Sikkerhedsekspert afviser Linux-angreb

Det er lidt spøjst at han ikke bare indrømmer at han lavede en bøf. Det er sgu da menneskeligt. Og jeg har da medlidenhed med han. Jeg tror også hurtigt han ville blive tilgivet hvis han efter den første bøf havde indrømmet det og så kunne man komme videre. Men når han så dækker sin r*v på den måde og kommer med endnu flere ting der bare er SÅ langt ude.. Så burde han måske få sig et job som IT lærer på en folkeskole et sted.

Men det kan da godt være, at vi har et halvreligiøst forhold til sikkerhed og faktuel korrekthed. Det tager jeg med et gran salt.

Er der nogen der har haft energi til at kigge nærmere på den famøse Regning.exe ?

Er det blot en variant over en allerede kendt trojaner - eller er det en "nyhed" der ikke fanges af en normalt opdateret virus-scanner ?

/Tolbøll

Hvem burde medierne anvende som sikkerhedsekspert rettet mod den mere almindelige del af befolkningen?

Personen skal kunne: Snakke med jounalister; Vide nok om sikkerhed til ikke straks at blive undergravet af andre eksperter; Pragmatisk nok til at sige noget som den almindelige bruger kan bruge; Kunne holde sig fra refleksangreb på dette eller hint "andet" styresystems sikkerhedsmodel.

Især den anden og tredje ting tror jeg er meget svært at kombinere. Men er der nogle bud?

En ting jeg faktisk ikke forstår er den passus om Religiøse? Ja. Mener Preben Andersen virkelig at "vi" er (hvem vi så end er) religiøse? Det i sig selv er interessant. Det er jo bare useriøst at først dumme sig så det driver og bagefter kalde dem man har dummet sig overfor for religiøse.

Jeg har inderlig stor respekt for folk som generelt opfører sig fint, som dummer sig en sjælden gang imellem - og så indrømmer at man fik dummet sig. "At indrømme at man dummede sig" - læs og lær Preben Andersen...

Det skal nævnes, at jeg skrev til Preben Andersen i lørdags på opfordring fra et par læsere (tak). Jeg skrev endda venligt at det må være en fejl som bør rettes, hvilket ville være ok. Preben Andersen havde fået min email - fik jeg at vide fra CERTs reception mandag formiddag. Preben Andersen valgte klart at ignorere mig, selvom jeg forklarede at jeg ville skrive dette.

Næste gang jeg står i en situation med netværkssikkerhed, så ringer jeg til en sikkerhedsekspert - og det er ikke Preben Andersen jeg ringer til....

Måske sætter jeg forventningerne til DK-CERT lidt for lavt i disse dage efter PAs "ekspertudsagn".

Jeg har en universitetsuddannelse i russisk, så jeg har de sidste 10 år ikke været fremmed for, hvilke tegnsæt kunne være aktuelle. Beklager, at jeg ikke fik præciseret fra starten: Det russiske kom fra DK-Cert > https://www.cert.dk/nyheder/nyheder.shtml?07-03-22-14-00-00og Tele2's pressemeddelelse >http://www.editorial.tele2.dk/?page=privat_omtele2_tele2spresseservice_pressemeddelelser&t2page=privat_omtele2_tele2spresseservice_pressemeddelelser

• og jeg undrede mig over, hvor man egentlig havde det med de russiske hackere(sic) fra.

Jeg ved ikke lige hvor Morten Juhl fik russisk fra.

Det eneste jeg ud fra den ene mail jeg lige sidder med kan sige med sikkerhed er at den er sendt gennem en webhosting udbyder i US. Resten er svage antydninger, der lige så vel kunne være plantet for at lede på vildspor.

Det er korrekt at en russser normalt vil bruge et kyrillisk tegnsæt, højst sandsynligt KOI8-R eller Windows-1251. Disse tegnsæt indeholder de normale latinske bogstaver a-z, men ingen accenter eller specialbogstaver. Windows-1250 er godt nok designet til centraleuropa, men kan bruges til tysk. Det kunne derfor være et ikke helt ufornuftigt "andet tegnsæt" for en kyrilisk-skrivende it-kriminel.

Den mail jeg har er tidstemplet i +0600 - det er et sted over i midten (Kasarkistan eller Kirgisien?). BODY-tagget i html-udgaven har en lang-attribut der er sat til ru_RU (og et span-tag hvor lang-attributten er sat til en_GB).

Men skal man sige noget interessant bør man nok nærmere se på hvor den sender data hen og ikke hvor mailen eventuelt har været igennem. Men det har jeg bare ikke nogle oplysninger om.

.. er sådan nogen man får i skolen. Manden kan jo ikke engang dansk. Det hedder "tegn", kære "ekspert"!

Prøv at læse http://en.wikipedia.org/wiki/Windows-1250

Det er ikke russisk, det er østeuropæisk, nøjagtigt som Peter Makholm siger ;)

Undskyld mig, men hvorfor skulle russiske hackere bruge et latinsk tegnsæt, når de selv bruge kyriliske tegn?

• har man egentlig fået sporet dette her, eller påstås det, at det er russiske hackere (sic), udelukkende fordi der anvendes en centraleuropæisk codepage i tekstdelen?

Enter konspirationsteori med Stallman på Cuba => Linux styresystem for kommunister && Østeuropa i virkeligheden stadig kommunister, det mistænkte vi hele tiden && virus fra Østeuropa => virus fra Linux-folk. Godt, jeg læste Erasmus Montanus, så jeg fik lært en logisk følgeslutning, der giver mere mening end Preben Andersens vrøvl.

Sune Vuorela var så venlig at sende mig en version af den oprindelige mail. Den består af en multipart/alternative med en tekst-udgave og en html-udgave. I tekstudgaven er tegnsættet angivet som “windows-1250? og er i virkeligheden utf-8 og HTML-udgaven er tegnsættet korrekt angivet som utf-8. Det kunne tyde på østeuropa, men hvorfor så ikke sige det istedet for at antyde noget mystisk?

http://peter.makholm.net/2007/03/27/inkompetance-i-dk-cert-take-ii/

Så vidt jeg kan forstå kræver regning.exe at man arbejder med administratorrettigheder, for at den kan foretage en effektiv "infektion". Kigger man på CERT's "Gode råd om IT-Sikkerhed" (https://www.cert.dk/vejled/10raad.shtml) står der intet om, at man bør udføre dagligt arbejde logget ind som en upriviligeret bruger. Dette er ellers et af de vigtigste råd, man kan give folk, der gerne vil beskytte sig.

Cert anbefaler heller ikke, at man afinstallerer/lukker for unødvendige services. Igen noget, der i min bog ellers hører til blandt de vigtige trin i IT-sikkerhed.

Hvad har CERT som regel nr. ét? - Installation af ekstrasoftware: Antivirusprogram, m.v. Endda uden at give råd om, hvordan man som forbruger skal vurdere kvaliteten af sådan software. Det svarer til, at læger generelt anbefalede folk simpelthen at spise noget (uspecificeret) medicin for at få det godt. Det skal bemærkes, at der har været flere eksempler på, at diverse "sikkerhedssoftware" har introduceret buffer overflows til de systemer, de var tiltænkt at beskytte.

I sundhedsvæsenet har man i årevis haft en bevægelse henimod "evidens-baseret" praksis: Det skal være påvist, at en behandling virker, før den ordineres. Denne rationelle tilgang kunne IT-branchen godt lære noget af. Særligt ville det være klædeligt for en organisation som CERT at gå imod strømmen af placeboware-anbefalinger.

Jeg vil dog rose DK-CERT for trods alt også at have relevante anbefalinger på deres liste, særligt dem i kategorien "vær kritisk overfor hvad du modtager".

Det kan man se ud af karakteren af hans uvidenhed.

Over and Out.

$ file 939.rar 939.rar: Zip archive data, at least v2.0 to extract

og i dette zip-arkiv:

$ unzip 939.rar Archive: 939.rar inflating: Regning.exe

$ file Regning.exe Regning.exe: MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit, PECompact2 compressed

Jeg mangler at se hvor det kommer fra - det der 'fremmede' (udover at have MS-DOS executables på mit linuxsystem)

Nu har jeg ikke lige turdet at køre Regning.exe under wine endnu - er der andre måder jeg kan se hvad den kan? Strings(1) giver ikke rigtigt noget interessant.

Mon ikke han har set nogle textfiler, som kun indeholder Chr(10) som linieskilletegn istedet for Chr(13)Chr(10), som er normalt i windowsverdenen.

Jeg synes, det er dejligt, at Version2 stiller kritiske spørgsmål. Jeg har længe savnet et IT-medie, der turde det.

Måske skulle Preben Andersen helt undlade at give interviews. Han klarer det ikke så godt.

Et andet tegnsæt kunne jo tyde på mange ting, for eksempel at angrebet kom fra.... udlandet?

"Det er overførslen af karaktererne. Altså bogstaverne, hvor man kan se, at det kommer fra et tegnsæt til et andet tegnsæt" - nu har jeg smidt mine eksemplare væk, men er der nogen der vil oversætte hvad han mener?

Jeg bliver mere og mere overbevist om at manden både er inkompetent til mediehåndtering og til IT.

Jeg er mere bekymret over, at man kalder en virus mail med spoofet afsender for phishing. Det udvander ligesom begrebet, synes jeg.