Sikkerhedsekspert afviser Linux-angreb

It-sikkerhedseksperten Preben Andersen har fået debatten til at rase ved at beskylde Linux-folk for at stå bag en phishing-mail. Nu er han ikke længere så sikker på sine udtalelser.

Phishing-mails sendt til Tele2-kunder har sat Linux-sindene i kog, efter it-sikkerhedseksperten Preben Andersen i sidste uge insinuerede, at Linux-folk skulle stå bag udsendelsen.

»Rar er en komprimeringsalgoritme, der bruges af styresystemet Linux, hvilket tyder på, at der er Linux-folk blandet ind i konstruktionen og udsendelsen af den her ondsindede mail,« blev han citeret for at sige til Computerworld.

Udtalelsen har fået flere fra blandt andet Linux-miljøet op på barrikaderne, da rar, som flere læsere sikkert vil være bekendt med, ikke er en komprimeringsalgoritme, der er særligt forbeholdt Linux-miljøet. Tværtimod blev den ifølge Wikipedia oprindeligt udviklet af Eugene Roshal (Roshal ARchive) med Microsofts DOS for øje. Efterfølgende har rar bredt sig til flere platforme, mens den primære distribution WinRAR er målrettet mod Microsofts Windows-platform.

En af de Linux-folk, som undrer sig over udtalelsen, er formanden for Linux-brugergruppen SSLUG Jesper Krogh. Den ferierende Linux-formand blev første gang præsenteret for udtalelsen, da Version2 ringede til ham på Gran Canaria.

»Jeg har, som Linux-bruger aldrig brugt rar til noget som helst. Så hvis det er det eneste argument, manden han har, så er han i hvert fald ude på et skråplan,« siger Jesper Krogh.

Ifølge Preben Andersen selv, er det dog ikke længere fil-formatet, der afslører, at mailens oprindelse bunder i et ikke-Windows miljø.

»Folk må ligesom mene om tingene, hvad de vil. Det her skal jo ses i en større sammenhæng, og det er slet ikke formatet, der er kernen. Det er overførslen af karaktererne. Altså bogstaverne, hvor man kan se, at det kommer fra et tegnsæt til et andet tegnsæt,« siger Preben Andersen til Version2 med henvisning til, at nogle af de karakterer i den mail, som filen er vedhæftet, angiveligt skulle være ulæselige i et Windows mail-program.

Og det er det, der får dig til at konkludere, at det kan være Linux-folk, der står bag?
Lige netop. Men ikke engang linux-folk, men bare fra et andet miljø. Det er det, der er kernen i det hele.

Og altså ikke det med fil-formatet?
Nej, det er helt uden betydning.

Men det er jo det, du er citeret for.
Ja, det ved jeg godt. Eller det har jeg erfaret. Men det sker nogen gange, det smutter.

Det bekymrer jo folk, at en mand i din position, tror, at en rar-fil kommer fra Linux, når den lige så godt kunne komme fra Windows?
Ja ja, det ved jeg godt. Men det er ikke det, der er kernen. Kernen i historien er, at det er et andet karaktersæt, det vil sige, det kommer fra et andet miljø. Det er det, der er historien.

*Men kan du huske, om du sagde ... *
Ved du hvad, jeg giver måske fem interviews om dagen, så det kan jeg ikke. Og det er heller ikke så vigtigt faktisk. Kun for de ...

Religiøse?
Ja.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Makholm Blogger

"Det er overførslen af karaktererne. Altså bogstaverne, hvor man kan se, at det kommer fra et tegnsæt til et andet tegnsæt" - nu har jeg smidt mine eksemplare væk, men er der nogen der vil oversætte hvad han mener?

Jeg bliver mere og mere overbevist om at manden både er inkompetent til mediehåndtering og til IT.

Jørgen Elgaard Larsen

Jeg synes, det er dejligt, at Version2 stiller kritiske spørgsmål. Jeg har længe savnet et IT-medie, der turde det.

Måske skulle Preben Andersen helt undlade at give interviews. Han klarer det ikke så godt.

Et andet tegnsæt kunne jo tyde på mange ting, for eksempel at angrebet kom fra.... udlandet?

Sune Vuorela

$ file 939.rar
939.rar: Zip archive data, at least v2.0 to extract

og i dette zip-arkiv:

$ unzip 939.rar
Archive: 939.rar
inflating: Regning.exe

$ file Regning.exe
Regning.exe: MS-DOS executable PE for MS Windows (GUI) Intel 80386
32-bit, PECompact2 compressed

Jeg mangler at se hvor det kommer fra - det der 'fremmede' (udover at have MS-DOS executables på mit linuxsystem)

Nu har jeg ikke lige turdet at køre Regning.exe under wine endnu - er der andre måder jeg kan se hvad den kan? Strings(1) giver ikke rigtigt noget interessant.

Troels Arvin

Så vidt jeg kan forstå kræver regning.exe at man arbejder med administratorrettigheder, for at den kan foretage en effektiv "infektion".
Kigger man på CERT's "Gode råd om IT-Sikkerhed" (https://www.cert.dk/vejled/10raad.shtml) står der intet om, at man bør udføre dagligt arbejde logget ind som en upriviligeret bruger. Dette er ellers et af de vigtigste råd, man kan give folk, der gerne vil beskytte sig.

Cert anbefaler heller ikke, at man afinstallerer/lukker for unødvendige services. Igen noget, der i min bog ellers hører til blandt de vigtige trin i IT-sikkerhed.

Hvad har CERT som regel nr. ét? - Installation af ekstrasoftware: Antivirusprogram, m.v. Endda uden at give råd om, hvordan man som forbruger skal vurdere kvaliteten af sådan software. Det svarer til, at læger generelt anbefalede folk simpelthen at spise noget (uspecificeret) medicin for at få det godt. Det skal bemærkes, at der har været flere eksempler på, at diverse "sikkerhedssoftware" har introduceret buffer overflows til de systemer, de var tiltænkt at beskytte.

I sundhedsvæsenet har man i årevis haft en bevægelse henimod "evidens-baseret" praksis: Det skal være påvist, at en behandling virker, før den ordineres. Denne rationelle tilgang kunne IT-branchen godt lære noget af. Særligt ville det være klædeligt for en organisation som CERT at gå imod strømmen af placeboware-anbefalinger.

Jeg vil dog rose DK-CERT for trods alt også at have relevante anbefalinger på deres liste, særligt dem i kategorien "vær kritisk overfor hvad du modtager".

Peter Makholm Blogger

Sune Vuorela var så venlig at sende mig en version af den oprindelige mail. Den består af en multipart/alternative med en tekst-udgave og en html-udgave. I tekstudgaven er tegnsættet angivet som “windows-1250? og er i virkeligheden utf-8 og HTML-udgaven er tegnsættet korrekt angivet som utf-8. Det kunne tyde på østeuropa, men hvorfor så ikke sige det istedet for at antyde noget mystisk?

http://peter.makholm.net/2007/03/27/inkompetance-i-dk-cert-take-ii/

Morten Juhl-Johansen Zölde-Fejér

Enter konspirationsteori med Stallman på Cuba => Linux styresystem for kommunister && Østeuropa i virkeligheden stadig kommunister, det mistænkte vi hele tiden && virus fra Østeuropa => virus fra Linux-folk.
Godt, jeg læste Erasmus Montanus, så jeg fik lært en logisk følgeslutning, der giver mere mening end Preben Andersens vrøvl.

Peter Makholm Blogger

Jeg ved ikke lige hvor Morten Juhl fik russisk fra.

Det eneste jeg ud fra den ene mail jeg lige sidder med kan sige med sikkerhed er at den er sendt gennem en webhosting udbyder i US. Resten er svage antydninger, der lige så vel kunne være plantet for at lede på vildspor.

Det er korrekt at en russser normalt vil bruge et kyrillisk tegnsæt, højst sandsynligt KOI8-R eller Windows-1251. Disse tegnsæt indeholder de normale latinske bogstaver a-z, men ingen accenter eller specialbogstaver. Windows-1250 er godt nok designet til centraleuropa, men kan bruges til tysk. Det kunne derfor være et ikke helt ufornuftigt "andet tegnsæt" for en kyrilisk-skrivende it-kriminel.

Den mail jeg har er tidstemplet i +0600 - det er et sted over i midten (Kasarkistan eller Kirgisien?). BODY-tagget i html-udgaven har en lang-attribut der er sat til ru_RU (og et span-tag hvor lang-attributten er sat til en_GB).

Men skal man sige noget interessant bør man nok nærmere se på hvor den sender data hen og ikke hvor mailen eventuelt har været igennem. Men det har jeg bare ikke nogle oplysninger om.

Morten Juhl-Johansen Zölde-Fejér

Jeg har en universitetsuddannelse i russisk, så jeg har de sidste 10 år ikke været fremmed for, hvilke tegnsæt kunne være aktuelle.
Beklager, at jeg ikke fik præciseret fra starten: Det russiske kom fra DK-Cert > https://www.cert.dk/nyheder/nyheder.shtml?07-03-22-14-00-00
og Tele2's pressemeddelelse >
http://www.editorial.tele2.dk/?page=privat_omtele2_tele2spresseservice_p...
- og jeg undrede mig over, hvor man egentlig havde det med de russiske hackere(sic) fra.

Peter Toft

En ting jeg faktisk ikke forstår er den passus om
Religiøse?
Ja.
Mener Preben Andersen virkelig at "vi" er (hvem vi så end er) religiøse? Det i sig selv er interessant.
Det er jo bare useriøst at først dumme sig så det driver og bagefter kalde dem man har dummet sig overfor for religiøse.

Jeg har inderlig stor respekt for folk som generelt opfører sig fint, som dummer sig en sjælden gang imellem - og så indrømmer at man fik dummet sig. "At indrømme at man dummede sig" - læs og lær Preben Andersen...

Det skal nævnes, at jeg skrev til Preben Andersen i lørdags på opfordring fra et par læsere (tak). Jeg skrev endda venligt at det må være en fejl som bør rettes, hvilket ville være ok. Preben Andersen havde fået min email - fik jeg at vide fra CERTs reception mandag formiddag. Preben Andersen valgte klart at ignorere mig, selvom jeg forklarede at jeg ville skrive dette.

Næste gang jeg står i en situation med netværkssikkerhed, så ringer jeg til en sikkerhedsekspert - og det er ikke Preben Andersen jeg ringer til....

Peter Makholm Blogger

Hvem burde medierne anvende som sikkerhedsekspert rettet mod den mere almindelige del af befolkningen?

Personen skal kunne: Snakke med jounalister; Vide nok om sikkerhed til ikke straks at blive undergravet af andre eksperter; Pragmatisk nok til at sige noget som den almindelige bruger kan bruge; Kunne holde sig fra refleksangreb på dette eller hint "andet" styresystems sikkerhedsmodel.

Især den anden og tredje ting tror jeg er meget svært at kombinere. Men er der nogle bud?

Per Tolbøll

Er der nogen der har haft energi til at kigge nærmere på den famøse Regning.exe ?

Er det blot en variant over en allerede kendt trojaner - eller er det en "nyhed" der ikke fanges af en normalt opdateret virus-scanner ?

/Tolbøll

Kristian Christensen

Det er lidt spøjst at han ikke bare indrømmer at han lavede en bøf. Det er sgu da menneskeligt. Og jeg har da medlidenhed med han. Jeg tror også hurtigt han ville blive tilgivet hvis han efter den første bøf havde indrømmet det og så kunne man komme videre. Men når han så dækker sin r*v på den måde og kommer med endnu flere ting der bare er SÅ langt ude.. Så burde han måske få sig et job som IT lærer på en folkeskole et sted.

Log ind eller Opret konto for at kommentere