sslug-teknik team mailing list archive

[donald_j_axel <donald_j_axel@xxxxxxxxxx>]

  ... om det er en god ide at backporte en patch eller ej ...

On Thu, 16 Oct 2003 16:00:32 +0200
Klavs Klavsen <kl@xxxxxxx> wrote:

> Ved den seneste version, er der ingen kendte bugs der kan
> udnyttes (oftest ihvertfald) og dermed skal han først finde bugs, før
> han kan finde måder at udnytte dem på.

For almindelige dødelige skal man måske tilføje, at der findes
cracker-samlinger som indeholder de utroligste ting, og at det
derfor "KUN" er et spørgsmål om at finde sikkerhedshullet og
så lave noget, der udnytter det - resten, med at installere
en backdoor og skjule den kan meget vel være det samme hver gang.

Dette noget kan være en overflow - men selve koden, som lægges
i overflowet, kan godt ligne de assembler koder, som er brugt
tidligere, for det handler blot om at udnytte at CPU'en laver
et return, og så *ikke* havner der, hvor programmet normalt
havner, men derimod i hackerens kode.

(er det ikke rigtigt forstået?)

Fx. findes der pakker, som erstatter ps og df etc. og skjuler de
steder/processer, som crackeren så kan anvende typisk til at
forsøge at oversvømme et eller andet firma's servere.

De mest profesionelle hacks opdages sjældent før de begynder
at enten belaste meget eller foretage sig noget på nettet, 
som giver bagslag.

Så det, man skal gøre, hvis man vil have et firma til at køre
en sikker maskine, det er at alliere sig med en god Linux-sikkerheds-
konsulent <reklame> fx. undertegnede </reklame> og så skal man
lukke for alt undtagen de services, som skal bruges, og sørge
for, at de er overvågede, og opdatere *HVER**GANG**DER**KOMMER**
EN**ALERT fra fx. openssl. Det er trods alt ikke så tit.

Men det er bedre end at backporte.


-- 
donald_j_axel@xxxxxxxxxx -- Linux works for me.  http://d-axel.dk/