Uhm..... Dit is dus al een tijdje zo..... Vroeger, toen ik
nog hacker wilde worden, heb ik ook wel eens een 0-day
gehad. Niks nieuws dus. Nu is deze alleen gebruikt voor een
virus. Slecht van degene die het lek heeft ontdekt. Blijkt
dus dat diegene niet netjes met deze info is omgegaan.

als de bug bekend is is het toch geen zero day exploit meer?!

mijn definitie van een zero day is nog altijd een sploit voor een bug die niet
bekend is bij het grote gros.

Een 0-day is een 0-day als de bug gevonden is, maar er nog
geen patch voor is.
Deze bug was overigens ook niet bekend bij het gros.

0-day exploit is een de shell code die is gemaakt maar nog
niet bekend is bij het publiek. Heeft niets met de bug te
maken.
0-day exploit blijft zolang 0-day tot script kiddies of
virus makers hem in handen krijgen.

0-day exploit hoeft langer niet altijd een shell code te
genereren.....

0-day is het zelfde als hacker...
iedereen zijn eigen benaming ervan..

1 ding is zeker,
als je bug zelf vind en zelf exploit schrijft... is ie 0-day :)

true :)

Uit http://www.tech-faq.com/miscellaneous/0-day.shtml

Dit is geen virus.

Voor iets slechts dan.... Idee blijft hetzelfde.

Geen hond nog horen praten over hoe organisaties met deze vorm van
bedreiging om moeten gaan. Laten we daar eens een boom over opzetten,
want dat is pas interessant, niet waar?

Ik zeg Intrusion Prevention d.m.v. bijvoorbeeld:

1) Cisco Security Agent
2) Internet Security Systems SiteProtector;
3) McAfee VirusScan 8.0i

Wie reageert?

Ik denk dat alles valt of staat met een goed patch management. Een IDS/IPS
zou ook goed kunnen helpen.

Nee, een 0-day attack gaat over een exploit waar nog geen patch voor
bestaat. Dus dan valt er niets te managen.... Je zult je moeten beschermen
tegen een exploit op een kwetsbaarheid zonder het hebben van een patch.

Een IPS is dan dus de enige optie die er nog is, naast het afsluiten van de
Internet-connectie.

Volgens mij zijn 0-day exploits zaken waar je je per definitie niet tegen kunt
verdedigen. Het beste is de inbraak snel te detecteren... (en het uiteraard zo
moeilijk mogelijk te maken)

Wat dachten jullie van Sentarus in combinatie met een Cisco PIX .
Op deze site http://www.demarc.com is meer te vinden over de IDS/IDP
Sentarus die is gebasseerd op een Snort Engine in combinatie met een self
vulnerability test die is gebasseerd op Nessus! Automatic update van Rules
en Nessus.

Mzls http://www.prosolit.nl

aaah buzzwords

Hoe komt het toch dat beheerders zo geil zijn op open source oplossingen,
ook wanneer het gaat om niet MS-functionaliteiten zoals IPS, etc. Er lijkt een
enorme aversie te bestaan tegen A-producten.

Anyway, SNORT is een baggerproduct dat werkelijk voor geen meter performt
t.o.v. bijvoorbeeld ISS. Bovendien biedt SNORT geen geïntegreerde
oplossingen die end-to-end security verzorgen, zoals Cisco dat wel doet met
haar AVVID en SAFE architectuur.

SNORT is idd eerder een wardrive tooltje...

Around the Clock Monitoring by Experts (24x7x52),
heeeel erg duur :|

Degene die dit nieuwbericht heeft gepost leeft dus al een aantal jaar onder
een steen.
- cynic_

En welke onderbouwing heb je voor deze claims? Vooral wat
betreft de performance ben ik benieuwd naar wat jij dan
draait en op welke hardware jij performance problemen met
snort krijgt. En stop alsjeblieft met unproven
marketingspeak als "end-to-end security".

Nog afgezien daarvan is IDS een achterhaalde technologie die
je op zijn hoogst wat inzicht geeft in wat voor traffic er
over je netwerk gaat.
Zeker gezien de prijzen die ISS durft te vragen voor haar
producten vind ik dat wat je er voor terug krijgt ernstig
tegen valt. Dan is snort ook een prima product.

En dan wil ik het qua sensor deployment maar helemaal niet
hebben over het gebruik van Windows...

Juh, idd. Mensen hier zouden goede inwoners zijn van de
vroegere sovjet unie!

Oeps, verkeerde schermpje :-D

In dat geval zou ik voor Intrusion detection kiezen. Er zijn vele soorten van
Intrusion detection waarbij altijd weer geldt, wel risico vind ik aanvaardbaar.

In de praktijk kan veelal gekozen worden voor SIV of of LFM. Wanneer je niet
met deze terminologie bekend bent kun je beter naar een ander topic
bladeren.

Wel prettig dat er steeds meer forum bezoekers zijn die de werkelijke
problematiek onder de aandacht brengen, in plaats van zinloze discussies te
starten.

Een goede firewall, die zo veel mogelijk alleen verkeer door
laat waarvan bekend is dat het naar waarschijnlijkheid niet
schadelijk is. En dan bedoel ik natuurlijk een firewall die
ook zo veel mogelijk ook op content-niveau scant, de tijd
dat een firewall alleen poortjes open en dicht gooit is wel
voorbij.

Liefst wil je dat zoiets ook gewoon (uiteraard in overleg
met het eigen systeembeheer) beheerd wordt door een bedrijf
dat zich op dat gebied specialiseert. Het is voor de
'gewone' middelgrote/grote bedrijven simpelweg niet doenbaar
op de hoogte te blijven van alle nieuwe security-ontwikkelingen.

heeft niks met shell code te maken, is een algemene term voor een exploit
die niet openbaar is of opeens openbaar is en er geen remedie voor is op
dat moment.

Hoe kan een IPS/IDS een 0-day herkennen? Dat kan dus niet, daar is het een
0-day voor.

Dat is onjuist. Wanneer een IPS kan zien aan een stukje code wat het effect
zal gaan zijn bij uitvoering ervan (een buffer overflow bijvoorbeeld), kan de IPS
actie ondernemen en ervoor zorgen dat de code niet wordt gerund. Dat is dus
onafhankelijk van het wel of niet beschikbaar zijn van patches, en zelfs
onafhankelijk van het wel of niet bekend zijn van een specifieke
kwetsbaarheid.

SNORT heeft een slecht track record wanneer het gaat om herkenning van
aanvallen. Dat bedoel ik met slechte performance. IDS is achterhaald
inderdaad. Met detectie alleen ben je er niet. Vandaar IPS.

Ik durf echter wel te stellen dat ISS en Cisco meer geïntegreerde
oplossingen bieden dan dat SNORT doet. En of SNORT dan goedkoper is is
wat mij betreft irrelevant wanneer er niet tegelijkertijd wordt gesproken over
de waarde van de te beschermen 'assets'.

Nog meer buzzwords, laat het vertrouwen je maar inpakken.

Vooral door termen te gebruiken die binnen IDS
classification wat meer obscuur zijn voor de gem internet junk.

Laat je nou eens niet misleiden door marketing, leer eens
vissen. De techniek van het beheersen van events/incidents
zit hem in de basis. En een goede basis begint bij
onafhankelijkheid.

Oh, en nog iets over SNORT. Stel je bent een middelgrote organisatie,
werkplekje of 700, met een ICT-afdeling van een man of 10. De organisatoe
hangt aan het internet: browsen, mailen, site-to-site VPNs, remote access
VPNs voor thuiswerkers met Tokens, eCommerce mogelijkheden, met
betaling, voor klanten met een web applicatie gekoppeld aan een real time
database. Om de beveiliging op te krikken overweegt het bedrijf het inzetten
van een IPS. De vraag is of SNORT een serieuze, professionele optie is.

Ik ga als verantwoordelijke ICt-manager eens kijken op het Internet, zoek
naar SNORT en kom terecht op snort.org. Dat ziet er goed uit zeg! Er staat
mooi uitgelegd wat het doet, kan, waar het geschik voor is, etc. Precies wat je
allemaal wilt weten over de oplossing die het kostbare bedrijfsnetwerk moet
gaan beschermen. NOT.

Ik zoek verder op Nederlandse sites. Wat vind ik? Nagenoeg niets. Wat
techno blabla in de marge van een e.o.a. hobby-bob die een Linux doos wil
opbouwen. Geen betrouwbare organisaties die zich profileren.

Wanneer ik SNORT zou willen implementeren, dan ben ik afhankelijk van
een zwik over de wereld verspreide hobbyisten, veelal ultra-techneuten een
e.o.a. Engelstalig boek over SNORT, forums, etc. Kennis, kunde en ervaring
is nergens geborgd in een formeel afspreekpunt zoals een leverancier of een
ICT-partner.

Hmm, ik geloof dat ik als ICT-manager daar mijn kop niet voor op het hakblok
ga leggen.

Welterusten, ga jij je studiegeld maar ophalen ...

LOL

Inderdaad... maar journalisten gaan het woord 0-day verkrachten net als ze
met het woord hacker hebben gedaan.

Dus wat sommige als echte 0-day wordt gezien zal straks door media,
bedrijfsleven en security consultans met stropdas als niet bestaand worden
beschouwd :-)

Wat ik me afvraag is waarom je als ICT Manager van een niet zo'n heel erg
grote organisatie je ueberhaupt een IDS zou willen aanschaffen? Ik adviseer
klanten om er niet aan te beginnen. Het gaat helemaal niet om de kosten van
aanschaf, maar de kosten om er effectief gebruik van te kunnen maken en
om de uiteindelijk beperkte bruikbaarheid van de resultaten. De kosten zijn
zeer hoog, voornamelijk beheerkosten, te hoog om het middel te
rechtvaardigen. Er zijn betere (beveiligings-)doelen waar je geld aan kan
spenderen.

Snort en andere IDS-en lopen vaak achter de feiten aan en wat heb je er dan
nog aan? Als het voorop zou lopen moet je met de false positives om kunnen
gaan en dat vergt specialistische kennis. Als je het installeert en niet meer
naar omkijkt mag je hopen dat je wat aan de logs hebt - op het moment dat je
gehacked bent. Maar waarschijnlijk zat je net naar het verkeerde te kijken.
Dan geven logs van de firewall misschien nog meer informatie.

IDS is prachtig speelgoed, er kan goed aan worden verdiend en je kunt er fijn
mee hobbyen, maar je verliest als verkoper al snel het respect van de koper
wanneer die merkt dat het duur betaalde resultaat maar mager is.

Ik ben het gedeeltelijk met je eens. Beheerbaarheid is van groot belang en
veel IDP/IPS' en voldoen hier niet aan. Zeker wanneer het aan kennis
ontbeert.

Wat vind je van de nieuwe Cisco-oplossing (Cisco Security Agent).

quote: IDS is prachtig speelgoed, er kan goed aan worden verdiend en je
kunt er fijn
mee hobbyen, maar je verliest als verkoper al snel het respect van de koper
wanneer die merkt dat het duur betaalde resultaat maar mager is. :endquote

E.e.a wordt ook veroorzaakt door op voorhand ernstig overschatte risico's.
Wanneer je denkt vele honderden aanvallen per dag te krijgen en het blijkt er
nauwelijks één per week te zijn dan moet je dat niet aan het product wijten,
maar eerder aan het ontbreken van een gerechtvaardigde risico analyse.

Hmm, ik denk dat er bij veel bedrijven eerder sprake is van onderschatte
risico's.

help ik heb geen tijd maar mijn baas eist van mij een 100 %
veilig gebruik van onze IT infrastructuur. Daarom vertrouw
ik maar op implementatie van commercieele reuzen. Want die
kan ik namelijk wel 24/7 bereiken en als het moet zelfs de
schuld geven (helaas zitten de contracten anders in elkaar
maar je managed perceptie dus dat maakt ook niet zoveel uit).

Een risico analyse is een goed begin om te werken aan een
solide basis.

over het niet kunnen preventeren van 0-day's, in sommige gevallen is het
mogelijk jezelf voor o-day's te beschermen. je kan sommige functies /
bestand beveilegen tegen dit soort dinge. Denk hierbij maar aan het
uitschakelen van register_globals in je php configuratie. Hiermee voorkom je
een hoop 0-day exploit's voor phpbb forums omdat veel lekken via deze
functie komen. dit is alleen een voorbeeld maar het geeft wel aan dat een 0-
day niet altijd hoeft te werken en dat je je ertegen kunt beveilegen

Wanneer begrijpt nou eindelijk eens iemand hier in dit forum dat het niet ging
om snort in mijn bericht maar om het Product Sentarus wat is gebouwd op
een snort engine. Mensen, kennis begint bij begrijpend lezen! Alvorens je
commentaar wil leveren kun je beter eerst een cursus begrijpend lezen
volgen. Als zo de berichten gelezen worden over lekken in jullie OSsen dan
kan ik begrijpen dat er mensen zijn die 0sec virussen en exploits de 2e dag
ook nog een schadelijke exploit laten zijn, en deze als nog verspreiden.
Eigenlijk als iedereen het goed voor elkaar heeft hebben we alleen maar te
maken met 0secs, als iemand na deze dag nog besmet raakt door dat virus
dan heeft hij zijn systeem niet gepatched of de virusscanner niet bijgewerkt
(moeten de software leveranciers wel adequaat reageren en binnen 1 dag
een patch of update uitbrengen, helaas is dat ook nog errug vaak een
probleem)!

Voor de mensen die toch nog intresse hebben http://www.demarc.com