Dat is wel de domste naam die ik in tijden ben tegengekomen.

" I noticed that the hackers weren't attacking the sites by their domain
names but by their IP addresses. I was sure there was an automated tool
out there systematically trolling through my IP pool looking for something
listening on port 80. So, I thought, why not route all the IP:80 requests to a
dead end in cyberspace? I then used host headers to do exactly that and
called it Hackerbasher.

Legitimate users don't normally go to a Web site by typing an IP address,
but automated tools do. "


Geniaal! NOT!

In elke hardening paper, best practises en gewoon gezond verstand, weet
je gewoon dat je default websites of disabled of op een foutpagina laat
uitkomen.

Sterker nog, bij APACHE (niet bedoelt voor pro-opensource/pro-wintendo
discussies) specificeer je waar je logs naar toe gaan per VHOST (tenzij je
niet weet wat je aan het doen bent).

Dus de kans dat je per ongeluk een scan in de logs van je vhost te zien
krijgt die niet TARGETTED was (dus IP scanned) is vrijwel uitgesloten.
(maar weinig excepties te verzinnen)

Ik denk dat dit artikel slechts aangeeft op welk nivo intern bij microsoft men
denkt over beveiliging.
Indien je engineers van dit nivo hebt, zou je eens sterk achter je oren
moeten gaan krabben.

wat maakt die naam nou uit, artikel lezen en een glimlach op
je kop zetten :)

Nog leuker, voor als je webserver wordt benaderd op IP adres maar je wilt dit niet:

<VirtualHost *>
ServerName IP.adres.xxx.xxx
ServerAdmin [email]webmaster@domein.tld[/email]
DocumentRoot /dev/null
ErrorLog /var/log/apache/IP-error.log
CustomLog /var/log/apache/IP-access.log common
</VirtualHost>

Zo wordt alles dat op IP adres wordt aangevraagd keurig naar /dev/null verwezen, en er komt keurig een melding van in de Error Log.

Oke, toegegeven, het is geen hele nette oplossing, maar wel errug effectief.

En dat is de belangrijkste observatie!

Niet alleen begrijpt men bij Microsoft helemaal geen drol
van security, ook rommelt men met allerlei
internetstandaarden...

Na het lezen van de titel had ik verwacht dat er eindelijk een simpel en
doeltreffend middel was verzonnen om hackers te "bashen", in mijn
interpretatie: een even ferme automatische response als de poging.

Maar helaas. Ook dit artikel is weer van het bijzonder simpele Microsoft
kaliber. Wanneer komen zij toch eindelijk eens met een echte guide die
alles omvat. Dus ook:
- ip-stack tunen
- echt alle anonymous access permissions de deur uit
- alle zaken die via een reactie laten zien dat het een IIS doos is eraf
- etc..

Zucht, ik had even hoop maar het is weer hetzelfde liedje... :(

Aangezien er nog steeds meer linux machine's aangevallen worden zou
een Hackerbash voor linux ook geen overbodige luxe zijn. Maar ja alle
Linux fanaten zijn ook zo professioneel dus dat zal wel niet hoeven..

hoho, windows van microsoft was toch het meest gebruikte
besturingsysteem ? En daarom worden windows systemen toch
het meest aangevallen ? Dat waren toch de cijfers ?
Jullie blaters veranderen ook van uur tot uur van mening !
Ik ben bekend met beide maar dit spant toch echt de kroon !

"Aangezien er nog steeds meer linux machine's aangevallen
worden zou een Hackerbash voor linux ook geen overbodige
luxe zijn."

Bij ons heet het "Hardening". Welkom in de UNIX wereld! En
'bei uns ist alles besser' ;)

Dit is zeker een Linux fanaat waarin gebruiken van een besturingssysteem
gelijk is aan aanvallen.

Het leest eerder als een Windowsfanaat, die altijd panisch
bang zijn voor aanvallen en achter elke steen een monster
zien. :)

"een strategie waarbij HTTP 1.1 host headers gebruikt worden
om aanvallen op port 80 af te wenden en door te sturen zodat
ze geen schade kunnen veroorzaken."

Dat noemen we een simpele redirect :)

Zucht ... MS leert het ook nooit.. wat een stelltje amateurs.

Kleine correctie: dit noemen we een simpele
conditionele redirect.

Of je mensen moet weren die op IP surfen lijkt me geen strak
plan. Dan verword je bereikbaarheid zwaar afhankelijk van de
DNS waardoor de oorspronkelijke kracht van internet
verloren gaat. Zoals men wellicht weet is
juist de kracht van internet operationeel te blijven in
tijden van crisis en wanneer er gaten geslagen worden in het
netwerk. Deze kracht zit hem nu juist enkel op enkel
IP-basis. Om afhankelijk te gaan worden van hostnames is in
dat opzicht geen strak plan en zelfs af te raden.

Je ziet hier dus duidelijk dat bij Microsoft mensen de kans
krijgen scriptkiddie oplossingen te verzinnen en daar een
fluffy naampje aan te geven.......

Leuk verzonnen, leuk gespeeld met het protocol, maar niet
geheel het top van een echt technisch persoon denk ik.

Dan nog over de discussie Linux - Windows machines die het
meest worden aangevallen:

- Linux wordt het meest gebruikt als webserver, waar dit
artikel dan ook over gaat

- Windows wordt veelal gebruikt door thuisgebruikers die ook
hun PC direct aan internet hebben hangen (zonder firewall,
of een slechte geconfigureerde (zoals WiFi out of the box ) ).

Dit is dus het hele verschil, beide worden het meest
aangevallen maar dan wel weer door verschillende
eigenaardige aanvallen. Windows door wormen en andere
malware. Linux webservers door scripts die zoeken op
exploits of door crackers die gericht zoeken naar lekken in
de beveiliging.

Een betere oplossing dan de Hackerbasher zou zijn, dat je je
firewall (voor de webserver dus) door middel van bijv. Snort
of andere IDS oplossingen laat controleren. Daarmee is elk
script dat op IP-adres zoekt of direct aanvalt opgemerkt en
eventueel meteen te niet gedaan door een extra regel in je
firewall.

- Unomi -