Verdachte datapakketten op het web houden experts bezig

Netwerkexperts staan sinds mei dit jaar voor een raadsel door de onderschepping van verdachte datapakketten op het internet, zo meldt de BBC. De pakketten hebben een vrij grote window size van 55.808 bytes, en komen vermoedelijk af van een nieuw type programma dat netwerken kan aftasten op zwakke plekken. Gedacht wordt aan een trojan-achtig programma dat de pakketjes uitzendt als onderdeel van een soort distributed scanning mechanisme. Volgens de experts is er echter nog geen reden tot paniek. Het programma dat deze pakketjes verzendt is niet geheel bug-vrij, waardoor het nog niet optimaal werkt. Pogingen om de exacte oorsprong te achterhalen zijn tot nu toe onsuccesvol geweest:

ISS believes the packets are being formed by a scanning tool called "Stumbler". However, other security firms dispute this explanation. Experts say the scanning tool is little threat because its poor design prevents it quickly sharing and acting on any information it finds. However, some security experts believe that the badly formed packets are evidence of a new type of scanner that could slip past existing detection systems and be used to knock sites offline by swamping them with bogus data. Security experts are continuing to monitor the activities of the strange data packets.

Lees meer

Nieuwste IT Banen

Deel je skills voor jouw droombaan Meld je aan!

IT trainingen bij Computrain

Reacties (46)

TWBMS
26 juni 2003 00:52

bedoelen ze dit soms ?

+2Flipz
@TWBMS • 26 juni 2003 11:14

Er staat wel heel veel tegenstrijdigheden op die symantecsite heb ik het idee.

f this is the case, the Trojan attempts to connect to a fixed IP address (probably a machine that the author of the Trojan controls) on port 22/tcp (the SSH port). If the connection succeeds, Trojan.Linux.Typot deletes the file, "/tmp/.../a," and exits. The deleted file may be the Trojan executable itself.

Zo gezegd is deze trojan dus een ssh virus geen linux virus.

Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack.

Hieruit maak ik op dat het meerdere services kan aanvallen. Dat kan alleen als er een beveiliginslek in die services zit, iets wat nooit gebeurt als je je systeem up-to-date houdt. En daar heb je "apt-get update" voor bijvoorbeeld. Het aantal geinvecteerde PC's wereldwijd is bovendien 49. Dat is heel weinig.

Ik heb het idee dat het een beetje een FUD verhaaltje is, dat de wereld is in gestuurd en is aangedikt door een bedrijf uit redmond. Ze zijn er tot toe in staat.

Dat deze onzin het nieuws haalt vind ik raar, dat het het nieuws haalt op T.Net niet anders. Er zijn miljoenen virussen, waarvan tientallen een besmettingshaard kennen van vele duizenden PC's. Dat is geen nieuws, maar algemeen bekend! Waarom is zo'n piepklein virusje wel nieuws? Dat is kolder. Er staat ook nergens waarom dit nieuws is.

Er zijn miljoenen virussen die verder verspreidt zijn. Okee, dat zijn windows-virussen, maar om nu elk virus dat in theorie op linux te gaan draaien in het nieuws te brengen is ook raar. Er zijn namelijk al een tiental andere virussen die op linux kunnen draaien, bovendien zijn er een heleboel virussen die je met een WINdows-Emulator wel aan de praat kunt krijgen onder linux

Aetje
@Flipz • 26 juni 2003 12:43

Deze is ook leuk: Om die LINUX virus te verwijderen moet je hiermee beginnen:
1: Disable System Restore (Windows Me/XP)....

Bor
@TWBMS • 26 juni 2003 11:26

Voor alle reacties hieronder over stumbler (bijna het hele topic): het is niet 100% zeker dat de packets ook echt door deze trojan worden gemaakt. In het stukje bij het topic staat dat zelfs.

ISS believes the packets are being formed by a scanning tool called "Stumbler". However, other security firms dispute this explanation.

Lees die laatste zin maar eens. Allees ISS denkt dat het pakket van Stumbler afwezig is.

KatirZan
@TWBMS • 26 juni 2003 09:34

Sweeeeeeeeeeet

Zojuist hele text gelezen, leuke trojan, maar snap nog steeds niet waarom mensen in andere mensen hun pc in willen breken

+1Dakoina591
@KatirZan • 26 juni 2003 11:13

gewoon voor de lol doen ze het, of voor mensen et ergeren die andere mensen hebben geërgerd of om zwakke plekken te vinden... om erkend te worden.. en noem maar op

Lord_Gaav
@TWBMS • 26 juni 2003 00:56

hmz, die virus heeft wel HEEL toevallig PRECIES dezelfde frame-grootte, zou me niks verbazen als dit de oorzaak is.

EDIT: lees nu net wat beter, staat letterlijk in de tekst

B@MB@M
@TWBMS • 26 juni 2003 10:58

laat maar verkeerd gelezen het was al door iemand geschreven!

voodooless
26 juni 2003 14:06

Het programma dat deze pakketjes verzendt is niet geheel bug-vrij, waardoor het nog niet optimaal werkt.

Ze weten niet een sprecies wat het programma doet,of waar het vandaan komt (alleen maar vermoedens), maar kunnen wel zeggen dat het nog niet goed werkt en dat er bugs in zitten.... vaag....

Goldwing1973
26 juni 2003 00:56

Hmmzz.. klopt niet helemaal wat ze op symantec zeggen..

Systems Affected: Linux
Systems Not Affected: Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Microsoft IIS, Macintosh, OS/2, UNIX

en lees dan eens verder.....

The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.

Disable System Restore (Windows Me/XP).
Update the virus definitions.
Run a full system scan and delete all the files detected as Trojan.Linux.Typot

Windows ME/XP????????? die zijn "Not Affected"

TD-er

@Goldwing1973 • 26 juni 2003 01:02

Het lijkt me dat je system-restore uit moet staan, om te voorkomen dat je na een gecrashte driver je virus-definities kwijt bent.
Verder kunnen files met een virus wat niet voor WIndows geschikt is, best wel op een machine staan met windows.
Kortom het is gewoon een standaard recept voor het updaten van je virus-scanner.

Je wilt de verspreiding van elk virus tegen gaan, dus zal de windows virus-scanner ook op niet-windows-virussen scannen.

+2NoControl
@TD-er • 26 juni 2003 02:23

de system restore moet uit omdat windows een virus/trojan wel eens als een legitiem systeembestand ziet, en daarom ook in de dllcache en system restore opneemt. als je het dan (door je virusscanner laat) verwijderen dan staat het er binnen de kortste keren automagisch terug... en dat is niet de bedoeling

+2raptorix
@Goldwing1973 • 26 juni 2003 01:00

Je moet goed lezen, het stukje over ME/XP slaat op het feit hoe je nieuwe virus definities in het algemeen moet toepassen, en slaat niet op dit specifieke virus.

dycell
@Goldwing1973 • 26 juni 2003 01:06

Dit is een algemeen stukje ivm system restore van windows. Heeft niks met het virus te maken

Lord_Gaav
@Goldwing1973 • 26 juni 2003 00:58

is er trouwens wel een Norton/Symantec AntiVirii voor Linux

Brazza
26 juni 2003 00:55

tja je weet niet wat Netwerk Experts zijn hé?
hier meer
[edit][quote]

The packet capture is written to its current directory (/tmp/.../ typically) in a file named 'r'.
[/quote]

+2Roland684

Bedrijfsnieuws

@Brazza • 26 juni 2003 02:41

Geniaal! een distributed portscanner, waarom ben ik daar niet op gekomen?
Een scanner die de afzender vervalst waardoor hij niet (makkelijk) te achterhalen is, maar ook het resultaat niet kan ontvangen. Probleem! zou je denken, maar door maar genoeg scanners te verspreiden is er vanzelf eentje die zijn resultaat bij jou in de buurt dropped.

Bor
@Roland684 • 26 juni 2003 11:28

Een scanner die de afzender vervalst waardoor hij niet (makkelijk) te achterhalen is, maar ook het resultaat niet kan ontvangen. Probleem! zou je denken, maar door maar genoeg scanners te verspreiden is er vanzelf eentje die zijn resultaat bij jou in de buurt dropped.

Ten eerste is in de buurt niet exact genoeg. Als het resultaat bij je buurman wordt gedropt (is in de buurt) dan heb je er nog niets aan. Ten tweede moet het infectiegehalte wel heel erg hoog zijn wil je een redelijke kans maken om de results ook nog eens terug te krijgen. Weet je wel hoeveel IP adressen in gebruik zijn? Daarvan ben jij er 1 (of max bv 10). De kans dat je dus iets bruikbaars terugkrijgt is minimaal. Die kans wordt echter wel vergroot als je zo'n tool loslaat in een afgeschermde omgeving (bv bedrijfsnetwerk oid).

+1Dynamic Duo
@Bor • 26 juni 2003 17:59

Ten eerste is in de buurt niet exact genoeg. Als het resultaat bij je buurman wordt gedropt (is in de buurt) dan heb je er nog niets aan. Ten tweede moet het infectiegehalte wel heel erg hoog zijn wil je een redelijke kans maken om de results ook nog eens terug te krijgen. Weet je wel hoeveel IP adressen in gebruik zijn? Daarvan ben jij er 1 (of max bv 10). De kans dat je dus iets bruikbaars terugkrijgt is minimaal.

Uit de tekst blijkt dat het virus nog fouten bevat en dus blijkbaar nog niet af is. Zodra de maker vind dat het goed genoeg is, zal hij waarschijnlijk wel iets inbouwen waardoor de resultaten in een irc kanaal worden gedropt, of naar een bepaald e-mail adres worden gestuurd.. Daar kan hij ze dus rustig ophalen zonder dat ze rechtstreeks naar hem verzonden hoeven te worden.

TrailBlazer
@Roland684 • 26 juni 2003 14:35

Bovendien als je ISP een beetje handig is blokken ze verkeer wat niet afkomstig is van de klant gewoon een kwestie van blokkeren met een simpele Access List

+2Scorpion3000
26 juni 2003 00:55

Aan de ene kant is het logisch dat in nieuwe software beveiligingsfouten zitten waardoor er ingebroken kan worden. Aan de andere kant, zolang een netwerk internet heeft, is het nooit 100% veilig. En dat is eigenlijk best wel verontrustend. De meeste virussen krijgen alleen aandacht als ze weer eens op grote schaal verspreidt worden, maar trojans krijgen eigenlijk nooit aandacht. Dat er nu plotseling wel nieuws over is, doet toch wel vermoeden dat er iets serieus is, of op gang gaat komen. Hopelijk is het toch niet zo heel ernstig..

Voor hetzelfde geldt is dit een poging van ISS om de maker van deze mogelijke trojan uit de tent te lokken. Hoe dan ook, laten we hopen dat het niet zo serieus is...

+2mxcreep
@Scorpion3000 • 26 juni 2003 09:05

Zolang een netwerk een netwerk is bedoel je, een groot deel van de hack pogingen wordt nog steeds vaak door insiders gedaan...

Pimmeh
26 juni 2003 07:50

Betekend dit dus dat de eerdergenoemde netexperts het internet constant in de gaten houden? Daar gaat je privacy.

bitflusher
@Pimmeh • 26 juni 2003 09:18

ik heb liever dat er wat in de gaten gehouden wordt en problemen verholpen worden voor ze echt overlast veroorzaken dan dat het pas gebeurt op het moment dat half internet begint te klagen

+2BlackTux
26 juni 2003 12:08

Trojan? Neej, dit pakket maakt gebruikt van het probleem dat Microsoft al jaren kent. Microsoft ontwerpt namelijk al zijn firewalls op Appilication level, maar niet op de onderste 2 lagen. Wie linux kent weet dat je kabel modempje zo'n 180 mb per dag aan broadcast kan versturen. Zulk zoort zaken kun je in windows niet eens opvragen. Laat staan het blokkeren van nieuwe hack theorien. Ik vrees dat ze zo hun eigen graf aan het graven zijn, omdat hackers ook niet dommer worden!

+1blade181
@BlackTux • 26 juni 2003 13:43

Microsoft maakt toch ook al gebruik van IPSec???
Maar wat dat betreft heb je wel gelijk, we hebben dringende behoefte aan IPv6 die gewoon het ip pakket al beveiligd met een encryptie dit zorgt er ook voor dat mensen de header kunnen aanpassen en de source en destination kunnen aanpassen.

+2Flipz
@blade181 • 26 juni 2003 17:23

IPSec heeft hier niets mee te maken toch? Het gaat om pakketfiltering. IPSec heb je nodig voor VPN tunneling enzo, dat kan met Linux ook met het FreeSWAN project.

IPv6 is hard nodig vanwege het gebrek aan IP adressen, de andere zaken zijn minder belangrijk.

Het is inderdaad zo dat Unix/Linux veel veiliger omgaat met pakketjes en betere filtering ondersteund dan windows, maar IPv6 helpt windows daar niet heel veel bij behalve dan spoofing. Maar dat alleen is maar een klein probleem van de veiligheid/beveiliging. Gewoon praktisch een maatwerk filter maken en services 'fysiek' aan een ethernetkaart hangen kan windows niet, dat is een heel groot gemis, en dat blijft ook bij IPv6 een groot gemis in de beveiliging van windows.

Daarom draaien ook zoveel mensen een Gnu/Linux firewall

Beveiliging is altijd een speerpunt geweest bij de ontwikkeling van Linux, en nog steeds. Dat zie je aan de nieuwe IPtables-features in de volgende kernel serie 2.6.x

0blade181
@Flipz • 26 juni 2003 17:55

Bij mijn weten is erop gebied van Beveiliging voor linux nog veel te doen hoor, daarom draaien webservers meestal ook FreeBSD (of een andere vorm van BSD) en niet linux, omdat daar beveiliging toch nog net een stukje beter is.

Wat ik bedoel met IPv6 is dat het ip pakketje zelf daar ook al beveiligd is zodat bijvoorbeeld bij een communicatie middel als telnet en (unsecure) pop waar wachtwoorden in plain text over het netwerk gegooid worden niet zomaar onderschept kunnen worden waar vervolgens dan de wachtwoorden gelezen kunnen worden.

En daarbij kan in Windows 2000 of hoger ook al tcp en udp poorten dichtgegooid worden op een bepaalde interface. Verder is er idd niet veel gedaan op gebied van beveiliging in windows.

TrailBlazer
@Flipz • 26 juni 2003 23:02

Is echt onzin in IPV6 wordt standaard niks genencrypt. Wel is het zo dat IPv6 makkelijker is uit te breiden met ipSec maar telnet over ipv6 is net so insecuur als over ipv4.

0blade181
@Flipz • 27 juni 2003 00:50

Onzin he: Lees dit documentje maar ff dan voor dat je het onzin verklaart noob!

Q: What are the major advantages of IPv6?

A:
Scalability. IPv6 has 128-bit address space, which is 4 times wider in bits in compared to IPv4's 32-bit
address space.

Security. IPv6 includes security in the basic spec. It includes encryption of packets (ESP: Encapsulated Security Payload) and authentication of the sender of packets (AH: Authentication Header).

Consideration to realtimeness. To implement better support for realtime traffic (such as videoconference), IPv6 includes flowlabel in the spec. With flowlabel mechanism, routers can recognize to which end-to-end flow the packets belongs.

Plug and play. IPv6 includes plug and play in the standard spec. It therefore must be easier for novice users to connect their machines to the network --- it will be done automatically!

Clearer spec and optimization. IPv6 follows good practices of IPv4, and rejects minor flaws/obsolete items of IPv4.

link: www.itojun.org/v6/v6faq.html

Dribbeltje
26 juni 2003 02:06

Die windows tp is gewoon een algemene tip, die zie je overal staan.

En Disable System Restore (Windows Me/XP)
Heeft te maken dat je de virus niet opnieuw geactiveerd word, sommige virussen/trojans gaan in de restore folder zitten en bij het rebooten activeer je dus opnieuw dat virus/trojan. Daarvoor is dat advies

+2damen
26 juni 2003 08:26

"Pogingen om de exacte oorsprong te achterhalen zijn tot nu toe onsuccesvol geweest"

"Systems Not Affected: Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Microsoft IIS, Macintosh, OS/2, UNIX"

Uhm.... ben ik nu zo slim of zijn zij zo dom ;-) Ff bellen met Redmond lijkt me

+1Dynamic Duo
@damen • 26 juni 2003 18:06

Uhm.... ben ik nu zo slim of zijn zij zo dom ;-) Ff bellen met Redmond lijkt me

Als jij zo slim bent, dan bel je ook bij ieder Windows virus met Linus Thorvalds zeker?

+1BlackTux
26 juni 2003 12:19

Netaxperts houden alleen de data in de gaten die providers hun leveren. Ze zouden gek zijn als ze heel het net rond zouden zoeken.

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers