01-06-07

Apple in security hot water

I had a debate some time with some Apple people about the security of the Apple machines. As they have built their whole marketing campaign around the hype that their system is more secure, they were quite angry and resistant to the idea that their 'security-thinking' is already totally old fashioned and no longer of this time.

 

Security attacks don't care today about the OS of a machine. They want to know what the security state of the browser is. They want to use the mistakes in the drivers, applications and files that are on the machines, whatever the OS. Okay, there are still thousands of viruses around, but the real malware is moving online - this is why Google is investing in the anti online-malware business and is overhauling its own security thinking - just as Microsoft did some years ago. Apple is still moving very slowly. To be a Titanic or not.

 

Apple doesn't educate her users about online security. Apple doesn't publish security alerts on her website. Apple doesn't propose several methods to update their applications - how do you update quicktime in an enterprise with 100 people, download 100 times the update ?

 

That something is changing since the month of the Apple bugs is clear. Apple has launched security pack after security pack. They seem to have understood that it is better to be safe than sorry. But it seems like becoming a ratrace between the hackers (who can now use powerful machines, software and fuzzing-techniques to analyse whatever code against whatever exploit method) and Apple. And as Apple has always preached that its systems were not attacked, not hacked and so didn't need a robust securitypolicy from the moment you design a software, OS or functionality - it is finding itself now in the state of Microsoft with NT. So much faulty, untested code (2007 standards) and so many users and no central update or alert system. How long before the real exploit, the real virus, the real attack. Or will Apple be faster with a securitypackage, a security OS update and a security infrastructure ?

 

This seems the real story between the Samba on Apple exploit (workable) for which there is no patch (except if you are a coding expert) and for which Apple doesn't seem to know how to answer.

 

Knowing Jobs I wouldn't be surprised if he surprises the security community the way he surprised the computer industry, the music industry and finally (?) the telephone industry.  I hope he does - for the Apple users who have bought his machines because they were safer in 2006 but feel they are losing that advantage in 2007 and can think in 2008 that their security is worse than that of windows.

22:44 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

Vlaanderen.be had slechts enkele puistjes

Telindus - Vlaanderen.be ontkent problemen met mailservers en zegt dat de aanpassingen die gebeurd zijn 'schoonheidsfoutjes' zijn geweest.

De appreciatie van de gevolgen van deze 'schoonheidsfoutjes' (newspeak) laat ik aan jullie over want zoals ik al eerder zei is het belangrijkste dat deze noodzakelijke aanpassingen gebeurd zijn (ook de andere nadien .....).

 

Ik laat ook aan u de intelligentie om de resultaten van de testen te vergelijken met de onvoorwaardelijke uitspraken van de communicatieverantwoordelijke.

 

Ik hoop dat ondertussen men bewust is geworden dat de mensen die worden aangeduid om een test uit te voeren op een configuratie echt 100% onafhankelijk en gedreven zijn en geen mogelijkheid ongebruikt laten om fouten te vinden die door anderen kunnen worden gebruikt - nu of in de toekomst, met gratis middelen of met aanvalstools die te koop worden aangeboden en professioneler zijn. Enkele belangrijke andere security-observers in België zeggen dat ons land daarvoor te klein is en dat je daarvoor hoe dan ook naar het buitenland zal moeten gaan, omdat Belgische bedrijven elkaar niet op de tenen zullen durven trappen.

 

Door de Belgische wetgeving kunt u niet van mij verlangen dat ik verder ga dan het simpele intikken van een ipadres in een dergelijk online klein testtooltje.

 

Misschien kan - als de verkiezingen voorbij zijn - men ook eens het debat over de volgende aspecten van het egov debat starten.

 

* de toezicht door onafhankelijke derden a la Rekenhof over de beveiliging met een rapport aan onze vertegenwoordigers - zijnde het parlement

 

* de verplichting om permanent geautomatiseerde en handmatige testen uit te voeren tegen de meest belangrijke infrastructuur (of een copie - testomgeving die gezien de kosten best een partnership tussen overheden en bedrijfsleven is)

 

* een infrastructuur en procedure om in noodsituaties zoals verleden week vrijdag direct te kunnen optreden en de nodige maatregelen te nemen om de permanentie van de dienstverlening te kunnen verzekeren. Het is de derde keer op een goed jaar tijd dat de internetinfrastructuur in België op een uitgesproken wijze daar niet toe in staat blijkt.

 

Dat zou pas een voorbeeld van start van goed bestuur zijn.

 

Indien u zelf een emailserver hebt, raad ik u ten stelligste aan om net zoals Vlaanderen.be uw server nog meer toe te gooien. U weet maar nooit. Malware heeft slechts een klein gaatje nodig om binnen te kruipen. Verwacht ook niet van mij dat ik dit nu voor u zal doen. U bent groot en wijs genoeg om zelf de nodige testen uit te voeren en maatregelen te nemen.

22:06 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

Gebuisd voor informatica

Grappig verhaaltje in de krant vandaag. Voor het testen van de eindtermen hadden ze beroep gedaan op een universiteit en een externe IT firma. De bedoeling was om het frans van de leerlingen lager onderwijs te testen met een aantal audiobestanden die op een server stonden. Die zouden door 100 leerlingen tegelijkertijd worden gebruikt, maar de server bleef maar crashen.

 

Dit lijkt wel een examenvraag voor beginnelingen van een cursus netwerk. Als 100 leerlingen tegelijkertijd een bestand van zoveel MB opvragen en gebruiken, hoe groot moet de netwerklijn zijn, de server (caching) enz.....  En als je dat dan op papier hebt uitgerekend, dan moet je het testen en daar bestaan professionele tools voor.  Dat zouden ze hebben gedaan.

 

Gelukkig is de firma niet verantwoordelijk voor het VOIP verkeer in ons land.

12:11 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

some guys do the good thing

After being busy a year with indexing hacked-defaced Belgian sites and noticing that some just get hacked over and over again or just didn't care for months, I must say that I am relieved and quite happy because I have noticed that some important mailservers in Belgium have started closing themselves down since last week and I sincerely thank you for that.

 

Rule of three

* refuse all bad mail addresses from the world

* accept only mail-senders to the world from a defined range and domain

* control, monitor, log and adjust permanently

 

And please participate at the http://www.projecthoneypot.org

11:44 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

Vlaanderen.be is niet de enige mailserver die een spamserver wordt

Eén voorbeeld (De koninklijke Militaire Academie te Brussel). Misschien hebben ze lessen in cyberdefense nodig ?

comic2_058

 

En de nieuwe wetgeving die het BIPT de mogelijkheid geeft om samen met ISP's op te treden ? Dode letter. Werk voor een nieuwe regering, welke die ook is.

 

10:43 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

31-05-07

Tomorrow Friday - is your mailserver secure ?

After the incident last week with the mailservers of Vlaanderen.be (and others but that did seem to survive the onslaught or didn't make the news) one has to prepare for tomorrow. Or maybe it is just an old habitude of a virus fighter that is coming back. Check your installations on tuesday, make sure that everything is fine so that whatever comes on friday ( a day viruswriters seemed to prefer because it was the day before the weekend and ICT staff can be occupied with lots of  other stuff that needs to be finished before the end of the week). Since a while it seems as if there was nothing to be worried about and people have thought for a while that automatic scanning and so on will defend us all and that we don't need human 'border controls'. Last friday has been a wake up call.

 

I will stop the tit for tat that is going around here and on forums because this doesn't help the principal subject (the bad situation of internetsecurity on the Belgian web) not a bit further and that is the only purpose (always have been) of this blog.

 

Practical now. What is essential ?

* You need to have some kind of automatic antispam, antivirus software and be sure that is updated correctly

 

* You need to have logs with reports about the kind of spam and viruses that are stopped to and from where

 

* You need to have statistics on use, volume, destinations of your emailtraffic, eventually in realtime to be able to see if something is not according to normal traffic (first research, than cry fool)

 

* You need to adjust the filters manually to add terms, senders and destinations to let through some (whitelist) and to block others that go through (blacklist)

 

* You need a procedure that you can implement if your servers become overloaded with a spamstorm so your mailserver can filter those internal good mails from the rest and send them first (can be a special word in the subject).

 

* You need to be sure that your mailserver is not an Open Relay. You can use tests on the internet and the one used against Vlaanderen.be but you can also test it for real with real emails from a post you have connected outside your network. You must be sure that you have the explicit permission to do such a thing.

 

http://www.rbl.jp/cgi-bin/svcheck.cgi?hostname=xxxxxxxxxx...

change the xxxx into the ip address of the server

 

* You need to be sure that your mailserver doesn't accept any mistaken or false addresses. This is the best guarantee that tricks like the one above will be more difficult to execute. It is a decision between being userfriendly and being secure, but if you make sure that the sender gets an email that the email was refused because the account doesn't exist and that he has to check the emailaddress or use a form on the internet, than it stays userfriendly. You will have to take care although that this message isn't

- sent out more than once, even if it bounces (not to make a loop - and this is for all 'fault messages' or even accept messages.

- stops sending when the same servers starts sending hundreds of variants of emailadresses

 

tip you can also break the loop by making resending not automatic or default, but only do one resend for example every half an hour during 2 hours and than once every 6 hours twice. (Except for mass attacks, but than I presume you are before the screens of your server, your graphical indicators and your logs playing wargames).

 

Some mailservers accept all emailmessages with or without a good emailadresses. It is much wiser to just drop it. Just to refuse a lot of garbase you don't have to look at (and concentrate on the real attacks and problems). Sorry for the guy who has mistyped his address and will have to resend his email, but if you take the bad street on your way home you also have to turn back.

 

And most important of all

Believe only what you see and ask questions. Do not take things for granted.

10:36 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

Van waar zijn die Belgische Attacking sites

Even het lijstje van projecthoneypot.org overlopen en een traceroute gedaan om te kijken wat die eventueel waren. Indien iedereen nu zijn deel van de kleine koek opkuist, dan moet dit niet lang nemen - gezien de beperkte omvang van de lijst.

 

217.136.254.79 gaat tot 79.254-136-217.adsl-static.isp.belgacom.be

213.224.83.4 gaat tot nchobo10.telenet-ops.be

195.138.218.19 gaat tot www.actek-c.com

213.189.169.135 gaat tot host-212-68-201-91.brutele.be

212.68.237.75 gaat tot host-212-68-237-1.brutele.be

81.246.100.111 gaat tot 250.244-241-81.adsl-static.isp.belgacom.be

213.189.182.202 gaat tot 212.68.201.228 host-212-68-201-228.brutele.be

81.242.6.150 gaat tot 150.6-242-81.adsl-static.isp.belgacom.be

85.27.120.182 gaat tot host-212-68-201-194.brutele.be

85.201.35.20 gaat tot 213-224-30-234.iFiber.telenet-ops.be

87.244.143.159 gaat tot 213.46.162.21 be-bru01a-ra1-so-2-0-0-0.aorta.net (waarschijnlijk chello.be)

87.244.167.98 gaat tot cable-87-244-167-98.upc.chello.be

194.78.217.138 gaat tot 138.217-78-194.adsl-static.isp.belgacom.be

194.78.181.130 gaat tot 130.181-78-194.adsl-static.isp.belgacom.be

62.166.195.234 gaat tot cust195-234.dsl.versadsl.be

81.243.251.87 gaat tot 87.251-243-81.adsl-static.isp.belgacom.be

87.244.165.192 gaat tot cable-87-244-165-192.upc.chello.be

212.68.250.110 gaat tot host-212-68-250-110.brutele.be

213.177.169.67 gaat tot host-66-169.m-link.be

213.246.202.226 gaat tot datapoint-1501-u.customer.be.colt.net

85.27.5.120 gaat tot host-212-68-201-89.brutele.be

217.136.253.164 gaat tot 164.253-136-217.adsl-static.isp.belgacom.be

213.213.202.66 gaat tot host-212-68-201-251.brutele.be

195.244.163.5 gaat tot 193.191.2.157 cirb.customer.science.belnet.net

213.49.135.135 gaat tot 194.119.225.154 (en voordien Scarlet)

 

We merken dat het vooral gaat om individuele breedbandposten, met hier en daar een specifieker geval. Meer informatie over het waarom van de listing vindt je als je je inschrijft in het project. Daar staat alle informatie.

 

Ter herinnering deze adressen verschijnen dus waarschijnlijk ook steeds meer in blocklijsten en zullen op termijn dus problemen kunnen hebben.

00:26 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |