31-01-04

mankeert nog een glazen bol

Dit stond op security-protocols.com en werd zaterdag gepost.
Op dezelfde dag waren de eerste doom virussen al aan het rondgaan. Zijn commentaar hierop kan - nu - niet meer voorzienend geweest zijn ....
Linux threatens US security, SCO tells Congress 

The SCO Group has confirmed that it sent a letter to all 535 members of the US Congress which claimed that Linux and open-source software is a threat to the security and economy of the US.

The letter, dated 8 January, was published on the internet this week by an open-source lobbying organisation called the Open Source and Industry Alliance (OSAIA). The letter states that the commoditising influence of open-source software such as Linux is bad for the US economy and argues that open source also skirts export controls governing commercial products.Ill have to say that I totally disagree with SCO. The SCO group are making them selves a very large target.

Posted by badpack3t on Saturday, January 24 @ 00:38:32 EST (74 reads)
(comments? | Score: 0)

23:21 Gepost door technology changes fast not a lot | Permalink | Commentaren (0) |  Facebook |

Deze vulnerability scanner is een trojan

The ms03-049 scanner is a tool created by eEye that is able to scan up to 256 IP addresses at once to determine if any are vulnerable to a remote buffer overflow in the Windows Workstation Service. If an IP address is found to be vulnerable, then the Retina MS03-049 Scanner will flag that IP address added by eEye
 
Je vindt hem oa op astalavista maar ook elders. Mijn antivirus hield hem tegen.
 
http://www.microsoft.com/technet/treeview/default.asp?url...  buffer overrun in ms workstations, dateert van november 03
 
Gebruik als vulnerability scanner de gratis languard van gfi.com  Het verstoort nooit je netwerk (probeer eens een snmp sweep zonder voorafgaande pingsweep....) is uptodate en indexeert mooi met praktische links bij elke vulnerability. Je moet alleen betalen als je patches ook wilt installeren (maar dit is not wise - automatisch blind patchen).
 
EKZ

23:16 Gepost door technology changes fast not a lot | Permalink | Commentaren (0) |  Facebook |

poolse linux-apache massaal gehacked

zomaar een antibush pagina geplaatst door red-eye op een hele serie poolse linux-apache pagina's, lijkt een koud kunstje.
 
gratis brol ja als je het als brol installeert zonder voorzorgen en nazorgen.
 
info zie nu attack link
 
ekz

01:22 Gepost door technology changes fast not a lot | Permalink | Commentaren (0) |  Facebook |

freeware network packets analysis tool

http://silktools.sourceforge.net/
 

SiLK, the System for Internet-Level Knowledge, is a collection of netflow tools developed by the CERT/AC to facilitate security analysis in large networks. SiLK consists of a suite of tools which collect and examine netflow data, allowing analysts to rapidly query large sets of data. SiLK was explicitly designed with a tradeoff in mind: while traffic summaries do not provide packet-by-packet (in particular, payload) information, they are also considerably more compact and consequently can be used to acquire a wider view of network traffic problems.

SiLK consists of two sets of tools: a packing system and analysis suite. The packing system receives Netflow V5 PDU's and converts them into a more space efficient format, recording the packed records into service-specific binary flat files. The analysis suite consists of tools which can read these flat files and then perform various query operations, ranging from per-record filtering to statistical analysis of groups of records. The analysis tools interoperate using pipes, allowing a user to develop a relatively sophisticated query from a simple beginning.

The vast majority of the current code-base is implemented in C, Perl, or Python. This code has been tested on Linux, Solaris, Free/OpenBSD, AIX and Mac OS X, but should be usable with little or no change on other Unix platforms.

The SiLK software components are released under the GPL.

ekz


01:12 Gepost door technology changes fast not a lot | Permalink | Commentaren (0) |  Facebook |

hoe traag of snel zullen we zijn

Sommige firma's melden dat de virusstorm reeds een vertraging tot 50% van de bereikbaarheid van sites heeft geleid en dit meestal omdat de filtering en scanning door security appliances is toegenomen (die ook een grote viruscatching load hebben). Vanaf zondagavond 17H brussels tijd voorspelt men nog een verdere vertraging door de ddos storm tegen www.sco.com  De B variant die twee dagen later www.microsoft zou aanvallen is minder invloedrijk omdat hun verspreiding miniem is.
 
Je kan zelf testen met je destinaties door een traceroute te doen. De wereldwijde lijst vind je hier http://www.traceroute.org/  Je kan de uwe hier uittesten (indien je firewall het toelaat) hier http://www.bluehill.com/weather/test.html
 
http://www.internettrafficreport.com/  per continent, hoe snel (en enkel voor de us ook hier http://www.bluehill.com/weather/  en hier http://weather.uci.edu/)
 
http://www.internetpulse.net/  de heart van de backbone van het internet
 
Meer statistische analyses van internetsnelheid en attackersactiviteit vind je hier : http://netwatch.ists.dartmouth.edu/dibs.htm (attackers),
snelheid van de border routers van het internet http://netwatch.ists.dartmouth.edu/bgp.htm 
(ook gebruikt bij http://people.ists.dartmouth.edu/~dmcgrath/gii/ en meer links hier http://www.cymru.com/BGP/index.html)
en latency meters http://netwatch.ists.dartmouth.edu/latency.htm 
 
Het internetstormcenter kan je ook aanvullen met deze lijst van pas aangevallen poorten
http://www.mynetwatchman.com/ en een lijst van aangegeven incidenten op http://www.mynetwatchman.com/listresolvedincidents.asp  
 en met de algemene indicatie van https://tms.symantec.com/

 
Enkele historische internettraffiekgrafieken vind je nog op http://average.matrix.net/
 
ekz
 

01:10 Gepost door technology changes fast not a lot | Permalink | Commentaren (0) |  Facebook |

nog een gaatje in internet explorer

Bij security focus noemen ze het een design fout, waardoor in Internet explorer, alle versies, toegelaten is om files een andere .extensie te geven dan degene die wordt gedownload en zo een malicious HTA html application te laten draaien (vooral populair bij spammers, pornografen en ander leuk volk)
 
This issue could be exploited to disguise executable content in the form of an HTML application (HTA) file as a file type that may appear innocuous to a victim user, such as a media file. The file will appear to be of an attacker-specified type in the file download dialog presented to the user. The user may then download/open that file under the assumption it is safe, which could result in execution of malicious code on the client system in the context of the victim user. A proof-of-concept was released which creates an embedded web interface to play a media file, which could further convince the user to open the malicious HTML application
A proof-of-concept page was also published at the following location:

http://www.malware.com/gooroo.html
 
Er staat evenwel dat je er niets aan kunt doen. Microsoft heeft voor foutieve linken een patch aangekondigd binnenkort, maar misschien kunnen ze dit meenemen in hun oplossing. Op den duur begin je te begrijpen waarom dat Microsoft van de browser af wilt en waarom één van de grootste online bankservices egg de browserbased toegang wilt vervangen door een specifieke client, terwijl in vpn de browserbased versions een atlernatief vormen voor de klassieke vpn's met een eigen client, omdat een client installeren een zeer moeilijke zaak is als je geen totale controle hebt over de werkposten. De internet explorer is trouwens niets anders dan een client.
 
Maar misschien hebben naast de algemene open internet explorer een kleine gesloten versie nodig die hoogbeveiligd is en enkel dient voor secure browserbased access en alle belletjes en gadgets van de algemene browser niet heeft.
 
Men stelt dat er momenteel geen oplossing is, maar er bestaat wel degelijk freeware die de scripts en downloads vangt vooraleer ze gebeuren en je hoe dan ook toestemming vraagt.
 
Indien je op een netwerk zit heeft je netwerk geen beveiliging indien ze geen antiscript en antivirus op haar internettoegang heeft geïnstalleerd en in het beste geval een proxy erbij.
 
EKZ

00:28 Gepost door technology changes fast not a lot | Permalink | Commentaren (0) |  Facebook |

30-01-04

weekendliteratuur

http://www.mycert.org.my/other_resources/time_sync.html time synchronisatie
 
http://www.astalavista.com/?section=news&cmd=details&... mythes en realities van hacking poort TCP 139 (netbios)
 
http://www.mycert.org.my/network-abuse/dos.htm what is dos attack
http://www.mycert.org.my/network-abuse/Intrusion.htm intrusion
 
Het is nu wel begrijpbaar waarom men in Azië een probleem heeft. Deze organisatie verantwoordelijk voor de veiligheidsinformatie heeft nog informatie op haar website staan van 1999
 
ekz
 

11:57 Gepost door technology changes fast not a lot | Permalink | Commentaren (0) |  Facebook |