Veiligheidslek Flash: Flash uitzetten of downgraden

Hierin kan alles wat te maken heeft met beveiliging op het Internet. Bijvoorbeeld het beveiligd versturen van emails of het voorkomen van adware, spyware en andere ongewenste software.
Gebruikersavatar
Z_God
Berichten: 417
Lid geworden op: 12 Oktober 2003, 22:36
Locatie: Enschede

Berichtdoor Z_God » 16 Augustus 2007, 23:36

Ik vind niet dat dit een veiligheidslek te noemen is. Ik zou het mogelijkheid tot misbruik noemen.

Je kan nu iemand een poortscan laten doen als diegene jouw applet start, zo spannend is dat nu ook weer niet zou ik zeggen.

Ik krijg hun test hier trouwens niet aan de praat.

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 December 2004, 20:16
Locatie: Alkmaar, Nederland

Berichtdoor Manuel » 16 Augustus 2007, 23:45

nirwana schreef:Met een recente nightly build van Firefox 3 kun je nu ook Flash (en andere plugins) via het Addons-venster uitschakelen. Aan het Addons-venster wordt dan een Plugins-tabblad toegevoegd en daarmee kun je je plugins direct beheren.

Zie www.squarefree.com/burningedge/2007/08/ ... nk-builds/ en https://bugzilla.mozilla.org/show_bug.cgi?id=339056

Dat is prachtig! Daar bestaat al heel lang een bugrapport van, dat je plugind niet aan of uit kunt zetten.

Vervolgens kun je dan waarschijnlijk gewoon een bladwijzer aanmaken op je bladwijzerwerkbald naar 1 of andere chrome:// url, die direct dat specifieke tabblad laadt.

Alleen gebruik ik geen nightly builds, dus voor mij nog even wachten, maar ik 'behelp' me prima met mijn extensie Plugin Manager :)

adri schreef:
adri schreef:Met FlashBlock kun je dat veel mooier doseren (dus alleen het spelletje en niet de rotzooi). ;)

Nog even een aanvulling: als je gebruik maakt van no-ads.pac heb je daar verbluffend weinig last van. 8)

Bedankt voor de info!

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 December 2004, 20:16
Locatie: Alkmaar, Nederland

Berichtdoor Manuel » 16 Augustus 2007, 23:50

Z_God schreef:Ik vind niet dat dit een veiligheidslek te noemen is. Ik zou het mogelijkheid tot misbruik noemen.

Je kan nu iemand een poortscan laten doen als diegene jouw applet start, zo spannend is dat nu ook weer niet zou ik zeggen.

Ik krijg hun test hier trouwens niet aan de praat.

Let op: de scan vind plaats op je locale netwerk, dus achter een evt. firewall/modem/router.

Heb je b.v. lokaal een ftp servertje draaien, wat voor buitenwereld niet zichtbaar is, want achter firewall, en waar root ook op mag inloggen, voor het gemak, en omdat het toch achter een het modem/router/firewall zit, dan is dus zichtbaar dat die poort op het binnennetwerk openstaat.

In combinatie met misschien een ander lek kan jet mogelijk misbruikt worden, men is immers al achter de firewall.

Gebruikersavatar
Z_God
Berichten: 417
Lid geworden op: 12 Oktober 2003, 22:36
Locatie: Enschede

Berichtdoor Z_God » 17 Augustus 2007, 21:03

Manuel schreef:Let op: de scan vind plaats op je locale netwerk, dus achter een evt. firewall/modem/router.

Heb je b.v. lokaal een ftp servertje draaien, wat voor buitenwereld niet zichtbaar is, want achter firewall, en waar root ook op mag inloggen, voor het gemak, en omdat het toch achter een het modem/router/firewall zit, dan is dus zichtbaar dat die poort op het binnennetwerk openstaat.

In combinatie met misschien een ander lek kan jet mogelijk misbruikt worden, men is immers al achter de firewall.
Ik begrijp dat je hier een opstelling met NAT & IP masquerading bedoelt. Dan is dat inderdaad mogelijk. Maar zoals je zelf ziet zijn er wel een hoop extra voorwaarden nodig. Daarnaast is een router natuurlijk eigenlijk geen firewall. En dan nog kan er eigenlijk geen schade aangericht worden.

In ieder geval zal ik hiervoor geen Flash disablen. Alleen als de rest van je systeem onveilig is, kan dit dus een echt probleem worden. Gnash vind ik wel een goed plan :)

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 December 2004, 20:16
Locatie: Alkmaar, Nederland

Berichtdoor Manuel » 17 Augustus 2007, 22:27

Ik begrijp dat een modem geen echte firewall is, maar het houdt toch wel een hoop zooi tegen, n.l. alle verkeer dat van buitenaf geinitieerd wordt, tenzij ik expliciet poorten openzet in dat modem.

Een hoop extra voorwaarden? Valt wel mee, dacht ik. Laatst b.v. was er een browserlek (in javascript) waarbij de instellingen van je router aangepast zouden kunnen worden, dus ook een poort openzetten.

Welnu, 1 + 1 = 2 = toegang tot b.v. een misschien heel slecht geconfigureerde ftp server, omdat ie toch aan de veilige binnenkant draait. Of wat voor dervice dan ook.

Gebruikersavatar
Z_God
Berichten: 417
Lid geworden op: 12 Oktober 2003, 22:36
Locatie: Enschede

Berichtdoor Z_God » 22 Augustus 2007, 23:28

Mja, ik zeg dan: 1 + 1 + 1 = 3
En als medenetwerkgebruikers onhandig genoeg zijn om te denken dat ze een onveilige FTP server kunnen draaien, zit daar natuurlijk het echte beveiligingsprobleem.

Dit probleem in Flash is natuurlijk stom, maar beveiliging moet wel ook op de juiste plek aangepakt worden.
In een normaal geval zet je bijvoorbeeld een IP filter op die FTP server.

Over enkele jaren zal iedere computer gewoon weer een publiek (IPv6) adres hebben & dan verdwijnt al die semi-beveiliging van al die NATs. Het is dus belangrijk om alles op orde te hebben.

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 December 2004, 20:16
Locatie: Alkmaar, Nederland

Berichtdoor Manuel » 23 Augustus 2007, 1:09

Z_God schreef:Mja, ik zeg dan: 1 + 1 + 1 = 3
En als medenetwerkgebruikers onhandig genoeg zijn om te denken dat ze een onveilige FTP server kunnen draaien, zit daar natuurlijk het echte beveiligingsprobleem.

Niet helemaal mee eens. Een NAT router geeft wel degelijk beveiliging, maar alles is natuurlijk te kraken, want 100% veilgheid bestaat niet.

Maar hoe zeer moet je de boel dan beveiligen? Dit is b.v. een interessante link:

http://www.cochiselinux.org/files/syste ... g-10.2.txt

Maar de auteur van die pagina zegt zelf ook:

WARNING: Hardening a system is a compromise between security and usability. Some of the things I do would adversely affect the usability of your system and may very well break things.


Z_God schreef:Dit probleem in Flash is natuurlijk stom, maar beveiliging moet wel ook op de juiste plek aangepakt worden.
In een normaal geval zet je bijvoorbeeld een IP filter op die FTP server.

Maar de server draait alleen binnen het lokale netwerk, en er is maar 1 gebruiker op dat lokale netwerk...

Z_God schreef:Over enkele jaren zal iedere computer gewoon weer een publiek (IPv6) adres hebben & dan verdwijnt al die semi-beveiliging van al die NATs. Het is dus belangrijk om alles op orde te hebben.

Ik blijf toch mooi gewoon achter een NAT router zitten, hoor :)

Gebruikersavatar
Z_God
Berichten: 417
Lid geworden op: 12 Oktober 2003, 22:36
Locatie: Enschede

Berichtdoor Z_God » 24 Augustus 2007, 15:53

Manuel schreef:Ik blijf toch mooi gewoon achter een NAT router zitten, hoor :)

Als je nooit met VoIP, streams, games of andere moderne multicast of P2P technologiën wil gaan werken, dan is dat een optie ja. Alleen zal je voor het WWW zelfs al flink moeten gaan proxyen in de toekomst.

Overigens is het 1 + 1 + 1 + 1 + 1, want er moet ook een lek in je browser en in je router zitten.

Ik volg je punt over 100% veiligheid ook niet. Als ik gewoon geen services draai (dat lijkt mij gewoon op een gemiddelde pc), dan is er toch ook niets wat te kraken valt?

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 December 2004, 20:16
Locatie: Alkmaar, Nederland

Berichtdoor Manuel » 24 Augustus 2007, 23:13

Z_God schreef:
Manuel schreef:Ik blijf toch mooi gewoon achter een NAT router zitten, hoor :)

Als je nooit met VoIP, streams, games of andere moderne multicast of P2P technologiën wil gaan werken, dan is dat een optie ja. Alleen zal je voor het WWW zelfs al flink moeten gaan proxyen in de toekomst.

Al die dingen gebruik ik inderdaad niet, er hoeft bij mij dus geen enkele poort in het modem open, alles dicht.

Z_God schreef:Overigens is het 1 + 1 + 1 + 1 + 1, want er moet ook een lek in je browser en in je router zitten.

Nee, niet in je router, via dat lek (ben de details even kwijt) kon iemand met slechte bedoelingen gewoon toegang krijgen tot de router, via de web interface van het ding.

Z_God schreef:Ik volg je punt over 100% veiligheid ook niet. Als ik gewoon geen services draai (dat lijkt mij gewoon op een gemiddelde pc), dan is er toch ook niets wat te kraken valt?

Maar er worden toch ook lekken gevonden in software die geen service is?

Gebruikersavatar
Z_God
Berichten: 417
Lid geworden op: 12 Oktober 2003, 22:36
Locatie: Enschede

Berichtdoor Z_God » 25 Augustus 2007, 0:00

Manuel schreef:
Z_God schreef:Overigens is het 1 + 1 + 1 + 1 + 1, want er moet ook een lek in je browser en in je router zitten.

Nee, niet in je router, via dat lek (ben de details even kwijt) kon iemand met slechte bedoelingen gewoon toegang krijgen tot de router, via de web interface van het ding.

Ok, daar ben ik niet veel bekend mee. Geen browser gebruiken met brakke HTTP Auth dan.

Manuel schreef:
Z_God schreef:Ik volg je punt over 100% veiligheid ook niet. Als ik gewoon geen services draai (dat lijkt mij gewoon op een gemiddelde pc), dan is er toch ook niets wat te kraken valt?

Maar er worden toch ook lekken gevonden in software die geen service is?

Dan is er geen sprake van hacken, maar van iets als een trojan of inderdaad een informatielek zou ik zeggen. Ik weet niet of dat ook "hacken" te noemen valt, maar ik stel me dan voor dat iemand een bepaalde service probeert te misbruiken.

Je kan bijvoorbeeld niet op iemand's computer terecht komen, zonder dat die persoon eerst zelf iets verkeerd gedaan heeft.

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 December 2004, 20:16
Locatie: Alkmaar, Nederland

Berichtdoor Manuel » 25 Augustus 2007, 0:23

Z_God schreef:
Manuel schreef:
Z_God schreef:Overigens is het 1 + 1 + 1 + 1 + 1, want er moet ook een lek in je browser en in je router zitten.

Nee, niet in je router, via dat lek (ben de details even kwijt) kon iemand met slechte bedoelingen gewoon toegang krijgen tot de router, via de web interface van het ding.

Ok, daar ben ik niet veel bekend mee. Geen browser gebruiken met brakke HTTP Auth dan.

Het lek zat in Firefox...

Z_God schreef:
Manuel schreef:
Z_God schreef:Ik volg je punt over 100% veiligheid ook niet. Als ik gewoon geen services draai (dat lijkt mij gewoon op een gemiddelde pc), dan is er toch ook niets wat te kraken valt?

Maar er worden toch ook lekken gevonden in software die geen service is?

Dan is er geen sprake van hacken, maar van iets als een trojan of inderdaad een informatielek zou ik zeggen. Ik weet niet of dat ook "hacken" te noemen valt, maar ik stel me dan voor dat iemand een bepaalde service probeert te misbruiken.

Ik had het toch niet specifiek over hacken? Hoe ze binnekomen maakt mij niet zoveel uit.

Z_God schreef:Je kan bijvoorbeeld niet op iemand's computer terecht komen, zonder dat die persoon eerst zelf iets verkeerd gedaan heeft.

'Iets verkeerd doen' bestaat er dan ook uit om daarvoor gevoelige software niet up to date te houden, en dan nog: 100% veilgheid bestaat niet, dud kun je beter iets te veel beveiligingsmaatregelen treffen, dan precies genoeg, vandaar dat ik het wel zinnig vind om Flash even uit te schakelen.

Het gaat me er niet om wie gelijk heeft, het ging me er om om de mensen hier te waarschuwen.

Gebruikersavatar
Z_God
Berichten: 417
Lid geworden op: 12 Oktober 2003, 22:36
Locatie: Enschede

Berichtdoor Z_God » 3 September 2007, 21:57

Manuel schreef:
Z_God schreef:Dan is er geen sprake van hacken, maar van iets als een trojan of inderdaad een informatielek zou ik zeggen. Ik weet niet of dat ook "hacken" te noemen valt, maar ik stel me dan voor dat iemand een bepaalde service probeert te misbruiken.

Ik had het toch niet specifiek over hacken? Hoe ze binnekomen maakt mij niet zoveel uit.

Dat is wel relevant. Er zijn namelijk maar 2 manieren waarop men binnen kan komen.
1. Je draait zelf een brakke service die iemand kan misbruiken (oplossing geen services draaien)
2. Zij krijgen jou zo ver dat je alsnog zo'n service gaat draaien, een zogenaamde backdoor

Een backdoor komt op je PC als je zelf software installeert die zoiets bevat. Een goede oplossing hiervoor is naar mijn mening enkel software installeren die van vertrouwde bronnen komt. Hierbij is het signen natuurlijk heel belangrijk.
Een andere manier om een backdoor aan boort te krijgen is een remote execution vulnerability. Deze kan bijvoorbeeld door een buffer overflow ontstaan en dit is wel iets om voor op te passen. Op dit gebied heeft Mozilla echter een keurig verleden. (Als je wel zo'n lek vindt, krijg je 1000 dollar oid.)

Manuel schreef:
Z_God schreef:Je kan bijvoorbeeld niet op iemand's computer terecht komen, zonder dat die persoon eerst zelf iets verkeerd gedaan heeft.

'Iets verkeerd doen' bestaat er dan ook uit om daarvoor gevoelige software niet up to date te houden, en dan nog: 100% veilgheid bestaat niet, dud kun je beter iets te veel beveiligingsmaatregelen treffen, dan precies genoeg, vandaar dat ik het wel zinnig vind om Flash even uit te schakelen.
100% veiligheid kan natuurlijk altijd bestaan, zeker als de stekker eruit is. Ik tref zelf nooit aparte maatregelen voor zulk soort beveiliging. Ik vind dat probleem enigszins overrated, maar misschien is dat mijn mening.

Manuel schreef:Het gaat me er niet om wie gelijk heeft, het ging me er om om de mensen hier te waarschuwen.

Dat begrijp ik. Ik vind echter dat het probleem met Flash minder erg is dan het op het eerste oog lijkt bij het woord "veiligheidslek". Daarnaast wil ik erop wijzen dat er veel meer problemen met je systeem zijn als zo'n lek al een probleem kan opleveren en dat het belangrijker is dat die aangepakt worden.

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 December 2004, 20:16
Locatie: Alkmaar, Nederland

Berichtdoor Manuel » 4 September 2007, 0:21

Okee,

ik heb de indruk dat je zelf wat meer kaas van zulk soort zaken hebt gegeten dan ik, en soep wordt wat dit betreft vaak wat heter opgediend dan ze gegeten wordt.

Ik bedoel: ik kan niet echt goed beoordelen hoe ernstig dit lek zou kunnen zijn, en 1 lek of lekje is meestal ook niet voldoende om een machiene te compromiteren, het is vaak een aaneenschakeling van kwetsbaarheden.

En/of een gebruiker die maar raak klikt, en/of een brak OS.

Toch denk ik dat het goed is om te weten dat er een lek is wat al langere tijd niet opgelost wordt.

Weet jij trouwens hoe dat zit met het alternatief Gnash + veiligheid??? Ben daar wel nieuwsgierig naar.

Ook nieuwgierig wat jij voor OS gebruikt (zal ik gerust hier op forum wel eens gelezen hebben, maar zulke dingen vergeet ik weer).

Gebruikersavatar
Z_God
Berichten: 417
Lid geworden op: 12 Oktober 2003, 22:36
Locatie: Enschede

Berichtdoor Z_God » 4 September 2007, 22:15

Manuel schreef:Okee,

ik heb de indruk dat je zelf wat meer kaas van zulk soort zaken hebt gegeten dan ik, en soep wordt wat dit betreft vaak wat heter opgediend dan ze gegeten wordt.

Ik bedoel: ik kan niet echt goed beoordelen hoe ernstig dit lek zou kunnen zijn, en 1 lek of lekje is meestal ook niet voldoende om een machiene te compromiteren, het is vaak een aaneenschakeling van kwetsbaarheden.

En/of een gebruiker die maar raak klikt, en/of een brak OS.

Toch denk ik dat het goed is om te weten dat er een lek is wat al langere tijd niet opgelost wordt.

Dit is zeker waar. Het is een enorme blunder van Macromedia. Maar ik wilde enigszins aangeven dat het niet echt nodig was om hiervoor heel Google Video, Youtube, enz. te moeten missen ;)
Ik kan me voorstellen dat ik wat meer met dit soort dingen mee bezig ben inderdaad. (Begin net met een mastertrack Computer Security)

Manuel schreef:Weet jij trouwens hoe dat zit met het alternatief Gnash + veiligheid??? Ben daar wel nieuwsgierig naar.

Ik heb geen flauw idee. Ik vermoed dat Gnash, ook omdat het een herimplementatie is, maar ook omdat het open source is, in de praktijk veiliger zal zijn dan Macromedia's Flash.

Manuel schreef:Ook nieuwgierig wat jij voor OS gebruikt (zal ik gerust hier op forum wel eens gelezen hebben, maar zulke dingen vergeet ik weer).

Zou kunnen dat ik het niet eerder gepost heb hoor. Ik ben ook verschillende keren van OS gewisseld sinds ik hier post.
Ik draai nu Kubuntu (zowel Feisty als Dapper op verschillende systemen). Een sterk punt van Ubuntu is de policy dat er standaard geen enkele service draait. Dit zorgt voor een zeer robust systeem "out of the box".

Voor een veilig & stabiel systeem adviseer ik op dit moment Kubuntu Dapper.

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 December 2004, 20:16
Locatie: Alkmaar, Nederland

Berichtdoor Manuel » 4 September 2007, 23:56

Z_God schreef:
Manuel schreef:Okee,

ik heb de indruk dat je zelf wat meer kaas van zulk soort zaken hebt gegeten dan ik, en soep wordt wat dit betreft vaak wat heter opgediend dan ze gegeten wordt.

Ik bedoel: ik kan niet echt goed beoordelen hoe ernstig dit lek zou kunnen zijn, en 1 lek of lekje is meestal ook niet voldoende om een machiene te compromiteren, het is vaak een aaneenschakeling van kwetsbaarheden.

En/of een gebruiker die maar raak klikt, en/of een brak OS.

Toch denk ik dat het goed is om te weten dat er een lek is wat al langere tijd niet opgelost wordt.

Dit is zeker waar. Het is een enorme blunder van Macromedia. Maar ik wilde enigszins aangeven dat het niet echt nodig was om hiervoor heel Google Video, Youtube, enz. te moeten missen ;)
Ik kan me voorstellen dat ik wat meer met dit soort dingen mee bezig ben inderdaad. (Begin net met een mastertrack Computer Security)

Kijk, zie je wel. Bij mij is het louter van overal en nergens samengeraapte kennis, en door de jaren heen een steeds meer groeiend bewust zijn van veiligigheid of het ontbreken daarvan, en een beetje gezond verstand, natuurlijk :)

Z_God schreef:
Manuel schreef:Weet jij trouwens hoe dat zit met het alternatief Gnash + veiligheid??? Ben daar wel nieuwsgierig naar.

Ik heb geen flauw idee. Ik vermoed dat Gnash, ook omdat het een herimplementatie is, maar ook omdat het open source is, in de praktijk veiliger zal zijn dan Macromedia's Flash.

Dat klinkt zeker logisch!

Z_God schreef:
Manuel schreef:Ook nieuwgierig wat jij voor OS gebruikt (zal ik gerust hier op forum wel eens gelezen hebben, maar zulke dingen vergeet ik weer).

Zou kunnen dat ik het niet eerder gepost heb hoor. Ik ben ook verschillende keren van OS gewisseld sinds ik hier post.
Ik draai nu Kubuntu (zowel Feisty als Dapper op verschillende systemen). Een sterk punt van Ubuntu is de policy dat er standaard geen enkele service draait. Dit zorgt voor een zeer robust systeem "out of the box".

Voor een veilig & stabiel systeem adviseer ik op dit moment Kubuntu Dapper.

Waarvoor dank! In een andere topic ik iets gevraagd over Debian, ik zie dat je daar op gereageerd hebt, ga ik nu lezen.


Terug naar “Veiligheid op Internet”