Prosa's sikkerhedsside
gats
Alex Holst
> Her er mange gode oplysninger at læse: www.1984.dk
Gode? Det er en gang bras.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
Peter Makholm
> Her er mange gode oplysninger at læse: www.1984.dk
Når nu Alex har kommet med den udførlige version, så vil jeg bare
komme her med nogle korte tanker.
Jeg kan godt forstå at Prosa har en særlig interesse i at udtale sig
om lovforslaget. Dels har de en særlig baggrund for at kunne påvise
nogle problemer i forslaget og dels vil deres medlemmer let kunne
blive sat i en etisk ubehaglig situation på grundlag af forslaget.
Slutresultatet er dog noget mudret. Jeg kan altså ikke se relevansen
af hvorfor man får spam og hvorfor cookies er onde, som bare er to af
emnerne ovenstående sider beskæftiger sig med.
Det er en underlig sammenblanding af mål, midler og 'nu når vi
alligevel er igang'. Jeg tror at Prosa ville kunne protestere meget
mere effektivt ved netop at holde sig til hvad det handler om og hele
tiden klart gøre det klart for læseren hvad relevansen for
rockerforslaget er.
Men måske er Prosas egentlige interesse bare at piggy-bagge på et hot
emne for at banke noget sikkerhed ind i hovedet på folk. Og så kan man
sikkert længe diskutere det moralske i det, hvilket jeg dog vil
undlade.
--
Peter Makholm | Sit back and watch the messages. This is actually
pe...@makholm.net | more important than one might think as there is a
http://hacking.dk | bug in GNU Mach whereby hitting a key during the
| boot process causes the kernel to panic
| -- GNU Hurd Installation Guide
Lasse Reichstein Nielsen
> gats <Ga...@nospam.xx> wrote:
> > Her er mange gode oplysninger at læse: www.1984.dk
>
> Gode? Det er en gang bras.
Jeg synes de er lidt sjovt, at under "beskyt dig selv" er titlen på
højre spalte "Hvad er truslerne". Nummer to på listen er "Firewalls". :)
/L
--
Lasse Reichstein Nielsen - l...@hotpop.com
Art D'HTML: <URL:http://www.infimum.dk/HTML/randomArtSplit.html>
'Faith without judgement merely degrades the spirit divine.'
Stig Meyer Jensen
"gats" <Ga...@NoSpam.xx> wrote in message news:bad505$9h7$1...@sunsite.dk...
> Her er mange gode oplysninger at læse: www.1984.dk
Ja for pokker da jeg har lært mange nye ting... fx:
"Politiet får lov til at aflytte alt, du foretager dig på din pc. Kryptering hjælper ikke. "
Ok... så kryptering hjælper ikke. Så kan vi vist godt pakke alt det skidt sammen. LOL.
--
Stig Meyer Jensen
stig@mine_3_initialer.dk
Kasper Dupont
>
> Kryptering hjælper ikke.
Står det i loven?
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaa...@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);
Rune B. Broberg
> Stig Meyer Jensen wrote:
>>
>> Kryptering hjælper ikke.
>
> Står det i loven?
Hvis det er nogenlunde svarende til udenlandske forhold, er det noget i
retning af "Hvis du ikke udleverer nøglen til dine krypterede data,
dømmes du på grundlaf af ikke at ville samarbejde." .. uheldigt for
retssikkerheden, IMO, men det er vores regering jo eksperter i ;)
--
Rune B. Broberg
Feel free to GPG-encrypt email sent to me. Keyid: 0x87CD3DBD
Alex Holst
> "Politiet får lov til at aflytte alt, du foretager dig på din pc.
> Kryptering hjælper ikke. "
Det er for saa vidt korrekt. Naar modstanderen er i besiddelse af
dekrypteringsnoeglen er spillet slut. Ikke engang chokolade hjaelper.
Henrik Walther
>> Her er mange gode oplysninger at læse: www.1984.dk
>
> Gode? Det er en gang bras.
Særligt nederste link under firewall sektionen ;-)
--
Henrik Walther
http://www.winjunkie.net
Stig Meyer Jensen
"Alex Holst" <a...@mongers.org> wrote in message news:1tspp-...@miracle.mongers.org...
> Stig Meyer Jensen <stig@mine_3_initialer.dk> wrote:
> > "Politiet får lov til at aflytte alt, du foretager dig på din pc.
> > Kryptering hjælper ikke. "
>
> Det er for saa vidt korrekt. Naar modstanderen er i besiddelse af
> dekrypteringsnoeglen er spillet slut. Ikke engang chokolade hjaelper.
Heller ikke selv om den er for dyr og fra Belgien? :)
Anyways ... så skal politiet vel stadig have en begrundet mistanke om at du gør noget ulovligt før de kan kræve at få udleveret nogen som helst ting? (deriblandt dekrypteringsnøgle / kodeord)
BB
news:a2ipp-...@miracle.mongers.org...
Jeg giver jer begge ret. Der er nogle informationer som jeg syntes er
interessante. Men deres mening, om vores retssikkerhed bliver dårligere, ved
at politiet får flere beføjelser, til at efterforske kriminalitet, syntes
jeg er noget bras.
Det er det samme som et overvågningskamera. Hvis der sker/vil ske noget
kriminelt, bruges det. Ellers bruges det ikke.
Så længe jeg har ret til at "edb-sikre" mig, og har rent mel i posen, så har
jeg ikke noget at være bange for.
Just my 10 cent.
VH
Brian Bjerg
København
*Remove NOSPAM in my mail address for personal mail.*
Norton AntiVirus is sending my email.
Stig Meyer Jensen
> Stig Meyer Jensen wrote:
> >
> > Kryptering hjælper ikke.
>
> Står det i loven?
Det kunne da ellers være meget fikst; og så kunne de putte "resistance is futile!" et par linier længere nede.
Personligt har jeg lidt svært ved at se hvordan politiet overhovedet vil gøre noget. Jeg fandt det her:
"Det foreslås at ændre reglerne, så der bliver adgang til at foretage dataaflæsning i alle sager om lovovertrædelser, der efter loven kan straffes med fængsel i 6 år eller derover, i sager om forsætlig overtrædelse af straffelovens kapitel 12 (forbrydelser mod statens selvstændighed og sikkerhed) eller kapitel 13 (forbrydelser mod statsforfatningen og de øverste statsmyndigheder) samt i sager om tyveri af grov beskaffenhed eller skattesvig, momssvig og indsmugling af særlig grov karakter. "
Dvs. de skal først have en konkret sag, som kan give 6 års fængsel eller mere for at de må gøre noget som helst. Jeg har svært ved at se hvordan de skal finde grundlag til sådan en sag og så skal de vel stadig have en begrundet mistanke til at du bliver dømt for at kunne tvinge dig til at dekryptere data...
Men jeg kan jo blive klogere - se fx. Valus-sagen ;)
Btw "Kryptering hjælper ikke" er ikke noget jeg har sagt ... det var citeret fra 1984. Nu bliver jeg sikkert fængslet fordi jeg glemte at angive kilden :)
Alex Holst
> "Alex Holst" <a...@mongers.org> skrev i en meddelelse
> news:a2ipp-...@miracle.mongers.org...
>> gats <Ga...@nospam.xx> wrote:
>> > Her er mange gode oplysninger at læse: www.1984.dk
>>
>> Gode? Det er en gang bras.
>>
> interessante.
Din erfaring med datasikkerhed er begraenset?
> Men deres mening, om vores retssikkerhed bliver dårligere, ved
> at politiet får flere beføjelser, til at efterforske kriminalitet, syntes
> jeg er noget bras.
Den diskussion hoerer hjemme i dk.politik
Kim Petersen
> Stig Meyer Jensen wrote:
>
>>Kryptering hjælper ikke.
>
>
> Står det i loven?
Ja, det gør der faktisk:
" Ved dataaflæsning får politiet bl.a. mulighed for at læse elektroniske
meddelelser, som sendes fra en mistænkt via en computer, før der sker
kryptering. Dataaflæsning kan f.eks. ske ved anvendelse af
"snifferprogrammer"."
>
--
Med Venlig Hilsen / Regards
Kim Petersen - Kyborg A/S (Udvikling)
IT - Innovationshuset
Havneparken 2
7100 Vejle
Tlf. +4576408183 || Fax. +4576408188
BB
> BB <B...@ishoejnospamby.dk> wrote:
> > "Alex Holst" <a...@mongers.org> skrev i en meddelelse
> > news:a2ipp-...@miracle.mongers.org...
> >> gats <Ga...@nospam.xx> wrote:
> >> > Her er mange gode oplysninger at læse: www.1984.dk
> >>
> >> Gode? Det er en gang bras.
> >>
> > Jeg giver jer begge ret. Der er nogle informationer som jeg syntes er
> > interessante.
>
> Din erfaring med datasikkerhed er begraenset?
Hvad bygger du det på?
Jeg snakker om loven:
http://www.ft.dk/?/Samling/20021/lovforslag_oversigtsformat/L218.htm
Du har en mangel på æøå ;-)
Alex Holst
>> Din erfaring med datasikkerhed er begraenset?
>
> Hvad bygger du det på?
> Jeg snakker om loven:
> http://www.ft.dk/?/Samling/20021/lovforslag_oversigtsformat/L218.htm
Aha. Jeg antog at du var on topic for gruppens emne, og talte om
sikkerhedsraadene paa 1984.dk
> Du har en mangel på æøå ;-)
Det er en arbejdsskade.
Thomas Strandtoft
> Dvs. de skal først have en konkret sag, som kan give 6 års fængsel eller mere for at de må gøre noget som helst. Jeg har svært ved at se hvordan de skal finde grundlag til sådan en sag og så skal de vel stadig have en begrundet mistanke til at du bliver dømt for at kunne tvinge dig til at dekryptere data...
Hvad er straframmen for at nægte at dekryptere?? ;-)
--
Hygge..
Thomas
<http://www.carftp.com> - a library of car videos.
Peter Makholm
> Hvad er straframmen for at nægte at dekryptere?? ;-)
I siger vel ikke at rockerloven (som vi vist taler om, ikke) også
føler sig hævet over til at man ikke kan tvinges til at medvirke til
at inkriminere sig selv.
--
Peter Makholm | Yes, you can fight it, but in the end the ultimate
pe...@makholm.net | goal of life is to have fun
http://hacking.dk | -- Linus Torvalds
Thomas Strandtoft
> > Hvad er straframmen for at nægte at dekryptere?? ;-)
>
> I siger vel ikke at rockerloven (som vi vist taler om, ikke) også
> føler sig hævet over til at man ikke kan tvinges til at medvirke til
> at inkriminere sig selv.
Jeg har ingen anelse, jeg kan bare huske et eller andet om at man
(sikkert i USA?) indførte forbud mod at bruge en bestemt
kryptering, da den var for svær for myndighederne at knække i
tilfælde af "urent trav". Min tanke dengang som nu var "hmm, hvis
nu jeg kan vælge mellem livstid for mine lyssky narkotransaktioner
eller et par år for ikke at ville fortælle hvad koden til det
afslørende materiale er, så tror jeg at jeg vælger det sidste"..
_Hvis_ det rent faktisk er sådan at man kan tvinges til at
dekryptere sine data når myndighederne forlanger det, så må der
også være en straframme for ikke at efterkomme kravet. Jeg giver
dig ret i at det i givet fald underminerer princippet med at man
ikke kan tvinges til at inkriminere sig selv, men det er jo ikke
første gang folketinget vedtager noget der er i strid med gældende
lovgivning.. Nå, såvidt vides er der vist slet ikke vedtaget noget
endnu..
Svend Olaf Mikkelsen
<thomas.s...@anderledes.dk> wrote:
>_Hvis_ det rent faktisk er sådan at man kan tvinges til at
>dekryptere sine data når myndighederne forlanger det, så må der
>også være en straframme for ikke at efterkomme kravet. Jeg giver
>dig ret i at det i givet fald underminerer princippet med at man
>ikke kan tvinges til at inkriminere sig selv, men det er jo ikke
>første gang folketinget vedtager noget der er i strid med gældende
>lovgivning.. Nå, såvidt vides er der vist slet ikke vedtaget noget
>endnu..
Det kan tænkes at man i skattesager og lignende kan hensættes indtil
man fremlægger de ønskede oplysninger.
--
Svend Olaf
Kasper Dupont
>
> Dataaflæsning kan f.eks. ske ved anvendelse af
> "snifferprogrammer".
Så skal de da lige have programmet ind først.
Kim Petersen
> Kim Petersen wrote:
>
>>Dataaflæsning kan f.eks. ske ved anvendelse af
>>"snifferprogrammer".
>
>
> Så skal de da lige have programmet ind først.
Ja, men det er jo så et andet problem, selvom politiet jo har en del
flere muligheder for at "indsætte" et program på en computer, end en
hacker/cracker har. F.eks. ved påkrav om installation i en
programdistribution, eller mere simpelt ved installation ved hovedconsol
ved en gennemsøgning.
Men det var jo ikke lige det jeg svarede på - så out of here ;-)
>
Kasper Dupont
>
> F.eks. ved påkrav om installation i en programdistribution,
Det kan så vidt jeg kan se kun ske ved et krav om en bagdør i alle
operativsystemer. Det krav kommer de næppe gennem med.
> eller mere simpelt ved installation ved hovedconsol
> ved en gennemsøgning.
Men kan det gøres uden at blive opdaget? Hvis brugeren opdager det,
bliver programmet nok hurtigt slettet igen.
Kim Petersen
> Kim Petersen wrote:
>
>>F.eks. ved påkrav om installation i en programdistribution,
>
>
> Det kan så vidt jeg kan se kun ske ved et krav om en bagdør i alle
> operativsystemer. Det krav kommer de næppe gennem med.
Næh - det kunne såmen være meget mere simpelt - dit banksystem.
Automagisk opdatering til _dig_ indeholder snifferen - og her vil du
næppe mistænke det... Og da vi snakker politiet - er det rent reelt en
mulighed.
>
>
>>eller mere simpelt ved installation ved hovedconsol
>>ved en gennemsøgning.
>
>
> Men kan det gøres uden at blive opdaget? Hvis brugeren opdager det,
> bliver programmet nok hurtigt slettet igen.
I langt de fleste tilfælde skulle dette nok være muligt - specielt hvis
det gøres medens brugeren er ude af døren.
Thomas Strandtoft
> > Det kan så vidt jeg kan se kun ske ved et krav om en bagdør i alle
> > operativsystemer. Det krav kommer de næppe gennem med.
>
> Næh - det kunne såmen være meget mere simpelt - dit banksystem.
> Automagisk opdatering til _dig_ indeholder snifferen - og her vil du
> næppe mistænke det... Og da vi snakker politiet - er det rent reelt en
> mulighed.
Jeg tvivler på du får en bank til at hoppe med på den ide. En bank
lever af kunder der har tillid til banken, hvis det kommer ud at
en bank har hjulpet politiet med at hacke folks computere så vil
der blive et ramaskrig og de vil med sikkerhed miste en masse
kunder.
Kasper Dupont
>
> Næh - det kunne såmen være meget mere simpelt - dit banksystem.
> Automagisk opdatering til _dig_ indeholder snifferen - og her vil du
> næppe mistænke det... Og da vi snakker politiet - er det rent reelt en
> mulighed.
Hvem siger, at det program overhovedet har de rettigheder, der skal
til at installere en sniffer?
Allan Olesen
>Hvem siger, at det program overhovedet har de rettigheder, der skal
>til at installere en sniffer?
Brugerens rettigheder er vel tilstraekkelige til at sniffe
brugerens aktiviteter?
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
Christian E. Lysel
> Kasper Dupont <kas...@daimi.au.dk> wrote:
>
>>Hvem siger, at det program overhovedet har de rettigheder, der skal
>>til at installere en sniffer?
> Brugerens rettigheder er vel tilstraekkelige til at sniffe
> brugerens aktiviteter?
Det er atypisk. Typisk skal brugeren have en administrativ rolle.
En bruger kan normalt ikke modificere operativ systemet, ej applikationerne.
Brugerens data kan typisk modificeres.
Dog kan webapplikationer (java-script, java, active-x ectetera) godt
modificeres af brugeren.
Snakker vi om windows 98 og ligende systemer er intet af ovenstående
sandt :)
Finn Nielsen
> In article <3ecbee7f$0$76148$edfa...@dread11.news.tele.dk>, Allan Olesen wrote:
>> Kasper Dupont <kas...@daimi.au.dk> wrote:
>>
>>>Hvem siger, at det program overhovedet har de rettigheder, der skal
>>>til at installere en sniffer?
>> Brugerens rettigheder er vel tilstraekkelige til at sniffe
>> brugerens aktiviteter?
>
> Det er atypisk. Typisk skal brugeren have en administrativ rolle.
Det har de vel typisk også på deres egen hjemmemaskine, hvor de vil køre
bankprogrammet..
--
Finn Nielsen - http://www.finnnielsen.dk/
Kasper Dupont
>
> Kasper Dupont <kas...@daimi.au.dk> wrote:
>
> >Hvem siger, at det program overhovedet har de rettigheder, der skal
> >til at installere en sniffer?
>
> Brugerens rettigheder er vel tilstraekkelige til at sniffe
> brugerens aktiviteter?
Men hvad nu hvis folk har oprettet et seperat brugerid til
deres homebanking system?
Lasse Reichstein Nielsen
> On Tue, 20 May 2003 13:01:46 +0100, Alex Holst wrote:
> > Gode? Det er en gang bras.
> Særligt nederste link under firewall sektionen ;-)
Det tilføjede de kun fordi jeg sagde at det var relevant. De læste det
endda først, hvilket egentligt var min bagtanke med at give dem
linket.
/L
--
Lasse Reichstein Nielsen - l...@hotpop.com
Art D'HTML: <URL:http://www.infimum.dk/HTML/randomArtSplit.html>
'Faith without judgement merely degrades the spirit divine.'
Allan Olesen
>Det har de vel typisk også på deres egen hjemmemaskine, hvor de vil køre
>bankprogrammet..
Hvorfor i alverden dog det?
Det eneste, der har kraevet administratoradgang i forbindelse med
homebanking paa vores maskine har vaeret noeglefilerne - og det
skyldes ene og alene, at Laan og Spar har vaeret saa taabelige at
forlange, at de ligger i roden af C-drevet, hvor almindelige
brugere ikke har skriveadgang.
Christian E. Lysel
> skyldes ene og alene, at Laan og Spar har vaeret saa taabelige at
> forlange, at de ligger i roden af C-drevet, hvor almindelige
> brugere ikke har skriveadgang.
Jeg elsker den slags løsninger, ISP'erne har også lavet det samme trick,
hvor man efter opstætningen får smidt en tekst fil i c:\isp.txt (blot et
eksempel).
Herefter kan angriberen "hente" filen via IE.
Ole Michaelsen
> Finn Nielsen <spam...@zznyyd.dk> wrote:
>
> >Det har de vel typisk også på deres egen hjemmemaskine, hvor de vil køre
> >bankprogrammet..
>
> Hvorfor i alverden dog det?
>
> Det eneste, der har kraevet administratoradgang i forbindelse med
> homebanking paa vores maskine har vaeret noeglefilerne - og det
> skyldes ene og alene, at Laan og Spar har vaeret saa taabelige at
> forlange, at de ligger i roden af C-drevet, hvor almindelige
> brugere ikke har skriveadgang.
Skal man ogsaa skrive til filerne? Hvorfor ville read-only adgang til
noeglefilerne ikke vaere nok?
--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic
Allan Olesen
>Skal man ogsaa skrive til filerne? Hvorfor ville read-only adgang til
>noeglefilerne ikke vaere nok?
Jeg udtrykte mig ikke tydeligt nok, kan jeg se. Jeg har kun haft
brug for administratoradgang for at _placere_ filerne paa C:\.
Derefter koerer min homebanking fint uden administratoradgang.
Kim Petersen
Med en evt. lov i hånden er det nu næppe det store problem. Banken vil
jo ved et evt. afslag nægte at hjælpe politiet i en situation hvor der
*er* lovhjæmmel for deres forespørgsel - husk at det jo ikke er dine
bankdata som de kræver indsigt i - næh de ønsker kun adgang til kundens
maskine. (at de så indirekte - endda lovligt - har ret til at læse
bankdata - er jo så en indirekte følge af loven - med mindre den kommer
til at indeholde retningslinier for *hvad* politiet må "sniffe" - men
det er der ikke i det aktuelle foreslag.).
Kim Petersen
> Kim Petersen wrote:
>
>>Næh - det kunne såmen være meget mere simpelt - dit banksystem.
>>Automagisk opdatering til _dig_ indeholder snifferen - og her vil du
>>næppe mistænke det... Og da vi snakker politiet - er det rent reelt en
>>mulighed.
>
>
> Hvem siger, at det program overhovedet har de rettigheder, der skal
> til at installere en sniffer?
>
så kommer det prækære spørgsmål (specielt i windows) - hvis dit
bankprogram - medens du kører det - og efter at du har logget ind
(sikker adgang osv.) forespørger - hvor mange vil så svare nej?
Kasper Dupont
>
> Det har det måske ikke, men det kan forespørge yderlige rettigheder - og
> så kommer det prækære spørgsmål (specielt i windows) - hvis dit
> bankprogram - medens du kører det - og efter at du har logget ind
> (sikker adgang osv.) forespørger - hvor mange vil så svare nej?
Hvis jeg kører det under en bruger, jeg har oprettet til formålet, så
kan det spørge lige så tosset det vil. Uanset om jeg svarer ja eller
nej vil der være grænser for, hvad det i praksis vil kunne gøre.
Allan Olesen
>Banken vil
>jo ved et evt. afslag nægte at hjælpe politiet i en situation hvor der
>*er* lovhjæmmel for deres forespørgsel
Nu kan man jo strengt taget ikke forlange af banken, at de har
evner til at indbygge den ekstra funktionalitet i deres software.
Og man kan nok heller ikke forlange, at politiet faar lov at
pilleroderage i bankens software. Dels fordi den maaske er
hemmelig, dels fordi politiet derved risikerer at oedelaegge
programmets oprindelige funktionalitet.
Derudover kan jeg ikke se din logik. Hvorfor skulle enhver borger
hoppe og springe for politiet, bare fordi politiet har lovhjemmel
til at foretage sig noget over for en helt anden?
Finn Nielsen
> Finn Nielsen <spam...@zznyyd.dk> wrote:
>
>>Det har de vel typisk også på deres egen hjemmemaskine, hvor de vil køre
>>bankprogrammet..
>
> Hvorfor i alverden dog det?
Fordi det har de!
> Det eneste, der har kraevet administratoradgang i forbindelse med
> homebanking paa vores maskine har vaeret noeglefilerne - og det
> skyldes ene og alene, at Laan og Spar har vaeret saa taabelige at
> forlange, at de ligger i roden af C-drevet, hvor almindelige
> brugere ikke har skriveadgang.
Og? Vi snakker ikke hvad der er brug for men hvad brugere rent faktisk
gør.. Har du nogen sinde set en hjemmeinstallation af windows hvor
brugeren ikke kører med administrator rettigheder, og det er ikke er dig
selv der administrerer deres maskine for dem??
Jeg har endnu ikke set nogen lave en upriviligeret konto til dem selv..
Per Thomsen
>
Godt nok på opfordring eller installation fra/af mig.
Mindst 10 maskiner med w2k og brugerkonti.
Per :o)
Allan Olesen
>Jeg har endnu ikke set nogen lave en upriviligeret konto til dem selv..
Det er muligt, du ikke har set det. Det er ogsaa muligt, at mange
ikke goer det.
Jeg kan kun tale for mig selv, og jeg kunne aldrig droemme om at
tildele administratorrettigheder paa min normale brugerkonto. Det
er efter min mening vanvittigt at goere. Hvis man vil
administrere, kan man logge ind som administrator.
Henning Petersen Wangerin
> Næh - det kunne såmen være meget mere simpelt - dit banksystem.
> Automagisk opdatering til _dig_ indeholder snifferen - og her vil du
> næppe mistænke det... Og da vi snakker politiet - er det rent reelt en
> mulighed.
Jamen så må man jo bare flytte til Jyske bank, der har du muligheden
for at køre 100% uden ufrikode (heller ikke java)
En anden ting er så muligheden for at installere et sniffer program
som normal bruger, Den går de ikke i anstændige OS'er (og ja jeg
kalder ikke wintendo for en anstændigt OS)
> I langt de fleste tilfælde skulle dette nok være muligt - specielt hvis
> det gøres medens brugeren er ude af døren.
Så er der da kun en ting at gøre, reinstallation fra sidste backup -
det er jo det samme som hvis der har været hackere inde - det er jo
egentlig også det der har ;-)
--
Venlig hilsen / Best regards
Henning
_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg
Alex Holst
> En anden ting er så muligheden for at installere et sniffer program
> som normal bruger, Den går de ikke i anstændige OS'er (og ja jeg
> kalder ikke wintendo for en anstændigt OS)
Naar du siger 'sniffer' mener du i virkeligheden 'keystroke logger'?
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
Henning Petersen Wangerin
> Henning Petersen Wangerin <henning.pet...@hpc.dk> wrote:
> > En anden ting er så muligheden for at installere et sniffer program
> > som normal bruger, Den går de ikke i anstændige OS'er (og ja jeg
> > kalder ikke wintendo for en anstændigt OS)
>
> Naar du siger 'sniffer' mener du i virkeligheden 'keystroke logger'?
Jo både og, men stadigvæk - et anstændigt OS giver slet ikke java
eller andre end root/administrator lov til at installere dem.
Alex Holst
>> Naar du siger 'sniffer' mener du i virkeligheden 'keystroke logger'?
>
> Jo både og, men stadigvæk - et anstændigt OS giver slet ikke java
> eller andre end root/administrator lov til at installere dem.
Det er vidt forskellige ting du taler om. Java's sikkerhedsmodel har
intet med det underliggende OS at goere.
De nyere udgaver af Windows der *har* en sikkerhedsmodel giver rigeligt
med mulighed for at begraense hvad brugere er i stand til at goere.
Henning Petersen Wangerin
> Henning Petersen Wangerin <henning.pet...@hpc.dk> wrote:
> >> Naar du siger 'sniffer' mener du i virkeligheden 'keystroke logger'?
> >
> > Jo både og, men stadigvæk - et anstændigt OS giver slet ikke java
> > eller andre end root/administrator lov til at installere dem.
>
> Det er vidt forskellige ting du taler om. Java's sikkerhedsmodel har
> intet med det underliggende OS at goere.
læg også mærke til "eller andre". Hvis en af ungerne finder på at
downloade en rpm fil på ternimal serveren, kan de ikke bruge den til
det store, da de ikke har adgang til at installere den.
Simpelt med effektivt.
Visse ting er der selvfølgelig nulighed for at installere som bruger,
men jeg tvivler at der vil være mulighed for at installere noget der
bare ligner en 'keystroke logger'.
> De nyere udgaver af Windows der *har* en sikkerhedsmodel giver rigeligt
> med mulighed for at begraense hvad brugere er i stand til at goere.
Ja det er nok rigtigt, men antallet at sikkerheds-problemer med
wintendo gør mig ikke sikker på at der ikke er huller i
implementeringen ;-)
Alex Holst
>> Det er vidt forskellige ting du taler om. Java's sikkerhedsmodel har
>> intet med det underliggende OS at goere.
>
> læg også mærke til "eller andre". Hvis en af ungerne finder på at
> downloade en rpm fil på ternimal serveren, kan de ikke bruge den til
> det store, da de ikke har adgang til at installere den.
>
> Simpelt med effektivt.
Jeg forstaar ikke hvorfor du bringer Terminal Server ind i diskussionen.
Der er naesten de samme muligheder for begraesninger af brugere som der
er paa en almindelig Windows installation.
>> De nyere udgaver af Windows der *har* en sikkerhedsmodel giver rigeligt
>> med mulighed for at begraense hvad brugere er i stand til at goere.
>
> Ja det er nok rigtigt, men antallet at sikkerheds-problemer med
> wintendo gør mig ikke sikker på at der ikke er huller i
> implementeringen ;-)
Jeg har ikke samlet praecise tal men jeg vil tro at antallet af
sikkerhedsfejl fundet i NT kernen er omtrent det samme som i Linux,
Solaris eller OpenBSD ditto: ikke ret mange. Der er forskel paa kernel
og userland.
Henning Petersen Wangerin
> Jeg forstaar ikke hvorfor du bringer Terminal Server ind i diskussionen.
> Der er naesten de samme muligheder for begraesninger af brugere som der
> er paa en almindelig Windows installation.
Det er blot den måde jeg har valgt at lave instalationen her i huset
;-) en linux-server med x tynde klienter ;-)
> >> De nyere udgaver af Windows der *har* en sikkerhedsmodel giver rigeligt
> >> med mulighed for at begraense hvad brugere er i stand til at goere.
> >
> > Ja det er nok rigtigt, men antallet at sikkerheds-problemer med
> > wintendo gør mig ikke sikker på at der ikke er huller i
> > implementeringen ;-)
>
> Jeg har ikke samlet praecise tal men jeg vil tro at antallet af
> sikkerhedsfejl fundet i NT kernen er omtrent det samme som i Linux,
> Solaris eller OpenBSD ditto: ikke ret mange. Der er forskel paa kernel
> og userland.
Selvfølgelig er der forskel på kernel og user, men hvor mange huller
findes der til de forskellige systemer hvor programmer i userland kan
få root access og derefter lave effektivt ged i den?
Jeg må da tilstå at jeg ikke er 100% uptodate, men kan også sige at
min tiltro til at M$ laves sikker kode, kan lligge på et meget lille
sted.
Selvfølgelig er der også fejl i linux/*bsd mfl, med tiden der går fra
at fejl findes, til de er rettet er generelt _meget_ bedre i OSS
verdenen.
Jeg tvivler at alvorlige fejl ikke rettes i flere måneder som
tilfældet har været ved konkurenten :-(
Alex Holst
>
>> Jeg forstaar ikke hvorfor du bringer Terminal Server ind i diskussionen.
>> Der er naesten de samme muligheder for begraesninger af brugere som der
>> er paa en almindelig Windows installation.
>
> Det er blot den måde jeg har valgt at lave instalationen her i huset
> ;-) en linux-server med x tynde klienter ;-)
Du bragte tynde klienter paa banen ifm. Java som om det underliggende
system gjorde en forskel i Java's tilfaelde. Derefter begynder du at
tale om setup filer (RPMs) som om at der skulle vaere bedre beskyttelse
i at benytte en tynd klient frem for blot at saette det lokale OS
korrekt op.
Mener du, at der er forskel paa mulighederne for at styre sine brugere
paa hhv. en normal PC med et nyere OS, og paa en tynd klient?
> Selvfølgelig er der forskel på kernel og user, men hvor mange huller
> findes der til de forskellige systemer hvor programmer i userland kan
> få root access og derefter lave effektivt ged i den?
Userland programmer kan ofte (men ikke altid) disables eller skiftes ud
hvis man vurderer at de udgoer en uacceptabel risiko. Der er ogsaa
mulighed for at koere applikationer i forskellige sandkasser og
lignende. Det er lidt svaerere med kernen. Derfor mener jeg det er
vigtigt at se paa forskellen. De fleste kernel fejl kraever alligevel at
der koeres ondskabsfuldt kode lokalt og naar det sker har man allerede
tabt.
Blot fordi IE er en katastrofe behoever kernen ikke vaere det. Vaelg en
anden applikation hvis du er traet af dens track record.