Lekken in programma's

BonzO schreef op 18 maart 2004 @ 20:57:
Als je tegenwoordig alle computer nieuwssite's afgaat kom je altijd vaak tegen dat er een lek in windows is ontdekt (bijv. met Blaster) of soms ook een lek in een programma (laatst ZoneAlarm nog). Nu zijn mijn vragen:
Wat is er nou mis met het programma/besturingssysteem als er een lek in zit?
Hoe kan nou zo'n iemand zo'n lek ontdekken?

Het lijkt mij toch gewoon dat als je een programma maakt in een bepaalde computertaal dat er toch geen lek in kan zitten of zit ik hier naast, want een taal is toch een taal?

Natuurlijk kunnen er lekken inzitten. Een gemiddeld programma bevat duizenden regels code, als je daar door een truucje als een buffer overflow iets kan doen dat je normaal niet kan, heb je al een beveiligingslek. Wat er dus mis mee is, is dat een kwaadwillend persoon dit kan gebruiken om dingen op andermans computer te doen dat zei niet willen (persoonlijke bestanden lezen etc.)

BonzO schreef op 18 maart 2004 @ 21:05:
[...]

Je zegt dus dat in bijna elk programma wel een lek zit? En wat is Buffer Overflow?

Google owns:

A buffer overflow occurs when a program or process tries to store more data in a buffer (temporary data storage area) than it was intended to hold. Since buffers are created to contain a finite amount of data, the extra information - which has to go somewhere - can overflow into adjacent buffers, corrupting or overwriting the valid data held in them. Although it may occur accidentally through programming error, buffer overflow is an increasingly common type of security attack on data integrity. In buffer overflow attacks, the extra data may contain codes designed to trigger specific actions, in effect sending new instructions to the attacked computer that could, for example, damage the user's files, change data, or disclose confidential information. Buffer overflow attacks are said to have arisen because the C programming language supplied the framework, and poor programming practices supplied the vulnerability.

Daarmee zijn beide vragen denk ik wel beantwoord.

[ Voor 4% gewijzigd door Miki op 18-03-2004 21:14 ]

BonzO schreef op 18 maart 2004 @ 21:17:
Kerel dus als Internet Explorer een lek bevat is zowat iederen de lul. Als er dan wel iemand zo gek is om er iets slechts mee te doen. En euh degene die de Blaster-worm gemaakt heeft is goed bezig geweest

Alleen mensen die Internet explorer gebruiken.

BonzO schreef op 18 maart 2004 @ 21:17:
Kerel dus als Internet Explorer een lek bevat is zowat iederen de lul. Als er dan wel iemand zo gek is om er iets slechts mee te doen. En euh degene die de Blaster-worm gemaakt heeft is goed bezig geweest

Niet elk lek is even gevaarlijk. Bovendien is het moeilijk er een te vinden zonder een broncode, aangezien je bij bijvoorbeeld een bufferoverflow niet kan weten welke data in welke buffer stroomt, en wat dat voor een gevolgen is. Als je er wel bang voro bent, kan je overstappen op Open Source software; iedereen kan daar de fouten uithalen en hoewel at gevaarlijker klinkt, bewijst het in de praktijk juist veiliger te zijn, omdat er minder makkelijk fouten in blijven zitten. Je zou dan ipv. IE FireFox kunnen gebruiken bijvoorbeeld

BonzO schreef op 18 maart 2004 @ 21:17:
Kerel dus als Internet Explorer een lek bevat is zowat iederen de lul.

Gaaf he computers

http://www.moenen.org/lessen.php?idnr=37

Viel Spass.

BonzO schreef op 18 maart 2004 @ 21:17:
Kerel dus als Internet Explorer een lek bevat is zowat iederen de lul. Als er dan wel iemand zo gek is om er iets slechts mee te doen. En euh degene die de Blaster-worm gemaakt heeft is goed bezig geweest . Dit is dus ook de rede waarom linux bijna nooit last heeft van lekken.

[minster donner mode on] Bij gebruik van duistere praktijken zoals het opzoek gaan naar p0rn en cracks is de kans groter dat je wordt getroffen door een virus dan de huis tuin en keuken piet de tiep miep die moreel verantwoorde sites bezoekt. [minster donner mode off]

Ben je dus een persoon die in de eerste categorie valt dan is het verstandig om een open source browser te gebruiken omdat exploits eerder bekend zijn en risico's kleiner zijn. Voor personen in de tweede categorie dan hoef je over het algemeen geen zorgen te maken.

Ook linux heeft zijn eigen lekjes, alleen worden die vaak sneller ontdekt omdat veel geeks/addicts/ noem maar op de broncodes van de kernel zelf en overige progjes grondig door kijken. Dit gebeurt vaak om suggesties te melden en of fouten uit de broncode te halen.

Het product Internet Explorer van micosoft is gesloten code. De kans dat er een lek gevonden wordt is relatief gezien kleiner, niet iedereen heeft namelijk toegang tot die code dus er is minder controle. Degene die dus een exploit ontdekt heeft in feite het lot van veel windows gebruikers in zijn handen. Een bekende mannier om lekken te constateren is reverse engineering (ook te googlen ) van patches die microsoft uitbrengt. Natuurlijk zijn er nog tich andere vormen voor het zoeken van lekken in microsoft's code maar dit is één bekendste vormen voor het zoeken die ik ken.

De Blaster code is een goed voorbeeld van hierboven. Microsoft wist in het begin niet van het bestaan van dit lek af, nou ja wist... noem het maar laksheid om niet te patchen. Degene die de Blaster virus heeft gemaakt heeft op zijn gemak het virusje ontwikkeld en op een gunstig moment verspreid. De gevolgen zijn bij je wel bekend.

Leesvoer over buffer overflows en de gevaren daarvan

Er zijn heel wat verschillende lekken. Je hebt o.a. de buffer overloop (de meeste virussen/trojans maken gebruik van dit soort fouten in programma's). Maar ook de onjuiste afhandeling van sql-opdrachten, of onjuiste parsing van een strings kan een fout veroorzaken.

voorbeeld

Een voorbeeld van een lek in Internet Information Services (een niet-gepatchte IIS server / schone windows 2000 server)



Geen bufferoverloop, maar als je even goed kijkt zie je wat je hier allemaal mee kunt doen. En zo zijn er erg veel voorbeelden van fouten in programma's

Ja, zo kon je voorheen ook bepaalde bestanden inlezen op Windows Apache-servers door simpelweg via een url de php.exe aan te roepen. Zo heb ik al meerdere malen php.ini, boot.ini, mysql.ini kunnen opvragen bij verscheidene mensen.

BonzO schreef op 18 maart 2004 @ 21:17:
Kerel dus als Internet Explorer een lek bevat is zowat iederen de lul. Als er dan wel iemand zo gek is om er iets slechts mee te doen. En euh degene die de Blaster-worm gemaakt heeft is goed bezig geweest . Dit is dus ook de rede waarom linux bijna nooit last heeft van lekken.

Nee, mijns inziens heeft Linux bijna nooit last van lekken, omdat het nog niet interessant genoeg is om lekken te vinden. 95% (or whatever) van de thuisgebruikers draait op Windows, dus het is interessanter om bugs/exploits te vinden voor Windows-systemen.

Wanneer *n?x-systemen de meerderheid krijgt, zal je zien dat daar ook genoeg bugs en exploits te voorschijn komen.

TRON schreef op 19 maart 2004 @ 11:11:
Ja, zo kon je voorheen ook bepaalde bestanden inlezen op Windows Apache-servers door simpelweg via een url de php.exe aan te roepen. Zo heb ik al meerdere malen php.ini, boot.ini, mysql.ini kunnen opvragen bij verscheidene mensen.


[...]
Nee, mijns inziens heeft Linux bijna nooit last van lekken, omdat het nog niet interessant genoeg is om lekken te vinden. 95% (or whatever) van de thuisgebruikers draait op Windows, dus het is interessanter om bugs/exploits te vinden voor Windows-systemen.

Helaas heeft Linux ook vaak genoeg lekken, alleen halen deze lekker minder snel de media omdat het minder interresant is om te melden

Linux is opensource, waardoor dit soort lekker sneller ontdekt kunnen worden. Helaas wil dit niet automatisch zeggen dat dat ook sneller gebeurt

Er zitten GENOEG bugs in IE die niet gepatched zijn.. Herinnert iedereen de JPG nog die een virus bevatte? Dit werd door een IE bug gedaan, de local mediaplayer executable werd overschreven, en daarna werd er net gedaan alsof er een media bestand in de browser werd afgespeeld, je raadt het al, mediaplayer opent (oftewel de overschreven executable) en het virusje nestelt zich lekker...