen laitos
jakelisi päivityksiä maileilla.

Kun liitetiedosto avattu, se on harasoo ja menoks.
Tunnettuja reikiä käyttämällä saadaan kone haltuun, piilottamaan
koodinpätkä virustorjunnalta sekä avaamalla sopivia portteja omaan käyttöön.

Pekka Peruskäyttäjä, joka avaa ne liitetiedostot, osaa harvemmin tutkia
omaa liikennetään ja ihmetellä erikoisiin portteihin liikkuvaa dataa.
Tai sallituun porttiin liikuvaa dataa jota on liikaa. Onhan hänellä
palomuuri sekä virustorjunta ajantasalla.

Nykyisellään softat harvemmin tarjoavat mitään rekan mentävää reikää
ilman käyttäjän avustamista,(taas kerran liitetiedosto auki).
Eli jos käytään intterwebbiä järjen kanssa ja ajatellaan hetki ennen yes
klikkiä, niin ollaan paljon paremmassa turvassa.

-Lada
Timo Pietilä
2004-05-25 11:15:45 UTC
Permalink
Post by Lada
Eli jos käytään intterwebbiä järjen kanssa ja ajatellaan hetki ennen yes
klikkiä, niin ollaan paljon paremmassa turvassa.
Näin juuri. Pahin reikä on tavallisesti siinä näppäimistön ja tuolin
välissä.

Timo Pietilä
--
Tietoturvan osalta en voi paljon kritisoida, mutta mielestäni M$ väki
on opetettu kävelemään alasti pakkasella ja syömään kuumelääkkeitä.
--Janne Tourunen
Jari Jylhä
2004-05-25 11:54:41 UTC
Permalink
Post by Timo Pietilä
Näin juuri. Pahin reikä on tavallisesti siinä näppäimistön ja tuolin
välissä.
Eikä. Älä syyllistä käyttäjää. On ohjelman/käyttöjärjestelmän
tekijän syy, jos postin mukana tuleva koodi ajetaan
koneessa pelkällä rotan naksuttelulla.
Pekka T
2004-05-25 12:09:42 UTC
Permalink
Post by Jari Jylhä
Post by Timo Pietilä
Näin juuri. Pahin reikä on tavallisesti siinä näppäimistön ja tuolin
välissä.
Eikä. Älä syyllistä käyttäjää. On ohjelman/käyttöjärjestelmän
tekijän syy, jos postin mukana tuleva koodi ajetaan
koneessa pelkällä rotan naksuttelulla.
Milläs ne koodit sitten pitäisi ajaa ja ohjelmat käynnistää?
--
Pekka T
Jari Jylhä
2004-05-25 12:22:50 UTC
Permalink
Post by Pekka T
Milläs ne koodit sitten pitäisi ajaa ja ohjelmat käynnistää?
Sähköpostin mukana tullutta koodia ei pitäisi
saada ajettua olenkaan. Käyttöjärjestelmän
tai postiohjelman pitäisi huolehtia siitä.
a***@cc.full.stop.helsinki.fi
2004-05-25 12:58:53 UTC
Permalink
Post by Jari Jylhä
Post by Pekka T
Milläs ne koodit sitten pitäisi ajaa ja ohjelmat käynnistää?
Sähköpostin mukana tullutta koodia ei pitäisi
saada ajettua olenkaan. Käyttöjärjestelmän
tai postiohjelman pitäisi huolehtia siitä.
Onhan tässä jo ehditty nähdä salasanasuojatuissa zipfileissä leviäviä
matoja. Ei se sähköpostiohjelma ole mitenkään ratkaiseva.

-a
Jari Jylhä
2004-05-25 14:08:57 UTC
Permalink
Post by a***@cc.full.stop.helsinki.fi
Onhan tässä jo ehditty nähdä salasanasuojatuissa zipfileissä leviäviä
matoja. Ei se sähköpostiohjelma ole mitenkään ratkaiseva.
On se. Postissa tullutta koodia ei saa ajaa missään
tapauksessa. Jos ohjelma sen tekee, ohjelma toimii
väärin.
a***@cc.full.stop.helsinki.fi
2004-05-25 14:16:47 UTC
Permalink
Post by Jari Jylhä
Post by a***@cc.full.stop.helsinki.fi
Onhan tässä jo ehditty nähdä salasanasuojatuissa zipfileissä leviäviä
matoja. Ei se sähköpostiohjelma ole mitenkään ratkaiseva.
On se. Postissa tullutta koodia ei saa ajaa missään
tapauksessa. Jos ohjelma sen tekee, ohjelma toimii
väärin.
Mikä sähköpostiohjelma ajaa ziptiedostoissa olevaa koodia suoraan? Ei
ainakaan Outlook/Outlook Express.

-a
Jari Jylhä
2004-05-25 14:23:34 UTC
Permalink
Post by a***@cc.full.stop.helsinki.fi
Mikä sähköpostiohjelma ajaa ziptiedostoissa olevaa koodia suoraan? Ei
ainakaan Outlook/Outlook Express.
Taitaa ainakin XP hoitaa sen Outlookin puolesta.
Ari Laitinen
2004-05-25 16:19:12 UTC
Permalink
Post by a***@cc.full.stop.helsinki.fi
Mikä sähköpostiohjelma ajaa ziptiedostoissa olevaa koodia suoraan? Ei
ainakaan Outlook/Outlook Express.
Käyttäjä avaa zipin ja zip ohjelma ajaa sen tiedoston. Vika on siis kaikissa
ohjelmissa, joissa käyttäjä voi avata ohjelman tiedostosta.
a***@cc.full.stop.helsinki.fi
2004-05-25 16:24:11 UTC
Permalink
Post by Ari Laitinen
Post by a***@cc.full.stop.helsinki.fi
Mikä sähköpostiohjelma ajaa ziptiedostoissa olevaa koodia suoraan? Ei
ainakaan Outlook/Outlook Express.
Käyttäjä avaa zipin ja zip ohjelma ajaa sen tiedoston. Vika on siis
kaikissa ohjelmissa, joissa käyttäjä voi avata ohjelman tiedostosta.
Luuletko että käyttäjän pakottaminen tallentamaan liite ja avaamaan
se erikseen olisi oleellisesti turvallisempaa? Minä en.

-a
Jussi Lind
2004-05-25 16:24:32 UTC
Permalink
Post by a***@cc.full.stop.helsinki.fi
Post by Ari Laitinen
Käyttäjä avaa zipin ja zip ohjelma ajaa sen tiedoston. Vika on siis
kaikissa ohjelmissa, joissa käyttäjä voi avata ohjelman tiedostosta.
Luuletko että käyttäjän pakottaminen tallentamaan liite ja avaamaan
se erikseen olisi oleellisesti turvallisempaa? Minä en.
Kyllä se olisi epäilemättä oleellisesti turvallisempaa. Ne jotka avaavat
liitetiedostoja "Click me, I'm porn" klikkailemalla eivät luultavasti edes
osaisi avata liitetiedostoa jos se pitäisi erikseen tallentaa. Eikä silloin
toimi nuo hetkelliseen höynäyttämiseen perustuvat viestit joissa heti
klikkaamisen jälkeen tajuaa että no mitä helvettiä minä tuota klikkasin.
--
-lind-jii

http://www.debian.org
http://www.iki.fi/jussi.lind
a***@cc.full.stop.helsinki.fi
2004-05-25 16:56:26 UTC
Permalink
Post by Jussi Lind
Post by a***@cc.full.stop.helsinki.fi
Post by Ari Laitinen
Käyttäjä avaa zipin ja zip ohjelma ajaa sen tiedoston. Vika on siis
kaikissa ohjelmissa, joissa käyttäjä voi avata ohjelman tiedostosta.
Luuletko että käyttäjän pakottaminen tallentamaan liite ja avaamaan
se erikseen olisi oleellisesti turvallisempaa? Minä en.
Kyllä se olisi epäilemättä oleellisesti turvallisempaa. Ne jotka
avaavat liitetiedostoja "Click me, I'm porn" klikkailemalla eivät
luultavasti edes osaisi avata liitetiedostoa jos se pitäisi erikseen
tallentaa.
Jaa-a. Jos osaavat syöttää salasanoja niin osaavat kyllä etsiä sen
rakkaan virusliiteensä sieltä jostain. Ja oletuksenahan Outlook kysyy
jokaisesta liitteestä että avataanko vai tallennetaanko ja varoittaa
vielä että liite voi syödä pääsi.

-a
Ari Saastamoinen
2004-05-26 11:04:27 UTC
Permalink
Post by Jussi Lind
Kyllä se olisi epäilemättä oleellisesti turvallisempaa. Ne jotka avaavat
liitetiedostoja "Click me, I'm porn" klikkailemalla eivät luultavasti edes
osaisi avata liitetiedostoa jos se pitäisi erikseen tallentaa. Eikä silloin
toimi nuo hetkelliseen höynäyttämiseen perustuvat viestit joissa heti
klikkaamisen jälkeen tajuaa että no mitä helvettiä minä tuota klikkasin.
No jos toi olis vaikeampaa, niin sitten noissa madoissa olisi
avausohjeet mukana, joten mitä toi auttaa? Ei mitään paitsi ehkä
englantia osaamattomien keskuudessa. Ainakin ihan hyvin leviää
sellainen salasanasuojatussa zipissäkin leviävä mato, jossa vaan
postissa on mukana ohje, että tossa on salasana XYZ, ja se tarttee
typettää kun purkuohjelma sitä pyytää.
--
Arzka oh3mqu+***@vip.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Ari Laitinen
2004-05-25 20:10:32 UTC
Permalink
Post by a***@cc.full.stop.helsinki.fi
Post by Ari Laitinen
Post by a***@cc.full.stop.helsinki.fi
Mikä sähköpostiohjelma ajaa ziptiedostoissa olevaa koodia suoraan? Ei
ainakaan Outlook/Outlook Express.
Käyttäjä avaa zipin ja zip ohjelma ajaa sen tiedoston. Vika on siis
kaikissa ohjelmissa, joissa käyttäjä voi avata ohjelman tiedostosta.
Luuletko että käyttäjän pakottaminen tallentamaan liite ja avaamaan
se erikseen olisi oleellisesti turvallisempaa? Minä en.
On se silloin kun käyttäjälle ei neuvota mitä niille pitää tehdä. Jos kysyy
niin voi sanoa että niitä ei voi avata turvallisuussyistä.
Jouko Holopainen
2004-06-04 02:35:47 UTC
Permalink
Post by a***@cc.full.stop.helsinki.fi
Luuletko että käyttäjän pakottaminen tallentamaan liite ja avaamaan
se erikseen olisi oleellisesti turvallisempaa? Minä en.
Luulen. Se blokkaa suuren osan idiooteista pois.

Niin, tämäKÄÄN ei ole hopealuotti joka pelastaa kaikki ja kaiken ja
ikuisesti ja ..., vain yksi askel eteenpäin.
--
@jhol

Ihmisiä ei voi ostaa, heidät voi vain vuokrata. Tosin aika halvalla,
ilmeisesti lisääntyvä tarjonta laskee hintoja.
Ari Laitinen
2004-06-04 06:21:54 UTC
Permalink
Post by Jouko Holopainen
Post by a***@cc.full.stop.helsinki.fi
Luuletko että käyttäjän pakottaminen tallentamaan liite ja avaamaan
se erikseen olisi oleellisesti turvallisempaa? Minä en.
Luulen. Se blokkaa suuren osan idiooteista pois.
Niin, tämäKÄÄN ei ole hopealuotti joka pelastaa kaikki ja kaiken ja
ikuisesti ja ..., vain yksi askel eteenpäin.
Lehdistössä on ehdoteltu ajokortin vaatimista yms. typerää ongelman
korjaamiseksi.

Itse ehdottaisin sitä, että kun kyseessä on "villi länsi" niin käytetään
samaa periaatetta.

Sen sijaan että hyvää tahtovat hakkerit syyllistetään jos he sattuvat
huomauttamaan avoimesta WLAN systeemistä tai muusta älyttömästä turvareiästä
heille määrättäisiin maksamaan "tapporahaa".

Jos siis paljastat tietokoneen, joka on yleisölle liian avoin niin
paljastaja saa rahaa, jonka koneen omistaja maksaa. Korvaus voisi olla
vaikka 10 euroa mutta se kääntää asian päälaelleen. Koneen omistajasta
tuleekin nyt se idiootti, joka joutuu maksamaan ja paljastajasta suuri
sankari, joka tienaa kehittämällään botillaan 10 miljardia kuussa -
laillisesti.
Lada
2004-05-25 14:22:51 UTC
Permalink
Post by Jari Jylhä
Post by a***@cc.full.stop.helsinki.fi
Onhan tässä jo ehditty nähdä salasanasuojatuissa zipfileissä leviäviä
matoja. Ei se sähköpostiohjelma ole mitenkään ratkaiseva.
On se. Postissa tullutta koodia ei saa ajaa missään
tapauksessa. Jos ohjelma sen tekee, ohjelma toimii
väärin.
Siis tarkoiatatko nyt, että jos mailin mukana tulee liitetiedosto, jossa
on mitä tahansa sisällä. Laittaa käyttöjärjestelmä tiedon itselleen ylös
että tätä ohjelmaa ei saa suorittaa.
Jari Jylhä
2004-05-25 14:30:17 UTC
Permalink
Post by Lada
Siis tarkoiatatko nyt, että jos mailin mukana tulee liitetiedosto, jossa
on mitä tahansa sisällä. Laittaa käyttöjärjestelmä tiedon itselleen ylös
että tätä ohjelmaa ei saa suorittaa.
Vaikkapa niinkin. Kunhan vain postissa olevaa ohjelmaa
ei suoriteta. Karanteenista huolehtiminen voi sitten
olla joko käyttöjärjestelmän tai postiohjelman työtä.
Lada
2004-05-25 14:34:13 UTC
Permalink
Post by Jari Jylhä
Post by Lada
Siis tarkoiatatko nyt, että jos mailin mukana tulee liitetiedosto, jossa
on mitä tahansa sisällä. Laittaa käyttöjärjestelmä tiedon itselleen ylös
että tätä ohjelmaa ei saa suorittaa.
Vaikkapa niinkin. Kunhan vain postissa olevaa ohjelmaa
ei suoriteta. Karanteenista huolehtiminen voi sitten
olla joko käyttöjärjestelmän tai postiohjelman työtä.
Post by Lada
Post by Lada
MS laittoi OutlookExpress, en muista mihin versioon, toiminteen että
kaikki epäilyttävät liitetiedostot lukitaan automaattisesti.
Mitä kävi, ei auennut juuri mitkään tiedostot. Tällöin haitta oli
suurempi kuin saavutettu hyöty. Kun et saanut Excel tiedostoakaan
avattua jonka itse olit lähettänyt.
Jari Jylhä said
Post by Jari Jylhä
Post by Lada
Post by Lada
Post by Jari Jylhä
Eihän tässä nyt siitä ole kysymys. Kyllä liitteen
saa avata kunhan siinä olevaa koodia ei ajeta.
huomaatko ongelman
Jari Jylhä
2004-05-25 15:07:21 UTC
Permalink
Post by Lada
Post by Jari Jylhä
Eihän tässä nyt siitä ole kysymys. Kyllä liitteen
saa avata kunhan siinä olevaa koodia ei ajeta.
huomaatko ongelman
En. Miksi joku liitteenä oleva Kuva.jpg.exe
pitäisi suorittaa? Avaa vaikka tekstieditorilla,
jos kerran auki pitää saada.
Lada
2004-05-25 15:16:11 UTC
Permalink
Post by Jari Jylhä
Post by Lada
Post by Jari Jylhä
Eihän tässä nyt siitä ole kysymys. Kyllä liitteen
saa avata kunhan siinä olevaa koodia ei ajeta.
huomaatko ongelman
En. Miksi joku liitteenä oleva Kuva.jpg.exe
pitäisi suorittaa? Avaa vaikka tekstieditorilla,
jos kerran auki pitää saada.
Kuten aikaisemmin totesin


" Ohjelmia on paljonkin, jotka eivät salli ajaa scriptejä/ohjelmia
suoraan, vaan ne täytyy tallentaa ensin kovalevylle ja sieltä erikseen
käydä aktivoimassa. Tosin uskon ettei tämäkään auta osalle porukkaa
joiden on vain niin pakko avata se tiedosto, kun viestin otsikkokin oli
"I Love U".

Miksi näitä ei käytetä, valtaosa vielä ilmaisia.
Siksi kun ovat liian hankalia, kun ei voi vain klikkailla. "
Jussi Lind
2004-05-25 16:12:08 UTC
Permalink
Post by Lada
" Ohjelmia on paljonkin, jotka eivät salli ajaa scriptejä/ohjelmia
suoraan, vaan ne täytyy tallentaa ensin kovalevylle ja sieltä erikseen
käydä aktivoimassa. Tosin uskon ettei tämäkään auta osalle porukkaa
joiden on vain niin pakko avata se tiedosto, kun viestin otsikkokin oli
"I Love U".
Miksi näitä ei käytetä, valtaosa vielä ilmaisia.
Siksi kun ovat liian hankalia, kun ei voi vain klikkailla. "
Minkäslaisia sähköpostiliitteenä olevia ohjelmia sitä sitten on tarve
availla klikkailemalla? Minulle ei ole vielä koskaan tullut vastaan
yhtäkään sellaista tilannetta.
--
-lind-jii

http://www.debian.org
http://www.iki.fi/jussi.lind
Lada
2004-05-25 12:17:35 UTC
Permalink
Post by Jari Jylhä
Post by Timo Pietilä
Näin juuri. Pahin reikä on tavallisesti siinä näppäimistön ja tuolin
välissä.
Eikä. Älä syyllistä käyttäjää. On ohjelman/käyttöjärjestelmän
tekijän syy, jos postin mukana tuleva koodi ajetaan
koneessa pelkällä rotan naksuttelulla.
Kyllä se vika on siinä rotan naksuttelijassa.
Jos käyttäjät eivät itse haluaisi käyttää naks naks avaa ohjelmia niin
kaikilla olisi Pinen tapainen mailisofta käytössä.

Pistetään ontuva kotiovi vertaus.
Jos viikonajan kerrotaan että asuinalueellasi liikkuu poliisiksi
tekeytyvä ryöstäjä. Joka pyrkii sisälle ihmisten asuntoihin väitttäen
olevansa poliisi ja sitten ryöstää heidät.

Ei tietenkään ole sinun vikasi jos joudut ryöstetyksi kun et vaatinut
poliisinnäköiseltä mieheltä minkäänlaista varmistusta, kuten poliisin
virkamerkkiä. Vikahan on rikoksen tekijän ei uhrin.
Mutta eikö jopa oma elämäsi olisi ollut helpompaa jos olisit edes sen
verran vaivautunut, kun kerran varoitettu oli moneen kertaan.

-Lada
Jari Jylhä
2004-05-25 12:24:46 UTC
Permalink
Post by Lada
Kyllä se vika on siinä rotan naksuttelijassa.
Jos käyttäjät eivät itse haluaisi käyttää naks naks avaa ohjelmia niin
kaikilla olisi Pinen tapainen mailisofta käytössä.
Ei ole. Syy on kusipäisissä ohjelmoijissa, joita
ei saa millään tajuamaan että heidän virityksensä
aiheuttaa suunnatonta vahinkoa käyttäjille.
Lada
2004-05-25 13:20:18 UTC
Permalink
Post by Jari Jylhä
Ei ole. Syy on kusipäisissä ohjelmoijissa, joita
ei saa millään tajuamaan että heidän virityksensä
aiheuttaa suunnatonta vahinkoa käyttäjille.
Ohjelmia on paljonkin, jotka eivät salli ajaa scriptejä/ohjelmia
suoraan, vaan ne täytyy tallentaa ensin kovalevylle ja sieltä erikseen
käydä aktivoimassa. Tosin uskon ettei tämäkään auta osalle porukkaa
joiden on vain niin pakko avata se tiedosto, kun viestin otsikkokin oli
"I Love U".

Miksi näitä ei käytetä, valtaosa vielä ilmaisia.
Siksi kun ovat liian hankalia, kun ei voi vain klikkailla.

Sitä saa mitä tilaa, jos haluat kaiken olevan auttomaattista, ei
tietokoneohjelma ole älyllinen ja ihmisen mieltymyksiin sopeutuva.
Se samainen ohjelma joka on toiselle haittaa on toiselle tarkoituksen
mukaista toimintaa.
MS laittoi OutlookExpress, en muista mihin versioon, toiminteen että
kaikki epäilyttävät liitetiedostot lukitaan automaattisesti.
Mitä kävi, ei auennut juuri mitkään tiedostot. Tällöin haitta oli
suurempi kuin saavutettu hyöty. Kun et saanut Excel tiedostoakaan
avattua jonka itse olit lähettänyt.
Ihmiset ottivat toiminteen pois päältä ja jatkoivat tyytyväisinä
naksutteluaan (NAKS NAKS oho olikohan tossa äsken joku varoitus).

Rikollista toimintaa tuo haittaohjelmien tekeminen on, mutta internet
kun vaan sattuu olemaan paikka jossa kiinnijäämisen riski on minimaalinen.
Ja kautta historian on roisto ja poliisi leikissä on menty järjestyksessä:
1. Roisto tekee tempun x
2. Poliisi keksii tempun x vastakeinon
3. roisto 2. keksii tempun y johon vastakeino x ei toimi
jne jne jne

Eli kerratakseni vielä itseäni, on ohjelmia jotka eivät suorita ohjelmia
eikä scriptejä mutta kun ne ovat ihmisten mielestä hankalia käyttää.
Jari Jylhä
2004-05-25 13:57:52 UTC
Permalink
Post by Lada
MS laittoi OutlookExpress, en muista mihin versioon, toiminteen että
kaikki epäilyttävät liitetiedostot lukitaan automaattisesti.
Mitä kävi, ei auennut juuri mitkään tiedostot. Tällöin haitta oli
suurempi kuin saavutettu hyöty. Kun et saanut Excel tiedostoakaan
avattua jonka itse olit lähettänyt.
Eihän tässä nyt siitä ole kysymys. Kyllä liitteen
saa avata kunhan siinä olevaa koodia ei ajeta.
Lada
2004-05-25 14:03:38 UTC
Permalink
Post by Jari Jylhä
Post by Lada
MS laittoi OutlookExpress, en muista mihin versioon, toiminteen että
kaikki epäilyttävät liitetiedostot lukitaan automaattisesti.
Mitä kävi, ei auennut juuri mitkään tiedostot. Tällöin haitta oli
suurempi kuin saavutettu hyöty. Kun et saanut Excel tiedostoakaan
avattua jonka itse olit lähettänyt.
Eihän tässä nyt siitä ole kysymys. Kyllä liitteen
saa avata kunhan siinä olevaa koodia ei ajeta.
ööö mitäköhän muuta kaikki tietokoonessa olevat asiat ovat kuin koodia.
Pelkkä "Hello World" teksti on jo sinänsä koodia.
Lada
2004-05-25 14:04:43 UTC
Permalink
Post by Jari Jylhä
Post by Lada
MS laittoi OutlookExpress, en muista mihin versioon, toiminteen että
kaikki epäilyttävät liitetiedostot lukitaan automaattisesti.
Mitä kävi, ei auennut juuri mitkään tiedostot. Tällöin haitta oli
suurempi kuin saavutettu hyöty. Kun et saanut Excel tiedostoakaan
avattua jonka itse olit lähettänyt.
Eihän tässä nyt siitä ole kysymys. Kyllä liitteen
saa avata kunhan siinä olevaa koodia ei ajeta.
ööö mitäköhän muuta kaikki tietokoonessa olevat asiat ovat kuin koodia.
Pelkkä "Hello World" teksti on jo sinänsä koodia.
Siis toisin sanoen vaikka, jos näkyy teksti niin on koodia suoritettu.
Jari Jylhä
2004-05-25 14:16:16 UTC
Permalink
Post by Lada
ööö mitäköhän muuta kaikki tietokoonessa olevat asiat ovat kuin koodia.
Pelkkä "Hello World" teksti on jo sinänsä koodia.
Siis toisin sanoen vaikka, jos näkyy teksti niin on koodia suoritettu.
Turha yrittää. Tiedät juuri tasan tarkasti mitä tarkoitin.
Pekka T
2004-05-25 16:00:32 UTC
Permalink
Post by Jari Jylhä
Post by Lada
ööö mitäköhän muuta kaikki tietokoonessa olevat asiat ovat kuin
koodia. Pelkkä "Hello World" teksti on jo sinänsä koodia.
Siis toisin sanoen vaikka, jos näkyy teksti niin on koodia
suoritettu.
Turha yrittää. Tiedät juuri tasan tarkasti mitä tarkoitin.
Mä en tasan tarkkaan tiedä mitä tarkoitat, selitätkö hieman tarkemmin :-))
--
Pekka T
Jussi Lind
2004-05-25 16:17:23 UTC
Permalink
Post by Pekka T
Post by Jari Jylhä
Post by Lada
ööö mitäköhän muuta kaikki tietokoonessa olevat asiat ovat kuin
koodia. Pelkkä "Hello World" teksti on jo sinänsä koodia.
Siis toisin sanoen vaikka, jos näkyy teksti niin on koodia
suoritettu.
Turha yrittää. Tiedät juuri tasan tarkasti mitä tarkoitin.
Mä en tasan tarkkaan tiedä mitä tarkoitat, selitätkö hieman tarkemmin :-))
Varmaan sitä, että liitteen saa avata kunhan siinä olevaa koodia ei ajeta.
--
-lind-jii

http://www.debian.org
http://www.iki.fi/jussi.lind
Jussi Lind
2004-05-25 16:19:02 UTC
Permalink
Post by Lada
ööö mitäköhän muuta kaikki tietokoonessa olevat asiat ovat kuin koodia.
Pelkkä "Hello World" teksti on jo sinänsä koodia.
Siis toisin sanoen vaikka, jos näkyy teksti niin on koodia suoritettu.
Tietokoneista puhuttaessa koodilla tarkoitetaan ohjelmakoodia, mitä "Hello
World" ei ole. Se on merkkijono.
--
-lind-jii

http://www.debian.org
http://www.iki.fi/jussi.lind
jukka
2004-05-27 06:22:30 UTC
Permalink
Post by Lada
Post by Jari Jylhä
Eihän tässä nyt siitä ole kysymys. Kyllä liitteen
saa avata kunhan siinä olevaa koodia ei ajeta.
ööö mitäköhän muuta kaikki tietokoonessa olevat asiat ovat kuin koodia.
Pelkkä "Hello World" teksti on jo sinänsä koodia.
Etkö ymmärrä mitä eroa on tekstillä ja suoritettavalla koodilla ?
Turvallisisissa järjestelmissä ne ovat tiukasti erotettu toisistaan.
Toisin sanoen ohjelman tallentama data on aina eri muistialueella
kuin suoritettava koodi ! Ainoa poikkeus lienee ohjelma, jonka
tarkoitus on käynnistää levyltä luettu ohjelma.
"Hello World" ei ole koodia.
Print "Hello World" voi olla koodia, mutta turvallinen järjestelmä
käsittelee sitä tekstinä, jolloin sitä ei voida tallentaa suorittettavan
koodin muistialueelle.
Mikäli turvallisen järjestelmän ohjelman PC (Program Counter)
yrittää hypätä data-alueelle, ohjelman suoritus lopetetaan.
Jukka
Ari H
2004-05-27 17:52:54 UTC
Permalink
Post by Lada
Post by Lada
Post by Jari Jylhä
Eihän tässä nyt siitä ole kysymys. Kyllä liitteen
saa avata kunhan siinä olevaa koodia ei ajeta.
ööö mitäköhän muuta kaikki tietokoonessa olevat asiat ovat kuin
koodia.
Post by Lada
Pelkkä "Hello World" teksti on jo sinänsä koodia.
Etkö ymmärrä mitä eroa on tekstillä ja suoritettavalla koodilla ?
Turvallisisissa järjestelmissä ne ovat tiukasti erotettu toisistaan.
Heh heh. Kuinkahan monta tietoturva-aukkoa on johtunut tuollaisesta
ajattelusta... Tietokoneet ovat ihan perusluonteeltaan sellaisia että
koodia ja dataa ei voi erottaa toisistaan, koska (yksinkertaistettuna)
koodin tehtävä on tehdä mitä data käskee sen tehdä.

Ihan tavallisen tekstinkin kanssa tabit ja rivinvaihdot pitää erikseen
tulkita ja käsitellä erikoisesti, ja siitä pääsee ihan pienin askelin,
pieniä laajennoksia tulkkiin tekemällä, aina jonnekin Java-bytekoodin
tasoiseen koodiin asti. Tuskin väität että Javaa ei tarvitse laskea
ajettavaksi koodiksi? :-) Mihin siis pistät rajan "datan" ja "koodin"
välille?

Huomaa siis että kaikki tuo, myös Java-bytekoodi, on prosessorin ja
käyttöjärjestelmän mielestä ihan vaan dataa, joka ei mitenkään eroa
koodia tulkitsevan ohjelman muusta datasta. Pitää vaan luottaa
"sokeasti" siihen että vaikka se java-virtuaalikone ei sisällä
pientä suunnitteluvirhettä tai jopa suoranaista "oikeaa" bugia joka
mahdollistaisi ikävien asioiden tekemisen sopivalla datalla.
Post by Lada
Mikäli turvallisen järjestelmän ohjelman PC (Program Counter)
yrittää hypätä data-alueelle, ohjelman suoritus lopetetaan.
Esimerkki: Entäpä jos data-alueelle kirjoitetaankin sopivan
tiedostonimi-muuttujan päälle (esim buffer overflowta hyödyntämällä)
jonkin aivan muun tiedoston nimi ja kirjoituspuskuriin omaa data, ja
saadaan esim lisättyä alustustiedostoihin vähän omaa kivaa, joka
aktivoituu kun näin luvattomasti muokattua tiedostoa tarvitaan
seuraavan kerran. Ja tiedoston ei tarvitse olla mitään niin selkeää
kuin autoexec.bat tai .bashrc, vaan siinä voi olla vaikka jonkun
editorin makromäärittelyt.

Eli koodilla ja datalla ei ole oleellista eroa turvallisuusasioissa.
Molempiin pitää suhtautua aivan samalla paranoialla ja vakavuudella,
datalla pystyy saamaan koodia ajoon ja koodilla voi muuttaa dataa.


Huom. en nyt siis tosiaankaan tarkoita että datan ja konekoodin
erottamisella ei ole väliä, päinvastoin. Mutta se ei ole mikään
autuaaksi tekevä yksi asia joka ratkaisee ongelmat, vaan vain yksi
turvallisuutta osaltaan lisäävä juttu monien muiden joukossa.
--
-
Thor Kottelin
2004-05-25 18:17:09 UTC
Permalink
Post by Jari Jylhä
Älä syyllistä käyttäjää. On ohjelman/käyttöjärjestelmän
tekijän syy, jos postin mukana tuleva koodi ajetaan
koneessa pelkällä rotan naksuttelulla.
Tähän sopii taas autoanalogia. :-)

Sinänsä on autovalmistajan syy jos auto räjähtää aina kun sillä ajetaan
kuoppaan.

Viimeistään siinä vaiheessa, kun mediassa vuosikaudet on varoitettu siitä,
että tietty automalli räjähtää aina kun sillä ajetaan kuoppaan, voidaan
kuitenkin myös kuljettajaa syyttää siitä, että hän vaarasta tietoisena ajaa
moisella autolla kuoppaan - varsinkin jos vaara on vältettävissä
yksinkertaisin toimenpitein, joihin ko. kuljettaja ei kuitenkaan
laiskuuttaan viitsi ryhtyä.

Thor
--
http://thorweb.anta.net/ IRCnet #areena
Jari Jylhä
2004-05-25 19:15:16 UTC
Permalink
Post by Thor Kottelin
Viimeistään siinä vaiheessa, kun mediassa vuosikaudet on varoitettu siitä,
että tietty automalli räjähtää aina kun sillä ajetaan kuoppaan, voidaan
kuitenkin myös kuljettajaa syyttää siitä, että hän vaarasta tietoisena
ajaa moisella autolla kuoppaan - varsinkin jos vaara on vältettävissä
yksinkertaisin toimenpitein, joihin ko. kuljettaja ei kuitenkaan
laiskuuttaan viitsi ryhtyä.
Joo. Automaailmassakin tuota käytetään. Jossain
(taisi olla Saab tai Volvo) jarrut lakkasivat
toimimasta tietyissä olosuhteissa. Valmistaja
ei suostunut korjaamaan vikaa kuolemantapauksista
huolimatta koska se oli jarrujen ominaisuus ja
siten onnettomuudet olivat ajajien vika.
Timo Pietilä
2004-05-27 07:25:09 UTC
Permalink
Post by Jari Jylhä
Joo. Automaailmassakin tuota käytetään. Jossain
(taisi olla Saab tai Volvo) jarrut lakkasivat
toimimasta tietyissä olosuhteissa. Valmistaja
ei suostunut korjaamaan vikaa kuolemantapauksista
huolimatta koska se oli jarrujen ominaisuus ja
siten onnettomuudet olivat ajajien vika.
Tietyssä saabin mallissa jarrujen painaminen sopivassa vauhdissa
kuivalla asfaltilla nosti takarenkaat ilmaan. Ja sitten mentiin.
Tarkoittaisitkohan tuota? En muista yhtään saabin tai volvon mallia
joissa jarrut sinänsä eivät olisi toimineet. Vikahan tuossakin oli
alustan, ei jarrujen.

Samalla analogialla ei se OE ole syypää vaan IE jonka reikiä ne madot
hyödyntävät. OE:ssä itsessään ei ole reikää vaan se käyttää IE:tä
hötömötön näyttämiseen.

Timo Pietilä
Jari Jylhä
2004-05-27 08:07:10 UTC
Permalink
Post by Timo Pietilä
Tietyssä saabin mallissa jarrujen painaminen sopivassa vauhdissa
kuivalla asfaltilla nosti takarenkaat ilmaan. Ja sitten mentiin.
Tarkoittaisitkohan tuota?
Ei. Jarruissa oli sellainen vika etteivät ne toimineet
joissain sääolosuhteissa. Jonnekin kertyi jäätä tai
jotain sellaista joka esti jarrua toimimasta.
Post by Timo Pietilä
Samalla analogialla ei se OE ole syypää vaan IE jonka reikiä ne madot
hyödyntävät. OE:ssä itsessään ei ole reikää vaan se käyttää IE:tä
hötömötön näyttämiseen.
Miksi postiohjelman pitäisi edes näyttää hötömölöä?
Timo Pietilä
2004-05-27 08:35:35 UTC
Permalink
Post by Jari Jylhä
Post by Timo Pietilä
Samalla analogialla ei se OE ole syypää vaan IE jonka reikiä ne madot
hyödyntävät. OE:ssä itsessään ei ole reikää vaan se käyttää IE:tä
hötömötön näyttämiseen.
Miksi postiohjelman pitäisi edes näyttää hötömölöä?
Minun mielestä ei pitäisikään. Mutta monien muiden mielestä pitäisi.

Timo Pietilä
Ari Laitinen
2004-05-27 08:07:30 UTC
Permalink
Post by Timo Pietilä
Samalla analogialla ei se OE ole syypää vaan IE jonka reikiä ne madot
hyödyntävät. OE:ssä itsessään ei ole reikää vaan se käyttää IE:tä
hötömötön näyttämiseen.
Siis vain jos pyytää eli ei ole laittanut moiselle tempulle estettä.
Sami Nordlund
2004-05-25 11:22:08 UTC
Permalink
Post by Lada
Tunnettuja reikiä käyttämällä saadaan kone haltuun, piilottamaan
koodinpätkä virustorjunnalta sekä avaamalla sopivia portteja omaan käyttöön.
Eikä koodia tarvitse kovin paljoa edes piilottaa, riittää kun saadaan
käynnissä oleva(t) torjuntaohjelmisto(t) pois päältä tai vain olemaan
reagoimatta juuri haluttuun koodiin.

Sami
--
http://www.kolumbus.fi/sami.nordlund/
mailto:***@kolumbus.fi
PGP key available on my web page
End of message, stop reading.
Ari Kangas
2004-06-03 16:11:26 UTC
Permalink
Post by Olli
MOT:n esimerkissä käytettiin esim WinVNC:tä ja siitä kyllä palomuuri
(yleensä) älähtäisi koska siinä on uusi ohjelma pyrkimässä verkkoon tai
toimimassa palvelimena. Tämä tietysti vaatii että tietoturva-asetukset
ovat kunnossa ja sovelluksia ei kysymättä sallita.
Tämä tietysti vaatii, että palomuuri on päällä. Jos kaikki ohjelmat
lasketaan oletuksena ulos ja sisään, voitko kutsua näin toimivaa
"palomuuria" miksikään palomuuriksi? =)

ArZka
Ari Kangas
2004-06-03 16:09:58 UTC
Permalink
Post by Timo Pietilä
Palomuuri saattaa kyllä älähtää siinä vaiheessa kun tuo takaportti
aktivoidaan (siis jos kyseessä ei ole XP:n "palomuuri") tai jos se ei
käytä normaalisti aukiolevia portteja (kuten HTML:80) ja jos palomuuri
on konffattu niin, että se kysyy saako ohjelma mennä verkkoon.
Niin, XP:n "palomuuri" ei älähdä, mutta eipä myöskään päästä läpi jos se on
oikeasti vaan vaivauduttu laittamaan päälle. Olen tuotakin aikani kuluksi
kokeillut, ja samalla tavalla se pysäyttää sisäänpäin tulevat yhteydenotot
kuin mikä tahansa muukin. Ei se siitä raportoi, mutta jos porttia ei ole
merkattu aukiolevaksi, se myös pysyy kiinni.

En nähnyt mainittua ohjelmaa, mutta kovasti hämmentää, kuinka
minkäänlaisesta palomuurista on menty noilla keinoin läpi. winWNC:n
hakeminen ja asentaminen on ihan uskottava, mutta jos kerran koneessa oli
palomuuri, miten hyökkääjä pääsi sinne sisään? Oliko kyseessä taas
tyypillinen "kun käyttäjä klikkaa tällaiseen "joo" ni kyllä sinne pääsee
hyökkääjä sisään ihan miten vaan! jaiks!"-tyylinen mullistava paljastus?

ArZka
Timo Pietilä
2004-06-04 07:30:39 UTC
Permalink
Post by Ari Kangas
En nähnyt mainittua ohjelmaa, mutta kovasti hämmentää, kuinka
minkäänlaisesta palomuurista on menty noilla keinoin läpi. winWNC:n
hakeminen ja asentaminen on ihan uskottava, mutta jos kerran koneessa oli
palomuuri, miten hyökkääjä pääsi sinne sisään? Oliko kyseessä taas
tyypillinen "kun käyttäjä klikkaa tällaiseen "joo" ni kyllä sinne pääsee
hyökkääjä sisään ihan miten vaan! jaiks!"-tyylinen mullistava paljastus?
Juuri tällainen social engineeringin avustuksella tehty harhautus ja
ohjelman asennus käyttäjän toimesta.

Timo Pietilä
Donkey Hot
2004-06-04 12:00:22 UTC
Permalink
Post by Ari Kangas
Niin, XP:n "palomuuri" ei älähdä, mutta eipä myöskään päästä läpi jos
se on oikeasti vaan vaivauduttu laittamaan päälle. Olen tuotakin
aikani kuluksi kokeillut, ja samalla tavalla se pysäyttää sisäänpäin
tulevat yhteydenotot kuin mikä tahansa muukin. Ei se siitä raportoi,
mutta jos porttia ei ole merkattu aukiolevaksi, se myös pysyy kiinni.
Se muuten "raportoi", ja minusta parhaalla mahdollisella tavalla, eli
kirjoittaa "jotain lokia jonnekin hakemistoon".

Jos käyttäisin ja olisin kiinnostunut, niin osaisin kertoa paremmin että
mitä ja minne. Mutta kyllä se semmoista kumminkin tekeepi.

Minusta se on ihan hyvä palomuuri, paitsi että se käyttöliittymä eli
konffauslomake on jotenkin outo "peruskäyttäjälle". Paitsi jos haluaa vain
blokata kaiken, eli ruksi ruutuun.

Parhaimmillaan se on vain ruksi ruutuun ja unohda. Olisipa se päällä
oletuksena.
--
I'm not sure. Try calling the Internet's head office -- it's in the book.
Ari Laitinen
2004-06-04 16:06:21 UTC
Permalink
Post by Donkey Hot
Post by Ari Kangas
Niin, XP:n "palomuuri" ei älähdä, mutta eipä myöskään päästä läpi jos
se on oikeasti vaan vaivauduttu laittamaan päälle. Olen tuotakin
aikani kuluksi kokeillut, ja samalla tavalla se pysäyttää sisäänpäin
tulevat yhteydenotot kuin mikä tahansa muukin. Ei se siitä raportoi,
mutta jos porttia ei ole merkattu aukiolevaksi, se myös pysyy kiinni.
Se muuten "raportoi", ja minusta parhaalla mahdollisella tavalla, eli
kirjoittaa "jotain lokia jonnekin hakemistoon".
Jos käyttäisin ja olisin kiinnostunut, niin osaisin kertoa paremmin että
mitä ja minne. Mutta kyllä se semmoista kumminkin tekeepi.
Tämmöistä se tekee... jos pyytää...

#Verson: 1.0
#Software: Microsoft Internet Connection Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size
tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info

2004-06-04 15:31:47 DROP TCP 218.93.156.104 81.17.195.104 1839 5554 48 S
984173832 0 65044 - - -
2004-06-04 15:31:47 DROP TCP 218.93.156.104 81.17.195.104 2120 9898 48 S
996598086 0 65044 - - -
2004-06-04 15:31:47 DROP TCP 218.93.156.104 81.17.195.111 2132 9898 48 S
997143137 0 65044 - - -
2004-06-04 15:37:26 DROP TCP 61.163.0.76 81.17.195.111 2907 9898 48 S
35220672 0 64240 - - -
2004-06-04 15:37:26 DROP TCP 61.163.0.76 81.17.195.104 2904 9898 48 S
35083247 0 64240 - - -
2004-06-04 15:37:31 DROP TCP 220.115.244.127 81.17.195.104 4197 9898 48 S
4226320348 0 64240 - - -
2004-06-04 15:37:31 DROP TCP 220.115.244.127 81.17.195.111 4205 9898 48 S
4226680546 0 64240 - - -
2004-06-04 15:49:01 DROP TCP 211.106.114.115 81.17.195.104 59783 4899 48 S
2227485853 0 65535 - - -
2004-06-04 15:49:01 DROP TCP 211.106.114.115 81.17.195.111 37546 4899 48 S
2227930162 0 65535 - - -
2004-06-04 15:49:04 DROP TCP 211.106.114.115 81.17.195.104 59783 4899 48 S
2227485853 0 65535 - - -
2004-06-04 15:49:04 DROP TCP 211.106.114.115 81.17.195.111 37546 4899 48 S
2227930162 0 65535 - - -

Ari Laitinen
2004-05-25 16:17:05 UTC
Permalink
Miten on mahdollista, että koneeseen voidaan tuosta vain
asentaa takaporttiohjelma yksinkertaisesti houkuttelemalla käyttäjä
avaamaan scriptin sisältävä HTML-sähköposti.
Se on mahdollista siksi, että käyttäjä antaa houkutella itsensä avaamaan
niitä posteja. Eikä siihen mitään scriptiä edes tarvita, mutta se tekee
asian vakavammaksi, koska käyttäjän suostumusta ei edes tarvita silloin kun
scripti on tarpeeksi ovela.

Jos sinulla olisi IE käytössäsi niin laittaisit päälle toiminnon "Näytä
kaikki viestit perustekstinä" eikä scriptit enää toimisi jos oikein olen
asian arvannus. Varmuuden vuoksi sähköpostipalvelimeni kyllä muuttaa kaikki
<SCRIPT sanat muotoon !SCRIPT jotta scriptit jäisi jumiin ja muuttaa
kaikkien haitallisten tiedostoliitteiden tunnisteet vääriksi, jotta EI ei
onnistu niitä käynnistelemään. Se kun luottaa siihen nimen loppuun näissä
asioissa.
Thor Kottelin
2004-05-25 17:20:04 UTC
Permalink
Post by Jari Lehtonen
Miten on mahdollista, että koneeseen, jossa on sekä päällä oleva
virustorjunta, että palomuuriohjelmisto päällä voidaan tuosta vain
asentaa takaporttiohjelma yksinkertaisesti houkuttelemalla käyttäjä
avaamaan scriptin sisältävä HTML-sähköposti. Kuulemma perustui
Windowsin paikkaamattomaan aukkoon.
Koti-Windowsien meiliklienttejä ajetaan yleensä pääkäyttäjän oikeuksilla.
Pääkäyttäjä tietenkin voi pysäyttää tai muuten rampauttaa palomuurinsa jos
haluaa - vaikkapa vaivattomasti ajamalla sähköpostin mukana tullut ohjelma
joka hoitaa loput hänen puolestaan.

Virusskannerit eivät voi tunnistaa jokaista sellaista ohjelmaa, joka
ajettuna saattaa olla haitallinen. Eiväthän ne edes tunnista Microsoft
Outlook Expressiä...

Thor
--
http://thorweb.anta.net/ IRCnet #areena
Jussi Lind
2004-05-25 18:48:33 UTC
Permalink
Post by Thor Kottelin
Koti-Windowsien meiliklienttejä ajetaan yleensä pääkäyttäjän oikeuksilla.
Pääkäyttäjä tietenkin voi pysäyttää tai muuten rampauttaa palomuurinsa jos
haluaa - vaikkapa vaivattomasti ajamalla sähköpostin mukana tullut ohjelma
joka hoitaa loput hänen puolestaan.
Hyvä pointti. Ja vaikka olisikin totta, että muiden käyttöjärjestelmien
aukkoja "ei viitsitä" exploitata, niin tämä koti-Windowsien kerrassaan
loistava must-be-administrator -ominaisuus tekee siitä sellaisen pommin
että se räjähtelee niiden kaikkien muiden käyttisten edestä.
--
-lind-jii

http://www.debian.org
http://www.iki.fi/jussi.lind
Jari Lehtonen
2004-05-25 18:53:31 UTC
Permalink
On Tue, 25 May 2004 12:55:40 +0300, Jari Lehtonen
Post by Jari Lehtonen
Katselin eilen Ylen MOT-ohjelman tietohyökkäyksistä (uusitaan tänään
TV1 16.30), ja lopussa näytetty esimerkki koneen luvattomasta
haltuunotosta verkon yli herätti kysymyksiä.
Miten on mahdollista, että koneeseen, jossa on sekä päällä oleva
virustorjunta, että palomuuriohjelmisto päällä voidaan tuosta vain
asentaa takaporttiohjelma yksinkertaisesti houkuttelemalla käyttäjä
avaamaan scriptin sisältävä HTML-sähköposti. Kuulemma perustui
Windowsin paikkaamattomaan aukkoon.
Haltuunoton jälkeen kaveri oli ihan suvereenina käyttäjänä uhrin
koneessa käyttäen ilmeisesti Winvnc -ohjelmistoa. Hiukan näytti liian
helpolta, olemmeko tosissaan noin alasti kaikista hienoista
"tietoturva"ohjelmistamme huolimatta?
Jari
Lainaus ohjelma kotisivulla www.yle.fi7mot olevasta
käsikirjoituksesta:

"Jotta viesti varmasti avattaisiin, hakkerimme kirjoittaa sen MOT:n
tuottajan nimissä. Viesti näyttää aidolta ja viattomalta, aivan kuin
Yleisradiosta tulleelta.


Hakkeri: Se sähköposti on html-viesti, ja tässä on se koodi. Se mitä
käyttäjälle näkyy niin ensin täältä tulee viesti jossa on scripti joka
ohjaa sen toiselle webbisaitille, tässä tapauksessa hyökkääjän
saitille, ja se hakee sieltä html-tiedoston, jossa on lisää scriptiä,
joka käyttää hyväksi selaimen tietoturva-aukkoa.

Sit se tulee takaisin ja se lataa sen hyökkäysohjelman sieltä saitilta
ja ajaa sen komennot.



Hakkeri: Hei nyt tuli yhteys.

Voidaan ajaa tästä nyt komentoprompti eli me ollaan nyt tässä koneella
täysillä oikeuksilla. Koneen nimi on tv1mot.

"
Ali Akseni
2004-05-25 20:59:02 UTC
Permalink
Post by Jari Lehtonen
On Tue, 25 May 2004 12:55:40 +0300, Jari Lehtonen
Post by Jari Lehtonen
Katselin eilen Ylen MOT-ohjelman tietohyökkäyksistä (uusitaan tänään
TV1 16.30), ja lopussa näytetty esimerkki koneen luvattomasta
haltuunotosta verkon yli herätti kysymyksiä.
Miten on mahdollista, että koneeseen, jossa on sekä päällä oleva
virustorjunta, että palomuuriohjelmisto päällä voidaan tuosta vain
asentaa takaporttiohjelma yksinkertaisesti houkuttelemalla käyttäjä
avaamaan scriptin sisältävä HTML-sähköposti. Kuulemma perustui
Windowsin paikkaamattomaan aukkoon.
Haltuunoton jälkeen kaveri oli ihan suvereenina käyttäjänä uhrin
koneessa käyttäen ilmeisesti Winvnc -ohjelmistoa. Hiukan näytti liian
helpolta, olemmeko tosissaan noin alasti kaikista hienoista
"tietoturva"ohjelmistamme huolimatta?
Jari
Lainaus ohjelma kotisivulla www.yle.fi7mot olevasta
"Jotta viesti varmasti avattaisiin, hakkerimme kirjoittaa sen MOT:n
tuottajan nimissä. Viesti näyttää aidolta ja viattomalta, aivan kuin
Yleisradiosta tulleelta.
Hakkeri: Se sähköposti on html-viesti, ja tässä on se koodi. Se mitä
käyttäjälle näkyy niin ensin täältä tulee viesti jossa on scripti joka
ohjaa sen toiselle webbisaitille, tässä tapauksessa hyökkääjän
saitille, ja se hakee sieltä html-tiedoston, jossa on lisää scriptiä,
joka käyttää hyväksi selaimen tietoturva-aukkoa.
Sit se tulee takaisin ja se lataa sen hyökkäysohjelman sieltä saitilta
ja ajaa sen komennot.
Hakkeri: Hei nyt tuli yhteys.
Voidaan ajaa tästä nyt komentoprompti eli me ollaan nyt tässä koneella
täysillä oikeuksilla. Koneen nimi on tv1mot.
"
Käytössä oli ilmeisesti Xp:n oma palomuuri. Kunnon softapalomuuri olisi
estänyt Vnc:tä pääsemästä verkkoon ilman lupaa. Tosi hakkerit pystyvät
varmaan parempaankin?

Ps. "Asiantunteva" myyjä sanoi, että jos on kyseessä modeemiyhteys,
niin palomuuria ei tarvitse. Positiivinen ajattelu elää vielä...
Jari Lehtonen
2004-05-26 07:28:29 UTC
Permalink
Post by Ali Akseni
Ps. "Asiantunteva" myyjä sanoi, että jos on kyseessä modeemiyhteys,
niin palomuuria ei tarvitse. Positiivinen ajattelu elää vielä...
Juuri sama tokaisu laittoi minunkin punaisen valoni vilkkumaan. Kyllä
nämä uudet virukset ehtivät tarttua modeeminopeudellakin, syksyllä
testatessani paikkaamattomalla windowsilla ilman palomuuria sain
tartunnan alle minuutissa.

Jari
Timo Marttinen
2004-05-26 08:54:29 UTC
Permalink
Post by Ali Akseni
Käytössä oli ilmeisesti Xp:n oma palomuuri. Kunnon softapalomuuri olisi
estänyt Vnc:tä pääsemästä verkkoon ilman lupaa. Tosi hakkerit pystyvät
varmaan parempaankin?
Ps. "Asiantunteva" myyjä sanoi, että jos on kyseessä modeemiyhteys,
niin palomuuria ei tarvitse. Positiivinen ajattelu elää vielä...
Eikö VNC vaadi tuon 5000 ? portin auki olemista että siihen pääsee
ulkoapäin käsiksi. Eikö XP:n palomuurin pitäisi estää tuo ja
ilmeisesti oli estänytkin koska "hakkeri" esitteli logitiedostoa
tyyliin: "Tämän voisi poistaa ja estää tunkeutumisesta jäävät jälket".
Vai oliko verkonläpi imuroitu haittaohjelma niin järeä että se
lamautti xp:n palomuurin.

Muuten ohjelma oli MOT:n tyyliin raflaavasti tehty. Olette hakkereiden
armoilla ja mitään ei ole tehtävissä. Olisi rakentavampaa jos
tuossakin olisi sanottu että ennen windowsupdate:n päivityksiä masiina
on haavoittuva tällaiselle "iskulle"

Toisaalta mikään päivitys ei estä tuollaista tunkeutumista jos
käyttäjä ajaa kotiwindowsissa kaiken mitä posti suoltaa.
Ari Saastamoinen
2004-05-26 11:11:49 UTC
Permalink
Post by Timo Marttinen
Eikö VNC vaadi tuon 5000 ? portin auki olemista että siihen pääsee
Ensinnäkin se on oletuksena 5900.
Post by Timo Marttinen
ulkoapäin käsiksi. Eikö XP:n palomuurin pitäisi estää tuo ja
Ja muistaakseni VNC:ssä on nykyään myös sellainen mode, että se osaa
avata yhteyden myös sieltä serveriltä päin.
--
Arzka oh3mqu+***@vip.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Petri Suvila
2004-05-26 11:18:02 UTC
Permalink
Post by Timo Marttinen
Eikö VNC vaadi tuon 5000 ? portin auki olemista että siihen pääsee
ulkoapäin käsiksi.
VNC yhteyden voi avata palomuurin sisältä ulospäin, kuten MOTissa
tehtiin. Laitat VNC asikas ohjelman kuuntelutilaan ja käskytät etäältä
vnc palvelimen muodostamaan yhteyden.

$ vncviewer -listen
vncviewer -listen: Listening on port 5500 (flash port 5400)

Petri
Ali akseni
2004-05-26 23:41:44 UTC
Permalink
"Petri Suvila" <***@iki.roskaa.fi> kirjoitti > VNC yhteyden voi avata
palomuurin sisältä ulospäin, kuten MOTissa
Post by Petri Suvila
tehtiin. Laitat VNC asikas ohjelman kuuntelutilaan ja käskytät etäältä
vnc palvelimen muodostamaan yhteyden.
Juuri tämän estää oikea softapalomuuri, Xp:n palomuuri ei estä liikennettä
ulospäin, mutta senhän kaikki jo tiesivät.
Taneli Saastamoinen
2004-05-27 15:30:55 UTC
Permalink
Post by Jari Lehtonen
Haltuunoton jälkeen kaveri oli ihan suvereenina käyttäjänä uhrin
koneessa käyttäen ilmeisesti Winvnc -ohjelmistoa. Hiukan näytti liian
helpolta, olemmeko tosissaan noin alasti kaikista hienoista
"tietoturva"ohjelmistamme huolimatta?
Windowsin käyttäjät ovat.
--
Naiset ovat itsekkäitä, epäreiluja idiootteja. - Tiina
Continue reading on narkive:
Loading...