Lars Olofsson punkt se

Innehåll

Foto

Tankar och åsikter om teknik, programvara, film och annat som just nu intresserar en programvaruingenjör från Lund.

Kontakta mig

  • kuverte-postadress

Sök i teknikbloggen

Om webbplatsen

Teknik

B2Evolution PHP MySQL Apache

Webbstandarder

Valid XHTML 1.0 Valid CSS

Copyright © Lars Olofsson
2003-2008

ämne

Motgång för Microsofts FAT-patent

Postat 2004-09-30, kl 23:51 • Ämne: Patent

PUBPATs (Public Patent Foundation) begäran om att Microsofts patentkrav på FAT ska avvisas har vunnit en första delseger.

eWeek: "In a heavy blow to Microsoft's intellectual property rights, the U.S. Patent and Trademark Office has initially rejected Microsoft's patent claims on the universally popular FAT (file allocation table) file system."

Skulle Microsoft få igenom sina krav skulle det innebära en stor merkostnad för alla som baserat sina produkter på det filsystemet. FAT har blivit en de facto standard för många typer av apparater, till exempel digitalkameror, fickminnen och MP3-spelare.

Det är en stor fördel att kunna koppla in sitt minneskort till datorn helt utan drivrutiner och det är något som många har kommit att ta för givet. Den fördelen skulle kunna gå förlorad om varje tillverkare tvangs uppfinna ett eget avvikande format. Nu ska det förmodligen ta en runda till i byråkratin genom att Microsoft överklagar. Men så långt allt väl alltså!

ämne

Kerio Personal Firewall v4.1.1

Postat 2004-09-29, kl 19:47 • Ämne: Brandvägg

Kerio har släppt en ny version av sin Personal Firewall: v4.1.1. Förra versionen (v4.1.0) kolliderade med ett antal program som installerar egna drivrutiner i Kernel mode.

Som exempel nämner de Ahead Nero InCD, VitalAgent och ProtectCD. Den sistnämnda är ett kopieringskydd som används på flera populära spel. Själv har jag varit förskonad från problem med både den nya och den gamla versionen av Kerio.

Men en god vän till mig (Andreas Peterson) råkade ut för flera blåskärmar med v4.1.0. Hoppas den nya versionen fungerar bättre!

Kerio Personal Firewall är gratis i grundversion och kan laddas hem direkt från Kerio.com

Mera information

Kerio: Download Kerio Personal Firewall 4

Tidigare inlägg

2004-09-14 : Ny Kerio med stöd för XPs Säkerhetscenter

ämne

Första vågen fula JPEG på gång

Postat 2004-09-28, kl 05:15 • Ämne: Säkerhet, Windows

Några av de första skarpa försöken att använda JPEG-bilder för att utnyttja det omtalade säkerhetshålet i GDI+ har dykt upp på Usenet.

Att posta i någon av de många grupperna för binärfiler är en snabb och effektiv metod att få stor spridning och samtidigt förbli relativt anonym. Således är det en populär metod att trycka ut trojaner och andra elakheter. Även om det har beskrivits som ett virusangrepp ger F-Secure lugnande besked på sin webblogg. Men de säger också att det bara är en tidsfråga.

Det här säkerhetsproblemet påverkar så många och har fått så stor publicitet att det verkar locka fram sämsta sidorna hos en del människor. Det är med viss häpenhet jag har följt något som kan liknas vid en virtuell workshop i ett forum som normalt är ägnat åt att förhindra säkerhetsproblem, där hågade individer har utbytt källkod och tips om hur man bäst gör en ”exploit”. Förmodligen i förhoppning att få respekt och skaffa lite skryträttigheter. Tyvärr betyder det också att de gjort grovjobbet åt dem som har mera illasinnade motiv.

Tom Liston som skrivit programmet GDI Scan publicerade igår ett öppet brev till Microsoft på SANS webbplats där han kritiserar Microsofts hantering av problemet. Från början var ju detta ett exempel på hur ett problem ska lösas. Microsoft visste om problemet innan det blev vidare känt och släppte fixar innan hålet hunnit utnyttjas. Men någonstans gick det ändå riktigt snett.

Microsofts patchar åtgärdar bara Microsofts egna applikationer. Det ersätter inte de sårbara DLL-filer som installerats Side-By-Side av ett tredjepartsprogram som använder GDI+. Man kunde önska att det i varje fall gav den möjligheten. Microsofts eget verktyg för att kontrollera vilka versioner som finns på datorn är också totalt värdelöst. Det talar om för användaren att det har hittat ett problem. Men inte vad eller var. När det sen fortsätter att hårdnackat påstå att datorn är sårbar efter att alla tillgängliga patchar är installerade kan den mest tålmodige användare bli en smula irriterad.

Tom Liston: "Your "GDI Scanning Tool" is worse than useless. Run it, and it tells you that you "may be vulnerable", and directs you to Windows Update and Office Update. Go to Windows Update and update everything you can find. Go to Office Update and do the same. Run the scanner again, and it tells you that you "may be vulnerable", and directs you to Windows Update and Office Update. Lather, rinse, repeat."

Lösningen är alltså i högsta grad medioker. Trots att Microsoft själva kunde bestämma tidpunkten när de ville släppa ut den.

De som kör XPSP2 har redan själva operativsystemet uppdaterat. Uppdateringen för Office 2003 sägs vara spärrad för de vanligaste piratkopierade licensnycklarna. Det kan man tycka är rättvist, men det ger grogrund för sådant som i slutändan kan drabba tredje man. Jag anser att Microsoft biter sig lite i svansen när man prioriterar piratbekämpning före att förbättra sin image på säkerhetsområdet.

När infekterade maskiner sprider masken vidare till någon som inte hunnit uppdatera är det Microsoft ändå som får skulden i slutändan. Och det lär inte saknas legitima kunder som kan tänkas bli tacksamma offer. Det är svårt nog att få folk att uppdatera sitt operativsystem regelbundet. Att sen få dem att installera uppdateringar för Office också är snudd på omöjligt. Förmodligen är det ännu en gång upp till antivirusföretagen att stoppa bollen på mållinjen.

Webbplatsen News.Com skriver i en artikel att MSN har beslutat sig att avveckla möjligheten att komma åt Hotmail via Outlook för dem som inte prenumererar på Hotmail Plus.

MSN påstår att de haft problem med att tjänsten missbrukats för att skicka skräppost. Själv tror jag att det handlar om att hitta fler sätt att motivera vanligt folk att betala de 160 kronor ett pluskonto kostar per år. Erbjuda mer till de som har plustjänsten, och mindre till de som är snikna.

CNET: "Starting Monday, MSN will grant use of Web DAV tools only to paid subscribers of Hotmail, which starts at $19.95. However, Hotmail subscribers who have previously used the technology, an estimated 5 percent to 10 percent of its total 187 million customers, will be able to continue to use it for free through March or April of 2005."

Speciellt de som använder Outlook dagligdags betraktas antagligen extra mycket som snyltare då man kommer åt sin post utan att titta på deras groteska användargränssnitt med alla flashannonserna. Jag har alltid sett Hotmail-integrationen som en bonustjänst för att jag kör Microsofts e-postklient.

Kanske dags att skippa Hotmail...

Det finns ingen direkt anledning att fortsätta använda just Hotmail om den inte är integrerad med Outlook. Det finns många andra som erbjuder e-post via webbgränssnitt. GMail till exempel. Att Microsoft bestämt sig för att införa det nyligen floppade SenderID på Hotmail är en annan god anledning. Men helst av allt skulle jag nog vilja byta till någon tjänst där servern inte står i USA. Man kan nog vara säker på att man inte är ensam om att läsa den posten.

... och Outlook!

Om jag tänker ett steg längre är faktiskt en av de stora anledningarna till att jag alls kör Outlook att det integrerar med mina slaskkonton på Hotmail. Outlook är bra på många saker, men det är enligt min mening ingen smidig e-postklient om man bara är ute efter en sådan.

Kanske dags att prova något nytt! Kanske damma av Eudora. Eller prova Thunderbird!

ämne

Hoppet inte ute om att stoppa mjukvarupatent i EU

Postat 2004-09-26, kl 18:35 • Ämne: EU, Patent

Gnuheter.com skriver om att ministerrådet för konkurrenskraft har valt att inte behandla det liggande förslaget om patenterbarhet av datorrelaterade uppfinningar (läs: mjukvarupatent) utan skickat tillbaka det till Coreper. Som orsak anges problem med översättningarna till de nya språken i EU.

Den Gröna gruppen i EU-parlamentet skriver såhär i sitt pressmeddelande:

Daniel Cohn-Bendit, Co-President of the Greens/EFA Group: "In reality this file is returning to Coreper in order to allow the technical discussions between experts from the Member States to continue. [...] The so-called compromise adopted by the Council on 18 June makes a mockery of the Parliament's position and opens the door to software patents – and consequently, to the control of the EU's economy by a small number of multinationals"

ämne

Gratis GDI Scanner från SANS

Postat 2004-09-24, kl 01:07 • Ämne: Säkerhet, Windows

SANS Internet Storm Center tipsar om ett litet verktyg som man kan använda för att söka igenom systempartitionen och kolla vilka installerade program som använder de versioner av GDI+ som är sårbara för manipulerade JPEG-filer.

SANS Handler's Diary: "gdiscan.exe was written for Windows 2000 and higher. It scans the drive containing the Windows %system% directory and Looks for vulnerable versions of gdiplus.dll, sxs.dll, wsxs.dll, mso.dll."

Microsoft har tidigare släppt ett eget verktyg för detta, som tyvärr är ganska värdelöst då den inte berättar exakt vilka program och filer som är sårbara. Det gör däremot den här, och den hittade faktiskt några program som jag inte alls tänkt på att kolla.

ämne

Antivirusprogrammen redo att ta sig an JPEG

Postat 2004-09-23, kl 14:12 • Ämne: Säkerhet, Windows

Sedan Microsoft släppte en patch för hanteringen av JPEG i GDI+ har det gnuggats en hel del geniknölar hur detta skulle kunna utnyttjas på något "kreativt" sätt.

Att få programmet som försöker visa bilden att krascha var första steget, och det var ganska trivialt. Det handlade bara om att ändra värdet för filkommentarens storlek så det till slut blev ett negativt tal. Att komma vidare är tack och lov värre. Men det verkar bara ha sporrat de som bestämt sig för att komma på något sätt att visa att det kan utnyttjas. Olika webbplatser har gjort sitt för att försöka tjäna på nyhetshungern om detta säkerhetshålet. The Inquirer leder hitintills sensationsligan med rubriken Exploit for Microsoft image flaw published med undertiteln It is nearly there.

Igår publicerades så kod som öppnar en kommandorad så snart man försöker titta på en preparerad JPEG. Och senare kom en annan variant som lägger till användarkonton. Detta fungerar ännu så länge bara på Windows XP Service Pack 1, och är även beroende på vilket språkversion av Windows användaren kör. Det som däremot fungerar utmärkt är att Norton Antivirus redan har lärt sig känna igen hackade bilder. Exploit-koden detekteras som Bloodhound.Exploit.13 och bilden raderas omgående. McAfee flaggar koden som Exploit MS04-028.

En intressant detalj om detta säkerhetshålet är att det redan är fixat i XP Service Pack 2. Microsoft var alltså medvetna om det i god tid och hade en patch färdig på lager långt innan SP2 kom ut. Varför dröjde de då ända tills nu med att gå ut med en fix? Och är det fler hål som de känner till och har fixar på lager till, men som de håller på tills det är läge (eller panik) att släppa dem? Det hela är lite underligt. För de som verkligen vill ställa till skada lär inte berätta för Microsoft i förväg att de har hittat ett nytt säkerhetshål.

Antagligen kommer koden för att utnyttja hålet i GDI+ att förfinas under de kommande dagarna och sedan går panikmaskineriet igång. Då kan det vara bra att komma ihåg att XPSP2 och antivirusprogrammen redan ger ett visst skydd. Samt att detta faktiskt inte är första gången som hackare hittat sätt att utnyttja brister i bildfiler. Så ta det kallt och se till att ha programmen uppdaterade.

ämne

IETF lägger ner arbetsgruppen mot skräppost

Postat 2004-09-23, kl 13:29 • Ämne: Patent, Skräppost

Enligt EWeek har IETF upplöst arbetsgruppen MARID som arbetade med att skapa en standardiserad lösning för hur skräppost ska stoppas i framtiden.

Den huvudsakliga anledningen är Microsofts licens- och patentkrav som slutligen sänkte hela skutan. Nu kommer förmodligen arbetet att drivas vidare med konkurrerande standarder. Microsoft kör sitt race och open source kör sitt.

Så helt otroligt onödigt!

Tidigare inlägg

2004-09-21 : Schack matt för SPF?
2004-09-16 : IETF nobbar SenderID

ämne

Comhem slopar inloggningen

Postat 2004-09-22, kl 19:22 • Ämne: Internet

Idag slopade Comhem plötsligt kravet på inloggning på sin bredbandstjänst Internet Cable. Tidigare var man tvungen att gå via deras startsida och logga in innan man blev utsläppt på nätet.

Meningslös inloggning

I några äldre papper har jag sett att man kunde teckna ett abonnemang där man betalade för den tid man var uppkopplad istället för ett fast månadspris. Att den varianten inte blev så populär är kanske inte så konstigt. Sedan dess har modellen med inloggning varit ganska meningslös då program som IC Login och LF Connection keeper fixat det automatiskt. Det har snarare bara varit extra problem när loginservern krånglat. Skönt att slippa det!

Spärren på port 25

Comhem har sedan tidigare spärrat port 25 (SMTP) och tvingar kunderna att skicka all e-post via Comhems e-postservrar. Jag trodde att det skulle innebära problem för oss som har konton lite varstans, men det har faktiskt fungerat bra. Nu inför Comhem också en begränsning på hur mycket man kan skicka genom deras server. Maximalt 100 meddelanden på 10 minuter innan en tillfällig spärr mot fler e-brev slår till. Möjligheten att skicka nya brev stängs sedan av i 10 minuter. Det låter vettigt och borde nog räcka för de flesta. Om man nu inte har egen e-postlista gubevars.

Får bara hoppas att de inte börjar snåla på bandbredden om deras nya satsning på telefoni över kabelnätet blir en succé. Frågan är bara hur man ska kunna ringa och felanmäla sin bredbandsuppkoppling om telefonen går på samma nät...

Comhem har skärpt till sig

Comhem har på det hela taget blivit bättre sedan de fått börja konkurrera med sin tidigare ägare Telia(sonera). Det märks inte minst på att de breddat sitt utbud, och erbjuder nu 6 olika varianter från 128kbit till 8Mbit. Comhem såldes i samband med sammanslagningen av Telia och finska Sonera och ägs idag av riskkaptialbolaget EQT.

ämne

Schack matt för SPF?

Postat 2004-09-21, kl 01:17 • Ämne: Patent, Skräppost

Bakslaget med arbetet med att hitta en lösning på skräpposteländet kan bli ännu större än vad som tidigare befarats. IETF arbetsgrupp MARID som jobbat med att hitta en gemensam lösning innefattande både Microsofts CallerID och SPF gick på grund efter att Microsoft vägrat släppa sitt licenskrav.

En möjlig väg framåt var att arbeta vidare med enbart SPF och använda det som en grundplåt för en standard som är godtagbar även för anhängarna av öppen källkod. En lösning som naturligtvis inte Microsoft är så förtjust i. Ett problem som verkar ha löst sig är att Microsoft nu har avslöjat vilka patent man anser sig ha på den aktuella tekniken. Något som tyvärr bara gjorde saken ännu värre, då deras patent är så brett skrivet att det möjligen också kan täcka in SPF!

eWeek: "If SPF is encumbered by Microsoft then that means a couple things [...] It could mean they have to ditch everything or [that] Microsoft ends up owning authentication anyway."

Vad Microsoft försöker berätta med att släppa detaljerna just nu är inte så svårt att räkna ut. De visar vart skåpet ska stå. Jag hoppas att IETF inte ger efter. Då fortsätter jag hellre att rensa min inkorg för hand!

Tidigare inlägg

2004-09-16 : IETF nobbar SenderID

ämne

Petition for a Software Patent Free Europe!

Postat 2004-09-19, kl 23:54 • Ämne: EU, Patent

Gör som 357498 andra. Stöd uppropet mot mjukvarupatent i Europa!

"This petition is directed to the European Parliament and to the European Council. Its goal is to warn European Authorities against the dangers of software patents. This petition is supported by the EuroLinux Alliance together with European companies and non-profit associations."

Defend the European Parliament's Directive!

ämne

Virusspridare får jobb på tyskt antivirusföretag

Postat 2004-09-17, kl 23:11 • Ämne: Virus, Arbetsliv

Häromdagen var jag nog inte den enda som fnissade lite åt att upphovsmannen bakom masken MyDoom lagt in en liten blänkare i sin senaste kreation om att han söker jobb i antivirusbranschen. Lycka till. Vem vill anställa en fifflare att kontrollera bokföringen? Eller en inbrottstjuv till att installera ett villalarm? Ingen - trodde jag!

Anställs av Securepoint GmbH

Tyska Securepoint GmbH är av en annan uppfattning. De har nämligen nyligen anställt den 18-årige Sven Jaschan som stod bakom maskarna Sasser och Netsky. Dessa två maskar stod för hela 70% av alla infektioner under årets första 6 månader. Nu ska han alltså arbeta hos Securepoint och utbilda sig på att vidareutveckla deras antivirus- och brandväggsprodukter. Jösses!

ORF: "Sasser"-Autor entwickelt nun Firewalls. Ausbildung zum Programmierer bei Securepoint. Der Autor der Computer-Würmer "Sasser" und "Netsky" entwickelt nun in einem deutschen Computerunternehmen Sicherheitssoftware. Der 18-Jährige macht bei Securepoint in Lüneburg eine Ausbildung zum Programmierer. Er wolle zu der Entwicklung neuer Sicherheitssoftware beitragen, so ein Unternehmenssprecher."

Angiven av skolkamrat

Sven åkte dit när en av hans skolkompisar fick reda på att Microsoft utfäst en belöning på 250000 dollar för uppgifter som kan fälla upphovsmännen bakom MSBlast, Sobig och MyDoom. Han tog kontakt med Microsoft för att höra om möjligen han kunde få samma summa för upphovsmannen bakom Sasser. Väl använda pengar anser jag. Om han nu får några.

Det visade sig att angivaren själv var en skummis. Svens försvar bygger till stor del på att han inte haft något uppsåt orsaka skada eller insett hur mycket elände hans maskar kunde ställa till med. Det låter lite väl genomskinligt med tanke på hur många varianter han släppte lös.

Stern: "29 Varianten schreibt er bis April, die sich immer besser verbreiten sollen. [...] Einmal habe ich fünf Varianten in einer Woche geschrieben", sagt Sven"

150 000 dollar i skadeståndskrav

Sven kan verkligen behöva sitt nya jobb. För 140 målsägare kräver honom på mer än 150000 dollar för skadorna hans program orsakat. När en dansk webbplats för ett tag sedan startade en insamling till förmån för Sven blev det också magert: 97 dollar. Att paja folks datorer är tydligen inget bra sätt att bli älskad...

Virussnickrande - en merit?

En populär konspirationsteori är att antivirusföretagen spelar på båda planhalvorna. Lite som att byns glasmästare skulle betala busfrön för att panga skyltfönster. Skapa problem och sedan ta betalt för att lösa samma problem. Sanningen är nog att de inte behöver besvära sig. Det finns tillräckligt med folk som har för mycket fritid och för lite samvete. Men att anställa någon av dessa individer skickar en dålig signal om att virussnickrande är en merit och ett sätt att få ett spännande jobb.

Förtroendet är grundläggande

Området datorsäkerhet handlar i stor grad om förtroende. Förtroende att utrustningen fungerar exakt så som den utger sig att göra. Att utvecklaren inte gör för mycket fel i sin programvara eller lägger in funktioner som kan öppna bakdörrar. Förtroende för de som administrerar och använder systemen att de inte håller på med något skumt.

De flesta är medvetna om varför de bör ha ett antivirusprogram och en brandvägg på sin dator. Men jag har sett många exempel på folk som inte drar sig en sekund för att använda piratkopior för båda delarna. Utan att ha en tanke om att någon faktiskt kan ha manipulerat programvaran så den inte fungerar som tillverkaren påstår. Som att köpa sitt ytterdörrslås från AB Fiffel&Båg. Eller från Securepoint GmbH.

ämne

IETF nobbar SenderID

Postat 2004-09-16, kl 23:52 • Ämne: Patent, Skräppost

Arbetet med en standard för hur skräpposten ska stoppas i framtiden har fått sig ett ordentligt bakslag.

Internet Engineering Task Force (IETF) har arbetat med ett förslag som heter SenderID. SenderID är en sammanslagning av Sender Policy Framework (SPF), Submitter Optimization och Microsofts CallerID. Grundidén är att mottagaren automatiskt ska kunna kontrollera om ett e-postmeddelandet har skickats från en godkänd server. Om meddelandet inte kommer från en server som har rätt att hantera e-post från den domän som sändaren påstår sig tillhöra, blir det klassat som skräppost. Idag kan den som skickar skräppost ange vilken avsändaradress som helst. Antingen för att dölja sin riktiga identitet eller för att lura en godtrogen mottagare att meddelandet är från t.ex. dennes bank (phishing).

[diagram] SPF beskriver hur man markerar i DNS vilka servrar som är betrodda att hantera domänens e-post. CallerID beskriver också en metod för att slå upp avsändaren och klassificera meddelandet.

Stötestenen är att Microsoft säger sig ha patent på delar av den teknik som de bidragit med till SenderID. Exakt vad de har patent på är inte klart då Microsoft inte vill berätta vilka patent det handlar om! Så för att få använda SenderID kräver Microsoft att var och en som implementerar standarden tecknar en licens direkt med Microsoft om att få använda deras patent. Detta ska vara gratis och tillgängligt för alla så länge man inte ligger i rättstvist med Microsoft. Men någon bindande utfästelse om att licensen ska vara gratis för evigt verkar man inte vilja ge.

Denna typ av licenskrav är oförenligt med flera av de licensmodeller som används för öppen källkod. Till exempel den mest populära - GPL. För det är inte bara den som implementerar SenderID första gången som måste teckna licensavtal med Microsoft. Den som sedan laddar hem och använder koden måste i sin tur också göra göra det. Man får inte heller göra tillägg eller förbättringar av standarden utan att först prata med Microsoft.

Mycket av jobbet för IETF har på senare tid gått ut på att få Microsoft att i handling visa att man faktiskt är så engagerad i kampen mot skräppost som man påstår. Frågan om att släppa på patent och licenskrav lär ha gått ända upp till Bill Gates själv, som gett det kalla handen. E-post är en av Internets mest grundläggande funktioner. Det skulle vara mycket olyckligt om någon kom att ”äga” standarden som ligger till grund för den infrastrukturen. IETF har därför gjort det enda möjliga – att försöka klara sig utan Microsofts bidrag.

Microsoft har tidigare deklarerat att de kommer att börja använda SenderID under hösten för Microsoft, MSN och Hotmail. Risken är att vi plötsligt står med inkompatibla metoder och ingen standard alls. Tack Bill.

Tyvärr är det en fingervisning om att Microsofts nya image som ett mänskligare företag som inte i varje litet avseende strävar efter maximal vinst och monopolfördelar inte håller när den väl sätts på prov. Här hade man möjligheten att visa att man var villig att släppa till sin teknik för att både hjälpa sig själva (som ägare av t.ex. Hotmail) och alla andra istället för att se till snöd vinning och inflytande. Enbart goodwill-fördelarna med att ha räddat nätet ur spammarnas klor skulle fått många att hoppa högt. Men kanske blev frestelsen att få en särställning i förhållande till en av Internets mest använda standarder helt enkelt för stor. Eller beror det kanske på något annat?

En pikant detalj jag stötte på medan jag googlade för att lära mig mer om CallerID är att ett företag som heter FailSafe Designs påstår att CallerID inte ens är Microsofts uppfinning, utan att det helt enkelt är ett plagiat.

Det är nog lika bra att SenderID gick i retur till avsändaren!

Microsoft har fixat en bugg i GDI+ hantering av JPEG (Gdiplus.dll). Det handlar om ännu en buffertöverskridning som gör att en speciellt preparerad JPEG kan leverera kod som körs på betraktarens dator.

Felet ligger i hanteringen av kommentarsfält i en JPEG som inleds med en räknare som anger hur långt fältet är. Genom att manipulera denna räknare och ljuga om längden på kommentarstexten får man koden att försöka kopiera för mycket data. Det verkar dock inte som om någon har lyckats dra nytta av säkerhetshålet ännu. Uppdatering finns att hämta från Windows Update.

ämne

Ny Kerio med stöd för XPs Säkerhetscenter

Postat 2004-09-14, kl 21:58 • Ämne: Brandvägg

Kerio Technologies har nu släppt v4.1.0 av sin Kerio Personal Firewall som korrekt identifieras av XPSP2.

Kerios brandvägg är gratis för hemanvändare och har flera praktiska funktioner som en mera tekniskt avancerad användare saknar i Windows XPs inbyggda brandvägg. Till exempel blockerar den även utgående anrop per process och har en funktion för att blockera ett program från att starta ett annat. Det finns också en betalversion som aktiverar funktioner för reklamblockering och remote administration.

Kerio v4.1.0 kan man ladda ner här: Kerio Personal Firewall v4.1.0 download

ämne

Övernitiska McAfee en räddare i onödan

Postat 2004-09-14, kl 10:11 • Ämne: Spyware

Mark Griffiths från Australien har fått känna på hur det kan gå när ett antivirusprogram av misstag börjar flagga ens produkt som ett säkerhetshot.

Mark säljer ett program som heter ISPWizard som används för att enkelt konfigurera uppringd Internet-access. Programmet används av ISPer i 20 länder och när McAfee i början av denna månaden släppte en uppdatering av virusdefinitionerna gick något snett. Deras antivirusprogram började att felaktigt identifiera ISPWizard som ”BackDoor-AKZ Trojan horse”. Det som gjorde saken ännu värre var att McAfee automatiskt raderade programmet och därmed stod användaren utan internetuppkoppling. Nu överväger Mark att stämma McAfee.

ZDNet: "[Mark] Griffiths estimated a loss in revenue of at least 50 percent for this month because the program was labeled a Trojan. He added that one of his customers lost $3,000 after the provider's customers shifted to another ISP as a result of the McAfee difficulties."

McAfees lösning på hur sådana misstag ska kunna undvikas i framtiden är att alla skickar in ett exemplar av sin applikation så McAfee kan lägga in den i sin testdatabas. Givetvis kom detta urbota korkade förslaget från inte från någon tekniker utan från företagets försäljningschef för Asienområdet.

Svårigheterna med den lösningen är inte så svår att inse om man gör tankeexperimentet att alla utvecklare skulle skicka in en kopia av alla sina applikationer till alla antivirustillverkare. Även om man nu dessutom bortser från det lilla faktumet att programvara faktiskt kan vara något konfidentiellt som man inte bara ger bort en kopia av sådär hur som helst.

Tack och lov uppstår nu inte dessa problem speciellt ofta. Men allt eftersom vanliga användare skaffar sig fler och fler program för att skydda sig ökar risken att ens program inte fungerar riktigt som man tänkt sig. Det kan vara allt från den enkla popup-blockeraren till en spyware-scanner som tycker att ens program ser lite skumt ut.

ämne

Serv-U FTP enkel att krascha

Postat 2004-09-13, kl 13:14 • Ämne: Säkerhet

Secunia varnar för att en användare enkelt kan krascha CatSoft / Rhinosoft Serv-U FTP server.

Patrick Thomassen har upptäckt att parametrar till kommandot STOU (store a file uniquely)inte kontrolleras ordentligt, utan användaren kan krascha servern genom att skicka med ett ogiltigt filnamn som anger en enhetsbeteckning.

Secunia: This can be exploited to crash the service by passing a reserved DOS device name as argument. Examples:
STOU COM1
STOU LPT1
STOU PRN
STOU AUX

Serv-U är ett smidig serverprogram som enkelt kan fjärrstyras och administreras över nätet. Fram till i vintras använde jag Serv-U till min egen FTP-server. Men i februari i år upptäcktes ett par otrevliga säkerhetshål ("MDTM" och "SITE CHMOD"). Då handlade det om att en användare med skrivrättigheter enkelt kunde ta kontroll över hela maskinen och köra kod med samma rättigheter som SYSTEM. Dessa brister finns i alla versioner upp till v5.0.0.4. Men nu är kanske inte min personliga FTP är så intressant.

Mera intressant är att Serv-U används av t.ex Svenska kommuner.

ämne

Adobe Acrobat Control for ActiveX

Postat 2004-09-10, kl 06:38 • Ämne: Säkerhet, Adobe

Webbplatsen iDEFENCE publicerade för ett tag sedan detaljer om ett säkerhetshål i den insticksmodul (plugin) som gör att man kan läsa PDF i sin webbläsare. När man installerar Adobe Acrobat eller Adobe Acrobat Reader medföljer en ActiveX-komponent (Adobe Acrobat Control for ActiveX) som gör att man kan öppna ett PDF-dokument direkt i Internet Explorer. Denna insticksmodul har en bugg i hantering av den buffert som lagrar det hämtade dokumentets URI.

Adobe försökte lägga locket på

Enligt iDEFENCE hittades detta säkerhetshål av Rafel Ivgi redan i April och rapporterades då till Adobe. Adobe har sedan valt att inte gå ut med information. I stället för att samarbeta med den som rapporterade felet har man försökt att fixa problemet och lägga locket på. Därför är det fortfarande oklart exakt vilka versioner som är sårbara. Adobe säger att v6.0.2 skall vara åtgärdad. Andra säger att de ersatt problemet med ett nytt: att Acrobat kraschar. Det är alltså lika bra att stänga av denna funktionen för att vara på den säkra sidan.

Beskrivning

Angriparen konstruerar en länk som utnyttjar att webbservrar som t.ex. IIS kastar bort resten av strängen om den träffar på värdet noll i adressen. Noll används ofta i C/C++ för att indikera strängslut (zero terminated string). En länk kan se ut så här:

http: //[host]/[directory]/[existing_pdf].pdf%00[long_string] Where [long_string] is a malicious crafted long string containing acceptable URI characters.

Webbservern använder bara den delen som kommer före nollan för att leta upp rätt fil, men hela strängen skickas vidare till Adobes insticksmodul. Det gör att angriparen kan skriva över bufferten och skicka med valfri kod att köra på besökarens dator. Koden körs då med samma behörighet som den inloggade användaren. Det behövs ingen speciellt konstruerad PDF eller att angriparen tar kontroll över en server. Det kan vara vilken PDF som helst som lagras på en dator som kör rätt typ av webbserver.

iDEFENCE: "An attacker does not need to establish a malicious web site as exploitation can occur by adding malicious content to the end of any embedded link and referencing any Microsoft IIS or Netscape Enterprise web server. Clicking on a direct malicious link is also not required as it may be embedded within an IMAGE tag, an IFRAME or an auto-loading script."

Tricket fungerar alltså utan hjälp från användaren genom att man laddar en PDF i en frame eller som en refererad fil. Den stora begränsningen är att en URI inte kan innehålla vilka tecken som helst. Så koden som skickas över måste vara noggrant konstruerad. URI beskrivs i RFC 2396 (Uniform Resource Identifiers (URI): Generic Syntax).

Lösning

iDEFENCE rekommenderar att man stänger av visning av PDF i webbläsaren. [Inställningar]

  1. Starta Adobe Acrobat / Adobe Acrobat Reader
  2. Välj Redigera->Inställningar
  3. Klicka ur "Visa PDF i webbläsare"
  4. Klicka OK

Detta problemet bör inte påverka Firefox-användare. Problemet ligger i Adobes komponent PDF.OCX. Firefox använder inte ActiveX utan visar istället PDF med en utökning som heter Acrobat Exchange.

ämne

Service Pack 2 för Svenska Windows XP släppt

Postat 2004-09-06, kl 23:33 • Ämne: Säkerhet, Windows

Svensk version av Windows XP Service Pack 2 på finns nu tillgänglig för manuell nedladdning från Microsoft download center. Enligt IDG kommer den att läggas ut den 14/9 på Windows Update för distribution till dem som aktiverat automatiska uppdateringar.

Windows XP Service Pack 2 Network Installation Package [258Mb]

Uppdateringen fixar hela 800 buggar och gör en omfattande revision av den grundläggande säkerheten i Windows XP.

ämne

Quake2.NET

Postat 2004-09-02, kl 20:34 • Ämne: C++, .NET, Skoj

Vertigo Software översatte förra året ID Softwares gamla klassiker Quake2 till Microsoft Visual C++ .NET. I en artikel på The Code Project skriver Ralph Arvesen om hur portningen gick till och varför man gjorde det.

Ralph Arvesen: "We did this to illustrate a point: one can easily port a large amount of C code to C++, and then run the whole application as a managed .NET application using the Microsoft Common Language Runtime (CLR) without noticeable performance delays. [...] Porting the C code to native C++ took about 4 days, and porting to managed C++ took another day."

[Quake2.NET Screenshot]Channel9 har gjort en video där Scott Currie som är Program manager för Visual C++ teamet visar Quake2.NET på sin laptop. Angående prestandan för Quake2 kompilerad med managed C++ säger Scott att på en P4 får man räkna med 10-15% prestandaförlust gentemot originalet. Men på en P3 är den ungefär lika snabb, och på Intel Centrino går den faktiskt 5%-10% snabbare eftersom koden JIT-optimeras för precis den hårdvara man har i datorn.

d Quake2 är att det skrevs när .NET inte ens var påtänkt och är mycket prestandakrävande. Det är alltså ett sätt att visa att det är görbart att föra över gamla beräkningsintensiva program skrivna i C till .NET. Scott berättar att de internt på Microsoft även kompilerat om till exempel Word med managed extensions. Det ska bli spännande att se vart det tar vägen.

ID Software släppte 2001 källkoden till Quake2 under GPL. Datafilerna är dock fortfarande copyright, men tillgängliga från ID Software och speglat på bland annat Sunet. Man behöver alltså ladda hem både Quake2.NET från Vertigo Software och Quake2 demo, samt kopiera filen med data från demot till .NET installationen. Det fungerar utmärkt och är fortfarande riktigt häftigt att spela!

ämne

Kodgranskning hittar säkerhetsbrister i WinZip

Postat 2004-09-02, kl 12:39 • Ämne: Säkerhet

Secunia skriver om att WinZip Computing hittat flera säkerhetshål i äldre versioner av WinZip.

Informationen är mycket vag och berättar bara att WinZip är sårbart för buffertöverskridningsattacker. Det verkar dock inte vara frågan om säkerhetshål som aktivt utnyttjas utan helt enkelt fel som företaget självt hittat i sin kodgranskning. I samma rapport nämns också att hanteringen av argument till programmet är bristfällig. Det måste dock ses som ett mindre problem.

Secunia: "Some unspecified vulnerabilities which can be exploited to cause buffer overflows. Successful exploitation can potentially lead to execution of arbitrary code."

WZC: "In the course of its internal review and testing, WinZip Computing also identified and addressed some specific cases where security vulnerabilities, including potential buffer overflows, existed in previous versions of WinZip. As of the release of WinZip 9.0 SR-1, WinZip Computing was not aware that any of these vulnerabilities had been publicly described or exploited."

Lösning

Alla versioner utom den senaste, version 9.0 SR 1 är sårbara och WinZip Computing uppmanar alla att uppgradera till senaste version. Uppgraderingen är gratis.

ämne

Säkerhetsuppdateringar till .NET Framework

Postat 2004-09-01, kl 02:44 • Ämne: Säkerhet, .NET

Microsoft har släppt tre olika service packs för .NET Framework. De är tänkta att följa upp de säkerhetsförbättringar som introducerats på Windows XP med SP2, och därmed får även användare som kör andra versioner av Windows nytta av Microsofts nya inriktning. Svenska versioner finns också tillgängliga för nedladdning.

Beskrivning av v1.1 SP1: "The primary focus of Microsoft .NET Framework 1.1 Service Pack 1 (SP1) is improved security. In addition, the service pack includes roll-ups of all reported customer issues found after the release of the Microsoft .NET Framework 1.1. Of particular note, SP1 provides better support for consuming WSDL documents, Data Execution prevention and protection from security issues such as buffer overruns."

.NET Framework 1.0

Microsoft .NET Framework 1.0 Service Pack 3

.NET Framework 1.1

Microsoft .NET Framework 1.1 Service Pack 1
Microsoft .NET Framework 1.1 Service Pack 1 for Windows Server 2003

Teknikblogg

Detta är en blogg som handlar om datorteknik, programvara, systemutveckling, säkerhet, vetenskap och annat diverse skoj som råkar intressera för tillfället.

Jag är obotligt nyfiken och skriver bland annat om nyheter, lärdomar, teknikskvaller, analyser och praktiska tips.

sidfot