Skip to content

Microsoft über den Umgang mit kompromittierten Systemen

Im Microsoft Technet stehen von Zeit zu Zeit echte Perlen. Aber die hier ist so gut (und so wahr), dass ich sie sogar hier zitieren muss.

Jesper M. Johansson, Ph.D., CISSP, MCSE, MCP+I, seines Zeichens Security Program Manager bei der Microsoft Corporation, schreibt in einem Artikel mit dem Titel "Help: I Got Hacked. Now What Do I Do?" aus dem Mai 2004:

  • You can’t clean a compromised system by patching it. Patching only removes the vulnerability. Upon getting into your system, the attacker probably ensured that there were several other ways to get back in.
  • You can’t clean a compromised system by removing the back doors. You can never guarantee that you found all the back doors the attacker put in. The fact that you can’t find any more may only mean you don’t know where to look, or that the system is so compromised that what you are seeing is not actually what is there.
  • You can’t clean a compromised system by using some “vulnerability remover.” Let’s say you had a system hit by Blaster. A number of vendors (including Microsoft) published vulnerability removers for Blaster. Can you trust a system that had Blaster after the tool is run? I wouldn’t. If the system was vulnerable to Blaster, it was also vulnerable to a number of other attacks. Can you guarantee that none of those have been run against it? I didn’t think so.
  • You can’t clean a compromised system by using a virus scanner. To tell you the truth, a fully compromised system can’t be trusted. Even virus scanners must at some level rely on the system to not lie to them. If they ask whether a particular file is present, the attacker may simply have a tool in place that lies about it. Note that if you can guarantee that the only thing that compromised the system was a particular virus or worm and you know that this virus has no back doors associated with it, and the vulnerability used by the virus was not available remotely, then a virus scanner can be used to clean the system. For example, the vast majority of e-mail worms rely on a user opening an attachment. In this particular case, it is possible that the only infection on the system is the one that came from the attachment containing the worm. However, if the vulnerability used by the worm was available remotely without user action, then you can’t guarantee that the worm was the only thing that used that vulnerability. It is entirely possible that something else used the same vulnerability. In this case, you can’t just patch the system.
  • You can’t clean a compromised system by reinstalling the operating system over the existing installation. Again, the attacker may very well have tools in place that tell the installer lies. If that happens, the installer may not actually remove the compromised files. In addition, the attacker may also have put back doors in non-operating system components.
  • You can’t trust any data copied from a compromised system. Once an attacker gets into a system, all the data on it may be modified. In the best-case scenario, copying data off a compromised system and putting it on a clean system will give you potentially untrustworthy data. In the worst-case scenario, you may actually have copied a back door hidden in the data.
  • You can’t trust the event logs on a compromised system. Upon gaining full access to a system, it is simple for an attacker to modify the event logs on that system to cover any tracks. If you rely on the event logs to tell you what has been done to your system, you may just be reading what the attacker wants you to read.
  • You may not be able to trust your latest backup. How can you tell when the original attack took place? The event logs cannot be trusted to tell you. Without that knowledge, your latest backup is useless. It may be a backup that includes all the back doors currently on the system.
  • The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications). Alternatively, you could of course work on your resume instead, but I don’t want to see you doing that.

Ein weiser Mann. Ich wünsche mir, dass einige Manager in Zukunft auf diesen weisen Mann hören.

Gefunden hab ich das übrigens bei Dirk, und der hat's von El Loco.

Tags, und Reorg der Categories

Knapp ein Jahr nach dem Beginn dieses Blogs habe ich die Kategorien etwas überarbeitet: Die beiden "großen" Kategorien "Computer und Netze" und "misc" wurden ein wenig aufgeteilt, ein Kompex "#reallife" wurde eingeführt, und es gibt außerdem noch ein paar Detailkorrekturen. Auf diese Weise hoffe ich, meine Blogartikel etwas gleichmäßiger auf die Kategorien verteilen zu können, und denen, die nur an einem Teil meines Oeuvres interessiert sind, bessere Auswahlmöglichkeiten zu geben.

Außerdem habe ich Tags verteilt, auf deren Basis Ihr auch Auswählen und selektieren könnt.

DHCP challenges

My notebook's DHCP setup seems to be a challenge for DHCP servers around the world. Looks like almost no server implements the standard in a decently complete way.

My notebook has a wired Fast Ethernet, and a wireless 802.11bg network interface. Of course, both interfaces have their own MAC address. I want the thing to work at least at home, regardless of whether wired or wireless is in use, with preferably the same static IP address, and on the office wired network, again, with the static IP address allocated to me there.

Configuring this is considerably harder than I expected.

Continue reading "DHCP challenges"

Alturo-Service gemessen am Preis Top

Nach dem neulich beobachteten Fehlalarm hatte mein erster Alturo-Server nechayev in den letzten Tagen eine wirkliche Störung. Unter hoher CPU-Last gab es Kernel-Oopses und Segfaults.

Mit dem Alturo-Service bin ich gemessen an dem, was ich dem Anbieter bezahle, völlig zufrieden. Für professionellen Einsatz will man allerdings Ausfallsicherungsmaßnahmen vornehmen.

Continue reading "Alturo-Service gemessen am Preis Top"

rsync-backup und uid/gid-Nummern

Wenn man mit rsync ein Backup auf ein anderes System macht, das zwar ähnliche Accountnamen, aber keine identische Zuordnung zwischen Accountnamen und uid/gid hat, möchte man bei beiden rsync-Aufrufen (backup und restore) die Option --numeric-ids verwenden.

Das erspart einem böse Überraschungen beim Reboot nach dem Restore.

Warst Du beim Friseur?

Ja, war ich. Und zwar waren die Haare diesmal nicht ansatzweise so lang wie sie es üblicherweise sind, wenn es mich - von den beim Tanzen fliegenden Haaren genervt - in den Salon Martina treibt.

Trotzdem bin ich in den letzten fünf Tagen etwa zweihundert Mal gefragt worden, ob ich beim Friseur war. Und mir ist immer noch keine zur dummen Frage passende dumme Antwort eingefallen, die wenigstens Ansätze von Originalität erkennen lässt. Ein einfaches "Ja" mag mir in dieser Situation nicht wirklich über die Lippen gehen.

Nervig, das.

Neue Brille III

Nachdem vor inzwischen vier Wochen eine Augenoptikerin in meinem Leben aufgetaucht ist, die bezüglich meiner Fehlsichtigkeit durchaus anderer Meinung ist als der Augenarzt, habe ich heute die Notbremse gezogen und die Anfang April in Stuttgart gekaufte Brille drei Tage vor Ende der sechswöchigen Kulanzrückgabefrist wieder abgegeben.

Continue reading "Neue Brille III"

Zugschlus-Logo, Versuch drei

Das in Zugschlus-Logo, Versuch zwei, vorgestellte Logo wurde sehr zurückhaltend aufgenommen. Auf der Kritik aufbauend habe ich noch zwei weitere Entwürfe derselben Thematik, aber mit anderen Farben und Zeichensätzen gemacht:

Im IRC war das Feedback deutlich positiver, wobei die Damen und Herren Chatter sich uneins sind, welchem der beiden Entwürfe der Vorzug zu geben ist. Ich selbt tendiere nach Auswertung der bisher angekommenen Argumente ("die untere Schrift sieht aus wie aus einem Science-Fiction-Roman und nicht nach Computer") zur oberen Version, die durch die dichter gesetzten Pixel m.E. erheblich besser lesbar ist.

Das - mit Inkscape erstellte - .SVG gibt es unter https://ivanova.notwork.de/~mh/stuff/20060503-zugschlus.svg, falls sich jemand selbst daran versuchen mag.

What do people envy about you?

People Envy Your Compassion
You have a kind heart and an unusual empathy for all living creatures. You tend to absorb others' happiness and pain.
People envy your compassion, and more importantly, the connections it helps you build. And compassionate as you are, you feel for them.

The Five Variable Love Test

Genau rechtzeitig bei blogthings gefunden: Der Fünf-Variablen-Love-Test

Your Five Variable Love Profile
Propensity for Monogamy:

Your propensity for monogamy is low.
You see love as a gift that you should give to many.
It's hard for you to imagine being with one person at at time...
Let alone one person for the rest of your life!

Experience Level:

Your experience level is high.
You've loved, lost, and loved again.
You have had a wide range of love experiences.
And when the real thing comes along, you know it!

Dominance:

Your dominance is medium.
You tend to be the one with more power.
You aren't a total control freak in relationships..
But of course you don't mind getting you way!

Cynicism:

Your cynicism is medium.
You'd like to believe in true and everlasting love...
But you've definitely been burned enough to know better.
You're still an optimist, but you also are a realist.

Independence:

Your independence is high.
You don't need to be in love, and sometimes you don't even want love.
Having your own life is very important for you...
Even more important than having a relationship.

Tanz in den Mai

Ein halbwegs vollständiges Profil im ICQ zu haben, ist zwar manchmal lästig, hat aber auch seine guten Seiten: Vor einigen Tagen hat mich eine 30jährige Pfälzerin angesprochen, und wir haben die Chatbekanntschaft relativ schnell in das wirkliche Leben transportiert.

Sie hat - genau wie ich - zwei Katzen und war ganz begeistert, als ich ihr erzählt habe, dass ich mich schon seit meinem Umzug mit dem Gedanken trage, wieder mit "richtigem" Tanzen anzufangen. Dafür hat sie mich gleich verhaftet, und wir waren am Sonntag gemeinsam auf dem "Tanz in den Mai" in der Tanzschule in ihrem Wohnort.

Continue reading "Tanz in den Mai"