ekz - My place of freedom

The ms03-049 scanner is a tool created by eEye that is able to scan up to 256 IP addresses at once to determine if any are vulnerable to a remote buffer overflow in the Windows Workstation Service. If an IP address is found to be vulnerable, then the Retina MS03-049 Scanner will flag that IP address added by eEye
 
Je vindt hem oa op astalavista maar ook elders. Mijn antivirus hield hem tegen.
 
http://www.microsoft.com/technet/treeview/default.asp?url...  buffer overrun in ms workstations, dateert van november 03
 
Gebruik als vulnerability scanner de gratis languard van gfi.com  Het verstoort nooit je netwerk (probeer eens een snmp sweep zonder voorafgaande pingsweep....) is uptodate en indexeert mooi met praktische links bij elke vulnerability. Je moet alleen betalen als je patches ook wilt installeren (maar dit is not wise - automatisch blind patchen).
 
EKZ

zomaar een antibush pagina geplaatst door red-eye op een hele serie poolse linux-apache pagina's, lijkt een koud kunstje.
 
gratis brol ja als je het als brol installeert zonder voorzorgen en nazorgen.
 
info zie nu attack link
 
ekz

SiLK, the System for Internet-Level Knowledge, is a collection of netflow tools developed by the CERT/AC to facilitate security analysis in large networks. SiLK consists of a suite of tools which collect and examine netflow data, allowing analysts to rapidly query large sets of data. SiLK was explicitly designed with a tradeoff in mind: while traffic summaries do not provide packet-by-packet (in particular, payload) information, they are also considerably more compact and consequently can be used to acquire a wider view of network traffic problems.

SiLK consists of two sets of tools: a packing system and analysis suite. The packing system receives Netflow V5 PDU's and converts them into a more space efficient format, recording the packed records into service-specific binary flat files. The analysis suite consists of tools which can read these flat files and then perform various query operations, ranging from per-record filtering to statistical analysis of groups of records. The analysis tools interoperate using pipes, allowing a user to develop a relatively sophisticated query from a simple beginning.

The vast majority of the current code-base is implemented in C, Perl, or Python. This code has been tested on Linux, Solaris, Free/OpenBSD, AIX and Mac OS X, but should be usable with little or no change on other Unix platforms.

The SiLK software components are released under the GPL.

ekz

Sommige firma's melden dat de virusstorm reeds een vertraging tot 50% van de bereikbaarheid van sites heeft geleid en dit meestal omdat de filtering en scanning door security appliances is toegenomen (die ook een grote viruscatching load hebben). Vanaf zondagavond 17H brussels tijd voorspelt men nog een verdere vertraging door de ddos storm tegen www.sco.com  De B variant die twee dagen later www.microsoft zou aanvallen is minder invloedrijk omdat hun verspreiding miniem is.
 
Je kan zelf testen met je destinaties door een traceroute te doen. De wereldwijde lijst vind je hier http://www.traceroute.org/  Je kan de uwe hier uittesten (indien je firewall het toelaat) hier http://www.bluehill.com/weather/test.html
 
http://www.internettrafficreport.com/  per continent, hoe snel (en enkel voor de us ook hier http://www.bluehill.com/weather/  en hier http://weather.uci.edu/)
 
http://www.internetpulse.net/  de heart van de backbone van het internet
 
Meer statistische analyses van internetsnelheid en attackersactiviteit vind je hier : http://netwatch.ists.dartmouth.edu/dibs.htm (attackers),
snelheid van de border routers van het internet http://netwatch.ists.dartmouth.edu/bgp.htm 
(ook gebruikt bij http://people.ists.dartmouth.edu/~dmcgrath/gii/ en meer links hier http://www.cymru.com/BGP/index.html)
en latency meters http://netwatch.ists.dartmouth.edu/latency.htm 
 
Het internetstormcenter kan je ook aanvullen met deze lijst van pas aangevallen poorten
http://www.mynetwatchman.com/ en een lijst van aangegeven incidenten op http://www.mynetwatchman.com/listresolvedincidents.asp  
 en met de algemene indicatie van https://tms.symantec.com/

 
Enkele historische internettraffiekgrafieken vind je nog op http://average.matrix.net/
 
ekz
 

Bij security focus noemen ze het een design fout, waardoor in Internet explorer, alle versies, toegelaten is om files een andere .extensie te geven dan degene die wordt gedownload en zo een malicious HTA html application te laten draaien (vooral populair bij spammers, pornografen en ander leuk volk)
 
This issue could be exploited to disguise executable content in the form of an HTML application (HTA) file as a file type that may appear innocuous to a victim user, such as a media file. The file will appear to be of an attacker-specified type in the file download dialog presented to the user. The user may then download/open that file under the assumption it is safe, which could result in execution of malicious code on the client system in the context of the victim user. A proof-of-concept was released which creates an embedded web interface to play a media file, which could further convince the user to open the malicious HTML application
A proof-of-concept page was also published at the following location:

http://www.malware.com/gooroo.html
 
Er staat evenwel dat je er niets aan kunt doen. Microsoft heeft voor foutieve linken een patch aangekondigd binnenkort, maar misschien kunnen ze dit meenemen in hun oplossing. Op den duur begin je te begrijpen waarom dat Microsoft van de browser af wilt en waarom één van de grootste online bankservices egg de browserbased toegang wilt vervangen door een specifieke client, terwijl in vpn de browserbased versions een atlernatief vormen voor de klassieke vpn's met een eigen client, omdat een client installeren een zeer moeilijke zaak is als je geen totale controle hebt over de werkposten. De internet explorer is trouwens niets anders dan een client.
 
Maar misschien hebben naast de algemene open internet explorer een kleine gesloten versie nodig die hoogbeveiligd is en enkel dient voor secure browserbased access en alle belletjes en gadgets van de algemene browser niet heeft.
 
Men stelt dat er momenteel geen oplossing is, maar er bestaat wel degelijk freeware die de scripts en downloads vangt vooraleer ze gebeuren en je hoe dan ook toestemming vraagt.
 
Indien je op een netwerk zit heeft je netwerk geen beveiliging indien ze geen antiscript en antivirus op haar internettoegang heeft geïnstalleerd en in het beste geval een proxy erbij.
 
EKZ

http://www.mycert.org.my/other_resources/time_sync.html time synchronisatie
 
http://www.astalavista.com/?section=news&cmd=details&... mythes en realities van hacking poort TCP 139 (netbios)
 
http://www.mycert.org.my/network-abuse/dos.htm what is dos attack
http://www.mycert.org.my/network-abuse/Intrusion.htm intrusion
 
Het is nu wel begrijpbaar waarom men in Azië een probleem heeft. Deze organisatie verantwoordelijk voor de veiligheidsinformatie heeft nog informatie op haar website staan van 1999
 
ekz
 

in het weekend van 16 januari zijn zowat 120 publieke dienstoverheidssites gehacked in Azië, gewoon omdat twee hackersgroepen wilden tonen wie de beste was.
 
no egov without security ?
 
ekz

ik zou de schrijvers van deze virussen willen aansprakelijk stellen voor niet alleen de totale chaos op het internet en het economisch verlies, maar ook voor alle familiale problemen die hierdoor bij duizenden werknemers en vooral informatici de afgelopen weken zijn opgetreden, want als je dacht dat wij vroeg naar huis konden, of een moment rust vonden en dan is volgende week nog niet geweest.
 
Hebben die geen familie, geen kinderen of waren het zelf verwaarloosde snotneuzen die zo hun ouders nog een loer wilden lappen.
 
iedereen schrijft over de virusschrijvers, de hackers en de economische chaos, maar niemand kijkt naar de soldaten die hun netwerken moeten beschermen en daar soms veel tijd enzo voor moeten opofferen.
 
ok, natuurlijk had men al veel vroeger veel meer maatregelen moeten nemen en dat ik neem ik ook kwalijk.
 
of misschien moeten we maar eens de armen kruisen en zeggen, ik vind dit even belangrijk als u wanneer we bijkomende maatregelen vroegen en u wou wachten op godot en naar huis gaan zonder ons van de gevolgen daarvan ook maar iets aan te trekken, want de werkuren zitten erop.
 
ekz

Ik dacht van even slim te zijn en door een poortscanning zowel de virustraffiek als de eventuele dragers zoals kazaa te ontdekken. Tevens maakten we ons klaar om dit te stoppen op de firewall en routers, maar toch - veiligheidshalve eens controleren en analyseren.
 
voor wat betreft de poorten van doom blijkt dat deze poorten tussen 3127 en 3198 ook gebruikt worden door msn messenger, publiciteitsdragers van msn en passport en hotmail. Microsoft zit dus met een probleem - ik ook - want die poorten zal ik ondanks de toegenomen scanning erop - moeilijk kunnen afsluiten zonder al die diensten ook af te sluiten.
 
toen ik dan maar voor kazaa gebruikers scande en de tcp poorten gebruikten, bleek dat het nog leuker was. Een site als goudengids.be gebruikt deze poort ook (via de poort 80).
 
Vergeet dus maar statische methoden en firewalls, het enige wat nog zal werken zullen packetsniffers zijn en application defenses. En als je toch statisch wilt scannen, zal je moeten verschillende indicaties tegelijkertijd nagaan.
 
EKZ