ÄNNU fler hål i Windows!!!

[Anvil]

RAW sockets finns i (samtliga) tcp/ip implementationer, inklusive UN*X. man måste dock vara root för att kunna sända raw packets. Och visst har OS X öppna portar från leverans, men inga direkta system tjänster.

Kan du vidare utveckla vad du menar med att windows saknar öppna standarder ?

 

Och visst har apple hjälp av att dom använder open source program som bas för vissa tjänster, men MacOS X är fullt med "closed source" och "skumma" teknologier med, vilka är minst lika tvivel aktiga.

Saken är den att Darwin är opensource, MacOS X är det inte.

[Reefer]

En stor orsak, kanske till och med den största, till att windows är så populärt för hackare, virusmakare och script kiddes är att det är det absolut lättaste och bästa verktyget för att begå värre handlingar på nätet. På grund av att det saknar öppna standarder och, framför allt, att folk i gemen inte laddar ner senaste säkerhetsuppdateringarna varje vecka, är windows den absolut lättaste plattformen att hacka sig in på och utnyttja för egna skumma ändamål. I och med Win XP blev detta ett ännu större incitament, eftersom XP har så kallade raw sockets som tillåter användaren att till exempel "spoofa" sitt IP-nummer - alltså fejka det så att det verkar som om trafik som skickar kommer från en annan adress, kanske från någon myndighet, stort företag eller en av Internets stora routrar. Detta går visserligen att göra även med unix och linux, men på grund av ovan nämnda skäl är windows bättre lämpat (eftersom varje grundinstallation av XP utan brandvägg i princip är vidöppen - medan varje unix eller linuxburk är lite mer unik, man måste först hitta dens brister och kan knappast automatisera processen på samma sätt som är möjligt mot XP)

 

Nu är vi igång att hitta på saker igen Bosse, och jag kommer att smiska dig till assimilering varje gång men den här gången nöjer jag mig med att hänvisa till Anvils utmärkta och korrekta svar på dina vilda fantasier och missförstånd kring XP's raw sockets.

[Anders Lundberg]

Nej, samtliga tcp/ip-implementationer har inte raw sockets. Gamla windows och gamla mac os hade det inte, t ex. Det var väldigt bra eftersom raw sockets uppfanns för att testa saker, inte för att användas i "kritiska system", som internet.

 

Och försök inte påstå att inte windows skulle ha fler stängda "standarder" än os x. Visst är os x också fullt av dom, men inte i närheten så många (gamla mac os var ju en annan femma... datorvärldens mest slutna och "egna" system). Lite synd är det ju att dom använder Objective C och sånt.

 

Och jag hittar knappast på, läs exempelvis på grc.com (Gibson Research Corp). Speciellt artiklarna om DDoS-attacker och Win XP. Kommer inte ihåg några andra bra länker såhär på studs, men den sidan borde räcka för dagen. Gibson kan du knappast räkna som en flummig macanvändare som bara svamlar (som du kanske räknar mig som )

[Anvil]

Nej, samtliga tcp/ip-implementationer har inte raw sockets. Gamla windows och gamla mac os hade det inte, t ex. Det var väldigt bra eftersom raw sockets uppfanns för att testa saker, inte för att användas i "kritiska system", som internet.

 

Och försök inte påstå att inte windows skulle ha fler stängda "standarder" än os x. Visst är os x också fullt av dom, men inte i närheten så många (gamla mac os var ju en annan femma... datorvärldens mest slutna och "egna" system). Lite synd är det ju att dom använder Objective C och sånt.

"classic" MacOS har visst RAW sockets, du kan enkelt skapa egna TCP/IP packet från grunden, och skicka dom, förresten är det mer eller mindre nödvändigt för att implementera saker som tex. traceroute. (och kom inte säg något annat jag har ganska lång erfarenhet av tcp/ip programmering genom åren, och så sent som i våras jobbade jag på ett program som grafiskt kollar upp en ip address (iFoundU på Versiontracker tex.))

samt om du fortfarande tvivlar kan du läsa tex. http://www.whitefang.com/rin/rawfaq.html#20

 

Jag har aldrig påståt att MacOS X har fler slutna standarder än Windows, fast du förklarade aldrig vad du menade med sluten standard heller. det finns inget som hindrar dig från att ersätta windows tjänster med 3rd parts tillverkade tjänster för samma tillämpning, om än onödigt.

Att DoS attacker är vanligast från PC bör bero på att det finns ett par miljoner fler PC i världen än andra platformar, siffran skalar ganska enkelt på det sättet.

 

Varför är det synd att dom använder Objective-C det är knappast en sluten standard ? (även om jag håller med om att jag tycker ObjC är ett sug språk, men i apples kläder hadde nog jag också haft kvar ObjC istället för att skriva om hela "Cocoa", framför allt skulle det ju inte skadat om apple hadde modifierat mach-o runtimen för PowerPC:n lite bättre.)

[Anders Lundberg]

Nej det (ObjC) är visserligen inte slutet, tekniskt sett. Men vilka andra använder det i stor utsträckning?

 

Ungefär som att folk borde hålla sig till OpenGL, eftersom det är bäst och finns till näst intill alla plattformar.

 

Jag har själv inte gjort någon nätverksprogrammering för mac, så min "information" baserade sig på vad jag läst, t ex på grc.com. Har jag fel så tar jag tillbaka och påstår motsatsen. Huvudsaken i min argumentation var ju dock att gamla windows inte hade det, och där litar jag nog i större utstäckning på Gibson (han är ju inte macare så man får väl ta uppgifter om mac med viss skepsis). Det viktiga i sammanhanget är/var att äldre windowssystem bara har artificiella sockets, inte raw, och därmed inte kan användas till den för DoS-attacker väsentliga IP-spoofen. Enligt Gibson förhöll det sig alltså likadant med gamla mac os, alltså att IP-spoofing inte skulle ha varit möjligt.

 

Men han hade väl fel då helt enkelt

 

Och du kan väl inte annat än hålla med om att det var onödigt av M$ att lägga in raw sockets i XP? Det tjänar ingen på utom hackare och script kiddes.

[Anvil]

Och du kan väl inte annat än hålla med om att det var onödigt av M$ att lägga in raw sockets i XP? Det tjänar ingen på utom hackare och script kiddes.

Raw sockets har fortfarande funnits hela tiden.

[Reefer]

Nej, samtliga tcp/ip-implementationer har inte raw sockets. Gamla windows och gamla mac os hade det inte, t ex. Det var väldigt bra eftersom raw sockets uppfanns för att testa saker, inte för att användas i "kritiska system", som internet.

 

Och försök inte påstå att inte windows skulle ha fler stängda "standarder" än os x. Visst är os x också fullt av dom, men inte i närheten så många (gamla mac os var ju en annan femma... datorvärldens mest slutna och "egna" system). Lite synd är det ju att dom använder Objective C och sånt.

 

Och jag hittar knappast på, läs exempelvis på grc.com (Gibson Research Corp). Speciellt artiklarna om DDoS-attacker och Win XP. Kommer inte ihåg några andra bra länker såhär på studs, men den sidan borde räcka för dagen. Gibson kan du knappast räkna som en flummig macanvändare som bara svamlar (som du kanske räknar mig som )

 

Bosse...Gibson och hans site grc.com och hans "nanoteknologi" som han babblar om hela tiden, är ökänd i IT-säk världen som en gammal MS hatare och den som roper vargen kommer alldeles för ofta, för att använda svensk terminologi. Han är inte seriös.

 

Kan du ge ett enda ex på där dina "script kiddies" har utnyttjat implementationen av raw sockets i Windows XP? nä det kan du inte för det har inte hänt och kommer inte att hända....varför?, därför att programmering på den nivån är alldeles för avancerad för den typen människor som kallar sig för hackers, crackers blaha... där duger det inte med copy and paste i ett simpelt javascript.

[Anders Lundberg]

Jag känner till flera servrar som utsatts för DDoS-attacker och legat nere i timtal eller längre. Med mycket hög sannolikhet anfallna av inte ont anande hemanvändares XP-burkar. Av "script kiddies" (gillar inte att använda så märkliga uttryck egentligen heller, men vad ska man kalla dom? Fejkhackernungar? )

 

Men hur "oseriös" (eller kanske överseriös?) Gibson än är, så tror jag knappast han ljuger oss rätt i ansiktet angående t ex DCOM:s onödiga existens.

 

Anvil: Nu talade vi gamla windows. Microsoft själva använde införandet av raw sockets i XP som försäljningsargument (dom fanns ju iof där i 2000 och NT också, men dom var inte "konsumentsystem"). Enligt dom var det en välkommen "feature".

 

Eller menar du att han skulle ha helt och hållet fel och att raw sockets visst har funnits i alla versioner av windows? Jag har inga andra källor till just det påståendet, så vad vet jag. Men verkar ju dumt att påstå en sak som är helt fel på en sida som besöks av tusentals personer dagligen...

[Anvil]

Ja visst, RAW sockets som ett API är "nytt" för XP. men dessfuktionallitet har funnits helatiden, dock är det klart enklare att använda det nu, men det är inte det jag talar om, RAW sockets är egentligen bara ett namn för att du kan bygga ett TCP/UDP paket från grunden, detta är möjligt på (alla; jag varit i kontakt med iallafall) TCP/IP implementationer.

 

Och som jag sa tidigare är det ett nödvändigt ont för att implementera tex. traceroute, vilket innebär att du måste ändra bland annat TTL(Time To Live) inställningen för paketet, kan du inte det kan du inte göra en traceroute.

 

http://grcsucks.com/grcdos.htm har lite mer info på området förresten, tyvärr har microsoft flyttat på sidan som förklarar att RAW sockets faktiskt inte är något "nytt", jag ska kolla om jag hittar den senare.

 

Angånde gibson förresten...

 

"Steve Gibson often is referred to as being a "Security Expert", yet one has to see his appearances on *real* security boards/interviews/gatherings. Where was Steve Gibson at Defcon/BlackHat Conference ? Why doesn't he comment/ on Bugtraq or other Security Focus mailing lists ?

The answer is quite simple: he would get nailed down by arguments and facts from real security experts in less then a minute. These persons tend not to be very impressed by self-proclaimed Security Experts and his obfuscation of the real issues and intentions." -- grcsucks.com

 

Tänk på detta innan du suger åt dig information som en svamp på nätet, all info på internet är inte 100% tillförlitlig.

[Reefer]

Jag känner till flera servrar som utsatts för DDoS-attacker och legat nere i timtal eller längre.

Skärp dig, det handlar om traditionella DDoS attacker, det har INGET med implementationen av raw sockets i Windows XP att göra.

 

Anvil; klockrent inlägg

[thevil]

jag vet själv om ett problem med minneshanteringen i OS X som kan få hindra samtliga användare från att lista/skapa eller modifera processer, dock krashar inte program som körs, nya program kan dock inte startas.

Minneshanteringen är väl lite skakig om något program lyckas ordna en minnesläcka på något lite mer oväntat sätt än vad systemet förväntar sig?

 

Flera små extra-program och program från utvecklare som inte har resureser/förmåga att testa och fixa sina program lyckas väl ibland sabba stabiliteten i hela systemet genom sina buggar, eller menar du att det finns ett problem i OS X som inte har med andra program att göra utan i själva operativ systemets sätt att använda minnet?

 

Är lite trött, men du förstår säkert vad jag menar.

 

Berätta om det, här tror vi inte på någon ökad säkerhet genom att gömma bristerna under någon gammal matta i farstun. Hög säkerhet får vi genom att lyfta fram de problem vi hittar och se till att komma på en lösning.

[Anvil]

Nej, inget normalt användar program ska kunna få minneshanteringen urbalans (om ett suid root alternativt ett program root startar får det urbalans är en annan femma). Det jag talar om är en uppenbar bug i minneshanteringen och involverar ett problem med COW (CopyOnWrite) på MacOS X, jag upptäckte problemet genom ett klumpigt mistag i mina tidiga försök att göra "runtime patching" på OS X (det unsanitys Ape gör blandant).

Ibörjan exprimenterade jag med att använda vm_inherit_xxx och på så sätt få "child" processer att använda sig av vissa kod delar av "parent" processen, det var då jag snubblade över felet, på något sätt sätter den hela process tabellen ur spel, jag har inte undersökt närmare vad som faktiskt händer, dels efter som det svårt pga nya processer så som en debugger kan inte startas, och dels pga att jag hadde ett annat mål.

Dock är det "delvis" mitt fel efter som jag använde kernel api:t felaktigt, men oavsett vilket ska inte undernågra omständigheter något dyl. kunna inträffa från en normal användar process.

Om någon är intresserad av källkod och exempel kan jag förmodligen leta reda på källkoden inom någon dag.

 

Normalt skulle vara att endast denna process och dess eventuella "child" processer skulle krasha.

[Anders Lundberg]

Anvil: Ok, som jag sa innan. Jag tar tillbaka och påstår motsatsen

 

Och nej jag tror inte blint på allt jag läser på nätet. Tror väldigt lite på "fakta" i vanliga fall. Men grc gav ett ganska solit intryck, och det jag läste om var ju så intressant... *känner sig aningen blåst* Inte för att jag svalde med hull och hår, men lite svål och ett par strån hann väl slinka in...

 

Fast ni får väl erkänna att ni inte kan förvänta er att jag ska tro mer på er två, för mig okända forumbesökare, än någon annan (hur trovärdig eller inte trovärdig denne någon än är). Så ha lite medlidande och rekommendera lite vettig läsning istället

 

Men en sak spelar det ingen roll hur fel Gibson brukar ha, DCOMs säkerhetsbrister. Blaster, och en rad andra virus och maskar har ju faktiskt dykt upp och utnyttjar dessa brister. Och Microsoft har släppt säkerhetsuppdateringar.

[sim]

Kul, Lite säkerhetsnack, här kan man nog trivas.

 

Vad det gäller Windows och maskarna har en hög majoritet (nästan samtliga) av de senaste använts sig av kända brister som funnits patchar till,

så gissa vem man ska peka finger mot för att systemen varit opatchade....

 

Annars rekomenderar jag mässan som nu pågår ute i älvsjö för er som är stockholmsanslutna, var där igår och lyssnade på lite snakeoil argument,

eventuellt kanske jag går dit idag med och besvärar ännu fler produktsäljare med mina dumma frågor. :angel:

[Anders Lundberg]

Tack för tipset, men stockholm är för långt borta för mig tyvärr.

 

Och kom igen nu Reefer och Anvil: Ge mig boktips!!

[sim]

Vet inte exakt inom vilket område det är du vill ha boktips,

men jag gissar av föregående disskusion att det gäller nätverksprottokoll,

och då är dessa vad som rent allmänt brukar betraktas som branchbiblarna.

 

http://www.amazon.com/exec/obidos/tg/detai...383828?v=glance

 

Del 1&2&3 kostade 2600 sek (w00t) -20% mässrabbat

 

Annars finns det gott om publika RFC-er

 

Själv letade jag efter mac-böcker, fast de hade bara en titel, och den verkade inte så bra....

[Anders Lundberg]

Jo den får jag gå och se om biblioteket har, tack så mycket.

 

Annars tänkte jag även på böcker om nätverks- och allmän datorsäkerhet.

 

Och så kom jag på en ganska självklar grej... att både gamla windows och mac os var så mycket "säkrare" var ju naturligtvis för att dom var singelanvändarsystem. Windows hade ju sina brister ändå, men mac os var ju fullständigt ointagligt om man inte hade några servrar gående (det var det enda som tillät någon att vinna den där gamla tävlingen ni minns). Jag tror jag blandade ihop vad jag snackade om lite, förutom att vara dåligt insatt...

[sim]

Alllmänna böcker om nätverks & Datasäk har det poppat upp en hel del av på senare tid.

Vissa sämre än andra.

Av de icke tekniska (inte bits&bytes) rekomenderar jag Bruce (guden) Schneirs "Secret & Lies"

Som en totalövergripande helhetssyn.

(Det slutar ändå alltid med policys och managment, samt de odokumenterade nivåerna i IP-Stacken -layer 8: ekonomi, och layer 9: politik )

 

Singelanvändarsystem kan man få idag med, bara att stänga av WIFI-kortet och rycka ur rj45 kabeln.

Dock finns det ändå tricks, såsom att boota sig förbi säkerhetsåtgärderna med floppysar eller cd´s.

 

Hittade lite på MSDN om raw sockets

 

Hoppas det kan va till hjälp.

[Anders Lundberg]

Jaja, det är klart, men mac os kunde du ju surfa med helt utan risk att bli hackad. Även om det fanns några virus och det naturligtvis kunde finnas buffer overflow och liknande attacksätt.

 

Den där secret&lies får man ta å läsa.