Hallo,
Ich haette hier auch noch ein paar: 192.168.0.0/24 bis
192.168.255.0/24.
Da ich zu meinen Versprechen stehe, würde ich sie niemandem, der Windows in der Nähe hat, als garantiert ungescannt verkaufen…
Genug gealbert,
Gut.
Sebastian
Das hat nichts mit Gnade zu tun. Das Programm prueft nur
einfach nicht, welches OS es angreift und waehlt mit einer
(angeblichen) Wahrscheinlichkeit von 80% den Stack-Offset fuer
ein XP-System (groessere Verbreitung?). Auf 2K-Systemen
fuehrt das zum Absturz (und andersrum ).Und auf den anderen?
Den anderen? Es werden doch nur diese zwei Systeme angegriffen: 2000 (aka NT) und XP (wenngleich ich aus nicht nachvollziehbaren Gruenden auch meinem externen Interface gerade einen Neustart verpassen musste … sollte ich mir Sorgen machen?).
Gruss vom Zentrum.
Soviel zu dem Thema „Der Computer macht nur das, was der User
ihm sagt“.Hey, DCOM ist so innovativ und toll. Das kann der
Adminstrator so nicht gemeint haben, daß er sowas tolles
einfach abschaltet.Was sagt die DCOM-Administrationsbüroklammer eigentlich zu dem
Thema?
Ich hab nur den Wuffi gefunden: http://www.potu.org/blaster.jpg
Malte.
Was sagt die DCOM-Administrationsbüroklammer eigentlich zu dem
Thema?Ich hab nur den Wuffi gefunden:
http://www.potu.org/blaster.jpg
ROTFL, grossartig, ich kann nicht mehr. Humor ist, wenn man trotzdem lacht (lachen kann >:smile:.
Malte.
Immer noch lachend,
Gruss vom Zentrum.
Den anderen? Es werden doch nur diese zwei Systeme
angegriffen: 2000 (aka NT) und XP (wenngleich ich aus nicht
nachvollziehbaren Gruenden auch meinem externen Interface
gerade einen Neustart verpassen musste … sollte ich mir
Sorgen machen?).
Habe nicht verstandne was du mit dem XP Stack Offset meinst, deswegen dachte ich bei 2000 sollte dann wohl was andres passieren?
Naja egal.
Grüße
Bruno
Habe nicht verstandne was du mit dem XP Stack Offset meinst,
deswegen dachte ich bei 2000 sollte dann wohl was andres
passieren?
Den Stack-Offset braucht das Programm bei beiden Systemen: er ist ein Offset (Anzahl Bytes), wie weit hinter den aktuellen Stackpointer es den Ruecksprungpunkt aus der kaputten Funktion mit dem Ansprungpunkt fuer seinen eigenen Code ueberschreiben muss. Der scheint bei XP und 2K unterschiedlich zu sein. Bei ersterem springt die Funktion wohl ‚ins Leere‘ zurueck, das OS entfernt den Prozess und will neu booten. Bei 2K ueberschreibt er wohl irgendwas anderes, weniger wichtiges, so dass der RPC nicht gekillt wird und das Programm eine neue Chance hat. So interpretiere ich zumindest, was ich darueber gelesen hab.
Naja egal.
Als persoenlich nicht betroffenen tangiert es mich wirklich weniger.
Grüße
Bruno
HTH,
Gruss vom Zentrum.
aber was bedeutet eigentlich Flame?
Das war eine Art Ironie…
**niehaus@corrosive:~\>** dict flame
_[...]_
From The Free On-line Dictionary of Computing (09 FEB 02) [foldoc]:
flame
To rant, to speak or write incessantly and/or
rabidly on some relatively uninteresting subject or with a
patently ridiculous attitude or with hostility towards a
particular person or group of people. "Flame" is used as a
verb ("Don't flame me for this, but..."), a flame is a single
flaming message, and "flamage" /flay'm\*j/ the content.
Flamage may occur in any medium (e.g. spoken, {electronic
mail}, {Usenet} news, {World-Wide Web}). Sometimes a flame
will be delimited in text by marks such as "...".
The term was probably independently invented at several
different places.
Mark L. Levinson says, "When I joined the Harvard student
radio station (WHRB) in 1966, the terms flame and flamer were
already well established there to refer to impolite ranting
and to those who performed it. Communication among the
students who worked at the station was by means of what today
you might call a paper-based Usenet group. Everyone wrote
comments to one another in a large ledger. Documentary
evidence for the early use of flame/flamer is probably still
there for anyone fanatical enough to research it."
It is reported that "flaming" was in use to mean something
like "interminably drawn-out semi-serious discussions"
(late-night bull sessions) at Carleton College during
1968-1971.
{Usenetter} Marc Ramsey, who was at {WPI} from 1972 to 1976,
says: "I am 99% certain that the use of "flame" originated at
WPI. Those who made a nuisance of themselves insisting that
they needed to use a {TTY} for "real work" came to be known as
"flaming asshole lusers". Other particularly annoying people
became "flaming asshole ravers", which shortened to "flaming
ravers", and ultimately "flamers". I remember someone picking
up on the Human Torch pun, but I don't think "flame on/off"
was ever much used at WPI." See also {asbestos}.
It is possible that the hackish sense of "flame" is much older
than that. The poet Chaucer was also what passed for a wizard
hacker in his time; he wrote a treatise on the astrolabe, the
most advanced computing device of the day. In Chaucer's
"Troilus and Cressida", Cressida laments her inability to
grasp the proof of a particular mathematical theorem; her
uncle Pandarus then observes that it's called "the fleminge of
wrecches." This phrase seems to have been intended in context
as "that which puts the wretches to flight" but was probably
just as ambiguous in Middle English as "the flaming of
wretches" would be today. One suspects that Chaucer would
feel right at home on {Usenet}.
[{Jargon File}]
(2001-03-11)
_[...]_
Hallo,
lasst doch mal den armen Wurm (ich meine das Programm, niemanden anderen) in Ruhe. Ich meine, DDoS-Attacke auf MS, da kriegen die doch endlich mal ihre eigenen Sicherheitslücken auf die Füsse geschmissen. Vielleicht sieht man so dort mal deutlich mögliche Auswirkungen der in der Vergangenheit eher stiefmütterlich behandelten Sicherheit.
Das soll aber jetzt bitte keinen Krieg der Betriebssysteme auslösen (frei nach „Mein BS ist länger…“)
Muss ja wirklich toll sein so eine personal Firewall. Respekt …
Gruß, olli
Soviel zu dem Thema „Der Computer macht nur das, was der User
ihm sagt“.
Was ich mit meiner evtl. kryptischen vorherigen Aussage meinte: WinME verfolgt genau das Gegenteil des von beschriebenen Konzeptes, weswegen es sich ziemlich genau nur zwei Stunden auf der Platte meines seinerzeit erworbenen Rechners befand.
Gruß,
Christian
WinME
Soviel zu dem Thema „Der Computer macht nur das, was der User
ihm sagt“.Was ich mit meiner evtl. kryptischen vorherigen Aussage
meinte: WinME verfolgt genau das Gegenteil des von
beschriebenen Konzeptes, weswegen es sich ziemlich genau nur
zwei Stunden auf der Platte meines seinerzeit erworbenen
Rechners befand.
Jetzt hab ich’s verstanden. Ich kam _wirklich_ ins grübeln, weil ich mich derzeit gerade mit dem Themenkomplex rumschlagen muß.
Es ist schwer, jemanden davon zu überzeugen, daß XP zumindest besser ist als ME, wenn derjenige nie Probleme hatte.
Normalerweise würd ich ja sagen „never touch a running system“, aber aus Sicht der Sicherheit ist ME nun wirklich… Naja. Von diesem Wurm ausnahmsweise nicht betroffen.
Grüße,
Moin, Malte
Nicht ganz richtig.
Sebastian hat ja schon eine gute Antwort gegeben.
Hinzuzufügen ist vielleicht noch, daß hier endlich mal
tatsächlich ein Windows ausreicht - die Lücke braucht keine
bestimmte Software, keinen SQL-Server wie der SQLslammer oder
sonstwas - nur Windows.
Der Anwender muss schon noch aktiv werden - er muss den Rechner mit dem Internet verbinden. Wer diesen Fehler nicht macht, Windows also bestimmungsgemäß als Inselrechner ohne Netzanbindung fährt, braucht sich keine Sorgen zu machen.
Und andere Chancen hat ein Windows-User in einem nicht von einer professionell konfigurierten Firewall geschützten Umgebung nicht. Der Fehler liegt nicht in einem Pufferüberlauf in der DCOM-Schnittstelle, wie oft berichtet wird, sondern ist in der Architektur des Betriebssystems begründet. Diese unterscheidet ab w2k (bei NT40 immerhin noch teilweise) in keiner Weise mehr zwischen sicheren, unsicheren Netzen bzw. dem PC selbst. Damit ist das System inhärent unsicher und ohne einfach zu administrierende sinnvoll voreingestellte Paketfilter vollständig unbrauchbar.
Angriffe wie den jetzigen werden wir in Zukunft noch häufig erleben.
Schwarzsehend ein von hundert Anwendern mit ihren Privat-PC genervter
Schorsch
2 „Gefällt mir“
Sebastian hat ja schon eine gute Antwort gegeben.
Hinzuzufügen ist vielleicht noch, daß hier endlich mal
tatsächlich ein Windows ausreicht - die Lücke braucht keine
bestimmte Software, keinen SQL-Server wie der SQLslammer oder
sonstwas - nur Windows.Der Anwender muss schon noch aktiv werden - er muss den
Rechner mit dem Internet verbinden. Wer diesen Fehler nicht
macht, Windows also bestimmungsgemäß als Inselrechner ohne
Netzanbindung fährt, braucht sich keine Sorgen zu machen.
Die „Bestimmung“ wird imho vom Hersteller vorgegeben - auf was anderes kann sich der User ja leider zunächst mal nicht beziehen. Auch, wenn ich Dir in der Sache natürlich recht gebe.
Und andere Chancen hat ein Windows-User in einem nicht von
einer professionell konfigurierten Firewall geschützten
Umgebung nicht.
Und selbst in solch einer Umgebung ist er nicht geschützt. Es soll eine große Firma geben, in der der Wurm sich über einen (Firmen-)Laptop eingeschlichen hat, der illegalerweise in einem Internetcafé angeschlossen und infiziert wurde. Dagegen schützt auch keine Firewall.
Angriffe wie den jetzigen werden wir in Zukunft noch häufig
erleben.
Ich hoffe im Sinne der Erkenntnisgewinnung auch für Executives, daß dem so ist und daß auch mal ein richtiger Schaden entsteht.
Schwarzsehend ein von hundert Anwendern mit ihren Privat-PC
genervter
Hoffend ein in einem 20000-Clients-Netzwerk erschütterter
Malte.
Und selbst in solch einer Umgebung ist er nicht geschützt. Es
soll eine große Firma geben, in der der Wurm sich über einen
(Firmen-)Laptop eingeschlichen hat, der illegalerweise in
einem Internetcafé angeschlossen und infiziert wurde. Dagegen
schützt auch keine Firewall.
Du hattest (vor?)gestern schon so was geschrieben, woraufhin ich baff erstaunt war und eigentlich gleich rückfragen wollte. Aber mit dem Firmenlaptop ist das natürlich vorstellbar.
Aus diesem Grunde habe ich, soweit Anwender bei uns Firmen-Laptops haben,das Patch im Vorfeld installiert, soweit sie von dahääm über private PC ins Firmennetz gehen den Zugang per DFÜ gesperrt, den Zugang per VPN freigegeben nur für Rechner, die mir hier im Büro persönlich vorgestellt und von mir konfiguriert wurden. Gibt natürlich im Moment etwas Ärger mit Mitarbeitern die Bereitschaftseinsätze von zu Hause erledigen wollen und nicht mehr dürfen. Und Fernwartung durch Fremdfirmen gibt’s derzeit auch nicht mehr.
Wie ich die Situation im Moment sehe, werden ich RAS (ausser für mich selbst) nie mehr aufmachen, VPN nur noch durch eine DMZ schicken und bis dahin nur noch Tunneln über ssh zulassen. Müssen die Kollegen sich halt auf Linux (oder Putty) umstellen.
Gruss,
Schorsch
Sebastian hat ja schon eine gute Antwort gegeben.
Hinzuzufügen ist vielleicht noch, daß hier endlich mal
tatsächlich ein Windows ausreicht - die Lücke braucht keine
bestimmte Software, keinen SQL-Server wie der SQLslammer oder
sonstwas - nur Windows.Der Anwender muss schon noch aktiv werden - er muss den
Rechner mit dem Internet verbinden. Wer diesen Fehler nicht
macht, Windows also bestimmungsgemäß als Inselrechner ohne
Netzanbindung fährt, braucht sich keine Sorgen zu machen.
Das sehe ich (heutzutage) nicht als Aktivitaet an. Dann koenntest Du auch behaupten, dass der Anwender den Rechner ja immerhin einschalten muss, um sich der Gefahr auszusetzen. Ein Rechner ohne Netz ist (in meinen Augen) kein Rechner (YMMV).
Und andere Chancen hat ein Windows-User in einem nicht von
einer professionell konfigurierten Firewall geschützten
Umgebung nicht. Der Fehler liegt nicht in einem Pufferüberlauf
in der DCOM-Schnittstelle, wie oft berichtet wird, sondern ist
in der Architektur des Betriebssystems begründet.
Ein buffer overflow ist kein Fehler? Merkwuerdige Ansichten vertrittst Du da.
Diese
unterscheidet ab w2k (bei NT40 immerhin noch teilweise) in
keiner Weise mehr zwischen sicheren, unsicheren Netzen bzw.
dem PC selbst.
ACK, der RPC laesst sich nicht ausschliesslich ans lokale Interface binden. Das ist ein Fehler im Konzept.
Damit ist das System inhärent unsicher und ohne
einfach zu administrierende sinnvoll voreingestellte
Paketfilter vollständig unbrauchbar.
ACK.
Angriffe wie den jetzigen werden wir in Zukunft noch häufig
erleben.
Mal abwarten.
Schwarzsehend ein von hundert Anwendern mit ihren Privat-PC
genervter
Du hast den falschen Umgang. Bei mir war noch keiner.
Schorsch
Gruss vom Zentrum.
Der Fehler liegt nicht in einem Pufferüberlauf
in der DCOM-Schnittstelle, wie oft berichtet wird, sondern ist
in der Architektur des Betriebssystems begründet.Ein buffer overflow ist kein Fehler? Merkwuerdige Ansichten
vertrittst Du da.
Da verstehst du mich gründlich miß. Natürlich ist ein Pufferüberlauf ein Fehler, dieser war es aber nicht, der zu der derzeit katastrophalen Situation geführt hat. Pufferüberläufe hat es bislang noch in jedem Betriebssystem gegeben, dies aber noch nie zu einer mit dieser auch nur annähernd vergleichbaren Situation geführt. Und das liegt sicher nicht nur daran, dass andere BS seltener verbreitet sind.
Ein Pufferüberlauf kann passieren. Dass dieser aber per Architekturdefault jeden einzelnen eingesetzten Rechner zu einem ferngelenkten Monster mutieren lässt (was ja wohl auch letztlich die Intention Microschrotts war, siehe TCPA, siehe autom. Updates, siehe Online-Registrierung, sieh DHCP-Client-Dienst, siehe…), das gibt es nirgends sonst. Und da liegt das Problem - nicht bei einem schlechten Programmierer, sondern bei den Architekten dieses Spionagesystems.
Schwarzsehend ein von hundert Anwendern mit ihren Privat-PC
genervterDu hast den falschen Umgang. Bei mir war noch keiner.
Naja, an wen wenden sich die Leute - an den Netzwerkadmin ausse Firma, der hat ja eh immer Zeit. Inzwischen habe ich meinen Support aber eingestellt, ich habe keine Rohlinge mehr, um Knoppix zu brennen.
Gruss,
Schorsch
aber was bedeutet eigentlich Flame?
Lässt sich gut mit Anschiss übersetzen. Wird oft benötigt in
„Diskussionen“ über die Vorteile von Betriebsystemen. Dort entstehen
in seltenen Fällen sogar sogenannte Flamewars (kommt aber auf gut
besuchten Foren nicht öfter als vielleicht 2000 mal am Tag vor).
Wer beispielsweise einen Windows-Rechner benutzt (um mal ein
exotisches Beispiel zu wählen), empfängt mit Sicherheit von Mac-,
Linux- und Unix-Usern seinen Flame („Was für einen unsicheren Mist
benutzt du eigentlich“). Linux-User kriegen ihr „geh mir weg mit
dieser Bastelstube“ von den Macianern und Windows-Leuten, und die
Mac-Benutzer bekommen ihre „lahmarschige Tupperware für Mädchen“ von
den anderen.
Siehe www.heise.de, um einen Eindruck der Schlachten zu bekommen.
Flamen ist aber durchaus in allen Diskussionen einsetzbar. Hier bei
w-w-w ist das Flamen allerdings ein Tabu (und das bleibt auch
hoffentlich so).
Stefan
Der Fehler liegt nicht in einem Pufferüberlauf
in der DCOM-Schnittstelle, wie oft berichtet wird, sondern ist
in der Architektur des Betriebssystems begründet.Ein buffer overflow ist kein Fehler? Merkwuerdige Ansichten
vertrittst Du da.Da verstehst du mich gründlich miß.
Ja, ich neige manchmal dazu.
[Text, dem ich voll zustimme.]
Schwarzsehend ein von hundert Anwendern mit ihren Privat-PC
genervterDu hast den falschen Umgang. Bei mir war noch keiner.
Inzwischen habe ich meinen Support aber eingestellt, ich habe keine
Rohlinge mehr, um Knoppix zu brennen.
Mein Gott, bei Waldbrandstufe 28?! Disketten! Wie spielst Du mit Knoppix den Patch ins Windows?
Gruss,
Schorsch
Gruss vom Zentrum.
Mein Gott, bei Waldbrandstufe 28?! Disketten! Wie spielst Du
mit Knoppix den Patch ins Windows?
Gute Frage. Ich glaub, Knoppix ist in der CD-Boot-Version gar nicht darauf eingerichtet, Windows von der Platte zu schmeissen. Müssen die Leute wohl doch zur Dos-Diskette mit fdisk greifen.
Vorhin hab ich übrigens fast die Panik gekriegt. Da hat eine Anwenderin angerufen und geklagt, ihr PC im Firmennetz fahre seit heut mittag dauernd runter… Ich wollte schon alle Kollegen aus dem Urlaub zurückpfeifen. War aber dann doch nur ein defektes Netzwerkkabel, und der PC nicht automatisch heruntergefahren, den hat sie selbst in ihrer Panik ständig neu gebootet.
Aber lasst mich Hiobsbotschaften hören. Je schlimmer je besser. Was ich jetzt alles genehmigt bekomme, mein Gott, ich schäme mich selbst schon fast, wenn ich sehe, welche Gimmicks ich in die Liste eingeschmuggelt habe.
Gruss,
Schorsch