mboost-dp1

unknown

Fik fat i 52.000 passwords

- Via IT-AVISEN -

Oslo universitet har alle sine password gemt i en central database, baseret på MS SQL, på en Windows 2000 server. Dette var man ikke helt klar over, hvilket resulterede i at systemet ikke var blevet opdateret med sikkerhedspatches. Derfor lykkedes det for en/nogle cracker(e) at bryde ind i systemet og opnå adgang til de 52.000 passwords i op til flere uger.





Gå til bund
Gravatar #1 - Yasw
15. nov. 2002 14:05
Ok, sygt nok.
Husk altid at opdatere :)
Gravatar #2 - XorpiZ
15. nov. 2002 14:10
#1 Yasw


Nej da, Windows er da bare for dårligt!!!! Det skal virke uden man opdaterer det!!!1


Men helt seriøst, du har ret :)

Så længe man holder sit Windows opdateret, er der sq ikke nogen problemer
Gravatar #3 - C#
15. nov. 2002 14:11
dårlige admins deroppe må man sige..
Gravatar #4 - Yasw
15. nov. 2002 14:22
#2 - Lige med Windows vil jeg nu ikke kommentere så meget på. Syns selv jeg har oplevet flere gange at det bare gik endnu mere i kage efter opdatering.
Men har man en server med så mange passwords på, burde man nok huske at opdatere. Fandme nogen sløve sysadmins de har i Norge :)
Gravatar #5 - KozmoNaut
15. nov. 2002 14:22
#2

Som "Linux lamer" vil jeg da lige stå frem og sige:

"Intet styresystem er sikrere end den nyeste opdatering"

Det gælder for /alle/ styresystemer.
Gravatar #6 - west
15. nov. 2002 14:24
"Laukholm udtaler, at universitetet ikke var klar over, at informationssystemet havde en SQL-database på en Windows 2000 maskine som bund og derfor ikke har fået opgraderet den med sikkerhedspatches."

WTF!? De nordmenn =P

Så de var ikke klar over deres system ... eller de har ikke fået opdateret den fordi det var en W2K ... eller ... øf?
Gravatar #7 - scarlac
15. nov. 2002 14:27
Ok, jeg har ingen erfarring med windows servere... men selv JEG holder mig opdateret med diverse sikkerhedspatches. Stakkels serveradmin der skulle stå til ansvar for dender mindre 'svipser'.. *ahem*.
Gravatar #8 - Deternal
15. nov. 2002 15:08
Det eneste jeg kan tænke på er at de har købt og installeret et system som indeholder MS SQL *uden* at de har fået det at vide, og at de ikke har undersøgt nærmere hvilke komponenter systemet indeholdt da de forventede at de kunne bruge deres leverandørs patches (hvilket så ikke var nok).

Jeg forstår det ihvertfald sådan at MS SQL serveren ikke var opdateret og ikke at deres servere var.
Gravatar #9 - sKIDROw
15. nov. 2002 15:20
#2 XorpiZ


"
Nej da, Windows er da bare for dårligt!!!! Det skal virke uden man opdaterer det!!!1
"
Sikke noget vås...
Jeg ville hellere sige at alt skal virke uden restart.. ;)
Alle OS'er skal sgu da opdateres med jævne mellemrum.

@ Admin
Inden der (IGEN) bryder en formålløs diskussion ud, kan vi så ikke enes om at kalde det enten intruder eller indtrænger.
Det kan de fleste forstå.. ;)
Gravatar #10 - kenci
15. nov. 2002 15:42
dumb
Gravatar #11 - XorpiZ
15. nov. 2002 15:48
#9

Nu skrev jeg jo også "lamer"

Meget kan man sige om dig, men ligefrem lamer? ;) nahh
Gravatar #12 - ligeder
15. nov. 2002 15:59
Nu vil jeg ikke lige flame Microsoft her.
Men ser man det ikke desværre alt for tit, at der er mange MS admins som kun kan klare deres job fordi Windows har et brugerinterface de kender fra deres egen pc og derfor kan give folk intrykket af at de også kan finde ud af at administrere det? Det er da fint at man kan bruge sin PC uden at vide alt om hvad der foregår under overfladen, men som admin bør man da vide noget om det, unanset hvor nemt det så måtte være at klikke sig rundt.
Gravatar #13 - DuVedHvem
15. nov. 2002 16:23
Det er ikke hullerne der er dumme, kun dem der graver dem
Gravatar #14 - -tkf-
15. nov. 2002 17:17
<B>ligeder</B>
Du mener at en GUI betyder at admin er dum?

Din post tyder så på at du er en Admin der bruger GUI for det er fandme en dum bemærkning.

Egentlig sjovt som windows fejl altid træder frem, helt åbenlyst er det her er en admin fejl og ikke en M$ fejl.

Nøjagtig ligesom det er en admin fejl når vi kommer til at høre om alle de sjove ting der sker fordi linux/bind admins glemmer at opdatere. NÅ NEJ! sjovt nok kommer vi nok ikke til at høre om det.
Gravatar #15 - sKIDROw
15. nov. 2002 17:23
#14


"Egentlig sjovt som windows fejl altid træder frem, helt åbenlyst er det her er en admin fejl og ikke en M$ fejl."
Enig...

"Nøjagtig ligesom det er en admin fejl når vi kommer til at høre om alle de sjove ting der sker fordi linux/bind admins glemmer at opdatere. NÅ NEJ! sjovt nok kommer vi nok ikke til at høre om det."
Det der var til gengæld noget lort at lukke ud!.
Jeg poster gerne alt hvad jeg finder spændende af bugs, Windows, BSD eller Linux.
Gravatar #16 - Sputler
15. nov. 2002 20:33
Alle kan jo få brug for at rette deres karakterer lidt til...

- ikke at selv kunne finde på det selvfølgelig*HOST* *HOST* ;)
Gravatar #17 - ligeder
16. nov. 2002 06:14
#14
Nej jeg mener ikke at man er dum fordi man bruger GUI til admin ting. Det er da smart nok. Jeg mener heller ikke at det er MS skyld her men at det er fordi det er nemt at tilgå at folk der ikke burde røre det alligevel gør det.
Men jeg har set så mange overvuderet admins og dyre konsulenter der aldrig burde røre en server, komme os sætte NT servere op som ikke har noget begreb om hvad der foregår og hvad konsekvenserne bliver af at de sætter et hak i en menu et sted. Jeg mistænker så at det er fordi at det er så nemt at gå igang med, da samme personer ofte løber skrigende væk hvis de møder noget der har en kommando prompt. Og det behøver ikke være linux, kan være en router.


Og jeg gider simpelthen ikke kommentere det sidste, jeg er ikke ude efter at sige at Linux er federe en NT, det må folk selv vurdere og dit sprogbrug gavner ikke din saglighed.
Microsoft har gjort det nemmere at installere og administrere en server. Man kan faktisk komme igang uden at have set en server før og det er da godt gået men jeg vil holde fast i at det har også haft den bivirkning at alt for mange mennesker der ikke har forstand på hvad de foretager sig, gladeligt sætter servere op. Det ser jeg faktisk dagligt. Det er jo så godt for mig og mine kollegaer fordi så kan vi sende dem en regning for at have ryddet op i deres systemer.
De klassiske eksempel er folk der får sat deres mailserver op og åbnet for relaying på den eller de installere et backup program men får ikke konfigureret det så de får en effektiv backup der rent faktisk kan bruges.
Så er der de lidt mere modige der begynder at klikke lidt på deres firewalls regler og får åbnet op for en masse spændene ting.
Gravatar #18 - gEPHION
16. nov. 2002 12:35
Istedetfor (igen, igen og igen) at skændes om hvem der har det bedste OS, blive enige om at der bare er for mange hjernelamme admins ude i branchen?

Det er da meget påfaldende at størstedelen af de alvorlige sager man hører om, primært drejer sig om at en administrator ikke har gjort sit arbejde ordentligt, og opdateret deres OS ligeså snart der var en patch/opdatering...

Være det så MS eller andet af "fabrikat".
Gravatar #19 - sKIDROw
16. nov. 2002 13:14
#18 gEPHION

Helt enig.
Jeg er selvlært uden en egentlig uddannelse, men bliver alligevel kaldt hysterisk sikkerhedsmæssigt.
Antivirus definitioner opdateres dagligt.
Checker dagligt for hotfixes på Windows klienterne, og Linux serverne kører checker og opdatere alle pakker dagligt.
I Windows sammenhæng, gør blot dette ritual når en maskine alligevel står ubenyttet.
Og Linux serverne har et fint lille cronjob til det.. :)
Loggen bliver skimmet hver morgen, mens jeg sidder og vågner op og bliver caffeinated.. ;)
Gravatar #20 - Peter Perlsø
16. nov. 2002 14:04
MS != Sikkerhed.

SKDLD.
Gravatar #21 - Disky
16. nov. 2002 18:43
Skidrow:
Dem der kalder dig hysterisk ved bare ikke hvad de snakker om.

Jeg vil bestemt ikke kalde det hysteri, men fornuft.
Gravatar #22 - gEPHION
16. nov. 2002 19:29
#19 og #21

Yup, right on the spot...

Er selv i den kategori, nok mest fordi jeg ikke gider og bruge alt den tid på at genskabe hvad der bliver tabt eller gider miste mit job fordi jeg ikke brugte den time om morgenen til at checke logs, opdateringer osv osv...

Rigtige mænd laver backups og massere af dem :)
Gravatar #23 - Deternal
17. nov. 2002 04:50
hehe - ja det sjove er jo at det som regel er ordrer oppefra der kompromitterer sikkerheden og/eller folk der nedefra ødelægger den eller folk midt på som aldrig sørger for det er der.

Jeg synes som sagt stadig det er tankevækkende at en admin rent faktisk ikke vidste at han havde en MS SQL server på en af hans maskiner. Som jeg nævnte tidligere vil jeg formode det er et købt system og deres vendor så ikke har beskrevet den del og ej heller puttet updates'ne ind som en del af de updates jeg vil formode de laver til resten af deres program.
Gravatar #24 - Disky
17. nov. 2002 08:37
Det her minder mig om min tidligere arbejdsgiver. En meget stor nordisk port på et tidsunkt fik de besøg af 'I love you letter' virussen. Den smadrede omkring et par GB på netværksdrevene, men det regnede direktøren med kun gjorde lidt skade fordi, der jo lige (6 måneder) tidligere var blevet købt backup udstyr for en formue.

Nu kommer det store spørgsmål, var der nogensinde blevet lavet backup ? Var udstyret nogensinde blevet installeret ?

I begge tilfælde er svaret nej, og hvorfor ? Fordi en 'kompetent' IT chef, mente andre ting var vigtigere.

Hvad kan man lære om det ?
IT-chefer er meget farlige hvis de ikke har styr på tingene.
Gravatar #25 - XorpiZ
17. nov. 2002 16:33
#24 Disky

Var det dig, der var den "kompentente" IT-Chef?
Gravatar #26 - Disky
17. nov. 2002 21:53
Xorpiz:
Nu forsøger du sikkert at lege virkelig sjov osv.

Men jeg kan fortælle dig at det var ikke mig der var den IT-chef.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login