Flere brannmurer?
May-Brith
brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på meg som
"smør på flesk".
Malla
John Hilt
wrote in news:no.it.sikkerhet.diverse
>Er det noen fordeler/bakdeler ved å bruke både WIN XP sin brannmur og
>brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på meg som
>"smør på flesk".
Here we go again. Prøv heller å se på tidligere postinger om emnet.
--
-= jh =-
- Oh, I'm terribly sorry. Isn't this the off.topic newsgroup?
Rolf Arne Schulze
Kort oppsummert:
Har du mobile windows-maskiner i nettet ditt, kjør begge deler. De
mobile maskinene kan dra med seg dritt fra andre nett.
Har du bare pc-er som aldri er utenfor nettet ditt klarer du deg lenge
med brannmuren i bredbånds-ruteren din.
--
Rolf Arne Schulze
Min Weblog: http://rolfas.net/
Thomas Bjørseth
wrote:
Hvis man først har innrømmet at man har maskiner hvor man ikke har
kontroll (dvs ikke har tettet alle sikkerhetshull) og dermed vil ha en
brannmur så bør man ha lokale brannmurer på alle PCer. Det er nok dritt
som kommer via mail og kan spres fra maskin til maskin selv om de står
bak en felles brannmur.
For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
så er mye gjort.
Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
deretter 2-3 minutter hver gang en patch krever restart. Sammenligner
man dette med tiden det tar å lære seg brannmurens særegenheter, reagere
på brannmurens alarmer, skjønne hva den faktisk alarmerer på og så fikse
alle feil som oppstår når man har gjort noe man ikke burde med
brannmuren så er det forbausende lite tid som må til for å holde
maskinen fri for virus og angrep utenfra helt uten brannmur.
Thomas B
--
Thomas Bjørseth
Mail: sp...@bjorseth.no
Alf P. Steinbach
>
> For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
> utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
> alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
> lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
> kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
> så er mye gjort.
>
> Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
> deretter 2-3 minutter hver gang en patch krever restart.
Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
få som var oppmerksomme på akkurat det RPC-hullet. Microsoft legger inn all
slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
helt feil fokus på sikkerhet (nemlig å gjøre ting enkle for administratorene
i en større bedrift, ikke for brukeren) og det er klin umulig å vite om dem
eller skru dem av før det kommer "vellykket" malware som bruker de aktuelle
mulighetene, slik at Noen finner ut hvordan akkurat denne tjenesten skal
skrus av -- og det kan trenge en sikkerhetsfiks fra MS, som da er Noen.
--
A: Because it messes up the order in which people normally read text.
Q: Why is it such a bad thing?
A: Top-posting.
Q: What is the most annoying thing on usenet and in e-mail?
May-Brith
>>brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på meg
>>som
>>"smør på flesk".
>
> Here we go again. Prøv heller å se på tidligere postinger om emnet.
Du antyder at dette emnet er tatt opp mange ganger før i dette forumet.
Burde du ikke først vite hvor lenge jeg har lest "no.it.sikkerhet.diverse"
før du tar den
tonen? Til din informasjon så har jeg fulgt med siden 23. feb. 2005, og kan
ikke se at problemet er tatt opp i denne perioden, i allefall ikke nevnt som
eget
emne. Det er vel heller ikke å forvente at alle leser alle innlegg som
postet?
Linken din var heller ikke til stort nytte, da den mye gikk ut på diskutere
Kerio".
Den belyste lite fordeler/ulemper hardware kontra software løsninger,
iallefall ble ikke jeg stort klokere der.
> - Oh, I'm terribly sorry. Isn't this the off.topic newsgroup?
Mer sjikane?
Takker forøvrig for hyggelige, forståelige svar fra andre medlemmer i denne
nyhetsgruppa.
Malla
Rune Mikalsen
> Du antyder at dette emnet er tatt opp mange ganger før i dette
> forumet.
Takk for at du brakte emnet på bane, Malla - for jeg har lurt på det samme.
Og slik er verden og news: Noen faller hele tiden fra mens nye kommer
til, -og hele tiden stilles det spørsmål og kanskje gis det svar.
--
-Rune-
Hasta la Victoria siempre.
Olaf Berli
Stort sett enig i dette. Det kan imidlertid være verd å merke seg at en
"brannmur" i en billig bredbåndsrouter nesten alltid vil si "OK" til
utgående trafikk og blokkere inngående trafikk som ikke er "bestilt"
innenfra. I de fleste tilfellene er dette greit. Om du skulle være så
uheldig (eller uforsiktig) å få en eller annen form for malware på
innsiden av denne brannmuren vil du altså ikke oppdage om maskinene dine
setter igang med å spy ut skit gjennom routeren. For min del er dette
den eneste situasjonen der jeg synes at en "personal firewall" på pc-en
kan være nyttig.
-Olaf-
Thomas Bjørseth
wrote:
>* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:
>>
>> For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
>> utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
>> alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
>> lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
>> kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
>> så er mye gjort.
>>
>> Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
>> deretter 2-3 minutter hver gang en patch krever restart.
>
>Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
>få som var oppmerksomme på akkurat det RPC-hullet.
I en helt standard installasjon av WinXP er det ikke så mange lyttende
tjenester, og WinXP slipper heller ikke inn trafikk til tjenester hvor
det finnes vanlige brukere uten passord. Man står selvfølgelig fritt til
å sette elendige passord, men da er vi over på brukerfeil og ikke
system- eller designfeil.
En sikkerhetsfiks som tettet hullet MSBlaster utnyttet ble sluppet midt
16. juli 2003, og det ble oppdaget spredning av MSBlaster 14. august
samme år. Det er fire uker fra Microsoft hadde en sikkerhetsfiks og til
en vellykket exploit var ute.
Hvordan mener du at MS skulle informert alle sine brukere om at en fiks
var tilgjengelig? Hvordan skal de på generell basis informere alle
brukere hver gang en fiks er tilgjengelig.
>Microsoft legger inn all
>slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
>helt feil fokus på sikkerhet (nemlig å gjøre ting enkle for administratorene
>i en større bedrift, ikke for brukeren) og det er klin umulig å vite om dem
>eller skru dem av [...]
Sier du at det er "hemmelige" åpne porter som lytter på trafikk, og som
man ikke kan oppdage eller skru av? Kan du vise til dokumentasjon for
den påstanden?
> før det kommer "vellykket" malware som bruker de aktuelle
>mulighetene, slik at Noen finner ut hvordan akkurat denne tjenesten skal
>skrus av -- og det kan trenge en sikkerhetsfiks fra MS, som da er Noen.
Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
Det er selvfølgelig mulig å se hvilke porter som er åpne på en PC, og
det er også mulig å begrense tilgangen til de aller fleste av disse
portene uten å tape funksjonalitet som er essensiell for en bedrifts
funksjon. Og det burde være enda enklere å begrense tilgangen til porter
for en privatperson, uten å tape nevneverdig funksjonalitet.
Thomas B
--
Thomas Bjørseth
Mail: thomas-...@bjorseth.no
C A Gloersen
"Thomas Bjørseth" <thoma...@bjorseth.no> skrev i melding
news:vg2te194se1sfn70n...@4ax.com...
> Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
> Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
Sasser var et, tror jeg. Men jeg er forsåvidt helt enig med deg i dine
anbefalinger. Jeg har droppet antivirus og softwarefirewallen for lenge
siden og ikke savnet dem siden.
Etter at XP SP2 kom så har det vel ikke vært noen ormer som har fått stor
spredning i det hele tatt. I følge diverse rapporter så vris
malware-aktiviteten mer over mot spyware samt at man prøver å utnytte feil i
vanlige programmer (iTunes har vært et hvis ikke jeg tar helt feil).
C A G
Thomas Bjørseth
wrote:
>
>"Thomas Bjørseth" <thoma...@bjorseth.no> skrev i melding
>news:vg2te194se1sfn70n...@4ax.com...
>
>> Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
>> Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
>
>Sasser var et, tror jeg.
MS slapp sin bulletin 13. april 2004, mens deteksjon for Sasser ble lagt
til Symantec sine "Rapid Release" oppdateringer 30. april 2004. Det
indikerer at Sasser også kom flere uker _etter_ at MS slapp sin fiks.
I følge Mark Minasi sin uttalelse på MPC TechMentor i 2004 så blir det
mer og mer vanlig at man bruker "reverse engineering" på MS sine patcher
for på den måten finne ut hva hullet egentlig innebærer, og så skrive
kode som best mulig utnytter hullet. Hvis dette stemmer så kommer
nødvendigvis patchen før exploiten i ihvertfall disse tilfellene. Om
M.M. har rett kan jeg ikke bekrefte, men Mark Minasi pleier å ha god
kontroll på det som skjer på MS-plattformen både av sikkerhets- og
administrasjonsrelaterte ting.
>Men jeg er forsåvidt helt enig med deg i dine
>anbefalinger. Jeg har droppet antivirus og softwarefirewallen for lenge
>siden og ikke savnet dem siden.
Jeg må innrømme at jeg har begge deler på laptop og arbeidsstasjon på
jobb, pga bedriftspolicy. Hjemme har jeg ikke antivirus eller brannmur
på noen private maskiner. Men jeg _har_ NATingen på bredbåndsrouteren
som en barriære mellom omverdenen og mine maskiner.
>Etter at XP SP2 kom så har det vel ikke vært noen ormer som har fått stor
>spredning i det hele tatt. I følge diverse rapporter så vris
>malware-aktiviteten mer over mot spyware samt at man prøver å utnytte feil i
>vanlige programmer (iTunes har vært et hvis ikke jeg tar helt feil).
Du skal ikke se bort ifra at det er en sammenheng mellom sikrere Windows
og fokusdreining mot svakheter andre steder...
Alf P. Steinbach
> On Mon, 01 Aug 2005 14:23:51 GMT, al...@start.no (Alf P. Steinbach)
> wrote:
>
> >* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:
> >>
> >> For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
> >> utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
> >> alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
> >> lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
> >> kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
> >> så er mye gjort.
> >>
> >> Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
> >> deretter 2-3 minutter hver gang en patch krever restart.
> >
> >Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
> >få som var oppmerksomme på akkurat det RPC-hullet.
>
> I en helt standard installasjon av WinXP er det ikke så mange lyttende
> tjenester, og WinXP slipper heller ikke inn trafikk til tjenester hvor
> det finnes vanlige brukere uten passord.
Hallo.
> Man står selvfølgelig fritt til
> å sette elendige passord, men da er vi over på brukerfeil og ikke
> system- eller designfeil.
Hallo?
> En sikkerhetsfiks som tettet hullet MSBlaster utnyttet ble sluppet midt
> 16. juli 2003, og det ble oppdaget spredning av MSBlaster 14. august
> samme år. Det er fire uker fra Microsoft hadde en sikkerhetsfiks og til
> en vellykket exploit var ute.
11. august, mener du... Du imponerer ikke.
> Hvordan mener du at MS skulle informert alle sine brukere om at en fiks
> var tilgjengelig? Hvordan skal de på generell basis informere alle
> brukere hver gang en fiks er tilgjengelig.
Jeg foreslår å starte en ny tråd hvis du virkelig er interessert i den
problematikken, som så vidt jeg kan se er helt urelatert til denne tråden.
> >Microsoft legger inn all
> >slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
> >helt feil fokus på sikkerhet (nemlig å gjøre ting enkle for administratorene
> >i en større bedrift, ikke for brukeren) og det er klin umulig å vite om dem
> >eller skru dem av [...]
>
> Sier du at det er "hemmelige" åpne porter som lytter på trafikk, og som
> man ikke kan oppdage eller skru av?
Mener du at det er umulig å reise til Afrika?
Hint: det koster litt å reise til Afrika.
> Kan du vise til dokumentasjon for den påstanden?
Hvilken påstand? Er du verdensmester i tom retorikk?
> > før det kommer "vellykket" malware som bruker de aktuelle
> >mulighetene, slik at Noen finner ut hvordan akkurat denne tjenesten skal
> >skrus av -- og det kan trenge en sikkerhetsfiks fra MS, som da er Noen.
>
> Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
> Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
Ett stort tilfelle klarer seg: nyinstallasjon av Windows på en PC, der man
så ønsker å laste ned sikkerhetsfikser, som betyr at man (den jevne bruker
som ikke har et sett av CD-er med alt dette) nødvendigvis går på nett...
Det finnes intet sett av fikser som beskytter maskinen totalt: å tro det er
grenseløst naivt. Bjørn Furuknap og muligens du kan klare dere uten
brannmur. Andre som ikke har den tekniske ekspertisen, tiden og villigheten
til å begrense bruken av maskinen, gjør klokt i å ha en brannmur.
> Det er selvfølgelig mulig å se hvilke porter som er åpne på en PC,
Og du mener at May-Brith skal sitte og _kontinuerlig_ overvåke portbruken?
> og det er også mulig å begrense tilgangen til de aller fleste av disse
> portene
Brannmur, ja. Heh. :-)
> uten å tape funksjonalitet som er essensiell for en bedrifts
> funksjon. Og det burde være enda enklere å begrense tilgangen til porter
> for en privatperson, uten å tape nevneverdig funksjonalitet.
Igjen, her argumenterer du mot deg selv, men det er kjekt: jeg er enig.
Odd H. Sandvik
>
> "Thomas Bjørseth" <thoma...@bjorseth.no> skrev i melding
> news:vg2te194se1sfn70n...@4ax.com...
>
> > Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
> > Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
>
> Sasser var et, tror jeg.
Den første Sasser, SASSER.A ble oppdaget 1 Mai, 2004.
Microsoft hadde allerede patchet for denne med MS04-011
den 13 April.
Neste! :)
--
Odd H. Sandvik
Tobias Brox
> Du antyder at dette emnet er tatt opp mange ganger før i dette forumet.
> Burde du ikke først vite hvor lenge jeg har lest "no.it.sikkerhet.diverse"
> før du tar den tonen?
Første bud på news må være at man prøver å unngå å bli provosert, man
bør prøve å unngå å lese alle innlegg i værste mening. Det er veldig
mange opphissede diskusjoner her - jeg vet ikke, noen folk finner
kanskje underholdning i det, men jeg synes mest det forsøpler
atmosfæren her. Dersom man føler seg "tråkket på", er det ofte best å
bare la det passere. Jeg tror ikke innlegget du svarer på var ment
som noe personangrep.
"Noen" burde sette opp en FAQ (eller, Ofte Besvarte Spørsmål) for
no.it.sikkerhet.diverse, der temaet blir belyst fra alle sider. Jeg
vil gjøre et forsøk på å oppsummere tidligere debatter her:
1. Det er mange her på gruppa (meg inkludert) som innerst inne mener
at brannvegger og virusscannere er noe tull. Argumentet er at
brannvegger ikke gir noen sikring utover hva korrekt konfigurering
av tjenester på maskinen ville ha gitt, og at virusbeskyttere kun
hjelper mot kjente virus; det aller meste av virus i dag benytter
seg av sikkerhetshull i programvare, og da bør slik programvare
fikses.
2. Eventuelt, unntaket må være dersom man har et lokalnett som man
anser som "sikker sone", og ønsker "fri flyt" av tjenester og
innhold på lokalnettet, og ikke har tid/lyst til å konfigurere hver
enkelt av disse tjenestene; da er det bedre å ha en brannvegg
stående mellom lokalnett og internett. Enkelte vil hevde at et
lokalnett nesten aldri kan ansees for å være en "sikker sone", og
at tjenester på lokalnettet uansett bør være beskyttet gjennom
innlogging (brukernavn/passord).
3. På en gjennomsnitts windowsmaskin, administrert av en
gjennomsnittlig bruker, bør man antageligvis ha både brannvegg(er)
og virusscanning.
4. Ulempen med brannvegger er at man risikerer at "ting ikke virker",
brannvegger har ofte en tendens til å stenge ute legitim trafikk,
ofte uten at man får tilstrekkelig tilbakemelding om at trafikken
er blitt blokkert.
5. Uansett hvor gode virusscannere og brannvegger man har, kan man i
utgangspunktet aldri være trygg mot angrep.
--
Tobias Brox, Tromsø
Tobias Brox
> Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
> få som var oppmerksomme på akkurat det RPC-hullet. Microsoft legger inn all
> slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
> helt feil fokus på sikkerhet
I værste fall, kan man ikke finne ut hva slags lyttende tjenster man
har ved en portscan?
På min maskin har jeg et ypperlig verktøy som heter lsof - 'lsof -i'
gir meg en veldig god oversikt over all internetaktivitet på boksen,
inkludert lyttende porter. Det ser imidlertid ikke ut som at lsof er
tilgjengelig for windows.
--
Tobias Brox
Thomas Bjørseth
wrote:
>* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:
>> On Mon, 01 Aug 2005 14:23:51 GMT, al...@start.no (Alf P. Steinbach)
>> wrote:
>>
>> >* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:
>> >>
>> >> For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
>> >> utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
>> >> alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
>> >> lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
>> >> kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
>> >> så er mye gjort.
>> >>
>> >> Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
>> >> deretter 2-3 minutter hver gang en patch krever restart.
>> >
>> >Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
>> >få som var oppmerksomme på akkurat det RPC-hullet.
>>
>> I en helt standard installasjon av WinXP er det ikke så mange lyttende
>> tjenester, og WinXP slipper heller ikke inn trafikk til tjenester hvor
>> det finnes vanlige brukere uten passord.
>
>Hallo.
Meaning?
>> Man står selvfølgelig fritt til
>> å sette elendige passord, men da er vi over på brukerfeil og ikke
>> system- eller designfeil.
>
>Hallo?
Meaning?
>> En sikkerhetsfiks som tettet hullet MSBlaster utnyttet ble sluppet midt
>> 16. juli 2003, og det ble oppdaget spredning av MSBlaster 14. august
>> samme år. Det er fire uker fra Microsoft hadde en sikkerhetsfiks og til
>> en vellykket exploit var ute.
>
>11. august, mener du... Du imponerer ikke.
Nøyaktig dato var ikke poenget. Poenget var at MS hadde en patch
tilgjengelig flere uker før exploiten dukket opp.
>> Hvordan mener du at MS skulle informert alle sine brukere om at en fiks
>> var tilgjengelig? Hvordan skal de på generell basis informere alle
>> brukere hver gang en fiks er tilgjengelig.
>
>Jeg foreslår å starte en ny tråd hvis du virkelig er interessert i den
>problematikken, som så vidt jeg kan se er helt urelatert til denne tråden.
Punktet om patching og info om patcher var for meg en naturlig
forlengelse av temaet, ergo ble det med i denne meldingen. Du sa selv at
få visste om RPC-hullet, og da blir det enda mer naturlig for meg å
spørre om du eventuelt hadde tenkt på hvordan MS skulle informere
brukerne sine om slikt.
>> >Microsoft legger inn all
>> >slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
>> >helt feil fokus på sikkerhet (nemlig å gjøre ting enkle for administratorene
>> >i en større bedrift, ikke for brukeren) og det er klin umulig å vite om dem
>> >eller skru dem av [...]
>>
>> Sier du at det er "hemmelige" åpne porter som lytter på trafikk, og som
>> man ikke kan oppdage eller skru av?
>
>Mener du at det er umulig å reise til Afrika?
Nei. Men du påstår Windows har "lyttende og rapporterende tjenester " og
at disse ikke kan oppdages og lukkes (som du sier "klin umulig å vite om
dem eller skru dem av"). Kan du vise til noe som dokumenterer dette,
eller skal vi betrakte det som en udokumentert påstand som dermed ikke
er verdt veldig mye?
>Hint: det koster litt å reise til Afrika.
Det koster ingen ting å kjøre kommandoen "netstat -a". Det koster heller
ikke mye å lese litt om Windows og hvordan ting fungerer.
>> Kan du vise til dokumentasjon for den påstanden?
>
>Hvilken påstand? Er du verdensmester i tom retorikk?
Påstanden om at det er klin umulig å oppdage de lyttende og
rapporterende tjenestene i Windows som MS har lagt inn?
>> > før det kommer "vellykket" malware som bruker de aktuelle
>> >mulighetene, slik at Noen finner ut hvordan akkurat denne tjenesten skal
>> >skrus av -- og det kan trenge en sikkerhetsfiks fra MS, som da er Noen.
>>
>> Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
>> Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
>
>Ett stort tilfelle klarer seg: nyinstallasjon av Windows på en PC, der man
>så ønsker å laste ned sikkerhetsfikser, som betyr at man (den jevne bruker
>som ikke har et sett av CD-er med alt dette) nødvendigvis går på nett...
Akkurat det er et problem, ja, men hvor ofte reformaterer egentlig en
vanlig bruker PCen sin uten litt assistanse fra en person som er litt
datakyndig? Nye PCer leveres dog med ferdig-installert SP2 og
restore-CDer hvor SP2 er på plass, så dette blir et mindre og mindre
problem.
Uansett var din påstand at det var klin umulig å finne ut av de
"lyttende og rapporterende" tjenestene før det kommer exploits som
utnytter hull og at MS først da finner ut hvordan tjenesten kan stoppes
og slipper en patch. Forutsatt at jeg har tolket deg rett, selvfølgelig.
Du hadde en setningslengde og oppbygning som var rimelig vrien.
>Det finnes intet sett av fikser som beskytter maskinen totalt: å tro det er
>grenseløst naivt.
Fiksene tetter naturlig nok kun kjente hull, men det finnes vel ingen
"vellykkede" exploits som har utnyttet _ukjente_ hull hvor fiks ikke har
vært tilgjengelig? Ergo så er man rimelig sikker ved å hele tiden legge
inn alle tilgjengelige fikser.
>Bjørn Furuknap og muligens du kan klare dere uten
>brannmur. Andre som ikke har den tekniske ekspertisen, tiden og villigheten
>til å begrense bruken av maskinen, gjør klokt i å ha en brannmur.
>
>
>> Det er selvfølgelig mulig å se hvilke porter som er åpne på en PC,
>
>Og du mener at May-Brith skal sitte og _kontinuerlig_ overvåke portbruken?
Portbruken er knyttet opp mot de tjenestene (og programmene, hvis man
skiller på tjenester og programmer) som kjører på maskinen og ikke noe
annet. Stopper man de tjenestene (og programmene) man ikke trenger så
lukkes også portene. Da er det ikke nødvendig å kontinuerlig overvåke
portbruken. Ingen lyttende tjenester = ingen åpne porter. Fordelen med
denne tankegangen er at man tar problemet i stedet for symptomet.
>> og det er også mulig å begrense tilgangen til de aller fleste av disse
>> portene
>
>Brannmur, ja. Heh. :-)
Eller stoppe tjenestene som lytter på portene. Hvorfor skal man ha
kjørende tjenester som man ikke bruker? Det fører bare til økt
ressursbruk og større risiko for at en eller flere av disse tjenestene
blir rapportert med sikkerhetshull og exploits dukker opp for å
kompromittere maskinen.
>> uten å tape funksjonalitet som er essensiell for en bedrifts
>> funksjon. Og det burde være enda enklere å begrense tilgangen til porter
>> for en privatperson, uten å tape nevneverdig funksjonalitet.
>
>Igjen, her argumenterer du mot deg selv, men det er kjekt: jeg er enig.
Hvorfor? En privatperson kan også stoppe tjenester, og trolig flere
porter enn en business-PC fordi den ikke trenger den samme
funksjonaliteten.
Med en brannmur hindrer du tilgang til maskinen fra utsiden. Det stopper
ormer som prøver å få tilgang til usikre tjenester på maskinen. Med en
gang brukeren stopper brannmuren så er plutselig alle de usikre
tjenestene eksponert. Ved å stoppe alle usikre og unødvendige tjenester
og holde maskinen oppdatert med alle sikkerhetsfikser så løser man
problemet på en mye bedre måte. Og med Windows sin Automatic
Updates-funksjon så har man som privatperson egentlig ingen unnskylding
for ikke å holde en Windowsinstallasjon oppdatert.
Thomas Bjørseth
<tob...@stud.cs.uit.no> wrote:
>[Alf P. Steinbach]
>> Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
>> få som var oppmerksomme på akkurat det RPC-hullet. Microsoft legger inn all
>> slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
>> helt feil fokus på sikkerhet
>
>I værste fall, kan man ikke finne ut hva slags lyttende tjenster man
>har ved en portscan?
For eksempel, ja. Det tar ikke lang tid å portscanne alle mulige porter
på en Windows-maskin. Dette forutsetter at man sitter i relativ nærhet
av maskinen man portscanner, selvfølgelig.
>På min maskin har jeg et ypperlig verktøy som heter lsof - 'lsof -i'
>gir meg en veldig god oversikt over all internetaktivitet på boksen,
>inkludert lyttende porter. Det ser imidlertid ikke ut som at lsof er
>tilgjengelig for windows.
Windows har den nesten allestedsværende "netstat -a", som viser alle
lyttende porter og porter hvor det går trafikk.
Thomas B
--
Thomas Bjørseth
Mail: thomas-...@bjorseth.no
Tobias Brox
> Windows har den nesten allestedsværende "netstat -a", som viser alle
> lyttende porter og porter hvor det går trafikk.
netstat -a funker likedan (?) her, men lsof har den fordelen at den
også viser hvilken prossess (navn og pid) som står bak; veldig viktig
informasjon (både for å identifisere tjenestene og for å eventuelt
kverke dem).
--
Tobias Brox
C A Gloersen
> MS slapp sin bulletin 13. april 2004, mens deteksjon for Sasser ble lagt
> til Symantec sine "Rapid Release" oppdateringer 30. april 2004. Det
> indikerer at Sasser også kom flere uker _etter_ at MS slapp sin fiks.
Okey.. fullt mulig at jeg tar feil :) Bare mente å huske at det var en av de
store ormene som var en 0-day exploit, men hvis det ikke stemmer så er det
forsåvidt bare positivt.
C A G
Alf P. Steinbach
> [Alf P. Steinbach]
> > Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
> > få som var oppmerksomme på akkurat det RPC-hullet. Microsoft legger inn all
> > slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
> > helt feil fokus på sikkerhet
>
> I værste fall, kan man ikke finne ut hva slags lyttende tjenster man
> har ved en portscan?
Jo, i verste fall (se nedenfor).
Men det kan i praksis ikke gjøres kontinuerlig.
Den vanlige brukeren som kjører opp Outlook Express (say) og dermed får
automatisk aktivert og endog reinstallert Windows Messenger (say) -- uten
at jeg vet om akkurat den er noen stor fare eller fare i det hele tatt --
kan føle seg rimelig sikker hvis alt annet enn HTTP (say) er stengt, og
ellers føler i alle fall jeg meg rimelig usikker, for det er ikke
dokumentert noe sted hva som blir kjørt opp her og der; tvert i mot sier for
eksempel EULA-en til Windows Media Player at du godtar at hva som helst rusk
og rask fra Microsoft-godkjent tredjepart blir installert bak kulissene, og
WMP prøver stadig å endre på sikkerhetsinnstillingene.
Så kan man selvfølgelig la være å bruke Microsoft programvare som Outlook
Express (jeg bruker OE kun av og til, til spesielle formål) og WMP (bruker
den kun til P4) og Visual Studio og whatever.
Men da er litt av poenget med Windows borte.
> På min maskin har jeg et ypperlig verktøy som heter lsof - 'lsof -i'
> gir meg en veldig god oversikt over all internetaktivitet på boksen,
> inkludert lyttende porter. Det ser imidlertid ikke ut som at lsof er
> tilgjengelig for windows.
Det som følger med i Windows XP er 'netstat' for å liste åpne porter, som så
vidt jeg husker er full av feil (den lister ikke alt), og 'openfiles' for å
liste åpne filer. I Windows 2000 var det et program tilsvarende 'openfiles'
kalt 'oh' (open handles), som var bedre, men det var kun i Resource Kit hvis
jeg ikke husker feil. Det kan lastes ned og fungerer også på Windows XP.
Når jeg kjører 'netstat' nå så går den listingen uhyggelig tregt, og det er
så mye der at jeg kuttet listen øverst i UDP-settet.
Det er vel kun sikkerhetsentusiaster (om noen) som har noen idé om hva alt
dette er, og hvordan det kan skrus av -- jeg bare stenger for portene, så
får rasket stå der.
C:\Documents and Settings\Alf> netstat -a -b
Active Connections
Proto Local Address Foreign Address State PID
TCP SpringFlower:ftp SpringFlower:0 LISTENING 1588
[inetinfo.exe]
TCP SpringFlower:http SpringFlower:0 LISTENING 1588
[inetinfo.exe]
TCP SpringFlower:epmap SpringFlower:0 LISTENING 688
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]
TCP SpringFlower:https SpringFlower:0 LISTENING 1588
[inetinfo.exe]
TCP SpringFlower:microsoft-ds SpringFlower:0 LISTENING 4
[System]
TCP SpringFlower:1026 SpringFlower:0 LISTENING 1588
[inetinfo.exe]
TCP SpringFlower:netbios-ssn SpringFlower:0 LISTENING 4
[System]
TCP SpringFlower:1025 SpringFlower:0 LISTENING 1268
[navapw32.exe]
TCP SpringFlower:1032 SpringFlower:0 LISTENING 2372
[alg.exe]
TCP SpringFlower:1223 nomms22no.ulv.nextra.no:554 ESTABLISHED
1536
[wmplayer.exe]
TCP SpringFlower:1313 localhost:1314 ESTABLISHED 652
[firefox.exe]
TCP SpringFlower:1314 localhost:1313 ESTABLISHED 652
[firefox.exe]
UDP SpringFlower:1027 *:* 816
C:\WINDOWS\system32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]
...
Odd H. Sandvik
In article <dcm99i$1b9r$1...@news.uit.no>, Tobias Brox says...
> "Noen" burde sette opp en FAQ (eller, Ofte Besvarte Spørsmål) for
> no.it.sikkerhet.diverse, der temaet blir belyst fra alle sider. Jeg
> vil gjøre et forsøk på å oppsummere tidligere debatter her:
> 1. Det er mange her på gruppa (meg inkludert) som innerst inne mener
> at brannvegger og virusscannere er noe tull.
Mens, i den virkelige verden, som tross alt er den som teller, så kan og
vil ofte ikke de aller fleste brukere lære seg såpass sikkerhet at de
ikke trenger antivirus og brannvegger.
> Argumentet er at
> brannvegger ikke gir noen sikring utover hva korrekt konfigurering
> av tjenester på maskinen ville ha gitt, og at virusbeskyttere kun
> hjelper mot kjente virus;
Det skal vel dog nevnes at flere og flere virusbeskyttere benytter
seg av såkalt heuristisk skanning. I tillegg til å trigge på signatur,
så trigges det også på oppførsel.
> det aller meste av virus i dag benytter
> seg av sikkerhetshull i programvare, og da bør slik programvare
> fikses.
Ja, ideelt sett. Men det er ikke alltid realistisk at det skjer, eller
at det skjer innenfor en relevant tidsramme.
> 2. Eventuelt, unntaket må være dersom man har et lokalnett som man
> anser som "sikker sone", og ønsker "fri flyt" av tjenester og
> innhold på lokalnettet, og ikke har tid/lyst til å konfigurere hver
> enkelt av disse tjenestene; da er det bedre å ha en brannvegg
> stående mellom lokalnett og internett. Enkelte vil hevde at et
> lokalnett nesten aldri kan ansees for å være en "sikker sone", og
> at tjenester på lokalnettet uansett bør være beskyttet gjennom
> innlogging (brukernavn/passord).
>
> 3. På en gjennomsnitts windowsmaskin, administrert av en
> gjennomsnittlig bruker, bør man antageligvis ha både brannvegg(er)
> og virusscanning.
>
> 4. Ulempen med brannvegger er at man risikerer at "ting ikke virker",
> brannvegger har ofte en tendens til å stenge ute legitim trafikk,
> ofte uten at man får tilstrekkelig tilbakemelding om at trafikken
> er blitt blokkert.
>
> 5. Uansett hvor gode virusscannere og brannvegger man har, kan man i
> utgangspunktet aldri være trygg mot angrep.
--
Odd H. Sandvik
Odd H. Sandvik
Den eneste ormen som jeg kan huske ble sluppet innen 24 timer etter
at et hull var annonsert er Witty ormen. Men den var myntet på
sikkerhets-programvare fra Internet Security Systems (ISS).
Ormen var teknisk interessant og meget destruktiv.
--
Odd H. Sandvik
C A Gloersen
"Tobias Brox" <tob...@stud.cs.uit.no> skrev i melding
news:dcmb5d$1bdh$1...@news.uit.no...
> netstat -a funker likedan (?) her, men lsof har den fordelen at den
> også viser hvilken prossess (navn og pid) som står bak;
Med netstat -o får du PID. Det enkleste er allikevel TCPview som gir deg
både navnet og resten kontinuerlig oppdatert.
http://www.sysinternals.com/Utilities/TcpView.html
C A G
Tobias Brox
> Men det kan i praksis ikke gjøres kontinuerlig.
Det er et poeng; et forsøk på "korrekt" konfigurering kan ikke hindre
et vilkårlig program (enten det skyldes features, malware, bugs, etc)
å åpne en lyttende port, og en god brannvegg kan vel også rapportere
om uforventet utgående trafikk på ukjente porter. I teorien bør det
vel være mulig å lage en brannvegg som detekterer om det kjøres noe
annet enn forventede protokoller på kjente porter. Kanskje
brannvegger kan ha noe for seg. Men personlig mener jeg uansett at
brannvegger er en uting, i de aller fleste tilfeller :-)
> Så kan man selvfølgelig la være å bruke Microsoft programvare som Outlook
> Express (jeg bruker OE kun av og til, til spesielle formål) og WMP (bruker
> den kun til P4) og Visual Studio og whatever.
> Men da er litt av poenget med Windows borte.
Poenget med Windows er vel at den allerede kommer preinstallert, og at
gjennomsnittsbrukeren ikke har noen større grunn til å skifte. Men
det gjelder kanskje OE/WMP/VS/whatever?
> Når jeg kjører 'netstat' nå så går den listingen uhyggelig tregt, og det er
> så mye der at jeg kuttet listen øverst i UDP-settet.
> Det er vel kun sikkerhetsentusiaster (om noen) som har noen idé om hva alt
> dette er, og hvordan det kan skrus av -- jeg bare stenger for portene, så
> får rasket stå der.
Der er fordelen med lsof. Jeg får kjapt en idé om hva alt er.
Eksempler:
(...)
autossh 17619 tobias 3u IPv4 16614 TCP localhost:23554 (LISTEN)
(...)
skype.bin 30356 tobias 5u IPv4 1935931 UDP *:35006
(...)
wish 25163 tobias 8u IPv4 2044179 TCP 10.0.0.2:42248->baym-cs187.msgr.hotmail.com:1863 (ESTABLISHED)
Hadde jeg ikke sett prossessnavnene, hadde jeg kverket disse tvert -
men uten prossessnavn/pid blir det også vanskelig å kverke dem, så da
måtte jeg heller stengt det i brannveggen?
(aMSN, chatklient, er bygd over wish - hadde jeg ikke tenkt over at
jeg faktisk har en del peers som tvinger meg til å være koblet opp mot
msn-nettverket hadde jeg fått panikk over denne. Skype også, liker
ikke helt å bruke produkter med lukkede standarder, men det er nå så,
nå behøver jeg i allefall ikke å lure på hvorfor port 35006 er åpen
lengre. Også autossh, den kjører noe forwarding på bestemte porter
for å sjekke at forbindelsen fungerer, også noe jeg ikke ville ha
tenkt på sånn helt av meg selv).
> C:\Documents and Settings\Alf> netstat -a -b
> Active Connections
> Proto Local Address Foreign Address State PID
> TCP SpringFlower:ftp SpringFlower:0 LISTENING 1588
> [inetinfo.exe]
Vel, netstat på windows funker visst litt bedre enn netstat på Linux.
Jeg får ikke innblikk i pid og programnavn.
Tobias Brox
> Bare noen kommentarer til din ellers utmerkete FAQ. :)
>> 1. Det er mange her på gruppa (meg inkludert) som innerst inne mener
>> at brannvegger og virusscannere er noe tull.
> Mens, i den virkelige verden, som tross alt er den som teller, så kan og
> vil ofte ikke de aller fleste brukere lære seg såpass sikkerhet at de
> ikke trenger antivirus og brannvegger.
Og da er vi på punkt 3. :-)
>> Argumentet er at
>> brannvegger ikke gir noen sikring utover hva korrekt konfigurering
>> av tjenester på maskinen ville ha gitt, og at virusbeskyttere kun
>> hjelper mot kjente virus;
> Det skal vel dog nevnes at flere og flere virusbeskyttere benytter
> seg av såkalt heuristisk skanning. I tillegg til å trigge på signatur,
> så trigges det også på oppførsel.
Kjent oppførsel?
>> det aller meste av virus i dag benytter
>> seg av sikkerhetshull i programvare, og da bør slik programvare
>> fikses.
> Ja, ideelt sett. Men det er ikke alltid realistisk at det skjer, eller
> at det skjer innenfor en relevant tidsramme.
Og da er vi igjen inne på punkt 3 ;-)
>> 3. På en gjennomsnitts windowsmaskin, administrert av en
>> gjennomsnittlig bruker, bør man antageligvis ha både brannvegg(er)
>> og virusscanning.
--
Tobias Brox, Tromsø
C A Gloersen
"Alf P. Steinbach" <al...@start.no> skrev i melding
news:42eeab8b...@news.individual.net...
> Proto Local Address Foreign Address State PID
> TCP SpringFlower:ftp SpringFlower:0 LISTENING
1588
> [inetinfo.exe]
>
> TCP SpringFlower:http SpringFlower:0 LISTENING
1588
> [inetinfo.exe]
Du kjører tydeligvis web- og FTP- server (IIS), men det er kanskje meningen?
Hvis ikke, kunne det kanskje vært en fordel å skru det av...
C A G
Odd H. Sandvik
> Odd H. Sandvik <inv...@online.invalid> wrote:
>
> > Det skal vel dog nevnes at flere og flere virusbeskyttere benytter
> > seg av såkalt heuristisk skanning. I tillegg til å trigge på signatur,
> > så trigges det også på oppførsel.
>
> Kjent oppførsel?
Man gir et program en score basert på hvor mange virus-liknende
egenskaper det har. Jo høyere score, jo større sjanse for at det
er et virus. Da trenger en ikke en eksakt signatur for å flagge
et virus. Men teknikken er langt fra perfekt. Man risikerer at
enkelte uskyldige program blir flagget som virus.
--
Odd H. Sandvik
Alf P. Steinbach
FTP-serveren er og skal være åpen.
Web-serveren er stengt for innkommende men brukes lokalt.
Listingen nedenfor viser hvordan det ligger an med dét, og også at man ikke
bør stole blindt på gratis portscannere på nettet (FTP-en rapporteres ikke),
her fra <url: http://www.alken.nl/portscan.php>:
<quote>
Portscan on IP 81.191.161.87
Checking for a SMTP server....
Testing port 25: Connection timed out....
Checking for a POP3 Server....
Testing port 110: Connection timed out....
Checking for a open proxy server....
Testing port 1080: Connection timed out....
Testing port 81: Connection timed out....
Testing port 8080: Connection timed out....
Checking for a open Windows share....
Testing port 136: Connection timed out....
Testing port 137: Connection timed out....
Testing port 138: Connection timed out....
Checking misc ports....
Results:
Tested ports that are closed:
25, 110, 1080, 81, 8080, 136, 137, 138,
Tested ports that are Open but not accepting connections:
None
Tested ports that are Open and accepting connections:
None
Guess
My guess is that the machine has:.. a firewall
</quote>
Og fra <url: http://networking.ringofsaturn.com/Tools/probe.php>:
<quote>
Address lookup
Hostname 81.191.161.87
Addresses
Aliases
Service scan
Port Service Response
21 ftp
Nmap 1
</quote>
Tobias Brox
> Listingen nedenfor viser hvordan det ligger an med dét, og også at man ikke
> bør stole blindt på gratis portscannere på nettet (FTP-en rapporteres ikke),
> her fra <url: http://www.alken.nl/portscan.php>:
> <quote>
> Portscan on IP 81.191.161.87
(...)
> Results:
> Tested ports that are closed:
> 25, 110, 1080, 81, 8080, 136, 137, 138,
Det er ikke hva jeg velger å kalle "portscan", med en "scan" tenker
jeg på en prossess som starter med portnummer 1 og fortsetter oppover
- men å forvente at en gratis, offentlig tilgjengelig tjeneste skal
gjøre slikt på forespørsel er vel for mye forlangt - særlig siden det
krever mye mer ressurser med portscan mot firewall enn uten.
Sist jeg kjørte en portscan ... og det er temmelig mange år siden ...
gjorde jeg det vha noen få linjer perl-kode ;-)
--
Tobias Brox, Tromsø
furu...@gmail.com
netstat kan gjøre nytten, men ellers bruker jeg ofte TCPView eller
TDIMon fra Sysinternals (*1) som gir en kjapp oversikt over alt som
kjører, hvilke porter det lyttes på og også om det er aktivitet der.
Bjørn
Bjørn Furuknap
> Er det noen fordeler/bakdeler ved å bruke både WIN XP sin brannmur og
> brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på
> meg som "smør på flesk".
Har dessverre ikke hatt muligheten til å svare deg før nå.
Temaet 'hvilken brannmurconfig skal jeg bruke' dukker opp med jevne
mellomrom. Min mening om dette er som følger:
Du trenger ingen brannmur i det hele tatt. Brannmuren gjør ingen nytte, og
kan være direkte skadelig. Dog er det eksplisitte tilfeller der brannmurer
kan være nyttige, men med mindre du vet at du har et slikt eksplisitt
tilfelle bør du gjøre de tiltakene du skal gjøre på maskinen din uansett og
så fjerne brannmuren helt.
I korthet er problemet med brannmurer basert på følgende problemområder:
- Brannmurer sperrer porter. De portene du ikke vil at folk skal inn på skal
du uansett skru av, så dermed gjør ikke brannmuren annet enn akkurat det
samme som du likevel gjør.
- Brannmurer er programvare, på lik linje med all annen programvare du
kanskje har problemer med å holde ved like allerede. Hvorfor skulle _mer_
programvare å holde oppdatert og forstå løse problemet med at du allerede
har for mye programvare å holde oppdatert og forstå?
- Brannmurer kan lett bli en sovepute fra å holde maskinen tilstrekkelig
sikret bak brannmuren. Oppdateringer av programvare og sikring av
operativsystemet er absolutt nødvendig uansett, og har du gjort det er det
ingenting brannmuren gjør som er en nyttig funksjon for deg. Tror du derimot
at brannmuren kan spare deg for jobben med å sikre maskinen bak så lever du
livsfarlig; hva tror du for eksempel skjer da dersom noen finner en feil i
brannmuren og kommer seg gjennom den og rett på din totalt usikrede og
feilbefengte maskin?
- Brannmuren kan like gjerne inneholde feil som alt annet, og _mer_
programvare på maskinen din øker sannsynligheten for kritiske feil som kan
medføre sikkerhets- eller stabilitetsproblemer.
Der brannmurer har en funksjon er når de 'vanlige' vedlikeholds- og
sikringsoppgavene du har ikke kan gjennomføres i det hele tatt eller ikke
kan gjennomføres tilstrekkelig for å fjerne eventuelle problemer. For
eksempel kan det være at en sikkerhetsoppdatering ikke fungerer, og inntil
du får funnet ut av hvorfor kan du sperre de utsatte funksjonene gjennom en
brannmur. Et annet tilfelle er der du må bruke eksplisitt usikker
programvare eller protokoller, for eksempel tfpt eller lanmanager
autentisering. Dette er aktuelt for noen sære tilfeller, men for den jevne
bruker er det såpass spesielt at det ikke fordrer noen generell
brannmuranbefaling.
Konklusjonen i min argumentasjon er derfor at du _må_ sikre maskinen din som
om brannmuren ikke var der fordi det kan hende at den svikter eller settes
til side. Når du likevel sikrer maskinen som om brannmuren ikke er der så
kan du like gjerne fjerne brannmuren og de potensielle ekstra problemene som
mer programvare medfører.
Ellers finner du dette temaet behørlig diskutert tidligere i gruppa, men du
må kanskje litt lenger bak enn februar i år. Google er din venn.
Lykke til,
Bjørn
Bjørn Furuknap
> [May-Brith]
>
> "Noen" burde sette opp en FAQ (eller, Ofte Besvarte Spørsmål) for
> no.it.sikkerhet.diverse, der temaet blir belyst fra alle sider. Jeg
> vil gjøre et forsøk på å oppsummere tidligere debatter her:
0a. Har du fått maskinen din infisert av virus, spyware, trojanere, har
generelle problemer med at maskinen er ustabil eller annet som ikke er
direkte sikkerhetsrelatert er ikke dette gruppen for deg. Forsøk heller å se
på chartre for eksempel for gruppene no.it.sikkerhet.virus og
no.it.os.ms-windows.diverse. Gruppens formål er å diskutere sikkerhet, men
ikke å løse enkelte brukeres problemer. Kontakt eventuelt også support hos
leverandøren av maskinen din.
ob. Hvis du kommer hit for å fortelle om den siste antivirusløsningen du
synes er kjempefin eller du har funnet en ny spywarefjerner du vil at alle
skal høre om så bør du først av alt trekke ut støpselet til pc'en din, tappe
deg et varmt bad med badesalt og ta med deg kabelen, som fortsatt skal være
plugget i veggen og føre strøm, opp i badekaret.
[ mulig at siste punkt bør skrives av noen andre, men behold gjerne
meningen... ]
Bjørn
Rune Mikalsen
Lesere av den rabiate Bjørn Furuknaps innlegg på news bør ikke følge hans
tips direkte, men heller lese hans helt egen (virusfrie) newsgroup:
no.sikkerhet.par-elexense.confuruknap.amore. Der får man flere tips på
hvordan man kan begå selvmord hvis man ikke følger solkongens anvisninger i
det daglige liv. Oppkast og brekninger er en opsjon. Helt sikkert.
--
-Rune-
Hasta la Victoria siempre.
Jarle Aase
> Temaet 'hvilken brannmurconfig skal jeg bruke' dukker opp med jevne
> mellomrom. Min mening om dette er som følger:
>
> Du trenger ingen brannmur i det hele tatt. Brannmuren gjør ingen nytte, og
> kan være direkte skadelig. Dog er det eksplisitte tilfeller der brannmurer
> kan være nyttige, men med mindre du vet at du har et slikt eksplisitt
> tilfelle bør du gjøre de tiltakene du skal gjøre på maskinen din uansett
> og så fjerne brannmuren helt.
Dette er et dårlig råd, med mindre du vet /nøyaktig/ hva som kjører på
maskinen din, og helst har inspisert kildekoden til programmene og
kompilert dem selv. Operativsystemet inkludert.
Eksperter kan kjøre rimelig trygt uten brannmur, i alle fall på UNIX/Linux
maskiner. Vanlige brukere kan /ikke/ kjøre trygt uten brannmur. Og selv
eksperter vil gjerne ha brannmur på den bærbare maskinen sin om den
utsettes for nettverk de ikke har 100% kontroll over (f.eks. hos kunder,
venner, på hoteller osv.).
Det er så mange meget alvorlige hull i Windows at det egentlig er galskap å
sette nettkort i slike maskiner.
Jarle
--
Jarle Aase http://www.jgaa.com
mailto:jg...@jgaa.com
<<< no need to argue - just kill'em all! >>>
Alf P. Steinbach
Enig, og det tror jeg Bjørn også er innerst inne (blant annet fordi han
svarer på forslaget om eventuell FAQ om brannmurer i denne tråden, framsatt
av Tobias Brox, uten å si seg uenig i punkt 3), men han har laget seg et
image som "Mr. No Brannmur", og det må følges opp og vedlikeholdes! ;-)
Tobias Brox
> Og selv
> eksperter vil gjerne ha brannmur på den bærbare maskinen sin om den
> utsettes for nettverk de ikke har 100% kontroll over (f.eks. hos kunder,
> venner, på hoteller osv.).
Duh :-)
En laptop er da ikke mer utsatt når den står på et "fremmed" lokalnett
enn når den er direkte knyttet mot Internet. Jeg har ingen
brannvegger på min laptop, og føler meg såpass trygg at jeg svært
sjeldent sjekker opp nettverksaktiviteten på den.
> Det er så mange meget alvorlige hull i Windows at det egentlig er galskap å
> sette nettkort i slike maskiner.
Det er klart. Galskap å bruke slikt, vil nå jeg si ;-)
--
This signature has been virus scanned, and is probably safe
Tobias Brox, 69°42'N, 18°57'E
Per W.
"Bjørn Furuknap" <furu...@lit.no> skrev i melding
news:11fjiv3...@news.supernews.com...
> May-Brith wrote:
>> Er det noen fordeler/bakdeler ved å bruke både WIN XP sin brannmur og
>> brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på
>> meg som "smør på flesk".
>
> Har dessverre ikke hatt muligheten til å svare deg før nå.
>
> Temaet 'hvilken brannmurconfig skal jeg bruke' dukker opp med jevne
> mellomrom. Min mening om dette er som følger:
>
> Du trenger ingen brannmur i det hele tatt. Brannmuren gjør ingen nytte, og
> kan være direkte skadelig. Dog er det eksplisitte tilfeller der brannmurer
> kan være nyttige, men med mindre du vet at du har et slikt eksplisitt
> tilfelle bør du gjøre de tiltakene du skal gjøre på maskinen din uansett
> og
> så fjerne brannmuren helt.
Helt riktig, en software brannmur gjør nok mer skade enn nytte, og er man
først i stand til å vite hva som popper opp av meldinger og vet hva man skal
svare når man har en software brannmur så trenger man ikke en slik, og
maskinen vil også være raskere uten all denne dritten installert. Man er
beskyttet nok om man har en router med NAT og kjører antivirus og spyware
fjernere av og til. Hvis man i tillegg på død og liv skal surfe på tvilsomme
sider så lønner det seg å kjøre med en popup killer. Har aldri selv brukt
software brannmur annet enn å teste de så jeg vet hvordan de effektivt skal
slås av/fjernes når kunder ringer. Har heller aldri fått virus inn på
maskinen da dette blir stoppet hos min ISP (sjekk av mail), og i og med at
jeg kjører med NAT så kommer det heller ikke virus/ormer inn. Så det
markedet i dag som en software brannmur til personelig bruk oppererer i er
ett marked som er konstruert og som ikke har rot i virkeligheten i og med at
det faktisk ikke trengs i 99% av tilfellene, før når man koblet seg opp uten
bruk av router (ISDN) var slikt mer aktuelt.
/Per W.
Bjørn Furuknap
> Bjørn Furuknap wrote:
>
>> Temaet 'hvilken brannmurconfig skal jeg bruke' dukker opp med jevne
>> mellomrom. Min mening om dette er som følger:
>>
>> Du trenger ingen brannmur i det hele tatt. Brannmuren gjør ingen
>> nytte, og kan være direkte skadelig. Dog er det eksplisitte
>> tilfeller der brannmurer kan være nyttige, men med mindre du vet at
>> du har et slikt eksplisitt tilfelle bør du gjøre de tiltakene du
>> skal gjøre på maskinen din uansett og så fjerne brannmuren helt.
>
> Dette er et dårlig råd, med mindre du vet /nøyaktig/ hva som kjører på
> maskinen din, og helst har inspisert kildekoden til programmene og
> kompilert dem selv. Operativsystemet inkludert.
Man snakker aldri eller i allefall sjelden om 100% sikkerhet, men snarere om
tilstrekkelig sikkerhet. Tiltakene du nevner er ikke nødvendige i generell
sikkerhet, om enn kanskje i spesiell sikkerhet.
Vanlige brukere _vet_ hva som kjører på maskinene sine. Om de ikke vet det
har ingen brannmur noen effekt likevel, for om 'alt mulig kjører' så kan det
like gjerne kjøre programvare som omgår brannmuren gjennom tilgang til
vanlige trafikk. Er maskinen din kompromittert er den usikker, uansett hva
du gjør foran eller bak maskinen.
> Eksperter kan kjøre rimelig trygt uten brannmur, i alle fall på
> UNIX/Linux maskiner. Vanlige brukere kan /ikke/ kjøre trygt uten
> brannmur. Og selv eksperter vil gjerne ha brannmur på den bærbare
> maskinen sin om den utsettes for nettverk de ikke har 100% kontroll
> over (f.eks. hos kunder, venner, på hoteller osv.).
Dette er tullball. I et sikkerhetsperspektiv er enhver maskin du har tilgang
til en mulig angriper, inkludert maskina til kona di eller ungene dine.
Eller kompisen som er innom. Eller gjengen på dataparty. Eller, som er den
mest fornuftige måten å forholde seg til det på, enhver maskin på internett.
Sikrer du deg utifra dette perspektivet så har det ingenting å si hvor du
har maskinen eller hvem som er 'den slemme'.
> Det er så mange meget alvorlige hull i Windows at det egentlig er
> galskap å sette nettkort i slike maskiner.
Ref?
Bjørn
Bjørn Furuknap
> Man er beskyttet nok om man har en router med NAT
> og kjører antivirus og spyware fjernere av og til. Hvis man i tillegg
> på død og liv skal surfe på tvilsomme sider så lønner det seg å kjøre
> med en popup killer.
Antiware generelt er en uting, inkludert men ikke begrenset til antivirus,
antispyware, antitrojanere eller hva det nå heter om dagen. Dette er
programvare som, etterpåstanden, skal hjelpe deg når maskinen din _er_
kompromittert. Antivirus hjelper deg ikke med virus som kommer i mail, fordi
du uansett aldri åpner vedlegg som du ikke har verifisert. Antispyware
hjelper deg ikke mot installasjon av f.eks. winmx, kazaa og alt dette her,
fordi du ikke installerer slik programvare uten å vite hva programvaren
gjør. Etc., etc.
En popupkiller kan hjelpe, men mest mot irriterende, men muligens legitim,
reklame. Jeg bruker selv proxomitron, men det er etter å ha forsøkt en del
forskjellige alternativer, og det har absolutt ingenting med min sikkerhet å
gjøre.
> Har heller aldri fått virus inn på maskinen da dette
> blir stoppet hos min ISP (sjekk av mail), og i og med at jeg kjører
> med NAT så kommer det heller ikke virus/ormer inn.
Dette er en farlig naiv holdning. Hva skjer dersom et virus kommer inn før
ISP'en din har oppdatert signaturene? Hva skjer om none skriver en orm for å
ramme _deg_ og får denne formidlet via en kanal du tror du kan stole på
siden du 'aldri fr inn virus/ormer'?
Anta ikke at du er trygg. Anta at du er utrygg. Veldig utrygg.
Bjørn
Jarle Aase
> Man snakker aldri eller i allefall sjelden om 100% sikkerhet, men snarere
> om tilstrekkelig sikkerhet. Tiltakene du nevner er ikke nødvendige i
> generell sikkerhet, om enn kanskje i spesiell sikkerhet.
Dersom man vil unngå at passord havner på aveie, eller at andre maskiner
kobler seg til obskure porter som Windows holder åpne av underlige årsaker,
og utnytter informasjonslekkasjer (hørt om "Null Sessions?") eller
buffer-overruns og lignende, så forsegler man maskinen med en brannmur som
kun slipper gjennom trafikk man godkjenner på program/host-nivå. Er man
usikker, så sier man nei.
> Vanlige brukere _vet_ hva som kjører på maskinene sine.
Nei, det vet de /ikke/!
Jeg har vært i bransjen i 20 år. Jeg har drevet med systemprogrammering,
applikasjonsprogrammering, datasikkerhet, opplæring og drift. Jeg er
medforfatter for en bok om maskinvare og operativsystemer. Jeg vet /ikke/
hva som kjører på Windowsmaskinene mine. Jeg har /ikke/ oversikt over alle
portene Windows insisterer på å holde åpne. Å påstå at vanlige brukere vet
dette er bare dumt.
Selv på Linux begynner jeg å miste oversikten, i alle fall når KDE/Gnome
kjører. Det er kun på Linuxserverne mine jeg har en god oversikt over hva
som kjører, og dette er de eneste maskinene jeg ville betro et liv uten
brannmur.
> Om de ikke vet
> det har ingen brannmur noen effekt likevel, for om 'alt mulig kjører' så
> kan det like gjerne kjøre programvare som omgår brannmuren gjennom tilgang
> til vanlige trafikk. Er maskinen din kompromittert er den usikker, uansett
> hva du gjør foran eller bak maskinen.
En brannmur gjør det /vanskeligere/, ikke umulig, å bryte inn i maskinen.
Det er ett av mange tiltak for å ivareta datasikkerhet.
> I et sikkerhetsperspektiv er enhver maskin du har
> tilgang til en mulig angriper, inkludert maskina til kona di eller ungene
> dine. Eller kompisen som er innom. Eller gjengen på dataparty. Eller, som
> er den mest fornuftige måten å forholde seg til det på, enhver maskin på
> internett. Sikrer du deg utifra dette perspektivet så har det ingenting å
> si hvor du har maskinen eller hvem som er 'den slemme'.
Det er riktig. Derfor setter ikke jeg maskiner med Windows i slike nett - i
alle fall ikke maskiner som inneholder noe som helst spennende (som f.eks.
cvs arkiver eller original kildekode som kan bli modifisert).
Bjørn Furuknap
> Bjørn Furuknap wrote:
>
>> Man snakker aldri eller i allefall sjelden om 100% sikkerhet, men
>> snarere om tilstrekkelig sikkerhet. Tiltakene du nevner er ikke
>> nødvendige i generell sikkerhet, om enn kanskje i spesiell sikkerhet.
>
> Dersom man vil unngå at passord havner på aveie, eller at andre
> maskiner kobler seg til obskure porter som Windows holder åpne av
> underlige årsaker, og utnytter informasjonslekkasjer (hørt om "Null
> Sessions?") eller buffer-overruns og lignende, så forsegler man
> maskinen med en brannmur som kun slipper gjennom trafikk man
> godkjenner på program/host-nivå. Er man usikker, så sier man nei.
Du har fortsatt ikke klart å dokumentere disse 'obskure portene som Windows
holder åpne' selv om du har referert til dem tidligere. Hvilke obskure
porter er åpne og hvilke sikkerhetsrisikoer eksisterer ved disse?
Og vær så snill, anta at jeg har vært innom et par sikkerhetsproblemer
tidligere. Spørsmål om jeg kjenner til null sessions burde være unødvendige.
>> Vanlige brukere _vet_ hva som kjører på maskinene sine.
>
> Nei, det vet de /ikke/!
Så, hvordan vet du da at de ikke kjører programvare som omgår brannmuren?
Antar du at farlig programvare kun oppfører seg slik du forventer, for
eksempel at de åpner porter og lytter på trafikk?
Hvis brukeren ikke vet hva som kjører på maskinen så må du anta at
brannmuren ikke har noen verdi fordi malprogramvare da kan gå tvert forbi
brannmuren ved for eksempel å kjøre piggyback på eksisterende trafikk. Spør
deg selv, som utvikler, om du kan tenke deg en måte å gå forbi en brannmur
gitt at du hadde full kontroll på en maskin bak brannmuren. Tenk for
eksempel på å lage en wrapper rundt tcp-stacken eller rundt wininet.dll.
Klarer du å forestille deg noe slik kan du ta rimelig for gitt at andre også
klarer det.
> Jeg har vært i bransjen i 20 år. Jeg har drevet med
> systemprogrammering, applikasjonsprogrammering, datasikkerhet,
> opplæring og drift. Jeg er medforfatter for en bok om maskinvare og
> operativsystemer. Jeg vet /ikke/ hva som kjører på Windowsmaskinene
> mine. Jeg har /ikke/ oversikt over alle portene Windows insisterer på
> å holde åpne. Å påstå at vanlige brukere vet dette er bare dumt.
Det er vel mer et problem for deg og ikke for sikkerhet. Vanlige bruker
_vet_ dette om de gidder å slå det opp, og om de ikke gidder det så bør de
holdes unna nettverk der de kan skade andre.
At du ikke vet det, og påstår at du har drevet med dette i 20 år, er en
større bekymring enn jeg vet om jeg vil forholde meg til.
>> Om de ikke vet
>> det har ingen brannmur noen effekt likevel, for om 'alt mulig
>> kjører' så kan det like gjerne kjøre programvare som omgår
>> brannmuren gjennom tilgang til vanlige trafikk. Er maskinen din
>> kompromittert er den usikker, uansett hva du gjør foran eller bak
>> maskinen.
>
> En brannmur gjør det /vanskeligere/, ikke umulig, å bryte inn i
> maskinen. Det er ett av mange tiltak for å ivareta datasikkerhet.
Hvorfor er det vanskeligere? Fordi det ikke er kjente utnyttelser av
piggyback i dag? Fordi det ikke er mat for it-pressen at det faktisk skrives
programvare for å angripe enkeltselskaper direkte? Du argumenterer basert på
det som er en populistisk oppfatning av datasikkerhet, men har du drevet
noen år med systemutvikling slik du har så vet du at det å omgå en
begrensning i portvalg eller kanal for trafikk er en triviell operasjon.
Bjørn
Tobias Brox
> Man er beskyttet nok om man har en router med NAT og kjører antivirus og spyware
> fjernere av og til.
Dette er jo tull. Det meste av virus, ormer, trojanere og malware
generelt kommer via mail eller web nå for dagen, slik at hverken NAT
eller brannmur hjelper. "antivirus" og ymse kan antageligvis hjelpe
på noe malware, men ikke alt.
> Har heller aldri fått virus inn på
> maskinen da dette blir stoppet hos min ISP (sjekk av mail), og i og med at
> jeg kjører med NAT så kommer det heller ikke virus/ormer inn.
Jeg er ikke enig i at NAT og ISP-mail-scan er saliggjørende, man
unngår ikke eventuell malware som kommer inn gjennom web, og
ISP-mail-scan hjelper kun mot allerede kjente virus.
Alle virus benytter en eller annen form for sikkerhetshull i
mail/web-klient eller operativsystem, og et kjent virus/orm/etc vil
utnytte et kjent sikkerhetshull, så da er det alltid bedre å lappe opp
dette. I allefall i teorien ;-)
enn å
> Så det
> markedet i dag som en software brannmur til personelig bruk oppererer i er
> ett marked som er konstruert og som ikke har rot i virkeligheten i og med at
> det faktisk ikke trengs i 99% av tilfellene,
Dét er jeg enig i.
--
This signature has been virus scanned, and is probably safe to read
Tobias Brox
> Dersom man vil unngå at passord havner på aveie, eller at andre maskiner
> kobler seg til obskure porter som Windows holder åpne av underlige årsaker,
> og utnytter informasjonslekkasjer (hørt om "Null Sessions?")
Sant nok, man er mer utsatt for avlytting på et fremmed lokalnett enn
dersom man er koblet "direkte mot internett". Og det er dessverre
veldig vanlig å utveksle passord i klartekst mot mailservere.
Selv om man bruker kryptering der det er naturlig, vil en avlytter
kunne trekke ut informasjon om en persons bruksmønster av nettet.
--
This signature has been virus scanned, and is probably safe
Olaf Berli
> Per W. wrote:
>
>>Man er beskyttet nok om man har en router med NAT
>>og kjører antivirus og spyware fjernere av og til. Hvis man i tillegg
>>på død og liv skal surfe på tvilsomme sider så lønner det seg å kjøre
>>med en popup killer.
>
>
> Antiware generelt er en uting, inkludert men ikke begrenset til antivirus,
> antispyware, antitrojanere eller hva det nå heter om dagen. Dette er
> programvare som, etterpåstanden, skal hjelpe deg når maskinen din _er_
> kompromittert. Antivirus hjelper deg ikke med virus som kommer i mail, fordi
> du uansett aldri åpner vedlegg som du ikke har verifisert. Antispyware
> hjelper deg ikke mot installasjon av f.eks. winmx, kazaa og alt dette her,
> fordi du ikke installerer slik programvare uten å vite hva programvaren
> gjør. Etc., etc.
>
Er ikke helt enig med deg.... Det finnes gode anit-virusprogrammer
(Norman) som ikke er avhengig av signaturfil for å oppdage virus. Har
selv sett et par tilfeller av at Sandbox-teknikken oppdaget virus som
ikke var inkludert i signaturfilen. Dessuten - et anti-virusprogram er
også nyttig for å verifisere at man ikke har virus.
Antivirusfunksjon i mailserveren oppfatter jeg også som nyttig fordi det
stopper det meste av skiten som er på vei inn. Det blir færre suspekte
vedlegg å forholde seg til, og jeg oppfatter det som en bedring av
sikkerheten.
Det jeg er veldig enig i er at man skal forutsette at man ikke er trygg....
-Olaf-
Bjørn Furuknap
> Er ikke helt enig med deg.... Det finnes gode anit-virusprogrammer
> (Norman) som ikke er avhengig av signaturfil for å oppdage virus. Har
> selv sett et par tilfeller av at Sandbox-teknikken oppdaget virus som
> ikke var inkludert i signaturfilen. Dessuten - et anti-virusprogram er
> også nyttig for å verifisere at man ikke har virus.
Dette er fortsatt bare tull. Man får ikke virus fordi man ikke utsetter seg
for det. Man lar rett og slett være å engasjere seg i aktiviteter som kan
medføre virussmitte. Dersom man bruker antivirus så er det fordi man
forutsetter at dette beskytter og er en tilstrekkelig beskyttelse, slik at
man _kan_ begynne å åpne alle mulige suspekte vedlegg. Slike forutsetninger
fører ingen gode ting med seg.
Dessuten - man har ikke virus om man unngår å få det, så enkelt er det
faktisk. Jeg trenger ikke å gå rundt å sjekke til stadighet om jeg er
smittet at et virus rett og slett fordi jeg ikke driver med noe som kan
medføre slik smitte. Jeg skjønner ikke hvorfor folk på død og liv vil det
heller, men dem om det, de får takke seg selv.
> Antivirusfunksjon i mailserveren oppfatter jeg også som nyttig fordi
> det stopper det meste av skiten som er på vei inn. Det blir færre
> suspekte vedlegg å forholde seg til, og jeg oppfatter det som en
> bedring av sikkerheten.
Det finnes ingen mindre suspekte vedlegg å forholde seg til uansett. Alle
vedlegg er suspekte og skal behandles deretter. Ethvert vedlegg som kommer
skal verifiseres før det åpnes, punktum. Kan det ikke verifiseres skal det
ikke åpnes. Selv dette er ingen garanti for å unngå virus og i allefall ikke
sikkerrhetsrelaterte problemer, så strengt tatt bør man unngå å kjøre
vedlegg eller programkode man ikke kan stole på. Antivirus vil ikke hjelpe
på dette.
> Det jeg er veldig enig i er at man skal forutsette at man ikke er
> trygg....
Men å anbefale folk å gi opp kontrollen og la de driver med ekstremsport
uten sikring synes du er greit for det...
Bjørn
Lasse G. Dahl
> Alle virus benytter en eller annen form for sikkerhetshull i
> mail/web-klient eller operativsystem,
Dette er vel ikke helt korrekt? En del virus benytter seg vel
bare at det faktum at enkelte ser ut til å klikke på alt som
dukker opp i innboksen, uansett hvor lite man måtte vite om
det.
--
Lasse G. Dahl <URL: http://www.lassedahl.com/ >
Signér gjerne «oppropet» for news.online.no her:
http://www.lassedahl.com/b/la_news_online_no_leve
Bjørn Furuknap
> * Tobias Brox:
>> Alle virus benytter en eller annen form for sikkerhetshull i
>> mail/web-klient eller operativsystem,
>
> Dette er vel ikke helt korrekt? En del virus benytter seg vel
> bare at det faktum at enkelte ser ut til å klikke på alt som
> dukker opp i innboksen, uansett hvor lite man måtte vite om
> det.
Også kalt sikkerhetshull i brukeren.
Dette hullet er dessverre vesentlig utbredt og kan ikke patches. Bransjens
svar på dette er som en hvilken som helst annen kapitalistisk bransje vil
gjøre: drit faen i hva som er best og se hvor mye penger vi kan dra ut av
det...
Bjørn
Olaf Berli
> Olaf Berli wrote:
>
>>Antivirusfunksjon i mailserveren oppfatter jeg også som nyttig fordi
>>det stopper det meste av skiten som er på vei inn. Det blir færre
>>suspekte vedlegg å forholde seg til, og jeg oppfatter det som en
>>bedring av sikkerheten.
>
>
> Det finnes ingen mindre suspekte vedlegg å forholde seg til uansett. Alle
> vedlegg er suspekte og skal behandles deretter. Ethvert vedlegg som kommer
> skal verifiseres før det åpnes, punktum. Kan det ikke verifiseres skal det
> ikke åpnes. Selv dette er ingen garanti for å unngå virus og i allefall ikke
> sikkerrhetsrelaterte problemer, så strengt tatt bør man unngå å kjøre
> vedlegg eller programkode man ikke kan stole på. Antivirus vil ikke hjelpe
> på dette.
>
Jeg forsøkte å si at om du lar mailserveren stoppe det den finner av
virusinfiserte vedlegg (og spam), så vil du (eller jeg) som bruker
oppleve å forholde meg til 10 vedlegg i steden for 100 i løpet av en
arbeidsdag. Det gjør det enklere å sjekke de som har sluppet igjennom.
>
>>Det jeg er veldig enig i er at man skal forutsette at man ikke er
>>trygg....
>
>
> Men å anbefale folk å gi opp kontrollen og la de driver med ekstremsport
> uten sikring synes du er greit for det...
>
Anbefaler ikke å gi opp kontrollen. I min verden finnes og gjøres feil,
og da er det greit å ha mer enn en forsvarslinje......synes jeg.....
-Olaf-
Tobias Brox
> Dette er fortsatt bare tull. Man får ikke virus fordi man ikke utsetter seg
> for det. Man lar rett og slett være å engasjere seg i aktiviteter som kan
> Dessuten - man har ikke virus om man unngår å få det, så enkelt er det
> faktisk. Jeg trenger ikke å gå rundt å sjekke til stadighet om jeg er
> smittet at et virus rett og slett fordi jeg ikke driver med noe som kan
> medføre slik smitte. Jeg skjønner ikke hvorfor folk på død og liv vil det
> heller, men dem om det, de får takke seg selv.
Så holdningen din er: "de som får virus har seg selv å takke"? At all
malware som kommer inn skyldes en brukerfeil? Slik jeg har forstått
det, sprer mange ormer seg pga sikkerhetshull i noen av de mest vanlig
brukte applikasjonene, som MSOE, MSN Messenger, MSIE, etc.
sandbox-prinsippet er en nyttig ting - rett og slett å ikke gi
programmene man kjører rettigheter til å gjøre noe galt. I
unix-verdenen er det ikke så vanskelig å sette opp en "sandbox"
(chroot), og det er enda mer trivielt å kjøre programmet som en egen
bruker. Dersom det finnes anti-malware-programvare på windows som
faktisk kan gjøre dette for brukeren, både begrense og sjekke opp hva
slags diskaktivitet, nettverkstrafikk etc programmer man ikke stoler
helt på medfører, så er jo dette en Fin Ting.
De aller fleste windows-brukere kjører, såvidt jeg skjønner, alt av
programvare med "administratorrettigheter", og det er jo det samme som
å be om virus.
> Det finnes ingen mindre suspekte vedlegg å forholde seg til uansett. Alle
> vedlegg er suspekte og skal behandles deretter. Ethvert vedlegg som kommer
> skal verifiseres før det åpnes, punktum. Kan det ikke verifiseres skal det
> ikke åpnes.
Jeg er faktisk helt uenig i det ;-) Hvordan definerer du å "åpne" et
vedlegg?
Med den holdningen du utviser her, så kan jeg godt se at folk
foretrekker at ISP'en fjerner "suspekte" vedlegg. Det blir som å
motta brevbomber hver dag, og tenke at man er jo trygg så lenge man
ikke åpner posten. Tabber gjør man hele tiden - så da er det tross
alt bedre at postverket fjerner de aller fleste "suspekte" pakkene.
I min verden skal det være trygt å "åpne" vedlegg. Dersom det ikke er
trygt, er det en alvorlig feil enten i mailprogrammet eller i den
applikasjonen man bruker for å "åpne" vedlegget. Dersom det er et
eksekverbart program, bør mailprogrammet enten sette opp en
"sandbox"-modell som over, eller ikke tillate eksekvering.
--
This signature has been virus scanned, and is probably safe to read
Tobias Brox
> Dette er vel ikke helt korrekt? En del virus benytter seg vel
> bare at det faktum at enkelte ser ut til å klikke på alt som
> dukker opp i innboksen, uansett hvor lite man måtte vite om
> det.
Vel, dersom mailprogrammet tillater spredning av virus simpelthen ved
at brukeren klikker på galt sted (noe som skjer stødt og stadig hos
mange touchpad-brukeren), så er det åpenbart noe feil med
mailprogrammet.
Terje Kvernes
[ ... ]
> Så holdningen din er: "de som får virus har seg selv å takke"? At
> all malware som kommer inn skyldes en brukerfeil? Slik jeg har
> forstått det, sprer mange ormer seg pga sikkerhetshull i noen av de
> mest vanlig brukte applikasjonene, som MSOE, MSN Messenger, MSIE,
> etc.
det er ikke mange ormer lengre som sprer seg slik. i hvert fall
ikke om man ser på topp-listene over virusspredning de siste årene.
--
Terje
Lasse G. Dahl
>> Dette er vel ikke helt korrekt? En del virus benytter seg vel
>> bare at det faktum at enkelte ser ut til å klikke på alt som
>> dukker opp i innboksen, uansett hvor lite man måtte vite om
>> det.
* Tobias Brox:
> Vel, dersom mailprogrammet tillater spredning av virus simpelthen ved
> at brukeren klikker på galt sted (noe som skjer stødt og stadig hos
> mange touchpad-brukeren), så er det åpenbart noe feil med
> mailprogrammet.
Neida, det er jo ikke det som skjer. _Viruset_ (eller oftest;
trojaneren) startes med et klikk. Dette kan da legge seg i minnet og
sette seg til å starte ved boot, og for eksempel generere mail og sende
dem via MAPI eller sin egen, innebygde SMTP-server.
Ingen feil eller bugs utnyttet. Jeg mener, det er jo rimelig enkelt så
lenge man får brukeren til å starte programmet (altså viruset).
En maskin som _ikke_ tillater at jeg kan kjøre programmer som kan sende
mail, ville i alle fall ikke _jeg_ hatt ...
Lasse G. Dahl
> Så holdningen din er: "de som får virus har seg selv å takke"?
Jeg skal ikke svare for andre, men hvem ellers skulle de skylde på?
> At all malware som kommer inn skyldes en brukerfeil?
Slik ser i alla fall jeg på det.
> Slik jeg har forstått
> det, sprer mange ormer seg pga sikkerhetshull i noen av de mest vanlig
> brukte applikasjonene, som MSOE, MSN Messenger, MSIE, etc.
Det er så vidt jeg husker ikke kjent skadeprogrammer som utnytter slike
hull _før de er patchet_. Altså er det brukere som gir blanke i å holde
systemet sitt oppdatert som utsettes for slike hull.
Slike brukere er farlige både for seg selv og andre - og all slags
anti-ware vil i beste fall bare utsette problemene de kommer til å skape.
> De aller fleste windows-brukere kjører, såvidt jeg skjønner, alt av
> programvare med "administratorrettigheter", og det er jo det samme som
> å be om virus.
Jepp. Brukerfeil.
> Dersom det er et
> eksekverbart program, bør mailprogrammet enten sette opp en
> "sandbox"-modell som over, eller ikke tillate eksekvering.
Hmm. Skal det heller ikke tillate lagring? Eller visning av den rene
teksten meldingen består av?
Bjørn Furuknap
>
> Så holdningen din er: "de som får virus har seg selv å takke"?
Jepp, når det er trivielt å unngå det så: ja. Det er trivielt å unngå det,
så: ja.
> At all
> malware som kommer inn skyldes en brukerfeil?
Ja.
> Slik jeg har forstått
> det, sprer mange ormer seg pga sikkerhetshull i noen av de mest vanlig
> brukte applikasjonene, som MSOE, MSN Messenger, MSIE, etc.
Nei, les om igjen, du har nok ikke forstått riktig. Det er mulig de spres
gjennom sikkerhetshull. Disse hullene er tettet for lang tid siden, hvor
'lang' er definert som lengre enn den tiden brukeren normalt bør ha på å få
sikret seg når informasjonen gjøres lett tilgjengelig.
> sandbox-prinsippet er en nyttig ting - rett og slett å ikke gi
> programmene man kjører rettigheter til å gjøre noe galt. I
> unix-verdenen er det ikke så vanskelig å sette opp en "sandbox"
> (chroot), og det er enda mer trivielt å kjøre programmet som en egen
> bruker. Dersom det finnes anti-malware-programvare på windows som
> faktisk kan gjøre dette for brukeren, både begrense og sjekke opp hva
> slags diskaktivitet, nettverkstrafikk etc programmer man ikke stoler
> helt på medfører, så er jo dette en Fin Ting.
Dette har da eksistert i mange år, i allefall 10 år. runas funker helt fett.
Dog er 'riktig' politikk ikke å kjøre programmer soom begrenset bruker, men
å kjøre alt som begrenset bruker og elevere rettigheter ved behov. Dette
gjelder uansett plattform. JEg vet ikke om det var dette du mente.
> De aller fleste windows-brukere kjører, såvidt jeg skjønner, alt av
> programvare med "administratorrettigheter", og det er jo det samme som
> å be om virus.
Ja, og det er ikke brukerfeil?
>> Det finnes ingen mindre suspekte vedlegg å forholde seg til uansett.
>> Alle vedlegg er suspekte og skal behandles deretter. Ethvert vedlegg
>> som kommer skal verifiseres før det åpnes, punktum. Kan det ikke
>> verifiseres skal det ikke åpnes.
>
> Jeg er faktisk helt uenig i det ;-) Hvordan definerer du å "åpne" et
> vedlegg?
Det har mindre og mindre å si, så lenge brukerene forventer mer og mer
funksjonalitet. Åpne en HTML-side kan være like farlig som å eksekvere
vedlegg, men det er litt på siden av poenget. Det er lettere, sikrerer og
mer oppnåelig å forhindre brukere i å åpne vedlegg enn det er å lære dem
hvilke vedlegg de kan åpne og hvordan de skal klare å gjenkjenne farlig
kode.
> Med den holdningen du utviser her, så kan jeg godt se at folk
> foretrekker at ISP'en fjerner "suspekte" vedlegg.
ISP'en er ikke antydningsvis i nærheten av å vite filla om hva som er et
suspekt vedlegg. Anta derfor at du ikke vet noe som helst om hva som er
suspekte vedlegg og forsvar deg utifra det.
Jeg har tidligere nevnt Sokrates og han kommer på banen igjen. Det er en
ukjent mengde du _ikke_ har tenkt på for hver ting du _har_ tenkt på, og
ettersom mengden er ukjent er den ett eller annet sted mellom det du kan og
uendelig. Den mengden er så stor at du gjør klokt i å anta at du ikke vet
noe som helst om hva som er suspekte vedlegg.
Derfor verifiserer du vedlegg. Uansett.
> I min verden skal det være trygt å "åpne" vedlegg. Dersom det ikke er
> trygt, er det en alvorlig feil enten i mailprogrammet eller i den
> applikasjonen man bruker for å "åpne" vedlegget. Dersom det er et
> eksekverbart program, bør mailprogrammet enten sette opp en
> "sandbox"-modell som over, eller ikke tillate eksekvering.
Nei, som nevnt tidligere i dag, det er noe feil i deg, som bruker. Du antar
at andre håndterer sikkerheten din fordi du heller vil spille playstation
eller se på idol enn å lese en bok om sikkerhet.
Med mindre du skriver din egen kompilator for hånd i maskinkode, og
kompilerer på en prosessor du selv har bygget, så er du aldri sikker. Det er
dog forskjell på praktisk sikkerhet og absolutt sikkerhet. Det å åpne
ikke-verifiserte vedlegg tilhører ingen av de gruppene...
Bjørn
Bjørn Furuknap
> [Lasse G. Dahl]
>> Dette er vel ikke helt korrekt? En del virus benytter seg vel
>> bare at det faktum at enkelte ser ut til å klikke på alt som
>> dukker opp i innboksen, uansett hvor lite man måtte vite om
>> det.
>
> Vel, dersom mailprogrammet tillater spredning av virus simpelthen ved
> at brukeren klikker på galt sted (noe som skjer stødt og stadig hos
> mange touchpad-brukeren), så er det åpenbart noe feil med
> mailprogrammet.
Så det du vil ha er altså et operativsystem som ikke tillater spredning av
informasjon. Eller skal du på noen måte begynne å finne ut av hvilken
informasjon man skal få lov til å spre og hindre spredning av informasjon vi
ikke liker? Tror du at du bare kan fjerne spredning av 'virus' gitt at man
engang blir _enige_ om hva som er et virus, langt mindre klarer å oppdage
dem?
Hva med skadelig kode jeg lager for å angripe noen?
Hva med skadelig kode jeg lager for å utdanne noen?
Dog er det irrelevant, for om mailprogrammet ikke tillater det så omgår
brukeren mailprogrammet bare han eller hun er motivert nok. Lov dem gratis
sex og øl og de blir motivert på bare noen øyeblikk. Stans dem derimot fra
det de mener er nødvendig bruk, og de omgår ikke bare det hinderet, de
begynner å hate systemet, og akkurat i et øyeblikket er hvordan virus spres
ditt aller minste sikkerhetsproblem; nå har du plutselig en haug med hackere
på _innsiden_ av sikkerhetstiltakene dine, og det er _deg_ de angriper.
Bjørn
Tobias Brox
> det er ikke mange ormer lengre som sprer seg slik. i hvert fall
> ikke om man ser på topp-listene over virusspredning de siste årene.
Nå er det kanskje ikke antallet ormer/virus som er mest vesentlig ....
Tobias Brox
> Det er så vidt jeg husker ikke kjent skadeprogrammer som utnytter slike
> hull _før de er patchet_. Altså er det brukere som gir blanke i å holde
> systemet sitt oppdatert som utsettes for slike hull.
Hvor mange timer har man på seg tli å patche opp, og hvordan fungerer
det i Windows?
Jeg oppgraderer programvaren min i beste fall en gang i døgnet lokalt;
det gir jo litt spillerom for en effektiv orm.
Vi er i allefall enige i at virusscannere er et svært dårlig
alternativ til å installere sikkerhetsfikser.
> Slike brukere er farlige både for seg selv og andre - og all slags
> anti-ware vil i beste fall bare utsette problemene de kommer til å skape.
>> De aller fleste windows-brukere kjører, såvidt jeg skjønner, alt av
>> programvare med "administratorrettigheter", og det er jo det samme som
>> å be om virus.
> Jepp. Brukerfeil.
>> Dersom det er et
>> eksekverbart program, bør mailprogrammet enten sette opp en
>> "sandbox"-modell som over, eller ikke tillate eksekvering.
> Hmm. Skal det heller ikke tillate lagring?
Man har jo forskjellige måter å håndtere dette på:
- bare nekte; slik fungerer vel java, java-applets har generelt ikke
tilgang til å accessere disk.
- popup-vindu som spør brukeren om hvorvidt programmet skal få lov
eller ikke. Jeg antar at windowsprogrammer kan fungere på denne måten.
- chroot eller vm - programmet kan gjøre hva den vil innenfor en viss
sandkasse. Med chroot i unix kan man angi f.eks at katalogen
/tmp/sandkasse skal fungere som rotkatalog for programmet. Dersom
programmet prøver å skrive til /tmp/tull eller lese fra /bin/ls, vil
det i realiteten bli skrevet til /tmp/sandkasse/tmp/tull og lest fra
/tmp/sandkasse/bin/ls. Med en 'virtual machine' er det mulig å lage
en fil på harddisken, f.eks. på 1 GB, og late som at det er en
engigabytes harddisk.
- separat brukerkonto. Uansett hva slags program/virus jeg kjører, så
skal det i teorien ikke være mulig å sabotere/infisere egen
brukerkonto. Lager man så en separat testbruker, og bruker denne for
all programvare som kommer fra tredjepart, vil man i prinsippet være
trygg.
> Eller visning av den rene
> teksten meldingen består av?
Klart man kan vise et dokument - enten det er .pdf, .txt, .html eller
hva det måtte være. Da forutsettes det at programvaren som viser frem
dokumentet ikke har noen hull som kan utnyttes (f.eks. buffer
overflow). Jeg føler meg stort sett trygg ikke fordi jeg tror den
programvaren jeg bruker er feilfri, men fordi programmene ikke har så
stor utbredning at malwareproblematikken er aktuell. Men holder man
programvaren oppdatert er man jo nogenlunde trygg.
Tobias Brox
> Dette har da eksistert i mange år, i allefall 10 år. runas funker helt fett.
> Dog er 'riktig' politikk ikke å kjøre programmer soom begrenset bruker, men
> å kjøre alt som begrenset bruker og elevere rettigheter ved behov. Dette
> gjelder uansett plattform. JEg vet ikke om det var dette du mente.
For eksempel. Har man en administratorkonto, en egen brukerkonto, og
en separat brukerkonto for mistenkelige "vedlegg", så er det kun den
siste brukeren som kan rammes av malware.
>> De aller fleste windows-brukere kjører, såvidt jeg skjønner, alt av
>> programvare med "administratorrettigheter", og det er jo det samme som
>> å be om virus.
> Ja, og det er ikke brukerfeil?
Det er sikkert en grunn til at de aller fleste gjør dette? Dersom det
ferdiginstallerte systemet legger opp til slik bruk, eller dersom en
stor andel av de programmene man kan få tak i forventer at man opptrer
sånn, så er det strengt tatt ikke brukeren det er noe galt med.
Dersom en bil krasjer i en sving, er har helt sikkert sjåføren seg
selv å takke - men når ti biler krasjer i samme sving, kan det jo
tenkes at det er svingen, skiltingen eller fartsgrensene det er noe
galt med?
> Jeg har tidligere nevnt Sokrates og han kommer på banen igjen. Det er en
> ukjent mengde du _ikke_ har tenkt på for hver ting du _har_ tenkt på, og
> ettersom mengden er ukjent er den ett eller annet sted mellom det du kan og
> uendelig.
Helt klart; derfor kan man aldri stole på antivirusprogrammer og ymse.
Jeg tror nok at vi er enige i at disse stort sett har samme
funksjonalitet som metalldetektorene på flyplasene; å få folk til å
føle seg tryggere. Allikevel, jeg har et inntrykk av at en
gjennomsnittlig windowsbruker trenger slike hjelpemidler.
Tobias Brox
> En maskin som _ikke_ tillater at jeg kan kjøre programmer som kan sende
> mail, ville i alle fall ikke _jeg_ hatt ...
Uff, nei. Men det var heller ikke det jeg mente, men at en mailklient
aldri bør kunne tillate at eksekverbar kode fra tredjepart kjøres med
kun ett museklikk. Det bør enten ikke tillates i det hele og det
store, eller det bør kjøres i en eller annen form for sandkasse, eller
til nød må det komme opp en dialogboks med "er du virkelig helt helt
sikker på at du vet hva du gjør nå?"
Tobias Brox
>> Vel, dersom mailprogrammet tillater spredning av virus simpelthen ved
>> at brukeren klikker på galt sted (noe som skjer stødt og stadig hos
>> mange touchpad-brukeren), så er det åpenbart noe feil med
>> mailprogrammet.
> Så det du vil ha er altså et operativsystem som ikke tillater spredning av
> informasjon.
Eh, nei.
Dersom virus kan spres gjennom at man tar inn en bildefil i et
billedbehandlingsprogram, eller et regnskap inn i et regnskapsprogram,
eller ved å kjøre en javaapplet man har funnet på nett, så er dette en
bug/sikkerhetsfeil i programvaren man har benyttet, og ikke
brukerfeil. Selvfølgelig skjer slikt, og man har ikke noen som helst
muligheter til å forsvare seg mot slikt, bortsett fra å velge så enkle
formater som mulig, oppdatere programvaren jevnlig og evt følge med på
bugtraq.
Ellers - hvordan kan du "verifisere" et vedlegg når du ikke aner hva
som skal "verifiseres"? Jeg husker tilbake til sent åttitall, da var
virus som regel noe som fulgte med piratkopiert programvare - og i
følge programvareindustrien var selvfølgelig den eneste løsningen å
kun kjøpe programvare på forseglede orginaldisketter. Men så var det
et eller annet programvarehus som greide å slippe ut en
programvarepakke med virus på det kommersielle markedet...
> Eller skal du på noen måte begynne å finne ut av hvilken
> informasjon man skal få lov til å spre og hindre spredning av informasjon vi
> ikke liker?
Nei, jeg har aldri sagt at jeg er i mot spredning av informasjon. Du
kan spre så mye propaganda og råtten kode som du lyster for min del.
Virus og for den skyld, jeg brur meg ikke :-)
Tobias Brox
> skal det i teorien ikke være mulig å sabotere/infisere egen
> brukerkonto.
Argh! Annet enn egen brukerkonto skulle det stå :-)
Lasse G. Dahl
>> Det er så vidt jeg husker ikke kjent skadeprogrammer som utnytter slike
>> hull _før de er patchet_. Altså er det brukere som gir blanke i å holde
>> systemet sitt oppdatert som utsettes for slike hull.
* Tobias Brox:
> Hvor mange timer har man på seg tli å patche opp, og hvordan fungerer
> det i Windows?
I de tilfellene jeg husker, har det vært snakk om uker og måneder fra
feil har blitt gjort kjent til virus har dukket opp.
> Jeg oppgraderer programvaren min i beste fall en gang i døgnet lokalt;
> det gir jo litt spillerom for en effektiv orm.
Vel, jeg oppdaterer Windowsmaskinene mine automatisk når Microsoft sier
det, jeg er stort sett på nett hele dagen og har hittil sluppet slike
ormer, så i praksis er det i alle fall _muilg_ å slippe unna.
> Vi er i allefall enige i at virusscannere er et svært dårlig
> alternativ til å installere sikkerhetsfikser.
Flott! :-)
>>> Dersom det er et
>>> eksekverbart program, bør mailprogrammet enten sette opp en
>>> "sandbox"-modell som over, eller ikke tillate eksekvering.
>> Hmm. Skal det heller ikke tillate lagring?
> Man har jo forskjellige måter å håndtere dette på:
>
> - bare nekte; slik fungerer vel java, java-applets har generelt ikke
> tilgang til å accessere disk.
Nei, men hvis det samme implementeres i en eller annen populær
mailklient, tror jeg den ganske raskt vil bli byttet ut hos de aller
fleste.
> - popup-vindu som spør brukeren om hvorvidt programmet skal få lov
> eller ikke. Jeg antar at windowsprogrammer kan fungere på denne måten.
Det gjør de. Det fungerer tydeligvis ikke så godt, da. Mulig dette er
fordi folk er mer villige til å stole på "anti-programmer" enn å
faktisk lese og prøve å forstå det som står i popup-vinduet?
> - chroot eller vm - programmet kan gjøre hva den vil innenfor en viss
> sandkasse. Med chroot i unix kan man angi f.eks at katalogen
> /tmp/sandkasse skal fungere som rotkatalog for programmet. [...]
>
> - separat brukerkonto. Uansett hva slags program/virus jeg kjører, så
> skal det i teorien ikke være mulig å sabotere/infisere egen
> brukerkonto.
At det _går an_ å gjøre dette, hersker det ingen som helst tvil om i
denne gruppen, tror jeg. Men poenget er at det ikke _blir_ gjort. Så
kan man spørre seg hva grunnen til det er - og jeg tror mye av skylden
ligger på alle de som sier at så lenge man har installert antiditt og
antidatt, er man trygg.
>> Eller visning av den rene
>> teksten meldingen består av?
> Klart man kan vise et dokument - enten det er .pdf, .txt, .html eller
> hva det måtte være.
Og hvis man kan _vise_ teksten, kan man plukke ut viruset (som man
gjerne tror er en oprnofilm med Christina Aguilera), dekode det, lagre
det som en kjørbar fil og kjøre det.
Når det gjelder å utsette seg for fare, er folks fantasi omtrent
ubegrenset.
Problemet er slik jeg ser det at man ikke er trygg før man forstår
_hva_ man ikke skal gjøre og _hvorfor_ man ikke skal gjøre det. Det
tar ikke lange tiden å lære seg - og da kan man spare penger og maskin-
ressurser til alle antiprogrammene.
Geir Harris Hedemark
> til nød må det komme opp en dialogboks med "er du virkelig helt helt
> sikker på at du vet hva du gjør nå?"
Du spøker?
Dersom du går og undersøker litt om effektiviteten til sånne
"er-du-sikker"-dingser tror jeg du blir overrasket.
Geir
Steinar Haug
> > det i Windows?
>
> I de tilfellene jeg husker, har det vært snakk om uker og måneder fra
> feil har blitt gjort kjent til virus har dukket opp.
Det er dessverre mange tilfelle idag der tiden er betydelig kortere -
det kan være snakk om noen få dager.
Steinar Haug, Nethelp consulting, sth...@nethelp.no
tob...@stud.cs.uit.no
> Vel, jeg oppdaterer Windowsmaskinene mine automatisk når Microsoft sier
> det, jeg er stort sett på nett hele dagen og har hittil sluppet slike
> ormer, så i praksis er det i alle fall _muilg_ å slippe unna.
Men bruker du bare programvare fra Microsoft?
>> - bare nekte; slik fungerer vel java, java-applets har generelt ikke
>> tilgang til å accessere disk.
> Nei, men hvis det samme implementeres i en eller annen populær
> mailklient, tror jeg den ganske raskt vil bli byttet ut hos de aller
> fleste.
:-)
Det var ikke mailklienten selv jeg tenkte på, men de innkommende
programsnuttene den måtte finne på å eksekvere.
> At det _går an_ å gjøre dette, hersker det ingen som helst tvil om i
> denne gruppen, tror jeg. Men poenget er at det ikke _blir_ gjort. Så
> kan man spørre seg hva grunnen til det er - og jeg tror mye av skylden
> ligger på alle de som sier at så lenge man har installert antiditt og
> antidatt, er man trygg.
Sant nok - men dersom antiditten og antidatten faktisk gjør slike
ting, er det jo fint.
>> Klart man kan vise et dokument - enten det er .pdf, .txt, .html eller
>> hva det måtte være.
> Og hvis man kan _vise_ teksten, kan man plukke ut viruset (som man
> gjerne tror er en oprnofilm med Christina Aguilera), dekode det, lagre
> det som en kjørbar fil og kjøre det.
Man kan _aldri_ hindre brukerne i å skyte seg selv i foten, men man
kan i det minste ha sikring på pistolen ...
Vidar Løkken
<b4qdnTX8rsP...@telenor.com>:
> * Lasse G. Dahl:
>>> Det er så vidt jeg husker ikke kjent skadeprogrammer som utnytter
>>> slike hull _før de er patchet_. Altså er det brukere som gir blanke
>>> i å holde systemet sitt oppdatert som utsettes for slike hull.
>
> * Tobias Brox:
>> Hvor mange timer har man på seg tli å patche opp, og hvordan fungerer
>> det i Windows?
>
> I de tilfellene jeg husker, har det vært snakk om uker og måneder fra
> feil har blitt gjort kjent til virus har dukket opp.
>
Og månader og år før patchen frå MS kjem, noko som gjev virus eit vist
spelerom. Samt minst to windows-versjonar fram i tid før alle har fått
patcha.
--
MVH,
Vidar
Tobias Brox
>> til nød må det komme opp en dialogboks med "er du virkelig helt helt
>> sikker på at du vet hva du gjør nå?"
> Du spøker?
> Dersom du går og undersøker litt om effektiviteten til sånne
> "er-du-sikker"-dingser tror jeg du blir overrasket.
Jeg vet, jeg vet; generelt sett er det alt for mange slike
dialogbokser, f.eks. i mozilla - men det er bedre enn ingenting.
Dersom man ser bort i fra virus, er det svært, svært sjeldent at jeg
får eksekverbar kode sendt pr epost. Jeg mener altså at man i
utgangspunktet må stole på de programmene man aktivt har installert og
som det er naturlig å kalle opp for å vise frem diverse filformater
(/etc/mailcap under unix), og at en slik dialogboks derfor ville poppe
opp ytterst sjeldent. Dersom en bruker er vant med å gjøre en viss
handling ofte (f.eks. åpne et attachment) og som han vet kan innebære
en viss fare (i allefall _burde_ vite) og plutselig én gang i måneden
får opp en stygg dialogboks, så kan det jo tenkes han faktisk tenker
seg om før han trykker "ok".
Terje Kvernes
> [Terje Kvernes]
>
> > det er ikke mange ormer lengre som sprer seg slik. i hvert fall
> > ikke om man ser på topp-listene over virusspredning de siste
> > årene.
>
> Nå er det kanskje ikke antallet ormer/virus som er mest vesentlig
> ....
korrekt, det er antallet infenstasjoner, og det er samme bildet der.
--
Terje
Terje Kvernes
[ ... ]
> Uff, nei. Men det var heller ikke det jeg mente, men at en
> mailklient aldri bør kunne tillate at eksekverbar kode fra
> tredjepart kjøres med kun ett museklikk. Det bør enten ikke
> tillates i det hele og det store, eller det bør kjøres i en eller
> annen form for sandkasse, eller til nød må det komme opp en
> dialogboks med "er du virkelig helt helt sikker på at du vet hva du
> gjør nå?"
dette har da Outlook og omtrent alle andre slike grafiske kliente
jeg har sett. XP-installasjonen jeg kjenner til har så mye slike
sikkerhets-advarsler at det helt klart ikke er problemet.
--
Terje
Rune Mikalsen
>
> En maskin som _ikke_ tillater at jeg kan kjøre programmer som kan
> sende mail, ville i alle fall ikke _jeg_ hatt ...
Når det bare i år vil selges over 600.000 nye PCer, hvordan ser dere
sikkerhetsguruer på utviklingen for mulig bekjempelse av spredning av dritt
og sikring mot angrep, all den tid ingen kan forvente at nesten 4 millioner
hjemmepc-brukere kan noe som helst om oppsett av routere, patching, porter,
manuell installasjon og vedlikehold av allehonde antiware osv. osv.
Flere i denne gruppa kan da umulig sove godt om natta, hvis rådet er at
generell datasikkerhet skal være den enkeltes ansvar og når alt går
skeis, -så er det "brukerfeil"...
--
-Rune-
Hasta la Victoria siempre.
Bjørn Johansen
Jeg sover godt med tanke på min egen hjemmeboks. Det er verre med de
stakkers serverene som får kjørt seg hver gang det kommer ut noe som
infiserer 50% av alle Windowsbokser og kjører opp DDoS angrep.
Jeg er av de som mener man burde hatt et sertifikat for å få lov til å
koble en maskin opp mot Internett. Jeg liker ikke at de som "... for
Dummies" bøkene er skrevet for skal få lov til å ha maskinen sin på
samme nettverk som meg. Det er en grunn til at Microsoft fortsatt vil la
de som ikke har lisens på Windows få lastet ned og lagt inn
sikkerhetspatchene.
Jeg synes det er store likheter med det offentlige veinettet. Alle som
er ute og kjører utgjør en potensiell risiko mot meg. Derfor må man
gjennomgå, og bestå, et kurs hvor man lærer seg en del regler man må
følge. Veivesenet kan tilrettelegge for sikkerhet så godt de bare klarer
men til syvende og sist er det brukerfeil som fører til ulykker.
Tobias Brox
> Jeg er av de som mener man burde hatt et sertifikat for å få lov til å
> koble en maskin opp mot Internett.
Denne debatten har vi vel forsåvidt hatt før, men jeg kan ikke la vær...
Jeg er generelt enig i at folk burde ha et minimum av kunnskaper før
de; a) bruker en datamaskin på egenhånd, og særlig b) administrerer
sin egen datamaskin. Jeg får allikevel frysninger nedover ryggen ved
tanke på en offentlig ordning med lovpålagt "internettsertifisering" -
fordi:
1. Hva skal inngå i en slik sertifisering, og hvem bestemmer hva som
skal inn? Skal det være et rent brukerkurs i Windows, eller hva?
Skal "nettikette" inngå, eller bare info om hvordan man unngår virus?
Jeg tittet igjennom www.nettvett.no for en god stund siden (det var
vel bittelitt debatt her akkurat da nettstedet ble åpnet) - og, for å
være helt ærlig, de sidene der er helt ubrukelige.
Det hele koker ned til at jeg absolutt ikke har tiltro til å la
politikere bestemme noe særlig over "mitt" fagfelt.
2. Hvem skal utføre sertifiseringen, og hvor mye skal det koste? Jeg
har et inntrykk av at det er en del korrupsjon (evt lobbyering) i
denne bransjen, f.eks. må man i dag ofte ta kommersielle språktester
for å slippe inn på utdanning - disse testene er urimelig dyre.
Alf P. Steinbach
Det er tvert i mot et stort problem på den måten det gjøres i Windows.
"Advarsel! Er du sikker på at du ønsker å endre navnet på denne filen? Den
kan bli ubrukelig!"
Og problemet er en Microsoft-tankegang der Microsofts programmer _vet bedre_
enn brukeren og uoppfordret bør gjøre ting _på vegne_ av brukeren. Brukeren
settes ikke i førersetet men i passasjersetet til en bedrevitersk
taxisjåfør, som ikke engang kjenner til de største trafikkårene og aktuelle
hotellene, men tror han er verdensmester i både geografi og trafikkmestring.
Spørsmålene fra denne sjåføren viser hver bidige gang er der er helt tomt i
skallen, og kaoset og antall skadete som etterlates i kjølvannet, samt den
nærmest vilkårlige ruten fram mot målet, som ikke er dit du har bedt om å
bli kjørt men et sted som sjåføren synes er mye gildere, viser at du for din
egen sikkerhet og økonomi bør kjøre med noen andre.
Likevel, det er ofte intet annet valg enn å kjøre med denne sjåføren.
For de aller fleste andre gjør det, og hvis du velger en annen sjåfør
risikerer du dermed å havne på hotellet der konferansen _skulle_ vært, ikke
det vilkårlig valgte hotellet, utvalgt av denne sjåføren, der den er.
--
A: Because it messes up the order in which people normally read text.
Q: Why is it such a bad thing?
A: Top-posting.
Q: What is the most annoying thing on usenet and in e-mail?
Bjørn Johansen
> [Bjørn Johansen]
>
>>Jeg er av de som mener man burde hatt et sertifikat for å få lov til å
>>koble en maskin opp mot Internett.
>
>
> Denne debatten har vi vel forsåvidt hatt før, men jeg kan ikke la vær...
>
> Jeg er generelt enig i at folk burde ha et minimum av kunnskaper før
> de; a) bruker en datamaskin på egenhånd, og særlig b) administrerer
> sin egen datamaskin. Jeg får allikevel frysninger nedover ryggen ved
> tanke på en offentlig ordning med lovpålagt "internettsertifisering" -
> fordi:
>
land) sier at for å sende trafikk gjennom deres rutere må man være
sertifisert.
> 1. Hva skal inngå i en slik sertifisering, og hvem bestemmer hva som
> skal inn? Skal det være et rent brukerkurs i Windows, eller hva?
> Skal "nettikette" inngå, eller bare info om hvordan man unngår virus?
>
IETF eller tilsvarende kunne vel kanskje bestemt? Kanskje opprettet en
egen gruppe? Du bør vel kunne bruke OS'et ditt før du skal begynne å
koble det sammen med andres. Jeg synes nettikette bør inngå.
> Jeg tittet igjennom www.nettvett.no for en god stund siden (det var
> vel bittelitt debatt her akkurat da nettstedet ble åpnet) - og, for å
> være helt ærlig, de sidene der er helt ubrukelige.
>
> Det hele koker ned til at jeg absolutt ikke har tiltro til å la
> politikere bestemme noe særlig over "mitt" fagfelt.
Hold politikerene utenfor. La fagruppene styre. Politikerne har ingen
påvirkning ovenfor internett likevel.
>
> 2. Hvem skal utføre sertifiseringen, og hvor mye skal det koste? Jeg
> har et inntrykk av at det er en del korrupsjon (evt lobbyering) i
> denne bransjen, f.eks. må man i dag ofte ta kommersielle språktester
> for å slippe inn på utdanning - disse testene er urimelig dyre.
>
Sertifiseringen skulle vel kunne tas ved godkjente utdanningssentere.
Jeg vil da tro at prisen på en slik prøve vil kunne holdes på rundt
tusenlappen.
Lasse G. Dahl
>>> Hvor mange timer har man på seg tli å patche opp, og hvordan fungerer
>>> det i Windows?
* Lasse G. Dahl:
>> I de tilfellene jeg husker, har det vært snakk om uker og måneder fra
>> feil har blitt gjort kjent til virus har dukket opp.
* Vidar Løkken:
> Og månader og år før patchen frå MS kjem, noko som gjev virus eit vist
> spelerom. Samt minst to windows-versjonar fram i tid før alle har fått
> patcha.
Hmm - nei, i de tilfellene jeg husker, har patcher eksistert før skade-
programmene. Hvis jeg husker feil, må noen som husker bedre gjerne
korrigere meg!
Lasse G. Dahl
>> Vel, jeg oppdaterer Windowsmaskinene mine automatisk når Microsoft sier
>> det, jeg er stort sett på nett hele dagen og har hittil sluppet slike
>> ormer, så i praksis er det i alle fall _muilg_ å slippe unna.
> Men bruker du bare programvare fra Microsoft?
Nei. Men den eneste programvaren jeg husker å ha hatt installert utenom
Microsofts som har hatt kjente sikkerhetshull og ikke har patchet seg
selv, er Winzip, som jeg bytta ut med Izarch, Acrobat reader, som nå
oppdaterer seg automatisk og så tror jeg det var noe krøll med Winamp
en gang. Men ingen av disse programmene har likevel ført til at
maskinene mine har blitt kompromitterte.
>>> - bare nekte; slik fungerer vel java, java-applets har generelt ikke
>>> tilgang til å accessere disk.
>> Nei, men hvis det samme implementeres i en eller annen populær
>> mailklient, tror jeg den ganske raskt vil bli byttet ut hos de aller
>> fleste.
>:-)
>
> Det var ikke mailklienten selv jeg tenkte på, men de innkommende
> programsnuttene den måtte finne på å eksekvere.
Joda, jeg skjønte det - selv om poenget blir enda bedre med den lille
misforståelsen her. Men se for eksempel på Outlook Express. Den kommer
nå med sperre mot å åpne vedlegg. Det er ikke mange som bryr seg om
_hvorfor_ eller hvordan du kan la denne beskyttelsen åpne bare de
filtypene du er sikker på skal åpnes - neida, folk vil vite hvordan de
slår av dette.
>> At det _går an_ å gjøre dette, hersker det ingen som helst tvil om i
>> denne gruppen, tror jeg. Men poenget er at det ikke _blir_ gjort. Så
>> kan man spørre seg hva grunnen til det er - og jeg tror mye av skylden
>> ligger på alle de som sier at så lenge man har installert antiditt og
>> antidatt, er man trygg.
> Sant nok - men dersom antiditten og antidatten faktisk gjør slike
> ting, er det jo fint.
Antallet virusinfeksjoner hos folk som kjører antivirusprogramvare fra
en av de store leverandørene, tyder på at det ikke fungerer. Og igjen,
hvis troen på antivare gjør at men ikke lærer seg å bruke det verk-
tøyet man sitter foran, kan jeg ikke på noen måte se at det er fint.
"Betre bør du ber'kje i bakken", og så videre.
> Man kan _aldri_ hindre brukerne i å skyte seg selv i foten, men man
> kan i det minste ha sikring på pistolen ...
Lær dem heller å skyte. Man driver ikke å plaffer rundt på måfå hvis
man har fått opplæring i bruk av skytevåpen :-)
--
Lasse G. Dahl <URL: http://www.lassedahl.com/ >
I'm a citizen of Legoland travellin' incommunicado
Bjørn Furuknap
>>> Hvor mange timer har man på seg tli å patche opp, og hvordan
>>> fungerer det i Windows?
>>
>> I de tilfellene jeg husker, har det vært snakk om uker og måneder fra
>> feil har blitt gjort kjent til virus har dukket opp.
>
> Det er dessverre mange tilfelle idag der tiden er betydelig kortere -
> det kan være snakk om noen få dager.
Jeg vil gjerne ha referanser til slikt, jeg har lett en del etter eksempler
på effektiv spredning av programvare som utnytter nylig oppdagede
sikkerhetshull uten å finne noe håndfast. Jeg vet at debatten om
reverse-engineering herjer om dagen, men jeg ser ikke helt problemet all den
tid det er praktisk gjennomførbart for de fleste å oppdatere programvaren en
gang per døgn om nødvendig.
Jeg ser derimot en annen mulighet som kan begrense en del problemer i
fremtiden. Når Windows oppdager at det enten ligger en ny sikkerhetsfiks
ute, eller at brukeren ikke har oppdatert operativsystemet på en stund kan
Windows hindre tilgang til maskinen via tcp/ip og/eller kjøring av annet enn
signert Microsoft-kode inntil maskinen er patchet. Dette vil også løse
problemet med at nyinstallerte maskiner er utnyttbare.
Jeg har også tenkt på dette tidligere i forbindelse med
antivirusoppdateringer, der brukere går på nett og åpner epost før
antivirusprogrammet kan få lastet ned nye signaturer.
Bjørn
Bjørn Furuknap
> 1. Hva skal inngå i en slik sertifisering, og hvem bestemmer hva som
> skal inn?
Siden debatten allerede er bilet, med varierende hell: Hvem bestemmer dette
for førerkort for kjøretøy eller andre obligatoriske sertifiseringer?
> Skal det være et rent brukerkurs i Windows, eller hva?
Brukerkurs i nettbruk. Førerkort er ingen opplæring i å kjøre Opel eller
Ford, det er et kurs i sikkerhet, ferdighet, lover og regler.
> Skal "nettikette" inngå, eller bare info om hvordan man unngår virus?
Inngår oppførsel i trafikken i 'vanlig' førerkort? Er det nødvendig? Er
hvordan man unngår at bilen blir stjålet det eneste man trenger?
> 2. Hvem skal utføre sertifiseringen, og hvor mye skal det koste?
Nettilsynet, en gjennombyråkratisk gjeng som ingen egentlig liker, og som
sørger for registrering av pc'er og utdeling av surferkort. De jobber vel
for kostpris, slik deres søsterorganisasjon biltilsynet gjør, tenker jeg?
> Jeg
> har et inntrykk av at det er en del korrupsjon (evt lobbyering) i
> denne bransjen, f.eks. må man i dag ofte ta kommersielle språktester
> for å slippe inn på utdanning - disse testene er urimelig dyre.
Derfor overlater man slikt til staten, for de er jo aldri korrupte...
Bjørn
Bjørn Furuknap
> [Bjørn Furuknap]
>> Dette har da eksistert i mange år, i allefall 10 år. runas funker
>> helt fett. Dog er 'riktig' politikk ikke å kjøre programmer soom
>> begrenset bruker, men å kjøre alt som begrenset bruker og elevere
>> rettigheter ved behov. Dette gjelder uansett plattform. JEg vet ikke
>> om det var dette du mente.
>
> For eksempel. Har man en administratorkonto, en egen brukerkonto, og
> en separat brukerkonto for mistenkelige "vedlegg", så er det kun den
> siste brukeren som kan rammes av malware.
Nei, nei, nei... Man skal ikke åpne mistenkelige vedlegg, og ferdig med det.
Man trenger ingen egen konto for dette, eller for annen farlig oppførsel.
Hadde folk hatt vett nok til å vite hva som er farlig oppførsel hadde jo
problemet vært løst for lenge siden. En egen konto er som å si at du bare
trenger kondom de gangene du ellers hadde blitt smittet av sos.
Alle brukerkontoer skal være begrenset slik at de får gjort det de trenger,
men aldri mer. 'Det de trenger' inkluderer fortsatt ikke å kjøre ny kode som
ikke er godkjent og installert av noen med litt mer kunnskap og erfaring.
>> Ja, og det er ikke brukerfeil?
>
> Det er sikkert en grunn til at de aller fleste gjør dette?
Blir det noe mindre brukerfeil om alle gjør det? Tror du staten angriper
Opel fordi de lar bilene sine kjøre raskere enn fartsgrensen?
Sorry, men vi er på biling-stadiet allerede...
> Dersom det
> ferdiginstallerte systemet legger opp til slik bruk, eller dersom en
> stor andel av de programmene man kan få tak i forventer at man opptrer
> sånn, så er det strengt tatt ikke brukeren det er noe galt med.
Jo. Med mindre du seriøst vil ha et totalregulert forhold til din pc, der
hva du får bruke den til, uansett din kunnskap om emnet, er bestemt av
staten.
Skal du regulere noe som helst må du innføre regler som rammer de som
oppfører seg galt, ikke alle over en kam. Det hører med til historien at jeg
er blant de som argumenterer for differensiering av fartsgrenser basert på
kunnskap, alder, erfaring eller andre kriterier, fremfor en regulering
basert på at alle må følge reglene som er tilpasset den eldste, mest
svaksynte og tregest reagerende sjåføren. Eller kvinner.
> Dersom en bil krasjer i en sving, er har helt sikkert sjåføren seg
> selv å takke - men når ti biler krasjer i samme sving, kan det jo
> tenkes at det er svingen, skiltingen eller fartsgrensene det er noe
> galt med?
Nei, ikke hvis det kan antas at brukeren burde ha kjørt med forstand og
bremset tidligere, kjørt saktere, satt på vinterdekk en uke før, etc...
Faktisk er kjørereglene slik, du må tilpasse kjøringen din forholdene. Det
_er_ din feil om du krasjer.
> Helt klart; derfor kan man aldri stole på antivirusprogrammer og ymse.
> Jeg tror nok at vi er enige i at disse stort sett har samme
> funksjonalitet som metalldetektorene på flyplasene; å få folk til å
> føle seg tryggere. Allikevel, jeg har et inntrykk av at en
> gjennomsnittlig windowsbruker trenger slike hjelpemidler.
Det burde være vist at de _ikke_ trenger slikt, når de aller fleste har det
og likevel blir folk stadig rammet hver gang noen finner på en ny måteå få
dem til å åpne vedlegg.
Jeg gir blaffen, egentlig. Jeg bare irriterer meg over den mindre seriøse
delen av bransjen, og ikke minst pressen, som svelger slangeolje som det
beste middel nærmest uansett hvor mange ganger de bevises feil.
Bjørn
Tobias Brox
> Nei, nei, nei... Man skal ikke åpne mistenkelige vedlegg, og ferdig med det.
Hva er et "mistenkelig" vedlegg, og hvordan kan du vite at det er
mistenkelig uten å åpne det? Det eneste man kan gjøre, er å skjære
alle attachment over en kam - strengt tatt er attachments i epost en
uting - helst burde kanskje mailserveren ha bouncet slike mail; vekk
med dem! :-)
Fruen har antageligvis slettet epost fra venner i Beijing -
emailløsningen hennes taklet ikke tegnsettet som var brukt i
fraadressen, og subject-linja syntes hun var så suspekt at hun slettet
eposten ulest (kineserene har et litt annet forhold til hva som er god
takt og tone enn vi ;-) Noen uker senere fikk hun enda en slik epost,
og jeg måtte insisterte på at hun enten leste den eller sendte den
videre til meg...
Problemet ligger i mine øyner i det diffuse konseptet av å "åpne et
vedlegg". Det er noe jeg antageligvis aldri har gjort, og heller ikke
har tenkt til å gjøre. Jeg har et veldig skarpt skille mellom å
"eksekvere et vedlegg" (noe jeg aldri gjør, først og fremst fordi jeg
ikke får særlig med vedlegg som kan eksekveres) og å "vise" et
vedlegg. Å "vise" et vedlegg (inkludert flash og javaapplets) skal i
utgangspunktet være trygt, dersom det ikke foreligger alvorlige bugs i
programvaren man bruker for å vise frem vedlegget.
> Blir det noe mindre brukerfeil om alle gjør det? Tror du staten angriper
> Opel fordi de lar bilene sine kjøre raskere enn fartsgrensen?
Nei, men staten angriper ikke windows heller. Fartssperrer er et
aktuelt tema - det er blitt innført på tungtransporten, og jeg tror
nok vi får fartssperre på personbiler før vi får lovpålagte
sikkerhetsløsninger i windows...
> Sorry, men vi er på biling-stadiet allerede...
:-)
>> Dersom det
>> ferdiginstallerte systemet legger opp til slik bruk, eller dersom en
>> stor andel av de programmene man kan få tak i forventer at man opptrer
>> sånn, så er det strengt tatt ikke brukeren det er noe galt med.
> Jo. Med mindre du seriøst vil ha et totalregulert forhold til din pc, der
> hva du får bruke den til, uansett din kunnskap om emnet, er bestemt av
> staten.
Absolutt ikke! Jeg er svært skeptisk til alt som er ment å begrense
min frihet til å bruke egen PC og internett slik jeg selv ønsker. Men
det var da heller ikke dét jeg mente. Man kan aldri hindre folk i å
skyte seg selv i foten, men når en stor majoritet av brukere er i ferd
med å gjøre nettopp dette, så er det noe grunnleggende galt. Det er
(så vidt jeg vet) svært få linuxbrukere som kjører alt av programvare
som "root".
>> Dersom en bil krasjer i en sving, er har helt sikkert sjåføren seg
>> selv å takke - men når ti biler krasjer i samme sving, kan det jo
>> tenkes at det er svingen, skiltingen eller fartsgrensene det er noe
>> galt med?
> Nei, ikke hvis det kan antas at brukeren burde ha kjørt med forstand og
> bremset tidligere, kjørt saktere, satt på vinterdekk en uke før, etc...
> Faktisk er kjørereglene slik, du må tilpasse kjøringen din forholdene. Det
> _er_ din feil om du krasjer.
Samme kan det være hvem sin feil det er, jeg kan love deg at dersom et
signifikant antall biler krasjer på et bestemt veipunkt, så vil det
bli gjort noe med dette veipunktet - enten i form av bedre skilting,
eller utbedring av veien.
> Jeg gir blaffen, egentlig.
Me too :-)
> Jeg bare irriterer meg over den mindre seriøse
> delen av bransjen, og ikke minst pressen, som svelger slangeolje som det
> beste middel nærmest uansett hvor mange ganger de bevises feil.
Me too...
--
Jeg er et hypnotisk virus. Se på meg. Du blir søvnig. Gjør som
jeg sier. Kopier meg, spre meg rundt, bruk meg som din egen signatur.
Lasse G. Dahl
> Hva er et "mistenkelig" vedlegg, og hvordan kan du vite at det er
> mistenkelig uten å åpne det? Det eneste man kan gjøre, er å skjære
> alle attachment over en kam
Jeg skiller mellom de som inneholder kjørbar kode, og de som ikke
gjør det. På Windows er .exe, .com, .pif, .bat, .cmd og så videre
bannlyste. Dokumenter fra program som kan kjøre makroer er jeg
veldig forsiktig med. Tekst- og bildefiler er jeg trygg på.
> Fruen har antageligvis slettet epost fra venner i Beijing -
> emailløsningen hennes taklet ikke tegnsettet som var brukt i
> fraadressen, og subject-linja syntes hun var så suspekt at hun
> slettet eposten ulest
En epost er i utgangspunktet ren tekst fri for vedlegg, og dermed
ufarlig å vise uansett tegnsett. HTMLvisning av mail er da bannlyst
her i huset, etter som jeg ikke ser behovet.
> Problemet ligger i mine øyner i det diffuse konseptet av å "åpne
> et vedlegg".
Jeg skjønner ikke hva som er diffust med det, jeg. Jeg snakker om å
"åpne et vedlegg" når jeg sender det til kommandotolkeren, som på
Windows bruker filutvidelsen til å bestemme hva den skal gjøre med
det, av og til etter en dialogboks som spør meg om jeg virkelig vil
kjøre det eller lagre det på disk.
Tekstdokumenter åpnes da i min foretrukne tekstleser, jpeg-filer
åpnes i det programmet jeg bruker å se jpeg-bilder i, mens kjørbare
filer da ville blitt kjørt - noe som altså som nevnt aldri skjer
hos meg.
Bjørn Furuknap
> [Bjørn Furuknap]
>> Nei, nei, nei... Man skal ikke åpne mistenkelige vedlegg, og ferdig
>> med det.
>
> Hva er et "mistenkelig" vedlegg, og hvordan kan du vite at det er
> mistenkelig uten å åpne det? Det eneste man kan gjøre, er å skjære
> alle attachment over en kam - strengt tatt er attachments i epost en
> uting - helst burde kanskje mailserveren ha bouncet slike mail; vekk
> med dem! :-)
Nemlig. Se mine tidligere postinger om akkurat dette.
Alle vedlegg er suspekte til de er verifisert.
> Fruen har antageligvis slettet epost fra venner i Beijing -
> emailløsningen hennes taklet ikke tegnsettet som var brukt i
> fraadressen, og subject-linja syntes hun var så suspekt at hun slettet
> eposten ulest (kineserene har et litt annet forhold til hva som er god
> takt og tone enn vi ;-) Noen uker senere fikk hun enda en slik epost,
> og jeg måtte insisterte på at hun enten leste den eller sendte den
> videre til meg...
Nemlig. Se mine tidligere postinger om akkurat dette.
Mailløsninger som fjerner vedlegg tjener en dobbeltrolle, i form av at
informasjon som utifra et gitt sett med regler er suspekt fjernes, uavhengig
av om det er legitim trafikk eller ikke. Falske positive er en annen term
for samme fenomen.
> Problemet ligger i mine øyner i det diffuse konseptet av å "åpne et
> vedlegg". Det er noe jeg antageligvis aldri har gjort, og heller ikke
> har tenkt til å gjøre. Jeg har et veldig skarpt skille mellom å
> "eksekvere et vedlegg" (noe jeg aldri gjør, først og fremst fordi jeg
> ikke får særlig med vedlegg som kan eksekveres) og å "vise" et
> vedlegg. Å "vise" et vedlegg (inkludert flash og javaapplets) skal i
> utgangspunktet være trygt, dersom det ikke foreligger alvorlige bugs i
> programvaren man bruker for å vise frem vedlegget.
Mens brukere, som ikke kan dresseres til de aller enkleste oppgaver, skal du
lære opp til å skille mellom begreper som applets/applikasjoner, dokumenter
med og uten makromuligheter, etc.?
> Nei, men staten angriper ikke windows heller. Fartssperrer er et
> aktuelt tema - det er blitt innført på tungtransporten, og jeg tror
> nok vi får fartssperre på personbiler før vi får lovpålagte
> sikkerhetsløsninger i windows...
>
Jeg vil heller innføre bedre opplæring enn statlig regulering, da det finnes
legitime grunner til å kjøre raskere enn fartsgrensen.
> Absolutt ikke! Jeg er svært skeptisk til alt som er ment å begrense
> min frihet til å bruke egen PC og internett slik jeg selv ønsker. Men
> det var da heller ikke dét jeg mente. Man kan aldri hindre folk i å
> skyte seg selv i foten, men når en stor majoritet av brukere er i ferd
> med å gjøre nettopp dette, så er det noe grunnleggende galt. Det er
> (så vidt jeg vet) svært få linuxbrukere som kjører alt av programvare
> som "root".
Bytte av programvare er ikke løsningen, og har aldri vært det.
Løsningen er, som andre har påpekt tidligere, å lære folk å skyte fremfor å
gi dem annerledes pistoler. Det hjelper ikke engang å sikre pistolene hvis
brukeren oppfatter det som en begrensning av sine muligheter, da går de bare
med sikringen av...
> Samme kan det være hvem sin feil det er, jeg kan love deg at dersom et
> signifikant antall biler krasjer på et bestemt veipunkt, så vil det
> bli gjort noe med dette veipunktet - enten i form av bedre skilting,
> eller utbedring av veien.
Ikke dersom det gjentatte ganger viser seg å være uvørne bilister som er
problemet, da setter man opp fartskontroller og tar fra folk førerkortet.
Bjørn
Vidar Løkken
> * Tobias Brox:
>> Hva er et "mistenkelig" vedlegg, og hvordan kan du vite at det er
>> mistenkelig uten å åpne det? Det eneste man kan gjøre, er å skjære
>> alle attachment over en kam
>
> Jeg skiller mellom de som inneholder kjørbar kode, og de som ikke
> gjør det. På Windows er .exe, .com, .pif, .bat, .cmd og så videre
> bannlyste. Dokumenter fra program som kan kjøre makroer er jeg
> veldig forsiktig med. Tekst- og bildefiler er jeg trygg på.
>
Og du har altså ikkje hatt libpng med sikkerhetshol i? (buffer overflow.
http://tinyurl.com/cwjjx ).
Hadde ikkje Microsoft buffer overflow i JPG-biblioteket sitt?
Poenget er at du er ikkje trygg. Rein tekst kan også gje buffer
overflow, sjølv om koden der er enklare å sjekke en i eit
bilde-bibliotek.
Det er ein risiko med å vere tilkopla internet, på samme måte som det er
ein risiko med å køyre bil. Du har komt til at det er fleire positive
enn negative sider med internet.
--
MVH,
Vidar
Lasse G. Dahl
>> Jeg skiller mellom de som inneholder kjørbar kode, og de som ikke
>> gjør det. På Windows er .exe, .com, .pif, .bat, .cmd og så videre
>> bannlyste. Dokumenter fra program som kan kjøre makroer er jeg
>> veldig forsiktig med. Tekst- og bildefiler er jeg trygg på.
* Vidar Løkken:
> Og du har altså ikkje hatt libpng med sikkerhetshol i? (buffer
> overflow. http://tinyurl.com/cwjjx ).
Nei, det tror jeg ikke.
> Hadde ikkje Microsoft buffer overflow i JPG-biblioteket sitt?
Jo, men jeg bruker ingen av de berørte programmene. Og jeg holder
operativsystemet mitt oppdatert. Her var vel _også_ fiks ute før
noen brukte sikkerhetshullet til noe "fornuftig".
> Poenget er at du er ikkje trygg.
I denne gruppen er vi vel enige om at ingen er trygge, men at vi
hele tiden snakker om _tilstrekkelig_ sikkerhet, er vi ikke det, da?
Det er i alle fall det _jeg_ snakker om.
Vidar Løkken
> * Lasse G. Dahl:
>>> Jeg skiller mellom de som inneholder kjørbar kode, og de som ikke
>>> gjør det. På Windows er .exe, .com, .pif, .bat, .cmd og så videre
>>> bannlyste. Dokumenter fra program som kan kjøre makroer er jeg
>>> veldig forsiktig med. Tekst- og bildefiler er jeg trygg på.
>
> * Vidar Løkken:
>> Og du har altså ikkje hatt libpng med sikkerhetshol i? (buffer
>> overflow. http://tinyurl.com/cwjjx ).
>
> Nei, det tror jeg ikke.
Du brukar med andre ord ikkje Windows? Dei også hadde problen.
>
>> Hadde ikkje Microsoft buffer overflow i JPG-biblioteket sitt?
>
> Jo, men jeg bruker ingen av de berørte programmene. Og jeg holder
> operativsystemet mitt oppdatert. Her var vel _også_ fiks ute før
> noen brukte sikkerhetshullet til noe "fornuftig".
>
libpng meinar eg å hugse at dei var usedvanleg trege med å patche. Men
like fullt har all programvare sikkerhetshol. Så vurder sjølv om du vil
sjå bilete. Det er ein risiko for buffer overflow angrep.
>> Poenget er at du er ikkje trygg.
>
> I denne gruppen er vi vel enige om at ingen er trygge, men at vi
> hele tiden snakker om _tilstrekkelig_ sikkerhet, er vi ikke det, da?
> Det er i alle fall det _jeg_ snakker om.
>
Eg også. Men du sa at du ungikk kjørbare element. Poenget mitt var at
dette gjer ikkje deg trygg. Det gjer deg tryggare.
--
MVH,
Vidar
Vidar Løkken
> * Lasse G. Dahl:
>>> Det er så vidt jeg husker ikke kjent skadeprogrammer som utnytter
>>> slike hull _før de er patchet_. Altså er det brukere som gir blanke
>>> i å holde systemet sitt oppdatert som utsettes for slike hull.
>
> * Tobias Brox:
>> Hvor mange timer har man på seg tli å patche opp, og hvordan fungerer
>> det i Windows?
>
> I de tilfellene jeg husker, har det vært snakk om uker og måneder fra
> feil har blitt gjort kjent til virus har dukket opp.
Som eit lite apropos:
http://www.theregister.co.uk/2005/08/15/zytob_worm/ :
Virus writers have created a worm that spreads using a Microsoft
Plug-and-Play vulnerability disclosed only last week. The ZoTob worm
exploits a security weakness detailed just five days prior to its
arrival last weekend.
--
MVH,
Vidar
Lasse G. Dahl
>>> Hvor mange timer har man på seg tli å patche opp, og hvordan fungerer
>>> det i Windows?
>> I de tilfellene jeg husker, har det vært snakk om uker og måneder fra
>> feil har blitt gjort kjent til virus har dukket opp.
* Vidar Løkken:
> Som eit lite apropos:
> http://www.theregister.co.uk/2005/08/15/zytob_worm/ :
> Virus writers have created a worm that spreads using a Microsoft
> Plug-and-Play vulnerability disclosed only last week. The ZoTob worm
> exploits a security weakness detailed just five days prior to its
> arrival last weekend.
Joda - her var de raske. Virusmakerne hadde vissnok et virus klart på
søndag, etter at hullet ble kjent på tirsdag. Forutsatt at det stemmer,
er det rimelig kjapt.
Men dette hullet ble tettet helt automatisk på maskinen min allerde på
søndag, så fremdeles ligger virusmakerne etter Microsoft.
Forøvrig bruker dette sikkerhetshullet TCP port 445, som de fleste vel
har lukket mot Internett?
--
Lasse G. Dahl <URL: http://www.lassedahl.com/ >
I'm a citizen of Legoland travellin' incommunicado
Lasse G. Dahl
>>> Og du har altså ikkje hatt libpng med sikkerhetshol i? (buffer
>>> overflow. http://tinyurl.com/cwjjx ).
>> Nei, det tror jeg ikke.
> Du brukar med andre ord ikkje Windows?
Jo, jeg gjør det. Svært så retoriske vi var i dag, da. ;-)
> Dei også hadde problen.
Kan ikke se at jeg kjørte noen applikasjoner som led under denne,
nei. Nettleseren min var Firefox, og den var oppdatert til 0.9.3
lenge før jeg hørte om at noen faktisk gjorde noe "morsomt" med
dette problemet.
>>> Hadde ikkje Microsoft buffer overflow i JPG-biblioteket sitt?
>> Jo, men jeg bruker ingen av de berørte programmene. Og jeg holder
>> operativsystemet mitt oppdatert. Her var vel _også_ fiks ute før
>> noen brukte sikkerhetshullet til noe "fornuftig".
> libpng meinar eg å hugse at dei var usedvanleg trege med å patche.
> Men like fullt har all programvare sikkerhetshol. Så vurder sjølv
> om du vil sjå bilete.
Jeg vurderer i alle fall hvilke applikasjoner jeg bruker til å se
bilder. Noen stoler jeg på, andre ikke.
>> I denne gruppen er vi vel enige om at ingen er trygge, men at vi
>> hele tiden snakker om _tilstrekkelig_ sikkerhet, er vi ikke det,
>> da? Det er i alle fall det _jeg_ snakker om.
> Eg også. Men du sa at du ungikk kjørbare element. Poenget mitt var
> at dette gjer ikkje deg trygg. Det gjer deg tryggare.
Nettopp. Tilstrekkelig sikkerhet for mitt behov.
Tobias Brox
> Jeg skjønner ikke hva som er diffust med det, jeg. Jeg snakker om å
> "åpne et vedlegg" når jeg sender det til kommandotolkeren, som på
> Windows bruker filutvidelsen til å bestemme hva den skal gjøre med
> det, av og til etter en dialogboks som spør meg om jeg virkelig vil
> kjøre det eller lagre det på disk.
Du gir mao fra deg kontrollen over hva som skal gjøres med fila.
Dersom denne kommandotolkeren hadde vært konstruert med tanke på
sikkerhet, hadde den hatt klare restriksjoner på hvordan en "suspekt"
fil skal behandles. En "suspekt" fil er da pr definisjon alt som
kommer fra internett eller pr mail og som brukeren ikke aktivt har
godkjent.
Eksempler:
- skript/programmeringsspråket perl kan settes i et modus hvor
den markerer alt av input som "tainted" data, og har klare
begrensninger på hva den kan er villig til å gjøre med slikt
- I browseren vil jeg som regel få opp en dialogboks med hva jeg skal
gjøre med fila; de mulige valgene er definert i
browserenkonfigurasjonen så vidt jeg vet. Dersom den får inn ei
eksekverbar binærfil, e.l., har jeg kun valget "lagre til disk". Det
er selvfølgelig ingenting som hindrer meg i å kjøre den, men dette er
ikke noe som bare skjer av seg selv. Ved å velge "lagre til disk" og
deretter manuelt eksekvere fila, har jeg tatt et bevisst valg om å
godta fila som ikke-suspekt.
- mailklienten min leser slikt fra ei global konfigurasjonsfil,
/etc/mailcap, som kun er beregnet på epost. Det skal i utgangspunktet
være trygt å "åpne" vedlegg, siden alle programmene i /etc/mailcap
forventes å være trygge. Teoretisk sett kan man også håndtere
eksekverbare filer ved å sette opp en eller annen form for
"sandkasse". Som nevnt, jeg mener også at et annet alternativ er å
lage en egen bruker, kjøre programmet, og så slette denne brukeren.
Dette gir ingen garantier for at programmet ikke vil gjøre "ondsinnede
handlinger", men man vil i allefall ikke bli "infisert" av noe.
- java og flash fra bl.a. websider vil, "by default", kjøre uten
tilgang til lokal disk, og med begrensninger på nettrafikk, og skal
derfor være helt trygt i bruk.
Som sagt, man kan (og skal ikke kunne) hindre folk i å skyte seg selv
i foten, men et system bør være lagt opp slik at det er et aktivt valg
å skyte seg selv i foten - samtidig som det ikke er noen overdreven
bruk av "er du virkelig helt helt sikker på at du faktisk ønsker å
gjøre dette?"-dialogbokser. Dersom slike dialogbokser kommer opp en
sjelden gang, kan det jo hende at brukerene ikke legger seg til uvanen
med å alltid klikke "OK".
Bjørn Furuknap
> Dersom denne kommandotolkeren hadde vært konstruert med tanke på
> sikkerhet, hadde den hatt klare restriksjoner på hvordan en "suspekt"
> fil skal behandles. En "suspekt" fil er da pr definisjon alt som
> kommer fra internett eller pr mail og som brukeren ikke aktivt har
> godkjent.
Slik er det i wininet-basert windowsnettbruk i dag, og har vært sånn i noen
år. Jeg antar at andre nettlesere kanskje vil få tilsvarende funksjonalitet
en gan. Det er dog ikke problemet. Problemet er at folk vil ha tilgang til
ting, og blir de tilstrekkelig overbevist om herligheten av nevnte objekter
så er det lite eller ingen effekt i å fortelle dem at det kan være farlig.
Heck, kjøre bil på glatt føre eller svømme i sjøen kan være farlig, men hvem
faen bryr seg, alt er jo farlig hvis man gjør det feil eller for mye eller
har uflaks uansett...
> Eksempler:
> - skript/programmeringsspråket perl kan settes i et modus hvor
> den markerer alt av input som "tainted" data, og har klare
> begrensninger på hva den kan er villig til å gjøre med slikt
Kan settes. Om jeg oppfatter det som en begrensning i min frihet så lar jeg
være å bruke det. Jeg _kan_ være sikrere, men hvorfor skulle jeg bry meg når
det koster meg en grad av frihet eller 20 minutter med ekstra jobb?
> Som sagt, man kan (og skal ikke kunne) hindre folk i å skyte seg selv
> i foten, men et system bør være lagt opp slik at det er et aktivt valg
> å skyte seg selv i foten - samtidig som det ikke er noen overdreven
> bruk av "er du virkelig helt helt sikker på at du faktisk ønsker å
> gjøre dette?"-dialogbokser. Dersom slike dialogbokser kommer opp en
> sjelden gang, kan det jo hende at brukerene ikke legger seg til uvanen
> med å alltid klikke "OK".
Jo, du skal forhindre folk i å skyte seg i foten, og spesielt når skuddene
rikosjerer og treffer folk rundt dem, eller de krever å få behandling for
min regning etterpå.
Bjørn
Tobias Brox
> Og du har altså ikkje hatt libpng med sikkerhetshol i? (buffer overflow.
> http://tinyurl.com/cwjjx ).
I et slikt tilfelle er det ikke en brukerfeil, men et sikkerhetshull
som må fikses. Det skal i utgangspunktet være trygt å vise frem et
bilde, uansett hvor det kommer i fra.
> Hadde ikkje Microsoft buffer overflow i JPG-biblioteket sitt?
> Poenget er at du er ikkje trygg. Rein tekst kan også gje buffer
> overflow, sjølv om koden der er enklare å sjekke en i eit
> bilde-bibliotek.
Er dette en feil som har vært utnyttet _før_ microsoft har kommet med
sikkerhetsfikser for det? Enkelte på denne nyhetsgruppa påstår at
dette i praksis aldri skjer, men jeg synes det høres underlig ut.
Tobias Brox
> Mens brukere, som ikke kan dresseres til de aller enkleste oppgaver, skal du
> lære opp til å skille mellom begreper som applets/applikasjoner, dokumenter
> med og uten makromuligheter, etc.?
Jeg mener dette bør være opp til mailprogram/system.
Generelt sett, alle vedlegg kan enten vises internt i mailprogrammet,
vises gjennom en ekstern applikasjon/program/tolk, kjøres direkte
dersom det er eksekverbar binærkode, eller lagres til disk.
Dersom dokumentet vises rett i mailprogrammet, bør man enten føle seg
trygg, eller bytte/oppgradere mailprogram ASAP.
Dersom man starter opp ekstern programvare for å vise vedlegget, så er
man avhengig av å kunne stole på denne eksterne programvaren. Dersom
denne eksterne programvaren kan oppøre seg rampete ved "gale" inndata,
så er det _enten_ et sikkerhetsfeil i programmet, _eller_ snakk om et
program som ikke skulle vært startet opp fra mailprogrammet uansett.
>> (...) Man kan aldri hindre folk i å
>> skyte seg selv i foten, men når en stor majoritet av brukere er i ferd
>> med å gjøre nettopp dette, så er det noe grunnleggende galt. Det er
>> (så vidt jeg vet) svært få linuxbrukere som kjører alt av programvare
>> som "root".
> Bytte av programvare er ikke løsningen, og har aldri vært det.
1. Et veldig stort flertall av "vanlige" windowsbrukere all programvare
med administratorrettigheter.
2. Et veldig lite mindretall av "vanlige" linux-brukere kjører all
programvare med administratorrettigheter. Jeg antar det samme gjelder
for "vanlige" Macbrukere.
_Hvorfor_ er det slik?
Lasse G. Dahl
>> Jeg skjønner ikke hva som er diffust med det, jeg. Jeg snakker om å
>> "åpne et vedlegg" når jeg sender det til kommandotolkeren, som på
>> Windows bruker filutvidelsen til å bestemme hva den skal gjøre med
>> det, av og til etter en dialogboks som spør meg om jeg virkelig vil
>> kjøre det eller lagre det på disk.
* Tobias Brox:
> Du gir mao fra deg kontrollen over hva som skal gjøres med fila.
Selvfølgelig gjør jeg det. Hvis ikke, hadde jeg greid meg uten et OS.
Det er OSet som behandler fila, etter at jeg har bestemt at OSet skal
få gjøre det.
Hvordan skjer det hos deg? Viser du alle jpegfiler i teksteditorer,
og tolker innholdet manuelt?
> Dersom denne kommandotolkeren hadde vært konstruert med tanke på
> sikkerhet, hadde den hatt klare restriksjoner på hvordan en "suspekt"
> fil skal behandles. En "suspekt" fil er da pr definisjon alt som
> kommer fra internett eller pr mail og som brukeren ikke aktivt har
> godkjent.
Vel. Ikke min definisjon. Brukergodkjenning er ikke mere verdt _etter_
at fila er sendt til kommandotolkeren, enn før. Hvis du sender suspekte
filer til OS'et ditt for å la kommandotolkeren finne ut om de skal
kjøres eller ikke, burde noen ta fra deg datamaskinen din, og gitt deg
en PS2 med nettkort.
> Eksempler:
> - skript/programmeringsspråket perl kan settes i et modus hvor
> den markerer alt av input som "tainted" data, og har klare
> begrensninger på hva den kan er villig til å gjøre med slikt
Jeg har ikke installert Perl.
> - I browseren vil jeg som regel få opp en dialogboks med hva jeg skal
> gjøre med fila; de mulige valgene er definert i
> browserenkonfigurasjonen så vidt jeg vet.
I Windows avhenger dette av hva filtypen er definert som. Browseren kan
overstyre dette - i alle fall hvis den ikke er IE - men ellers er det
content-type og filutvidelse det går på.
> Dersom den får inn ei eksekverbar binærfil, e.l., har jeg kun valget
> "lagre til disk".
Det samme er tilfellet hvis man kjører Firefox på Windows. Den over-
styrer brukerens valg akkurat der. Men jeg synes det er viktigere at
brukeren forstår hvorfor haun ikke skal kjøre filer fra Internett
ukritisk, enn å få alle til å installere Firefox etter som akkurat
denne nettleseren ikke lar folk kjøre filer fra Internett ukritisk.
> Det er selvfølgelig ingenting som hindrer meg i å kjøre den, men
> dette er ikke noe som bare skjer av seg selv. Ved å velge "lagre til
> disk" og deretter manuelt eksekvere fila, har jeg tatt et bevisst
> valg om å godta fila som ikke-suspekt.
Nettopp.
> - mailklienten min leser slikt fra ei global konfigurasjonsfil,
> /etc/mailcap, som kun er beregnet på epost. Det skal i utgangspunktet
> være trygt å "åpne" vedlegg, siden alle programmene i /etc/mailcap
> forventes å være trygge.
Javel? Kan ikke si at det er mye forskjellig fra andre måter å håndtere
slikt på. Hva gjør alle programmene i /etc/mailcap tryggere enn andre?
> Som sagt, man kan (og skal ikke kunne) hindre folk i å skyte seg selv
> i foten, men et system bør være lagt opp slik at det er et aktivt valg
> å skyte seg selv i foten - samtidig som det ikke er noen overdreven
> bruk av "er du virkelig helt helt sikker på at du faktisk ønsker å
> gjøre dette?"-dialogbokser.
Det er vi nok ganske enige om. Kunne vi blitt enig om at et slikt OS
krever litt kunnskap hos brukerem, et slikt OS ikke finnes og et slikt
OS ikke fordrer noen "Personlig Brannmur", har vi faktisk ingenting å
snakke om.
Men jeg vet ikke om det er noe problem i seg selv? :-)
Tobias Brox
> Hvordan skjer det hos deg? Viser du alle jpegfiler i teksteditorer,
> og tolker innholdet manuelt?
Sjeldent, men jeg har selvfølgelig muligheten ;-)
Det er enten konfigurert i systemet (/etc/mailcap), i mailprogrammet,
eller av meg, eller jeg bestemmer manuelt hvilket program som skal
eksekveres. Jeg har full tiltro til at de programmene jeg bruker til
slikt er sikre nok til å håndtere "suspekte" filer.
> Vel. Ikke min definisjon. Brukergodkjenning er ikke mere verdt _etter_
> at fila er sendt til kommandotolkeren, enn før. Hvis du sender suspekte
> filer til OS'et ditt for å la kommandotolkeren finne ut om de skal
> kjøres eller ikke, burde noen ta fra deg datamaskinen din, og gitt deg
> en PS2 med nettkort.
La meg prøve én gang til å klargjøre synspunktene mine:
1. Skadelig programvare (alt av virus, ormer, spyware, etc) kan ikke
være så veldig skadelig dersom programmets muligheter for I/O
begrenses. Det aller meste av attachments kan utmerket godt vises
frem uten bruk av annet enn skjerm, lys og eventuelt mus/tastatur; det
er svært få legitime attachments som har behov for å accessere
nettverk eller lokal disk. Et program som f.eks. sluker opp alt av
tilgjengelig CPU/minne, viser diverse sjokkbilder på skjermen etc kan
sant nok kalles skadelig, men det gjør ingen permanent skade (dersom
man ser bort i fra at sarte sjeler kan få varig psykisk skade av
f.eks. goatse.cx). I absolutt værste fall vil problemet være løst med
en reboot.
2. Dersom vedlegget ikke kan vises rett fra epostklienten, må det
sendes til et program/tolk e.l. Dersom et program konstruert for å
vise frem et bilde, tekstdokument, video, musikk, etc, kan ta i mot
"ordrer" fra en "suspekt" fil som medfører skriving til disk eller
nettverksaktivitet, så er det en alvorlig feil med dette programmet.
Vi har vel en rimelig grei konsensus her med at man løper en ganske
lav risiko for slike angrep dersom man sørger for å installere alt av
sikkerhetsfikser rimelig kjapt.
3. Således, konklusjonen av 1 og 2 er at de aller fleste attachments
_kan_ (eller, i værste fall _burde kunne_) vises til brukeren uten
noen større risiko - dersom man bare velger "riktig" programvare for å
vise frem disse.
4. Å vite hva som er "riktig" programvare for å vise epostvedlegg er
strengt tatt noe systemet (eller mailprogrammet) bør kunne ha en viss
kjennskap til. Dersom systemet - eller mailprogrammet - er godt
konfigurert, bør det altså ikke være noe problem å fremvise slike
attachments til brukeren, relativt risikofritt og uten noen advarsler.
I mitt tilfelle har jeg altså en systemfil som angir hvilke programmer
en epostklient kan henvende seg til for å dekode ymse filformater.
Det er selvfølgelig ingen "kommandotolkere" blandt disse.
5. I tilfelle et attachment har legitime grunner til å skrive/lese til
disk, kan man - eller mailprogrammet - eller en 'sikker'
kommandotolker kalt opp fra mailprogrammet - løse dette med sandkasser
eller (enklest) ved bruk av dedikert brukerkonto. En dedikert
brukerkonto vil imidlertid sjeldent hindre nettverksaktivitet.
6. Dersom et vedlegg har legitime grunner til å benytte seg av
nettverket - så kan jeg vanskelig se for meg andre løsninger enn
dialogbokser, dessverre. Et skadelig program kan bruke nettverket til
DDOS, mer virusspredning, spamutsendelser, etc. I javaapplets på en
fremmed server løser man problematikken ved å si at det er legitimt å
"ringe hjem", mens all annen nettverkstrafikk er illegitim.
7. Dersom man har gode grunner til å benytte seg av en eksekverbar fil
sendt som attachment fra tredjepart, uten sandkasser/dedikert
brukerkonto, e.l., kan man fortsatt lagre denne til disk og så
eksekvere den. Da har man imidlertid foretatt seg et bevisst valg om
at man godtar filen.
8. Alle punktene ovenfor tatt i betraktning, det er _fullt mulig_ å ha
en mailklient hvor man villt og uhemmet kan "åpne" det aller meste av
attachments som kommer inn uten å "verifisere" dem; Det eneste
brukeren eksplisitt må samtykke i er punkt 6 og 7 over. Tatt i
betraktning at omtrent alt, bortsett fra virus, kan "åpnes" før man
kommer så langt ned på lista over, så er det i praksis et svært lite
problem.
>> - mailklienten min leser slikt fra ei global konfigurasjonsfil,
>> /etc/mailcap, som kun er beregnet på epost. Det skal i utgangspunktet
>> være trygt å "åpne" vedlegg, siden alle programmene i /etc/mailcap
>> forventes å være trygge.
> Javel? Kan ikke si at det er mye forskjellig fra andre måter å håndtere
> slikt på. Hva gjør alle programmene i /etc/mailcap tryggere enn andre?
Poenget mitt er at det er en vesensforskjell på å "åpne" en fil som
man eksplisitt har valgt å stole på, og på å åpne et tilfeldig,
suspekt vedlegg fra en mailklient.
Min /etc/mailcap blir i hovedsak oppdatert semi-automatisk (dvs, jeg
ser igjennom og godtar alt av endringer der, evt endrer ting selv) av
distributøren.
>> Som sagt, man kan (og skal ikke kunne) hindre folk i å skyte seg selv
>> i foten, men et system bør være lagt opp slik at det er et aktivt valg
>> å skyte seg selv i foten - samtidig som det ikke er noen overdreven
>> bruk av "er du virkelig helt helt sikker på at du faktisk ønsker å
>> gjøre dette?"-dialogbokser.
> Det er vi nok ganske enige om. Kunne vi blitt enig om at et slikt OS
> krever litt kunnskap hos brukerem,
Joda, jeg benekter ikke at man bør vite forskjellen på bit og byte før
man kjøper seg en PC - men det er fullt mulig å lage et system hvor
man faktisk /må/ ha et minimum av kunnskaper for å kunne skyte seg
selv i foten.
> et slikt OS ikke finnes
Tja, jeg vet ikke - jeg tror igrunnen at de fleste systemer er bedre lagt
opp enn windows. Dersom de hadde solgt bokser på ElKjøp med en brukbar
linuxdistribusjon og et ferdigkonfigurert brukbart brukergrensesnitt,
så tror jeg at jeg hadde følt meg ganske trygg på å slippe til folk
uten peiling på data.
> og et slikt
> OS ikke fordrer noen "Personlig Brannmur", har vi faktisk ingenting å
> snakke om.
Dét er jeg i allefall veldig enig i.
Lasse G. Dahl
* Tobias Brox:
> Poenget mitt er at det er en vesensforskjell på å "åpne" en fil som
> man eksplisitt har valgt å stole på, og på å åpne et tilfeldig,
> suspekt vedlegg fra en mailklient.
Hos meg er alle vedlegg jeg ikke eksplisitt har valgt å stole på (de
fleste, mao), suspekte vedlegg som får være i fred. Det er altså ikke
handlingen som er viktig - om jeg åpner, lagrer, kjører, pakker ut
eller hva som helst - men om jeg stoler på at fila er trygg eller
ikke.
tob...@stud.cs.uit.no
> * Tobias Brox:
>> Poenget mitt er at det er en vesensforskjell på å "åpne" en fil som
>> man eksplisitt har valgt å stole på, og på å åpne et tilfeldig,
>> suspekt vedlegg fra en mailklient.
> Hos meg er alle vedlegg jeg ikke eksplisitt har valgt å stole på (de
> fleste, mao), suspekte vedlegg som får være i fred. Det er altså ikke
> handlingen som er viktig - om jeg åpner, lagrer, kjører, pakker ut
> eller hva som helst - men om jeg stoler på at fila er trygg eller
> ikke.
Tja, as said, IMHO bør det være mulig å f.eks. trykke enter eller
klikke med musa for å lese mailvedlegg, uten å løpe noen større
risiko, uavhengig av om man stoler på fila eller ikke.
Maximilian Malcholm
>>>Er det noen fordeler/bakdeler ved å bruke både WIN XP sin brannmur og
>>>brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på meg
>>>som
>>>"smør på flesk".
>
>
>>Here we go again. Prøv heller å se på tidligere postinger om emnet.
>
>
> Du antyder at dette emnet er tatt opp mange ganger før i dette forumet.
> Burde du ikke først vite hvor lenge jeg har lest "no.it.sikkerhet.diverse"
> før du tar den
> tonen? Til din informasjon så har jeg fulgt med siden 23. feb. 2005, og kan
> ikke se at problemet er tatt opp i denne perioden, i allefall ikke nevnt som
> eget
> emne. Det er vel heller ikke å forvente at alle leser alle innlegg som
> postet?
>
>
>><http://groups.google.com/groups?as_q=brannmur+xp+router+kerio&num=10&scoring=r&hl=no&as_epq=&as_oq=&as_eq=&as_ugroup=no.it.sikkerhet.diverse&as_usubject=&as_uauthors=&lr=&as_drrb=q&as_qdr=&as_mind=1&as_minm=1&as_miny=1981&as_maxd=1&as_maxm=8&as_maxy=2005>
>
>
> Linken din var heller ikke til stort nytte, da den mye gikk ut på diskutere
> Kerio".
> Den belyste lite fordeler/ulemper hardware kontra software løsninger,
> iallefall ble ikke jeg stort klokere der.
>
>
>>- Oh, I'm terribly sorry. Isn't this the off.topic newsgroup?
>
> Mer sjikane?
>
> Takker forøvrig for hyggelige, forståelige svar fra andre medlemmer i denne
> nyhetsgruppa.
>
> Malla
>
>
PMS på gang?
Dag K.
>
> Jeg ser derimot en annen mulighet som kan begrense en del problemer i
> fremtiden. Når Windows oppdager at det enten ligger en ny sikkerhetsfiks
> ute, eller at brukeren ikke har oppdatert operativsystemet på en stund kan
> Windows hindre tilgang til maskinen via tcp/ip og/eller kjøring av annet enn
> signert Microsoft-kode inntil maskinen er patchet. Dette vil også løse
> problemet med at nyinstallerte maskiner er utnyttbare.
>
Du mener det er en god ide at Bill Gates skal få bestemme hvilke PC'er
som skal få bruke internett?
Bjørn Furuknap
Jeg tviler på at Bill Gates har så mye med det å gjøre. Så vidt jeg vet har
han stort sett styreverv og administrative oppgaver og ikke teknisk operativ
kontroll over sikkerhetstjenestene hos Microsoft.
Om du egentlig mente å spørre om noe annet så gjør gjerne det, men jeg mener
altså ikke at Bill Gates skal få bestemme hvilke PC'er som skal få bruke
internett.
Bjørn
--
- There is no failure. You either learn or you succeed.
http://furuknap.blogspot.com/
Dag K.
>
> Jeg tviler på at Bill Gates har så mye med det å gjøre. Så vidt jeg vet har
> han stort sett styreverv og administrative oppgaver og ikke teknisk operativ
> kontroll over sikkerhetstjenestene hos Microsoft.
>
> Om du egentlig mente å spørre om noe annet så gjør gjerne det, men jeg mener
> altså ikke at Bill Gates skal få bestemme hvilke PC'er som skal få bruke
> internett.
>
> Bjørn
Godt! Da er vi for en gangs skyld enige i vår skepsis mot Bill gates og
Microsoft?