[admin] bedankt, het is aangepast[/admin]
Mooi zo.. :)

Nee, Nmap, dat is een scanner!

Boeiend eigenlijk, die sniffer, die kan je toch niet als
service draaien? Of weet ik er te weinig vanaf?

Het is echt zo'n progsel wat je af en toe eens opstart, meer
niet.
Ook zijn het dus geen remote te exploiteren lekken. En op
een doorsnee werkstation op het werk staat het niet eens
geinstalleerd dus niemand die er daar misbruik van kan maken
om local admin of SYSTEM te kunnen worden.

Daar lijkt het op

[quote[Het is echt zo'n progsel wat je af en toe eens opstart, meer
niet.
Ook zijn het dus geen remote te exploiteren lekken. En op
een doorsnee werkstation op het werk staat het niet eens
geinstalleerd dus niemand die er daar misbruik van kan maken
om local admin of SYSTEM te kunnen worden.[/quote]
Het is waar dat de meesten dit niet constant aan zullen hebben staan en
daardoor risico vrij laag is.

Maar Ethereal moet over het algemeen volledige rechten hebben op het
systeem om de netwerk kaart in promiscuous mode te zetten, en om alle
data van de netwerkkaart te ontvangen.. De impact is dus zeer groot.

Daarbij kan ethereal gebruikt worden om bijv. verdacht netwerkverkeer weer
te geven. Het is dus lucratief voor een aanvaller om ethereal te laten
crashen.

Het overnemen van het systeem van iemand die Ethereal draait is ook wel
aardig. Dat kan dus gewoon. Het is dan wel geen server, als het lekken
heeft in code voor het analyseren van netwerkverkeer, kan een aanvaller
specifiek netwerkpackets genereren die fouten in Ethereal exploiteert. Niet
eenvoudig, maar zeker wel mogelijk.

Het is dus /wel/ een remote te exploiteren lek. Alle bugs die getriggered
kunnen worden zonder dat je fysiek toegang hebt, of een login account op
die machine hebt vallen onder de categorie Remote exploit.

Als etherreal niet crashed dan zie je die aanval packets
gewoon als je niet filtert tenminste.

Ik vind dit vergezocht, in theorie is dit mogelijk maar een
aanvaller die een etherreal even wil overnemen kan soms
lang wachten volgens mij.

Enigszins heb je gelijk maar onderschat het niet.. Zo zijn er technieken om
te achterhalen of een systeem in promiscuous mode draait (zoals L0pht
antisniff: http://www.packetstormsecurity.org/sniffers/antisniff/)... het is
mogelijk voor een serieuze aanvaller om dus te detecteren wanneer er een
sniffer draait. Ik denk dat Ethereal behoorlijk veel gebruikt product is.
Het is dus denkbaar dat iemand automatisch detecteerd wanneer ethereal
is opgestart.. Als er een betrouwbare exploit opduikt, of als de aanvaller er
een kan maken is het te doen.

Veel bugs klinken in theorie ingewikkeld en zijn dat ook, maar zodra iemand
een betrouwbare exploit maakt is het kinderspel.

Wat je natuurlijk ook kan doen... Tussen de aanvallen door wat van dit soort pakketjes sturen.. Een eventuele admin die probeert te analyseren wat er aan de hand is zal dan raar op z'n neus kijken als z'n machine ineens mee gaat doen met de aanvallen...