Ook Morpheus blijkt niet veilig te zijn

Het zit de filesharingprogramma's ook niet mee. Nadat de meest geliefde programma's onder juridische druk de boel hebben gesloten of aan het sluiten zijn, heeft de nieuwe most-popular-kid-in-town ook al ergens last van. Dit keer niet van advocaten, geldeisende platenmaatschappijen of boze muziekgroepen, maar van een serieus beveiligingslek. In plaats van gelimiteerde filesharing wordt de mogelijkheid tot ongewenste volledige disksharing geboden. Beveiligingsexperts konden met behulp van het filesharingprogramma Morpheus ieder bestand van een willekeurige user kopiëren, terwijl dit bestand niet geshared was. Het is nog niet duidelijk of dit een specifiek probleem is dat voor een enkele Morpheus user geldt, maar volgens de onderstaande quote is in principe is iedere computer waarbij Morpheus online staat, weerloos:

"We're not sure what it is that makes some Morpheus members vulnerable to this," said one, who asked to remain anonymous. Potentially this could make every user's computer available to anyone who wants to have a look at it."

"All we know is that there's a major gap that's allowing certain users to become vulnerable.It's definitely an accident from Morpheus' side. This is very dangerous," said the group.

Harkelaar kwam met de link voor dit artikel, Thank You!

Lees meer

Reacties (75)

DJ^ 4 februari 2002 11:00

Ik heb helemaal geen bestanden geshared, lost dit het probleem ook niet op?

Verwijderd @DJ^ • 4 februari 2002 12:16

Gatver, weeral zo'n leecher. Iedereen zit maar te klagen dat ze zo weinig upstream hebben (jah, ook de luitjes met 128kbit). Dat ik maar 64kbit upstream heb en ook gewoon 1500 files geshared heb staan vind ik zelf niet meer dan logisch. Je geeft wat en je neemt wat toch?
Maar nee, goh het wordt zo langzaam (heb je lekker last van als ie gewoon aanstaat terwijl je weg bent), of nog minder specifiek : "het is zo lastig"

Als ik om me heen kijk ken ik bijna niemand die wel files shared. GEK DAT JE NIKS MEER KAN VINDEN!

SvMp @Verwijderd • 4 februari 2002 15:08

Het gaat niet om upstream maar om je downstream!

COM21-modems bv hebben de nare gewoonte je hele downstream ernstig te knijpen zodra de upstream wordt gebruikt. Hierdoor ben ik als ik zelf aan het leechen ben terughoudend in sharen. Want zelfs als iemand met 10 kb/s van mijn 16 kb/s upstream download, is de downstream ook niet meer dan 10 kb/sec.
Ik los dit op door 's nachts de boel aan te laten en dan alles sharen, zodat anderen er wel wat aan hebben.

Met mxStream ligt het anders: Je hebt wel veel minder upstream, maar je upstream slibt je downstream niet dicht.

Verwijderd @SvMp • 4 februari 2002 19:23

Helaas slipt de downstream ook bij Mxstream wel degelijk dicht, die A van Asynchronous staat er niet voor niks in ADSL

Verwijderd @SvMp • 4 februari 2002 20:31

/nog meer onzin

(nu van 2wicejr)

ADSL werkt dmv FDM (frequency division multiplex).
Dit zit in jouw model in de onderste laag!

Heel veel langs elkaar gelegen frequenties boven de 3khz (daaronder is voor de analoge telefoon (bij ISDN heb je een nog hogere off-set frequentie) maken het mogelijk om meerdere bits tegelijkertijd van A naar B te verzenden.

Deze physical layer zorgt ervoor dat bij B alles weer wordt samen gebreid.

Bij SHDSL is het aantal frequenties voor up en down gelijk (synchroon). Bij ADSL is dit dus Asynchroon.

Wat jij bedoelt is volgens mij het principe van sliding windows. Hierbij heeft TCP een mechanisme waarbij meerdere gestuurde pakketjes door 1 pakketje ge-Acknowledged (

) worden.

En zolang het niet fout gaat wordt het aantal pakketjes wat telkens tegelijkertijd verstuurd word opgevoerd.

Verwijderd @SvMp • 4 februari 2002 19:22

/onzin, het is puur het model van tcp/ip wat je downstream dichtknijpt.
ACK packets om precies te zijn zijn de rede.

pica @Verwijderd • 4 februari 2002 13:20

En sommigen hebben een dattalimiet, zoals ik.
Ik mag 10 giabyte op en down per 2 maanden gebruiken

, met 100kB/s down en 20 up...

Nogal logisch dat ik niks ga sharen, anders zit ik na 3 dagen al over mijn datalimiet heen

Kjev @Verwijderd • 4 februari 2002 12:36

Dat is dus niet helemaal waar het om gaat

. Er is niets mis met een paar bestanden sharen, alleen lijkt het me niet de bedoeling je hele harddisk open te hebben..

Verwijderd @Kjev • 4 februari 2002 12:43

Ik reageer dus op DJ^, die zegt

Ik heb helemaal geen bestanden geshared

. Dus wel downloaden maar niet sharen. Dat heet leechen, is niet verboden maar wel erg onsociaal. Ik weet dat het een tikje offtopic is maar wel een issue, imho.

Verwijderd @Kjev • 4 februari 2002 13:01

Ik ben het er ook niet mee eens, het leechen, maar sommige mensen hebben ook zoiets als een datalimiet.
Als dan je hele HD wordt leegetrokken omdat je zoveel MP3'z met een snelle verbinding heb, kan jij er zelf voor gaan betalen, da's wel een beetje jammer....

Niels_0 @Kjev • 4 februari 2002 13:12

je kan bij morpheus gewoon een maximum snelheid en maximum aantal verbindingen instellen waarmee users jouw bestanden mogen uploaden.

Verwijderd @Verwijderd • 4 februari 2002 13:49

Leechers tegenhouden heb je zelf ook in de hand,

Neem LimeWire. bij de laatste versie ie het mogelijk om je file's te sharen aan mensen die minimaal een .... aantal files hebben gedeelt, zo kunnen er alleen mensen d/l die ook files hebben staan.

Verwijderd @Verwijderd • 4 februari 2002 14:30

Kewl, da's wel een interesante feature voor de volgende Morpheus-update. Ik snap best dat niet iedereen ongelimiteerd files aan kan bieden, maar ik zie mensen die UREN-lang aan het downen zijn van mijn computer (jawel, hele films) maar zelf geen files aanbieden. *schop*, dat moge duidelijk zijn

yiNXs @DJ^ • 4 februari 2002 11:55

Ja zeg.. als iedereen dit nou eens ging doen!

Zegt de term fileSHARING je dan zo weinig?

Deze bug moet gewoon gefixed worden door de makers van Morpheus, even geduld dus.

Verwijderd @yiNXs • 4 februari 2002 12:54

nou dat je helemaal nix shared vindt ik nog niet zo erg. Dan geeft Morpheus tenminste aan dat je de file niet hebt.
Als mensen wel wat sharen en daarna zeggen dat jij niet mag downloaden das pas irritant

Beaves @DJ^ • 4 februari 2002 11:06

Ligt eraan hoe de bug precies in elkaar zit, als het alleen mogelijk is als je iets geshared hebt. zit je dus veilig. Maar ik denk dat het waarschijnlijker is dat de exploit ook mogelijk is ook al heb je niets geshared. Want ook al share je niets, je bent toch bekend omdat je bent ingelogd op het netwerk.

Onderstaande quote doet mij dit vermoeden:

Beveiligingsexperts konden met behulp van het filesharingprogramma Morpheus elk bestand van een willekeurige user kopiëren, terwijl dit bestand niet geshared was.

RobT @Beaves • 4 februari 2002 16:01

Ik zag het volgende van het weekend al op slashdot:
http://slashdot.org/articles/02/02/03/025221.shtml

I've never actually seen Morpheus, but apparently a lot of readers have! There really isn't a lot of information except that if you're running Morpheus, you might as well consider your hard drive world readable

en:

Since the exploit needs the person to be downloading a file to get in, you can protect yourself by turning off downloads. Do this by going into Tools->options->Traffic and click on Disable sharing of files. This will protect you.

En dan wordt het hele filesharing dus mooi teniet gedaan....

* 786562 RobT

Verwijderd @RobT • 5 februari 2002 11:42

Bedankt voor het vermelden aan tweakers.net dan vorige week?

Scalle-- @Beaves • 4 februari 2002 15:39

doet mij eerder denken dat het enkel bij users is die sharen omdat ze zeggen DIT bestand niet geshared

is te hopen dat ze maar snel met een update komen...

Verwijderd @DJ^ • 4 februari 2002 15:39

Dit is een ander probleem, dat ook wel freeriding genoemd wordt.

Verwijderd @DJ^ • 4 februari 2002 19:32

Wat mij betreft mogen ze wel inbouwen dat je niet meer dan 300% mag downloaden per maand dan dat je zelf shared.
Dan is het gauw afgelopen met die zielige leechers. (en met de slechte muziek

)

Verwijderd 4 februari 2002 12:20

Installeer gewoon refosearch. Die maakt gebruik van hetzelfde netwerk, maar dan zonder reclame en andere shit.

Ook hogere bitrate MP3's zijn toegestaan.
http://www.mirrorman.nl

Arthur @Verwijderd • 4 februari 2002 13:06

Refosearch is gewoon een hack van Morpheus (zelfs de Morpheus naam en logo's zijn niet overal weggehaald). Als Morpheus dus zo'n lek zou hebben; heeft *ahem* "Refosearch" (lees: Morpheus zonder bitratebeperking dmv registry hack, en weggehaalde advertenties door de adressen van de MusicCity adservers te veranderen in iets anders) er dus net zo veel last van als Morpheus en zijn ook gebruikers daarvan kwetsbaar.

* 786562 ArthurS

PipoDeClown @Verwijderd • 4 februari 2002 13:04

Refosearch refosearch, maar je hebt niet gecontroleerd dat die link die je geeft dood is of heeel erg traag is.

En verder doet het bericht me denken aan hoax virusmeldingen die alleen maar paniek zaaien.

Verwijderd @PipoDeClown • 4 februari 2002 14:48

Mirrortje

Verwijderd @Verwijderd • 4 februari 2002 13:11

idd RefoSearch, of natuurlijk Grokster:

http://www.grokster.com

welke ook van het FastTrack network gebruik maakt.

Verwijderd @Verwijderd • 4 februari 2002 12:44

Werkt dat nog wel?
Ik heb het er laatst opgezet maar kon geen nieuwe gebruiker maken? Of lag dat aan mij?

Tacoos @Verwijderd • 4 februari 2002 13:14

offtopic:
Ik had laatst ook moeilijkheden om er op te komen.
Nadat ik morpheus had geinstalleerd, werkte refo ook weer...?

Anyway, het is al gezegd, maar als morpheus er last van heeft, zal refo het ook wel hebben.

Kjev @Verwijderd • 4 februari 2002 12:38

Refosearch? Nog nooit van gehoord. Ik moet toegeven dat die naam me enigszins christelijk in de oren klinkt

Jelle Niemantsverdriet 4 februari 2002 11:20

Ook op Slashdot staat er iets over, in de reacties komt men tot de conclusie dat dit eigenlijk helemaal geen bug is. Je kunt alleen via je browser de lijst met 'shared files' van een gebruiker bekijken, maar het lijkt er niet op dat je ook files die niet geshared zijn kunt benaderen.

Hier schijnt een beschrijving van de 'hack' te staan, komt er op neer dat als je xxx.xxx.xxx.xxx:1214 (waarbij xxx dus een IP-adres is

)in je browser intypt, je de lijst met gedeelde bestanden te zien krijgt.

sdomburg @Jelle Niemantsverdriet • 4 februari 2002 15:14

Wat er beschreven staat op jouw link werkt wel, maar toch krijg ik alleen de bestanden die degene shared te zien... wel interresant dat dit kan, though.

Jelle Niemantsverdriet @sdomburg • 4 februari 2002 16:15

maar toch krijg ik alleen de bestanden die degene shared te zien

Ja precies, dat zei ik ook. Daarom is het ook niet echt een bug te noemen IMHO.

Verwijderd @Jelle Niemantsverdriet • 4 februari 2002 11:24

Doh.. leuke webserver in Morpheus... kijken of ik ook leuk web applications er in kan bouwen

mrEarthling @Jelle Niemantsverdriet • 4 februari 2002 17:18

Maar dit was toch allang bekend

Zo ben ik begonnen met downloaden via kazaa! Toen je nog op de site kon zoeken naar een bestand. Als je een snelle user had snel de snelkoppeling kopieren dus xxx.xxx.xxx.xxx:1214. En je kon de rest ook downloaden

Noujaah wat ie hhad geshared dan

StGermain @mrEarthling • 5 februari 2002 10:59

Net eens geprobeerd op het interne netwerk hier... op 1 pc morpheus en vanaf een andere pc met IE6 zowel een http als een ftp sessie geprobeerd naar het ip van de pc waar morpheus op draaide en port 1214... guess what? NIKS... deze bug zit blijkbaar dan toch niet in alle versies??? Of is het nu enkel met kazaa hoewel de topic van deze newsposting over morpheus gaat?

Eastman @Jelle Niemantsverdriet • 4 februari 2002 19:16

Dat was al heel erg lang bekend.....

Het is vooral te gebruiken in combinatie met kazaa omdat je met kazaa niet op user kan zoeken.... toen iig niet, nu weet ik het niet omdat ik het al een tijdje niet meer gebruik.....

Je krijgt overgens alleen de files tezien die geshared zijn.....

Boss

4 februari 2002 11:01

Het zou me niets verbazen als dit de volgende poging is van de industrie om dit soort diensten te stoppen. Wat voor nut hebben de 'ontdekkers' er anders bij om anoniem te blijven? Zoiets wordt ook al gesuggereerd in de laatste regel van het artikel.

Sorry, maar ik blijf voorlopig gewoon door sharen.

Verwijderd @Boss • 4 februari 2002 11:08

Idd

De meeste mensen die site's hacken, maken zich bekend (onder een pseudoniem) om te laten zien wie het gedaan heeft. Dus om een soort faam te werven.

Door anoniem te blijven, roep je wel een soort verdenking over je...

Het zou me niets verbazen als strax blijkt dat het iemand is zoals medwerker@riaa.com

Verwijderd 4 februari 2002 11:03

Ik had dit artikel gisteren al gelezen & 't viel me op, hoe vaag 't wel niet was. Er wordt nou niet bepaald goed uit de doeken gedaan, hoe deze lek ontstaat.

Ik ben ben benieuwd hoe snel de makers van Morpheus hierop inspelen.

Macros 4 februari 2002 11:05

Het artikel is heel vaag en onprofesioneel. Op www.ars-technica.com stond een paar dagen terug al een stukje erover.
Ze vonden dat het allemaal onzin was enzo. Lees hier erover.

JivZ 4 februari 2002 11:25

Het artikel zegt ook niet expliciet dat je hele harde schijf open staat. En inderdaad zijn alle bestanden onder je gesharede morpheus/kazaa/whatever directory zichtbaar. Er vindt geen filtering plaats op file-extensie. Maar dat is ook de gewenste functionaliteit en geen bug (Kazaa en consorten zijn file-sharing ipv mp3-sharing programmas). Een hoop herrie om niets dus...

Verwijderd @JivZ • 4 februari 2002 11:35

Net ff wat onderzoek gedaan. Ik kan geen manier vinden om uit de geshared directories the breken. Heb zo'n beetje alle bekende webserver exploits geprobeert en het KaZaA protocol snapt er geen ruk van. Alleen de bestanden die door de client zijn geindexed worden weer gegeven in een single level lijst, ook al zitten ze in 100 verschillende directories, de webserver zegt dat ze allemaal in dezelfde directorie zitten. Je kan dus niet buiten de gesharede directories komen.

Vorlon @JivZ • 4 februari 2002 11:43

Ja, tot die conclusie was ik ook al gekomen. Je kan dus met een webbrowser bekijken wat iemand allemaal shared.... wow, dat kan ik met morpheus zelf ook wel... Zou natuurlijk wel kunnen dat er in die webserverconstructie ergens een exploitable bug zit...

Is trouwens ook wel een ideale manier om morpheus verkeer te blocken. Gewoon poortje 1214 dicht en klaar.

Verwijderd 4 februari 2002 14:36

Ik had eigenlijk al het idee dat via via met Refosearch/Kazaa/Morpheus je hele hd beschikbaar was... zo heb ik eens gehad dat iemand een nummer van 10MB ging downloaden, maar toen hij die 10MB binnen had hield het niet op! Het balkje ging gewoon door: 20, 30, 40MB terwijl dat nummer toch echt maar 10MB was (en ook niet een file die ik zelf nog aan het downen was ofzo). Volgens m'n firewall werd er ook echt meer dan 10MB data verzonden. Ik heb die user toen gevraagd wat hij allemaal aan het downen was, maar geen antwoord. Bovendien kon ik met geen mogelijkheid de transfer cancellen! Zodra ik 'm cancelde ging hij na een seconde vrolijk weer door! Ook als ik refosearch afsloot (echt afsloot, dus ook rechtsonder naast de klok weg) en na een half uurtje weer aanzette kwam hij binnen een minuutje weer en ging hij verder met downen...

Het beviel mij dus niet zo dat iemand die geen antwoord gaf op vragen tientallen MB's van onbekende data zat te downen wat ik niet kon stoppen. Ik heb Refosearch dus gewoon maar ff afgesloten en twee dagen later heb ik 'm niet meer gezien. Misschien had het ook geholpen om even een andere username te registreren, dat weet ik niet... als hij echter m'n ip had en daarmee mij telkens opzocht dan had dat ook geen zin gehad.

Of dit ook die bug was of misschien gewoon een klein interface foutje weet ik niet... maar nu ik dit echter lees heb ik het idee dat ik er al mee te maken heb gehad. Het is ongeveer 2 weken geleden gebeurt, dus dat lijkt me een vrij aannemelijke tijd geleden voordat ze doorhebben en publiceren dat er een beveiligingslek is.

Verwijderd @Verwijderd • 4 februari 2002 14:44

Zat je achter een proxyserver zeker?
Ik had hier hetzelfde, toen de proxyserver nog stond. Daar lopen KaZaA/Grokster/Morpheus/RefoSearch zich behoorlijk op te pletter (qua statistieken dan)...

Verwijderd @Verwijderd • 4 februari 2002 16:12

Ja inderdaad, typisch een geval van een proxyserver fout. Heb het zelf ook een aantal keer gehad bij het downloaden van een file. De teller loopt gewoon door en de file is vaak onbruikbaar.
Denk niet dat er kwade bedoelingen achter zaten. Het feit dat hij na een paar seconden weer verder ging duid er gewoon op dat de andere persoon hem had ingesteld om meteen weer te gaan searchen en aangezien hij dan weer bij jou uitkomt gaat hij vrolijk verder. Had waarschijnlijk gewoon zijn computer constant aan en reageerde daarom ook niet op je posts. Niets ernstigs lijkt me.

Verwijderd 4 februari 2002 11:08

Nu mag je volgens amerikaanse wetten ook eigenlijk niet meer exact bekendmaken hoe het lek in elkaar zit.

Verwijderd @Verwijderd • 4 februari 2002 11:19

Alleen als je in USA woont of wilt de komende 5 jaar. Je moet het gewoon niet bupliceren voor USA.

Warning: this text is only for non-USA citizens

Verwijderd 4 februari 2002 12:12

Gelukkig had ik hier al maanden geleden aan gedacht....

Sharing uitzetten, en je Firewall Zo instellen dat MOrpheus niet als SERVER mag opereren...

Was mij allng opgevallen zelfs met sharing uit, dat mijn Firewall regelmatig nog meldingen gaf met Morpheus, ondanks file sharing uit was....

Firewall mensen.... Firewall...

Swinnio @Verwijderd • 4 februari 2002 15:29

Sharing uitzetten, en je Firewall Zo instellen dat MOrpheus niet als SERVER mag opereren...

Ja, en als iedereen dat dan doet, valt er binnenkort niks meer te downloaden

Typisch weer zo'n geval van nemen, nemen, nemen en niets geven.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (75)

Sorteer op:

Weergave: