Discussion:
RPCScan - free detection and analysis utility
(too old to reply)
Bjorn Simonsen
2003-08-18 13:24:13 UTC
Permalink
FUT: <news:no.it.sikkerhet.diverse>

Tenkte denne kunne være av intr., spesielt for admin:

"RPCScan is a Windows based detection and analysis utility that
can quickly and accurately identify Microsoft operating systems
that are vulnerable to the RPC interface buffer overflow
vulnerability."

<http://www.foundstone.com/> under Free Tools | Scanning Tools.

mvh
Bjørn Simonsen
Bjorn Simonsen
2003-08-18 14:03:02 UTC
Permalink
On Mon, 18 Aug 2003 15:24:13 +0200, Bjorn Simonsen wrote in
Post by Bjorn Simonsen
FUT: <news:no.it.sikkerhet.diverse>
Beklager, glemte å sette FUT, gjør det nå.
Post by Bjorn Simonsen
<http://www.foundstone.com/> under Free Tools | Scanning Tools.
Ser at MS har et tilsvarende verktøy

MS03-026 Scanning Tool for Network Administrators
<http://www.microsoft.com/downloads/details.aspx?FamilyID=c8f04c6c-b71b-4992-91f1-aaa785e709da&DisplayLang=en>

eller: <http://tinyurl.com/k2dh>

Skal være noe tilsv. her
<http://www.eeye.com/html/Research/Tools/RPCDCOM.html>
men jeg får ikke kontakt nå - så vet ikke hva.

mvh
Bjørn Simonsen
Thomas Bjørseth
2003-08-18 15:13:04 UTC
Permalink
On Mon, 18 Aug 2003 16:03:02 +0200, Bjorn Simonsen
Post by Bjorn Simonsen
Skal være noe tilsv. her
<http://www.eeye.com/html/Research/Tools/RPCDCOM.html>
men jeg får ikke kontakt nå - så vet ikke hva.
eEye har flere slike frittstående scannere som er veldig bra. DCON
RPC-scanneren har det samme grensesnittet og fungerer helt topp.

Det jeg kunne tenke meg er en scanner som ikke bare kan gi meg beskjed
om en maskin er upatchet, men også hvis den er infisert.

Thomas B
--
Thomas Bjørseth
Mail: thomas-***@bjorseth.no
Bjorn Simonsen
2003-08-18 17:02:06 UTC
Permalink
On Mon, 18 Aug 2003 17:13:04 +0200, Thomas Bjørseth wrote in
Post by Thomas Bjørseth
Post by Bjorn Simonsen
Skal være noe tilsv. her
<http://www.eeye.com/html/Research/Tools/RPCDCOM.html>
men jeg får ikke kontakt nå - så vet ikke hva.
eEye har flere slike frittstående scannere som er veldig bra. DCON
RPC-scanneren har det samme grensesnittet og fungerer helt topp.
Takk, skal ta en titt senere.

Vedr. RPCSscan fra <http://www.foundstone.com/>.
Melding fra Robin Keir:

"I'll be posting a new version 1.01 on the website today so keep
a watch out for it! The new version fixes a couple of issues that
were discovered with Windows NT and 98."
Post by Thomas Bjørseth
Det jeg kunne tenke meg er en scanner som ikke bare kan gi meg beskjed
om en maskin er upatchet, men også hvis den er infisert.
Mulig en AV-produsentene tilbyr noe slikt? Har ikke sett.

mvh
Bjørn Simonsen
unknown
2003-08-29 23:18:44 UTC
Permalink
Post by Bjorn Simonsen
"RPCScan is a Windows based detection and analysis utility that
can quickly and accurately identify Microsoft operating systems
that are vulnerable to the RPC interface buffer overflow
vulnerability."
Siden jeg sjelden bruker windows, så har jeg ikke satt meg inn i hva
denne exploiten kan gjøre. Forleden dag så ringte en kompis meg, og sa
at et par minutter etter at han hadde koblet dama sin nye laptop opp
på nett med telenor frisurf, så hadde det dukket opp en feilmelding
hvor teksten windows RPC error var inkludert. Maskinen hadde så telt
ned fra et minutt, før den rebootet. Akkurat det samme hadde skjedd
med en annen kompis av meg også. Er det grunn til å tro at maskinene
har blitt kompromitert? og at man må reinnstallere windows?
--
A: Because it messes up the order in which people normally read text.
Q: Why is top-posting such a bad thing?
A: Top-posting.
Q: What is the most annoying thing on usenet and in e-mail?
Ole Kristian Bangås
2003-08-29 23:52:20 UTC
Permalink
On 30 Aug 2003 01:18:44 +0200, Øystein Gyland
Post by unknown
Siden jeg sjelden bruker windows, så har jeg ikke satt meg inn i hva
denne exploiten kan gjøre. Forleden dag så ringte en kompis meg, og sa
at et par minutter etter at han hadde koblet dama sin nye laptop opp på
nett med telenor frisurf, så hadde det dukket opp en feilmelding
hvor teksten windows RPC error var inkludert. Maskinen hadde så telt
ned fra et minutt, før den rebootet. Akkurat det samme hadde skjedd
med en annen kompis av meg også. Er det grunn til å tro at maskinene
har blitt kompromitert? og at man må reinnstallere windows?
For å si det sånn, det er i hvert fall grunn til å tro at de ikke kjørte
en vettug brannmur. I min nokså hovne oppfatning er dette en SUBTKE feil,
også kjent som "Stupid User Behind The Keyboard Error". At noen i det
hele tatt tenker på å gjøre noe slikt er meg totalt uforståelig.

Så tilbake til saken. Ja, det er sannsynlig å tro at PCen har blitt
infisert, men etter det jeg kan se skal man ikke behøve å installere
operativsystemet på nytt. Du kan ta en titt på
<URL:http://www.microsoft.com/security/incident/blast.asp> eller søke
etter MsBlast på sidene til en antivirusprodusent, så finner du en
måte å bli kvitt galskapen på.

Til slutt: Håper ikke jeg var _for_ spydig.
--
Ole Kristian Bangås
Glenn Barvang
2003-08-30 08:56:37 UTC
Permalink
Post by Ole Kristian Bangås
Så tilbake til saken. Ja, det er sannsynlig å tro at PCen har blitt
infisert, men etter det jeg kan se skal man ikke behøve å installere
operativsystemet på nytt. Du kan ta en titt på
<URL:http://www.microsoft.com/security/incident/blast.asp> eller søke
etter MsBlast på sidene til en antivirusprodusent, så finner du en
måte å bli kvitt galskapen på.
Det trenger ikke nødvendivis være blast, det kan være et annet av de mange
virus/ormene som benytter denne exploiten.
Det første disse trenger å gjøre er å få oppdatert med q309382i fra
microsoft for sin respektive plattform, deretter ta en tur til en av
antivirus sitene, feks symantec, panda, fsecure og hente ned removal tool
(disse er gratis) Deretter får de se å skaffe seg et antivirus program,
3-500 kr i året bør ALLE ta seg råd til!!!!
Ole Kristian Bangås
2003-08-30 19:57:53 UTC
Permalink
Post by Ole Kristian Bangås
On 30 Aug 2003 01:18:44 +0200, Øystein Gyland
Post by unknown
Siden jeg sjelden bruker windows, så har jeg ikke satt meg inn i hva
denne exploiten kan gjøre. Forleden dag så ringte en kompis meg, og
sa at et par minutter etter at han hadde koblet dama sin nye laptop
opp på nett med telenor frisurf, så hadde det dukket opp en
feilmelding
hvor teksten windows RPC error var inkludert. Maskinen hadde så telt
ned fra et minutt, før den rebootet. Akkurat det samme hadde skjedd
med en annen kompis av meg også. Er det grunn til å tro at maskinene
har blitt kompromitert? og at man må reinnstallere windows?
For å si det sånn, det er i hvert fall grunn til å tro at de ikke
kjørte en vettug brannmur. I min nokså hovne oppfatning er dette en
SUBTKE feil, også kjent som "Stupid User Behind The Keyboard Error".
At noen i det hele tatt tenker på å gjøre noe slikt er meg totalt
uforståelig.
Jasså gitt. Jeg gidder ikke å forklare ennå en gang hvorfor en brannmur
er unødvendig, men kan ikke du i stedet forklare meg _hvorfor_ jeg er
stupid når jeg ikke kjører brannmur?
Fordi de stedene jeg har lest om viruset hardnakket hevder at viruset
utnytter en bug i RPC til å spre seg. Dette går vel på port 135 eller
noe sånt om jeg ikke husker helt feil, kjører man en vettug brannmur er
ALL trafikk på port 135 fra internett sperret, og ergo blir heller ikke
PCen infisert på denne måten. _DERFOR_ er det stupid å ikke kjøre en
vettug brannmur, og _DERFOR_ har det faktisk noe å si. Men det er jo
mulig du har en annen oppfatning enn for eksempel Symantec Corp
<URL:http://securityresponse1.symantec.com/sarc/sarc.nsf/html/W32.Blaster.Worm.html>
om hvordan viruset sprer seg, evt nye oppsiktsvekkende oppdagelser om
det samme.
--
Ole Kristian Bangås
Terje Kvernes
2003-08-30 20:16:17 UTC
Permalink
"Bjørn Furuknap" <***@lit.no> writes:

[ ... ]
Så grunnen til at man skal installere en branmmur er for å slippe å
sikre maskinen bak. Skjønner.
det er utvilsomt ofte en fordel i en del scenarioer å skjerme
tjenester med en dårlig historie mot verden. det tar av og til også
litt tid fra man finner en tjeneste til å være mulig å
kompromittere, til en patch kommer. i mellomtiden kan noe som
fjerner tilgangen til tjenesten være kjekt.

sikkerhet er som vi alle vet flere lag med sikring oppå hverandre.
i noen tilfeller kan brannmurer være en del av den lagdelingen.
--
Terje
Bjørn Furuknap
2003-08-30 21:56:09 UTC
Permalink
Post by Terje Kvernes
[ ... ]
Så grunnen til at man skal installere en branmmur er for å slippe å
sikre maskinen bak. Skjønner.
det er utvilsomt ofte en fordel i en del scenarioer å skjerme
tjenester med en dårlig historie mot verden. det tar av og til også
litt tid fra man finner en tjeneste til å være mulig å
kompromittere, til en patch kommer. i mellomtiden kan noe som
fjerner tilgangen til tjenesten være kjekt.
sikkerhet er som vi alle vet flere lag med sikring oppå hverandre.
i noen tilfeller kan brannmurer være en del av den lagdelingen.
Det er mange tilfeller der brannmurer er nyttige, for eksempel der patcher
ikke _kan_ legges inn, der man har tidkrevende testing fra patch er sluppet
til den kan settes på produksjonsservere, for å avskjerme deler av et nett
der man ikke kan eller vil stole på sikkerheten blant maskinene (f.eks.
trådløse soner, etc).

Derimot er det sjeldn at det er en god løsning å pushe mer stash inn i et
hjemmenettverk i den tro at det løser noe som helst. Paracetamol hjelper mot
hodeverk, men om grunnen til hodeverket er dehydrering er det bare å lappe
på symptomene, ikke å løse problemet.

Bjørn
Ole Kristian Bangås
2003-08-30 22:05:34 UTC
Permalink
Post by Bjørn Furuknap
Post by Terje Kvernes
det er utvilsomt ofte en fordel i en del scenarioer å skjerme
tjenester med en dårlig historie mot verden. det tar av og til også
litt tid fra man finner en tjeneste til å være mulig å
kompromittere, til en patch kommer. i mellomtiden kan noe som
fjerner tilgangen til tjenesten være kjekt.
(...)
Derimot er det sjeldn at det er en god løsning å pushe mer stash inn i et
hjemmenettverk i den tro at det løser noe som helst. Paracetamol hjelper
mot hodeverk, men om grunnen til hodeverket er dehydrering er det bare å
lappe på symptomene, ikke å løse problemet.
Vel, vi kommer aldri til å bli enige. Jeg foretrekker preventive tiltak
fremfor ubehagelige overraskelser.
--
Ole Kristian Bangås
Bjørn Furuknap
2003-08-30 22:08:13 UTC
Permalink
Post by Ole Kristian Bangås
Post by Bjørn Furuknap
Post by Terje Kvernes
det er utvilsomt ofte en fordel i en del scenarioer å skjerme
tjenester med en dårlig historie mot verden. det tar av og til også
litt tid fra man finner en tjeneste til å være mulig å
kompromittere, til en patch kommer. i mellomtiden kan noe som
fjerner tilgangen til tjenesten være kjekt.
(...)
Derimot er det sjeldn at det er en god løsning å pushe mer stash inn
i et hjemmenettverk i den tro at det løser noe som helst.
Paracetamol hjelper mot hodeverk, men om grunnen til hodeverket er
dehydrering er det bare å lappe på symptomene, ikke å løse problemet.
Vel, vi kommer aldri til å bli enige. Jeg foretrekker preventive
tiltak fremfor ubehagelige overraskelser.
Utifra hva du har skrevet her så foretrekker du å stikke hodet i sanden
fremfor å sikre nettet ditt, men det får være opp til deg.

Bjørn
Ole Kristian Bangås
2003-08-30 22:12:45 UTC
Permalink
Post by Bjørn Furuknap
Post by Ole Kristian Bangås
Post by Bjørn Furuknap
Post by Terje Kvernes
det er utvilsomt ofte en fordel i en del scenarioer å skjerme
tjenester med en dårlig historie mot verden. det tar av og til også
litt tid fra man finner en tjeneste til å være mulig å
kompromittere, til en patch kommer. i mellomtiden kan noe som
fjerner tilgangen til tjenesten være kjekt.
(...)
Derimot er det sjeldn at det er en god løsning å pushe mer stash inn
i et hjemmenettverk i den tro at det løser noe som helst.
Paracetamol hjelper mot hodeverk, men om grunnen til hodeverket er
dehydrering er det bare å lappe på symptomene, ikke å løse problemet.
Vel, vi kommer aldri til å bli enige. Jeg foretrekker preventive
tiltak fremfor ubehagelige overraskelser.
Utifra hva du har skrevet her så foretrekker du å stikke hodet i sanden
fremfor å sikre nettet ditt, men det får være opp til deg.
Nei, jeg stikker ikke hodet ned i sanden fremfor å sikre nettet mitt. Jeg
sikrer nettet mitt, men jeg har også en brannmur som kan luke bort ting
som kommer uforutsett. DET er tydeligvis den store forskjellen mellom oss
to.
--
Ole Kristian Bangås
Bjørn Furuknap
2003-08-30 22:19:21 UTC
Permalink
Post by Ole Kristian Bangås
Post by Bjørn Furuknap
Post by Ole Kristian Bangås
Vel, vi kommer aldri til å bli enige. Jeg foretrekker preventive
tiltak fremfor ubehagelige overraskelser.
Utifra hva du har skrevet her så foretrekker du å stikke hodet i
sanden fremfor å sikre nettet ditt, men det får være opp til deg.
Nei, jeg stikker ikke hodet ned i sanden fremfor å sikre nettet mitt.
Jeg sikrer nettet mitt, men jeg har også en brannmur som kan luke
bort ting som kommer uforutsett. DET er tydeligvis den store
forskjellen mellom oss to.
Nei, forskjellen er at du kun tenker på en type problem, nemlig innbrudd
eller misbruk via tcp-porter. Det er kun en liten del av sikkerhet, men for
all del, jeg vil gjerne ha jobb i morgen også, så bare fortsett som du
gjør...

Bjørn
Ole Kristian Bangås
2003-08-30 22:36:52 UTC
Permalink
Post by Bjørn Furuknap
Post by Ole Kristian Bangås
Post by Bjørn Furuknap
Post by Ole Kristian Bangås
Vel, vi kommer aldri til å bli enige. Jeg foretrekker preventive
tiltak fremfor ubehagelige overraskelser.
Utifra hva du har skrevet her så foretrekker du å stikke hodet i
sanden fremfor å sikre nettet ditt, men det får være opp til deg.
Nei, jeg stikker ikke hodet ned i sanden fremfor å sikre nettet mitt.
Jeg sikrer nettet mitt, men jeg har også en brannmur som kan luke
bort ting som kommer uforutsett. DET er tydeligvis den store
forskjellen mellom oss to.
Nei, forskjellen er at du kun tenker på en type problem, nemlig innbrudd
eller misbruk via tcp-porter. Det er kun en liten del av sikkerhet, men
for all del, jeg vil gjerne ha jobb i morgen også, så bare fortsett som
du gjør...
Usikker på hvorfor du tror akkruat dette. At jeg hevder at det er smart å
ha en brannmur for å sikre angrep av ukjent type utenfra, eller sågar
dumt å ikke beskytte seg på denne måten (spesielt for personer med middels
eller lavere pc-kunnskap og -interesse), betyr da vitterlig ikke
at jeg KUN tenker på sikkerhet hva TCP-angrep angår? Jeg er bl a en sterk
tilhenger av å begrense brukeres tilganger på en PC etter need-to-have
prinsippet, mao så lite rettigheter som overhodet mulig.
--
Ole Kristian Bangås
Terje Kvernes
2003-08-30 22:12:40 UTC
Permalink
"Bjørn Furuknap" <***@lit.no> writes:

[ ... ]
Post by Bjørn Furuknap
Det er mange tilfeller der brannmurer er nyttige, for eksempel der
patcher ikke _kan_ legges inn, der man har tidkrevende testing fra
patch er sluppet til den kan settes på produksjonsservere, for å
avskjerme deler av et nett der man ikke kan eller vil stole på
sikkerheten blant maskinene (f.eks. trådløse soner, etc).
eventuelt så tar det lang nok tid fra hullet er kjent til det kommer
en patch, samtidig som man _må_ tilby tjenesten, at man har en
brannmur som sørger for at man har mulighet til å drive tjenesten i
mellomtiden.

det finnes selvsagt også brannmurer som har hull, så det er ikke en
perfekt løsning, men det er bedre enn alternativet.
Post by Bjørn Furuknap
Derimot er det sjeldn at det er en god løsning å pushe mer stash inn
i et hjemmenettverk i den tro at det løser noe som
helst.
sikkerhet handler ikke alltid om å _kunne_ løse problemene, det
handler av og til om å senke sannsynligheten for at problemer skal
oppstå.
Post by Bjørn Furuknap
Paracetamol hjelper mot hodeverk, men om grunnen til hodeverket er
dehydrering er det bare å lappe på symptomene, ikke å løse
problemet.
selvsagt, men det kan hende du tenker klart nok til å drikke litt
dersom du blir kvitt hodepinen først. akkurat _det_ eksempelet har
jeg erfart selv. :-)
--
Terje
Bjørn Furuknap
2003-08-30 22:26:09 UTC
Permalink
Post by Terje Kvernes
[ ... ]
Post by Bjørn Furuknap
Det er mange tilfeller der brannmurer er nyttige, for eksempel der
patcher ikke _kan_ legges inn, der man har tidkrevende testing fra
patch er sluppet til den kan settes på produksjonsservere, for å
avskjerme deler av et nett der man ikke kan eller vil stole på
sikkerheten blant maskinene (f.eks. trådløse soner, etc).
eventuelt så tar det lang nok tid fra hullet er kjent til det kommer
en patch, samtidig som man _må_ tilby tjenesten, at man har en
brannmur som sørger for at man har mulighet til å drive tjenesten i
mellomtiden.
Det er litt avhengig av hva slags problem du får. Hvis du er avhengig av å
levere tjeneste på et sett programvare som er kjent som usikkert og det ikke
finnes noen patch så må du selv patche. Det blir egentlig bare samme jobben.

Om du har feil i en tjeneste du ikke bruker, vel, da burde du ha skrudd av
den tjenesten i første omgang.

I slike tilfeller kan en brannmur være nyttig, og som sagt, jeg er ikke mot
bruken av brannmurer, bare mot brukern av brannmurer for alle de gale
grunnene, slik 99% av brannmurer faktisk er.
Post by Terje Kvernes
det finnes selvsagt også brannmurer som har hull, så det er ikke en
perfekt løsning, men det er bedre enn alternativet.
I enkelte tilfeller, ja. Slik saken ble presentert her, altså en brannmur
fordi man ikke hadde patchet opp en maskin uten videre grunn, så er en
brannmur adskillig verre enn alternativet.
Post by Terje Kvernes
Post by Bjørn Furuknap
Derimot er det sjeldn at det er en god løsning å pushe mer stash inn
i et hjemmenettverk i den tro at det løser noe som
helst.
sikkerhet handler ikke alltid om å _kunne_ løse problemene, det
handler av og til om å senke sannsynligheten for at problemer skal
oppstå.
Eller å være forberedt på de tingene som kan oppstå. Det ene er en konstant
jakt etter nye steder man kan bli angrepet, og stadig brykt for uoppdagede
hull. Det andre er sikkert.


Bjørn
Ole Kristian Bangås
2003-08-30 21:37:49 UTC
Permalink
Post by Ole Kristian Bangås
Jasså gitt. Jeg gidder ikke å forklare ennå en gang hvorfor en brannmur
er unødvendig, men kan ikke du i stedet forklare meg _hvorfor_ jeg er
stupid når jeg ikke kjører brannmur?
Fordi de stedene jeg har lest om viruset hardnakket hevder at viruset
utnytter en bug i RPC til å spre seg. Dette går vel på port 135 eller
noe sånt om jeg ikke husker helt feil, kjører man en vettug brannmur
er ALL trafikk på port 135 fra internett sperret, og ergo blir heller
ikke PCen infisert på denne måten.
Så grunnen til at man skal installere en branmmur er for å slippe å sikre
maskinen bak. Skjønner.
Hvis du ikke forstår hvor teit det du sier er så bør du kanskje ta noen
runder til på no.it.sikkerhet.diverse...
Ok, du synes jeg er teit. Fair enough. Men så vidt meg bekjent er det ikke
mulig å slå av RPC og få Windows 2000 til å kjøre som vanlig. For alt det
vi vet så kan det være MINST en tilsvarende feil i RPC Servicen til
Windows 2000. Det jeg lurer på i den sammenheng da er hvordan du sikrer
deg mot et evt angrep som utnytter seg av denne hittil ukjente bugen. Jeg
ønsker å sikre meg, derfor bruker jeg en brannmur som hindrer
nettverkstrafikk inn til min PC såfremt jeg ikke har åpnet for trafikken
i brannmuren/routeren. RPC-trafikk er blant det jeg IKKE kommer til å
slippe inn utenfra, at du tydeligvis lar denne trafikken komme inn får
så være, men du må da sikre deg på en eller annen måte?
--
Ole Kristian Bangås
Tore Lund
2003-08-30 22:04:53 UTC
Permalink
Post by Ole Kristian Bangås
Ok, du synes jeg er teit. Fair enough. Men så vidt meg bekjent er det ikke
mulig å slå av RPC og få Windows 2000 til å kjøre som vanlig.
Helt riktig. Men svakheten som angripes gjennom port 135 gjelder DCOM,
og dette er det mulig å slå av.
--
Tore
Bjørn Furuknap
2003-08-30 22:04:52 UTC
Permalink
Post by Ole Kristian Bangås
Post by Ole Kristian Bangås
Jasså gitt. Jeg gidder ikke å forklare ennå en gang hvorfor en brannmur
er unødvendig, men kan ikke du i stedet forklare meg _hvorfor_ jeg
er stupid når jeg ikke kjører brannmur?
Fordi de stedene jeg har lest om viruset hardnakket hevder at
viruset utnytter en bug i RPC til å spre seg. Dette går vel på port
135 eller noe sånt om jeg ikke husker helt feil, kjører man en
vettug brannmur
er ALL trafikk på port 135 fra internett sperret, og ergo blir
heller ikke PCen infisert på denne måten.
Så grunnen til at man skal installere en branmmur er for å slippe å
sikre maskinen bak. Skjønner.
Hvis du ikke forstår hvor teit det du sier er så bør du kanskje ta
noen runder til på no.it.sikkerhet.diverse...
Ok, du synes jeg er teit. Fair enough. Men så vidt meg bekjent er det
ikke mulig å slå av RPC og få Windows 2000 til å kjøre som vanlig.
Hvorfor skal du slå det av? Fordi du er redd for at det _kan_ være hull der?
Da hadde jeg heller sluttet å bruke nettet, det _kan_ nemlig være hull i alt
du driver med, inkludert brannmurer, linux, mac og hva nå som alltid
predikeres som kuren mot datatrøbbel.
Post by Ole Kristian Bangås
For alt det vi vet så kan det være MINST en tilsvarende feil i RPC
Servicen til Windows 2000.
For alt du vet kan det være _minst_ en feil i brannmuren din. Hvordan sikrer
du deg mot det?
Post by Ole Kristian Bangås
Det jeg lurer på i den sammenheng da er
hvordan du sikrer deg mot et evt angrep som utnytter seg av denne
hittil ukjente bugen.
På samme måte som jeg beskytter meg mot øvrige ting, med en
sikkerhetspolitikk som blant annet omfatter å holde maskinene oppdatert,
ubrukte tjenester stengt, segmentering av brukerdatabaser, begrensning av
rettigheter, etc.

Mine sikkerhetspolitikker er sjelden basert på å forhindre innbrudd, det vil
si, det er bare en liten del av det. Som oftest vil du heller gjøre det
omvendt, nemlig å _forutsette_ at noen vet noe du ikke vet, for eksempel
uoppdagede hull. Når du så tenker på hvordan nettet ditt skal bygges og
sikres, og tar det med i betraktningen, så slipper du i stor grad å bekymre
deg, fordi om/når noen bryter seg inn, oppdager nye sikkerhetshull, etc. så
er du forberedt på det.
Post by Ole Kristian Bangås
Jeg ønsker å sikre meg, derfor bruker jeg en
brannmur som hindrer nettverkstrafikk inn til min PC såfremt jeg ikke
har åpnet for trafikken i brannmuren/routeren.
Så hva er forskjellen? Hva åpner du? ICQ, kanskje? Et nettverksspill?
Utelukker du altså at det finnes uoppdagede hull i det du åpner for? Du gjør
akkurat det samme som å la alt være åpent.
Post by Ole Kristian Bangås
RPC-trafikk er blant det jeg IKKE kommer til å
slippe inn utenfra, at du tydeligvis lar denne trafikken komme inn får
så være, men du må da sikre deg på en eller annen måte?
Jepp, og i mitt tilfelle, ettersom jeg driver nettverk med opp til flere
hundre maskiner og minst like mange forskjellige kunder så er det en litt
mer omfattende oppgave enn å sikre et hjemmenettverk.

For den jevne hjemmebruker så holder det lenge å oppdatere windows, være
forsiktig med hva som installeres og kjøres, samt gjøre periodiske
helsesjekker av systemet, som tar maks 10 minutter pr. uke.

Bjørn
Bjorn Simonsen
2003-08-30 13:33:36 UTC
Permalink
On 30 Aug 2003 01:18:44 +0200, Øystein Gyland wrote in
<***@ellifu.ifi.uio.no>:

Followup-to satt til: <no.it.sikkerhet.diverse>.
Er det grunn til å tro at maskinene har blitt kompromitert?
ja
og at man må reinnstallere windows?
Neppe. De må installere en Patch (hotfix) fra Microsoft, *OG*
fjerne infisert fil(er) med dertil egnet (oppdatert)
AV-program/verktøy.

Der høres ut som det er MSblast ormen som har bitt dine venner.
Den utnytter et sikkerhetshull i Windows som den omtalte RPC
patchen fra Microsoft skal tette igjen for. De RPC-scannere jeg
har postet om tidligere i denne tråden er ment for å sjekke om
en eller flere Windows installasjoner (gjerne mange i nettverk)
har fått disse hullene tettet. For dine venner gjelder det
imidlertid å få patchet Windows og fjernet ormen. Ser andre alt
har gitt deg link til informasjon om dette. Du kan også se her
<http://www.microsoft.com/norge/news/view.asp?id=2605>
for nedlasting av omtalte patch til norsk versjon av Windows.
Titt også på <http://www.microsoft.com/norge/security/>.

Er ellers mye skrevet om Msblast ormen her på news de siste to
tre ukene, og du kan da finne mer info, råd og tips, om ved å
søke nyhetsgrupper via google for tidligere poster, f.eks med:
<http://www.google.com/groups?as_q=msblast&safe=images&ie=ISO-8859-1&as_ugroup=no.it.*&lr=&num=100&hl=en>

Samme URL forkortet: <http://makeashorterlink.com/?U25F15FB5>

På samme vis kan du søke for å se hva andre her har postet om
andre slike hyppige gjester nå om dagen, f.eks. Sobig.F.
<http://www.google.com/groups?num=100&hl=en&lr=&ie=ISO-8859-1&q=sobig+group%3Ano.it.%2A&btnG=Google+Search>

Samme URL forkortet: <http://makeashorterlink.com/?L23F15FB5>

Dersom du har flere spørsmål om mulig infeksjon av MSblast eller
andre orrmer og virus - foreslår at du starter en ny tråd og spør
i gruppen <no.it.sikkerhet.virus>.

mvh
Bjørn Simonsen
j***@hotmail.com
2012-11-11 23:04:07 UTC
Permalink
Post by Bjorn Simonsen
FUT: <news:no.it.sikkerhet.diverse>
"RPCScan is a Windows based detection and analysis utility that
can quickly and accurately identify Microsoft operating systems
that are vulnerable to the RPC interface buffer overflow
vulnerability."
<http://www.foundstone.com/> under Free Tools | Scanning Tools.
mvh
Bjørn Simonsen
Terje Henriksen
2014-10-30 20:49:22 UTC
Permalink
Post by Bjorn Simonsen
FUT: <news:no.it.sikkerhet.diverse>
"RPCScan is a Windows based detection and analysis utility that
can quickly and accurately identify Microsoft operating systems
that are vulnerable to the RPC interface buffer overflow
vulnerability."
<http://www.foundstone.com/> under Free Tools | Scanning Tools.
mvh
Bjørn Simonsen
Denne fjernes av Norton Internet Security dersom man forsøker å
installere den i Windows 8.1.
--
Terje Henriksen
Kirkenes
Loading...