Flere brannmurer?

15 views
Skip to first unread message

May-Brith

unread,
Aug 1, 2005, 2:19:34 AM8/1/05
to
Er det noen fordeler/bakdeler ved å bruke både WIN XP sin brannmur og
brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på meg som
"smør på flesk".

Malla


John Hilt

unread,
Aug 1, 2005, 5:20:30 AM8/1/05
to
On Mon, 1 Aug 2005 08:19:34 +0200 May-Brith
wrote in news:no.it.sikkerhet.diverse

>Er det noen fordeler/bakdeler ved å bruke både WIN XP sin brannmur og
>brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på meg som
>"smør på flesk".

Here we go again. Prøv heller å se på tidligere postinger om emnet.

<http://groups.google.com/groups?as_q=brannmur+xp+router+kerio&num=10&scoring=r&hl=no&as_epq=&as_oq=&as_eq=&as_ugroup=no.it.sikkerhet.diverse&as_usubject=&as_uauthors=&lr=&as_drrb=q&as_qdr=&as_mind=1&as_minm=1&as_miny=1981&as_maxd=1&as_maxm=8&as_maxy=2005>

--

-= jh =-

- Oh, I'm terribly sorry. Isn't this the off.topic newsgroup?

Rolf Arne Schulze

unread,
Aug 1, 2005, 9:36:18 AM8/1/05
to

Kort oppsummert:

Har du mobile windows-maskiner i nettet ditt, kjør begge deler. De
mobile maskinene kan dra med seg dritt fra andre nett.

Har du bare pc-er som aldri er utenfor nettet ditt klarer du deg lenge
med brannmuren i bredbånds-ruteren din.

--
Rolf Arne Schulze
Min Weblog: http://rolfas.net/

Thomas Bjørseth

unread,
Aug 1, 2005, 10:01:47 AM8/1/05
to
On Mon, 1 Aug 2005 15:36:18 +0200, Rolf Arne Schulze <ras...@gmail.com>
wrote:

Hvis man først har innrømmet at man har maskiner hvor man ikke har
kontroll (dvs ikke har tettet alle sikkerhetshull) og dermed vil ha en
brannmur så bør man ha lokale brannmurer på alle PCer. Det er nok dritt
som kommer via mail og kan spres fra maskin til maskin selv om de står
bak en felles brannmur.

For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
så er mye gjort.

Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
deretter 2-3 minutter hver gang en patch krever restart. Sammenligner
man dette med tiden det tar å lære seg brannmurens særegenheter, reagere
på brannmurens alarmer, skjønne hva den faktisk alarmerer på og så fikse
alle feil som oppstår når man har gjort noe man ikke burde med
brannmuren så er det forbausende lite tid som må til for å holde
maskinen fri for virus og angrep utenfra helt uten brannmur.

Thomas B
--
Thomas Bjørseth
Mail: sp...@bjorseth.no

Alf P. Steinbach

unread,
Aug 1, 2005, 10:23:51 AM8/1/05
to
* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:

>
> For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
> utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
> alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
> lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
> kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
> så er mye gjort.
>
> Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
> deretter 2-3 minutter hver gang en patch krever restart.

Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
få som var oppmerksomme på akkurat det RPC-hullet. Microsoft legger inn all
slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
helt feil fokus på sikkerhet (nemlig å gjøre ting enkle for administratorene
i en større bedrift, ikke for brukeren) og det er klin umulig å vite om dem
eller skru dem av før det kommer "vellykket" malware som bruker de aktuelle
mulighetene, slik at Noen finner ut hvordan akkurat denne tjenesten skal
skrus av -- og det kan trenge en sikkerhetsfiks fra MS, som da er Noen.

--
A: Because it messes up the order in which people normally read text.
Q: Why is it such a bad thing?
A: Top-posting.
Q: What is the most annoying thing on usenet and in e-mail?

May-Brith

unread,
Aug 1, 2005, 2:19:12 PM8/1/05
to
>>Er det noen fordeler/bakdeler ved å bruke både WIN XP sin brannmur og
>>brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på meg
>>som
>>"smør på flesk".

>
> Here we go again. Prøv heller å se på tidligere postinger om emnet.

Du antyder at dette emnet er tatt opp mange ganger før i dette forumet.
Burde du ikke først vite hvor lenge jeg har lest "no.it.sikkerhet.diverse"
før du tar den
tonen? Til din informasjon så har jeg fulgt med siden 23. feb. 2005, og kan
ikke se at problemet er tatt opp i denne perioden, i allefall ikke nevnt som
eget
emne. Det er vel heller ikke å forvente at alle leser alle innlegg som
postet?

>
> <http://groups.google.com/groups?as_q=brannmur+xp+router+kerio&num=10&scoring=r&hl=no&as_epq=&as_oq=&as_eq=&as_ugroup=no.it.sikkerhet.diverse&as_usubject=&as_uauthors=&lr=&as_drrb=q&as_qdr=&as_mind=1&as_minm=1&as_miny=1981&as_maxd=1&as_maxm=8&as_maxy=2005>

Linken din var heller ikke til stort nytte, da den mye gikk ut på diskutere
Kerio".
Den belyste lite fordeler/ulemper hardware kontra software løsninger,
iallefall ble ikke jeg stort klokere der.

> - Oh, I'm terribly sorry. Isn't this the off.topic newsgroup?

Mer sjikane?

Takker forøvrig for hyggelige, forståelige svar fra andre medlemmer i denne
nyhetsgruppa.

Malla


Rune Mikalsen

unread,
Aug 1, 2005, 2:54:58 PM8/1/05
to
May-Brith wrote:

> Du antyder at dette emnet er tatt opp mange ganger før i dette
> forumet.

Takk for at du brakte emnet på bane, Malla - for jeg har lurt på det samme.
Og slik er verden og news: Noen faller hele tiden fra mens nye kommer
til, -og hele tiden stilles det spørsmål og kanskje gis det svar.
--
-Rune-
Hasta la Victoria siempre.


Olaf Berli

unread,
Aug 1, 2005, 3:33:17 PM8/1/05
to
Rolf Arne Schulze skrev:

Stort sett enig i dette. Det kan imidlertid være verd å merke seg at en
"brannmur" i en billig bredbåndsrouter nesten alltid vil si "OK" til
utgående trafikk og blokkere inngående trafikk som ikke er "bestilt"
innenfra. I de fleste tilfellene er dette greit. Om du skulle være så
uheldig (eller uforsiktig) å få en eller annen form for malware på
innsiden av denne brannmuren vil du altså ikke oppdage om maskinene dine
setter igang med å spy ut skit gjennom routeren. For min del er dette
den eneste situasjonen der jeg synes at en "personal firewall" på pc-en
kan være nyttig.

-Olaf-

Thomas Bjørseth

unread,
Aug 1, 2005, 5:21:45 PM8/1/05
to
On Mon, 01 Aug 2005 14:23:51 GMT, al...@start.no (Alf P. Steinbach)
wrote:

>* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:
>>
>> For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
>> utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
>> alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
>> lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
>> kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
>> så er mye gjort.
>>
>> Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
>> deretter 2-3 minutter hver gang en patch krever restart.
>
>Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
>få som var oppmerksomme på akkurat det RPC-hullet.

I en helt standard installasjon av WinXP er det ikke så mange lyttende
tjenester, og WinXP slipper heller ikke inn trafikk til tjenester hvor
det finnes vanlige brukere uten passord. Man står selvfølgelig fritt til
å sette elendige passord, men da er vi over på brukerfeil og ikke
system- eller designfeil.

En sikkerhetsfiks som tettet hullet MSBlaster utnyttet ble sluppet midt
16. juli 2003, og det ble oppdaget spredning av MSBlaster 14. august
samme år. Det er fire uker fra Microsoft hadde en sikkerhetsfiks og til
en vellykket exploit var ute.

Hvordan mener du at MS skulle informert alle sine brukere om at en fiks
var tilgjengelig? Hvordan skal de på generell basis informere alle
brukere hver gang en fiks er tilgjengelig.

>Microsoft legger inn all
>slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
>helt feil fokus på sikkerhet (nemlig å gjøre ting enkle for administratorene
>i en større bedrift, ikke for brukeren) og det er klin umulig å vite om dem

>eller skru dem av [...]

Sier du at det er "hemmelige" åpne porter som lytter på trafikk, og som
man ikke kan oppdage eller skru av? Kan du vise til dokumentasjon for
den påstanden?

> før det kommer "vellykket" malware som bruker de aktuelle
>mulighetene, slik at Noen finner ut hvordan akkurat denne tjenesten skal
>skrus av -- og det kan trenge en sikkerhetsfiks fra MS, som da er Noen.

Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?

Det er selvfølgelig mulig å se hvilke porter som er åpne på en PC, og
det er også mulig å begrense tilgangen til de aller fleste av disse
portene uten å tape funksjonalitet som er essensiell for en bedrifts
funksjon. Og det burde være enda enklere å begrense tilgangen til porter
for en privatperson, uten å tape nevneverdig funksjonalitet.

Thomas B
--
Thomas Bjørseth

Mail: thomas-...@bjorseth.no

C A Gloersen

unread,
Aug 1, 2005, 5:59:23 PM8/1/05
to

"Thomas Bjørseth" <thoma...@bjorseth.no> skrev i melding
news:vg2te194se1sfn70n...@4ax.com...

> Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
> Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?

Sasser var et, tror jeg. Men jeg er forsåvidt helt enig med deg i dine
anbefalinger. Jeg har droppet antivirus og softwarefirewallen for lenge
siden og ikke savnet dem siden.

Etter at XP SP2 kom så har det vel ikke vært noen ormer som har fått stor
spredning i det hele tatt. I følge diverse rapporter så vris
malware-aktiviteten mer over mot spyware samt at man prøver å utnytte feil i
vanlige programmer (iTunes har vært et hvis ikke jeg tar helt feil).


C A G


Thomas Bjørseth

unread,
Aug 1, 2005, 6:19:13 PM8/1/05
to
On Mon, 1 Aug 2005 23:59:23 +0200, "C A Gloersen" <m...@example.com>
wrote:

>
>"Thomas Bjørseth" <thoma...@bjorseth.no> skrev i melding
>news:vg2te194se1sfn70n...@4ax.com...
>
>> Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
>> Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
>
>Sasser var et, tror jeg.

MS slapp sin bulletin 13. april 2004, mens deteksjon for Sasser ble lagt
til Symantec sine "Rapid Release" oppdateringer 30. april 2004. Det
indikerer at Sasser også kom flere uker _etter_ at MS slapp sin fiks.

I følge Mark Minasi sin uttalelse på MPC TechMentor i 2004 så blir det
mer og mer vanlig at man bruker "reverse engineering" på MS sine patcher
for på den måten finne ut hva hullet egentlig innebærer, og så skrive
kode som best mulig utnytter hullet. Hvis dette stemmer så kommer
nødvendigvis patchen før exploiten i ihvertfall disse tilfellene. Om
M.M. har rett kan jeg ikke bekrefte, men Mark Minasi pleier å ha god
kontroll på det som skjer på MS-plattformen både av sikkerhets- og
administrasjonsrelaterte ting.

>Men jeg er forsåvidt helt enig med deg i dine
>anbefalinger. Jeg har droppet antivirus og softwarefirewallen for lenge
>siden og ikke savnet dem siden.

Jeg må innrømme at jeg har begge deler på laptop og arbeidsstasjon på
jobb, pga bedriftspolicy. Hjemme har jeg ikke antivirus eller brannmur
på noen private maskiner. Men jeg _har_ NATingen på bredbåndsrouteren
som en barriære mellom omverdenen og mine maskiner.

>Etter at XP SP2 kom så har det vel ikke vært noen ormer som har fått stor
>spredning i det hele tatt. I følge diverse rapporter så vris
>malware-aktiviteten mer over mot spyware samt at man prøver å utnytte feil i
>vanlige programmer (iTunes har vært et hvis ikke jeg tar helt feil).

Du skal ikke se bort ifra at det er en sammenheng mellom sikrere Windows
og fokusdreining mot svakheter andre steder...

Alf P. Steinbach

unread,
Aug 1, 2005, 6:31:18 PM8/1/05
to
* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:

> On Mon, 01 Aug 2005 14:23:51 GMT, al...@start.no (Alf P. Steinbach)
> wrote:
>
> >* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:
> >>
> >> For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
> >> utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
> >> alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
> >> lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
> >> kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
> >> så er mye gjort.
> >>
> >> Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
> >> deretter 2-3 minutter hver gang en patch krever restart.
> >
> >Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
> >få som var oppmerksomme på akkurat det RPC-hullet.
>
> I en helt standard installasjon av WinXP er det ikke så mange lyttende
> tjenester, og WinXP slipper heller ikke inn trafikk til tjenester hvor
> det finnes vanlige brukere uten passord.

Hallo.


> Man står selvfølgelig fritt til
> å sette elendige passord, men da er vi over på brukerfeil og ikke
> system- eller designfeil.

Hallo?


> En sikkerhetsfiks som tettet hullet MSBlaster utnyttet ble sluppet midt
> 16. juli 2003, og det ble oppdaget spredning av MSBlaster 14. august
> samme år. Det er fire uker fra Microsoft hadde en sikkerhetsfiks og til
> en vellykket exploit var ute.

11. august, mener du... Du imponerer ikke.


> Hvordan mener du at MS skulle informert alle sine brukere om at en fiks
> var tilgjengelig? Hvordan skal de på generell basis informere alle
> brukere hver gang en fiks er tilgjengelig.

Jeg foreslår å starte en ny tråd hvis du virkelig er interessert i den
problematikken, som så vidt jeg kan se er helt urelatert til denne tråden.


> >Microsoft legger inn all
> >slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
> >helt feil fokus på sikkerhet (nemlig å gjøre ting enkle for administratorene
> >i en større bedrift, ikke for brukeren) og det er klin umulig å vite om dem
> >eller skru dem av [...]
>
> Sier du at det er "hemmelige" åpne porter som lytter på trafikk, og som
> man ikke kan oppdage eller skru av?

Mener du at det er umulig å reise til Afrika?

Hint: det koster litt å reise til Afrika.


> Kan du vise til dokumentasjon for den påstanden?

Hvilken påstand? Er du verdensmester i tom retorikk?


> > før det kommer "vellykket" malware som bruker de aktuelle
> >mulighetene, slik at Noen finner ut hvordan akkurat denne tjenesten skal
> >skrus av -- og det kan trenge en sikkerhetsfiks fra MS, som da er Noen.
>
> Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
> Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?

Ett stort tilfelle klarer seg: nyinstallasjon av Windows på en PC, der man
så ønsker å laste ned sikkerhetsfikser, som betyr at man (den jevne bruker
som ikke har et sett av CD-er med alt dette) nødvendigvis går på nett...

Det finnes intet sett av fikser som beskytter maskinen totalt: å tro det er
grenseløst naivt. Bjørn Furuknap og muligens du kan klare dere uten
brannmur. Andre som ikke har den tekniske ekspertisen, tiden og villigheten
til å begrense bruken av maskinen, gjør klokt i å ha en brannmur.


> Det er selvfølgelig mulig å se hvilke porter som er åpne på en PC,

Og du mener at May-Brith skal sitte og _kontinuerlig_ overvåke portbruken?


> og det er også mulig å begrense tilgangen til de aller fleste av disse
> portene

Brannmur, ja. Heh. :-)


> uten å tape funksjonalitet som er essensiell for en bedrifts
> funksjon. Og det burde være enda enklere å begrense tilgangen til porter
> for en privatperson, uten å tape nevneverdig funksjonalitet.

Igjen, her argumenterer du mot deg selv, men det er kjekt: jeg er enig.

Odd H. Sandvik

unread,
Aug 1, 2005, 6:31:35 PM8/1/05
to
In article <5XwHe.2064$jA4.1859@amstwist00>, C A Gloersen says...

>
> "Thomas Bjørseth" <thoma...@bjorseth.no> skrev i melding
> news:vg2te194se1sfn70n...@4ax.com...
>
> > Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
> > Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
>
> Sasser var et, tror jeg.

Den første Sasser, SASSER.A ble oppdaget 1 Mai, 2004.
Microsoft hadde allerede patchet for denne med MS04-011
den 13 April.

Neste! :)

--
Odd H. Sandvik

Tobias Brox

unread,
Aug 1, 2005, 6:55:46 PM8/1/05
to
[May-Brith]

> Du antyder at dette emnet er tatt opp mange ganger før i dette forumet.
> Burde du ikke først vite hvor lenge jeg har lest "no.it.sikkerhet.diverse"
> før du tar den tonen?

Første bud på news må være at man prøver å unngå å bli provosert, man
bør prøve å unngå å lese alle innlegg i værste mening. Det er veldig
mange opphissede diskusjoner her - jeg vet ikke, noen folk finner
kanskje underholdning i det, men jeg synes mest det forsøpler
atmosfæren her. Dersom man føler seg "tråkket på", er det ofte best å
bare la det passere. Jeg tror ikke innlegget du svarer på var ment
som noe personangrep.

"Noen" burde sette opp en FAQ (eller, Ofte Besvarte Spørsmål) for
no.it.sikkerhet.diverse, der temaet blir belyst fra alle sider. Jeg
vil gjøre et forsøk på å oppsummere tidligere debatter her:

1. Det er mange her på gruppa (meg inkludert) som innerst inne mener
at brannvegger og virusscannere er noe tull. Argumentet er at
brannvegger ikke gir noen sikring utover hva korrekt konfigurering
av tjenester på maskinen ville ha gitt, og at virusbeskyttere kun
hjelper mot kjente virus; det aller meste av virus i dag benytter
seg av sikkerhetshull i programvare, og da bør slik programvare
fikses.

2. Eventuelt, unntaket må være dersom man har et lokalnett som man
anser som "sikker sone", og ønsker "fri flyt" av tjenester og
innhold på lokalnettet, og ikke har tid/lyst til å konfigurere hver
enkelt av disse tjenestene; da er det bedre å ha en brannvegg
stående mellom lokalnett og internett. Enkelte vil hevde at et
lokalnett nesten aldri kan ansees for å være en "sikker sone", og
at tjenester på lokalnettet uansett bør være beskyttet gjennom
innlogging (brukernavn/passord).

3. På en gjennomsnitts windowsmaskin, administrert av en
gjennomsnittlig bruker, bør man antageligvis ha både brannvegg(er)
og virusscanning.

4. Ulempen med brannvegger er at man risikerer at "ting ikke virker",
brannvegger har ofte en tendens til å stenge ute legitim trafikk,
ofte uten at man får tilstrekkelig tilbakemelding om at trafikken
er blitt blokkert.

5. Uansett hvor gode virusscannere og brannvegger man har, kan man i
utgangspunktet aldri være trygg mot angrep.

--
Tobias Brox, Tromsø

Tobias Brox

unread,
Aug 1, 2005, 7:00:36 PM8/1/05
to
[Alf P. Steinbach]

> Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
> få som var oppmerksomme på akkurat det RPC-hullet. Microsoft legger inn all
> slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
> helt feil fokus på sikkerhet

I værste fall, kan man ikke finne ut hva slags lyttende tjenster man
har ved en portscan?

På min maskin har jeg et ypperlig verktøy som heter lsof - 'lsof -i'
gir meg en veldig god oversikt over all internetaktivitet på boksen,
inkludert lyttende porter. Det ser imidlertid ikke ut som at lsof er
tilgjengelig for windows.

--
Tobias Brox

Thomas Bjørseth

unread,
Aug 1, 2005, 7:10:53 PM8/1/05
to
On Mon, 01 Aug 2005 22:31:18 GMT, al...@start.no (Alf P. Steinbach)
wrote:

>* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:
>> On Mon, 01 Aug 2005 14:23:51 GMT, al...@start.no (Alf P. Steinbach)
>> wrote:
>>
>> >* =?ISO-8859-1?Q?Thomas_Bj=F8rseth?=:
>> >>
>> >> For å unngå hele spørsmålet om brannmuren skal stå lokalt eller i
>> >> utkanten av nettet så kan man jo heller holde maskinen(e) oppdatert med
>> >> alt av tilgjengelige sikkerhetsoppdateringer og samtidig stoppe alle
>> >> lyttende tjenere man ikke trenger. Sett også kvalitetspassord på alle
>> >> kontoer som må være aktive og sperr alle kontoer som ikke må være aktive
>> >> så er mye gjort.
>> >>
>> >> Denne jobben tar på en Windowsmaskin kanskje 5 minutter første gang, og
>> >> deretter 2-3 minutter hver gang en patch krever restart.
>> >
>> >Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
>> >få som var oppmerksomme på akkurat det RPC-hullet.
>>
>> I en helt standard installasjon av WinXP er det ikke så mange lyttende
>> tjenester, og WinXP slipper heller ikke inn trafikk til tjenester hvor
>> det finnes vanlige brukere uten passord.
>
>Hallo.

Meaning?

>> Man står selvfølgelig fritt til
>> å sette elendige passord, men da er vi over på brukerfeil og ikke
>> system- eller designfeil.
>
>Hallo?

Meaning?

>> En sikkerhetsfiks som tettet hullet MSBlaster utnyttet ble sluppet midt
>> 16. juli 2003, og det ble oppdaget spredning av MSBlaster 14. august
>> samme år. Det er fire uker fra Microsoft hadde en sikkerhetsfiks og til
>> en vellykket exploit var ute.
>
>11. august, mener du... Du imponerer ikke.

Nøyaktig dato var ikke poenget. Poenget var at MS hadde en patch
tilgjengelig flere uker før exploiten dukket opp.

>> Hvordan mener du at MS skulle informert alle sine brukere om at en fiks
>> var tilgjengelig? Hvordan skal de på generell basis informere alle
>> brukere hver gang en fiks er tilgjengelig.
>
>Jeg foreslår å starte en ny tråd hvis du virkelig er interessert i den
>problematikken, som så vidt jeg kan se er helt urelatert til denne tråden.

Punktet om patching og info om patcher var for meg en naturlig
forlengelse av temaet, ergo ble det med i denne meldingen. Du sa selv at
få visste om RPC-hullet, og da blir det enda mer naturlig for meg å
spørre om du eventuelt hadde tenkt på hvordan MS skulle informere
brukerne sine om slikt.

>> >Microsoft legger inn all
>> >slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
>> >helt feil fokus på sikkerhet (nemlig å gjøre ting enkle for administratorene
>> >i en større bedrift, ikke for brukeren) og det er klin umulig å vite om dem
>> >eller skru dem av [...]
>>
>> Sier du at det er "hemmelige" åpne porter som lytter på trafikk, og som
>> man ikke kan oppdage eller skru av?
>
>Mener du at det er umulig å reise til Afrika?

Nei. Men du påstår Windows har "lyttende og rapporterende tjenester " og
at disse ikke kan oppdages og lukkes (som du sier "klin umulig å vite om
dem eller skru dem av"). Kan du vise til noe som dokumenterer dette,
eller skal vi betrakte det som en udokumentert påstand som dermed ikke
er verdt veldig mye?

>Hint: det koster litt å reise til Afrika.

Det koster ingen ting å kjøre kommandoen "netstat -a". Det koster heller
ikke mye å lese litt om Windows og hvordan ting fungerer.

>> Kan du vise til dokumentasjon for den påstanden?
>
>Hvilken påstand? Er du verdensmester i tom retorikk?

Påstanden om at det er klin umulig å oppdage de lyttende og
rapporterende tjenestene i Windows som MS har lagt inn?

>> > før det kommer "vellykket" malware som bruker de aktuelle
>> >mulighetene, slik at Noen finner ut hvordan akkurat denne tjenesten skal
>> >skrus av -- og det kan trenge en sikkerhetsfiks fra MS, som da er Noen.
>>
>> Kan du nevne 2-3 tilfeller av virus som har utnyttet sikkerhetshull hvor
>> Microsoft ikke hadde sluppet en fiks når virusene ble sluppet?
>
>Ett stort tilfelle klarer seg: nyinstallasjon av Windows på en PC, der man
>så ønsker å laste ned sikkerhetsfikser, som betyr at man (den jevne bruker
>som ikke har et sett av CD-er med alt dette) nødvendigvis går på nett...

Akkurat det er et problem, ja, men hvor ofte reformaterer egentlig en
vanlig bruker PCen sin uten litt assistanse fra en person som er litt
datakyndig? Nye PCer leveres dog med ferdig-installert SP2 og
restore-CDer hvor SP2 er på plass, så dette blir et mindre og mindre
problem.

Uansett var din påstand at det var klin umulig å finne ut av de
"lyttende og rapporterende" tjenestene før det kommer exploits som
utnytter hull og at MS først da finner ut hvordan tjenesten kan stoppes
og slipper en patch. Forutsatt at jeg har tolket deg rett, selvfølgelig.
Du hadde en setningslengde og oppbygning som var rimelig vrien.

>Det finnes intet sett av fikser som beskytter maskinen totalt: å tro det er
>grenseløst naivt.

Fiksene tetter naturlig nok kun kjente hull, men det finnes vel ingen
"vellykkede" exploits som har utnyttet _ukjente_ hull hvor fiks ikke har
vært tilgjengelig? Ergo så er man rimelig sikker ved å hele tiden legge
inn alle tilgjengelige fikser.


>Bjørn Furuknap og muligens du kan klare dere uten
>brannmur. Andre som ikke har den tekniske ekspertisen, tiden og villigheten
>til å begrense bruken av maskinen, gjør klokt i å ha en brannmur.
>
>
>> Det er selvfølgelig mulig å se hvilke porter som er åpne på en PC,
>
>Og du mener at May-Brith skal sitte og _kontinuerlig_ overvåke portbruken?

Portbruken er knyttet opp mot de tjenestene (og programmene, hvis man
skiller på tjenester og programmer) som kjører på maskinen og ikke noe
annet. Stopper man de tjenestene (og programmene) man ikke trenger så
lukkes også portene. Da er det ikke nødvendig å kontinuerlig overvåke
portbruken. Ingen lyttende tjenester = ingen åpne porter. Fordelen med
denne tankegangen er at man tar problemet i stedet for symptomet.

>> og det er også mulig å begrense tilgangen til de aller fleste av disse
>> portene
>
>Brannmur, ja. Heh. :-)

Eller stoppe tjenestene som lytter på portene. Hvorfor skal man ha
kjørende tjenester som man ikke bruker? Det fører bare til økt
ressursbruk og større risiko for at en eller flere av disse tjenestene
blir rapportert med sikkerhetshull og exploits dukker opp for å
kompromittere maskinen.

>> uten å tape funksjonalitet som er essensiell for en bedrifts
>> funksjon. Og det burde være enda enklere å begrense tilgangen til porter
>> for en privatperson, uten å tape nevneverdig funksjonalitet.
>
>Igjen, her argumenterer du mot deg selv, men det er kjekt: jeg er enig.

Hvorfor? En privatperson kan også stoppe tjenester, og trolig flere
porter enn en business-PC fordi den ikke trenger den samme
funksjonaliteten.

Med en brannmur hindrer du tilgang til maskinen fra utsiden. Det stopper
ormer som prøver å få tilgang til usikre tjenester på maskinen. Med en
gang brukeren stopper brannmuren så er plutselig alle de usikre
tjenestene eksponert. Ved å stoppe alle usikre og unødvendige tjenester
og holde maskinen oppdatert med alle sikkerhetsfikser så løser man
problemet på en mye bedre måte. Og med Windows sin Automatic
Updates-funksjon så har man som privatperson egentlig ingen unnskylding
for ikke å holde en Windowsinstallasjon oppdatert.

Thomas Bjørseth

unread,
Aug 1, 2005, 7:14:11 PM8/1/05
to
On Mon, 1 Aug 2005 23:00:36 +0000 (UTC), Tobias Brox
<tob...@stud.cs.uit.no> wrote:

>[Alf P. Steinbach]
>> Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
>> få som var oppmerksomme på akkurat det RPC-hullet. Microsoft legger inn all
>> slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
>> helt feil fokus på sikkerhet
>
>I værste fall, kan man ikke finne ut hva slags lyttende tjenster man
>har ved en portscan?

For eksempel, ja. Det tar ikke lang tid å portscanne alle mulige porter
på en Windows-maskin. Dette forutsetter at man sitter i relativ nærhet
av maskinen man portscanner, selvfølgelig.

>På min maskin har jeg et ypperlig verktøy som heter lsof - 'lsof -i'
>gir meg en veldig god oversikt over all internetaktivitet på boksen,
>inkludert lyttende porter. Det ser imidlertid ikke ut som at lsof er
>tilgjengelig for windows.

Windows har den nesten allestedsværende "netstat -a", som viser alle
lyttende porter og porter hvor det går trafikk.

Thomas B
--
Thomas Bjørseth

Mail: thomas-...@bjorseth.no

Tobias Brox

unread,
Aug 1, 2005, 7:27:41 PM8/1/05
to
[Thomas Bjørseth]

> Windows har den nesten allestedsværende "netstat -a", som viser alle
> lyttende porter og porter hvor det går trafikk.

netstat -a funker likedan (?) her, men lsof har den fordelen at den
også viser hvilken prossess (navn og pid) som står bak; veldig viktig
informasjon (både for å identifisere tjenestene og for å eventuelt
kverke dem).

--
Tobias Brox

C A Gloersen

unread,
Aug 1, 2005, 7:33:30 PM8/1/05
to

"Thomas Bjørseth" <thoma...@bjorseth.no> skrev i melding
news:6e7te1l0qb9oh0flk...@4ax.com...

> MS slapp sin bulletin 13. april 2004, mens deteksjon for Sasser ble lagt
> til Symantec sine "Rapid Release" oppdateringer 30. april 2004. Det
> indikerer at Sasser også kom flere uker _etter_ at MS slapp sin fiks.

Okey.. fullt mulig at jeg tar feil :) Bare mente å huske at det var en av de
store ormene som var en 0-day exploit, men hvis det ikke stemmer så er det
forsåvidt bare positivt.


C A G


Alf P. Steinbach

unread,
Aug 1, 2005, 7:38:15 PM8/1/05
to
* Tobias Brox:

> [Alf P. Steinbach]
> > Bah, tull & vås. For eksempel, før vi fikk Blaster som utnyttet det var det
> > få som var oppmerksomme på akkurat det RPC-hullet. Microsoft legger inn all
> > slags lyttende og rapporterende tjenester overalt, de, fordi de har for oss
> > helt feil fokus på sikkerhet
>
> I værste fall, kan man ikke finne ut hva slags lyttende tjenster man
> har ved en portscan?

Jo, i verste fall (se nedenfor).

Men det kan i praksis ikke gjøres kontinuerlig.

Den vanlige brukeren som kjører opp Outlook Express (say) og dermed får
automatisk aktivert og endog reinstallert Windows Messenger (say) -- uten
at jeg vet om akkurat den er noen stor fare eller fare i det hele tatt --
kan føle seg rimelig sikker hvis alt annet enn HTTP (say) er stengt, og
ellers føler i alle fall jeg meg rimelig usikker, for det er ikke
dokumentert noe sted hva som blir kjørt opp her og der; tvert i mot sier for
eksempel EULA-en til Windows Media Player at du godtar at hva som helst rusk
og rask fra Microsoft-godkjent tredjepart blir installert bak kulissene, og
WMP prøver stadig å endre på sikkerhetsinnstillingene.

Så kan man selvfølgelig la være å bruke Microsoft programvare som Outlook
Express (jeg bruker OE kun av og til, til spesielle formål) og WMP (bruker
den kun til P4) og Visual Studio og whatever.

Men da er litt av poenget med Windows borte.


> På min maskin har jeg et ypperlig verktøy som heter lsof - 'lsof -i'
> gir meg en veldig god oversikt over all internetaktivitet på boksen,
> inkludert lyttende porter. Det ser imidlertid ikke ut som at lsof er
> tilgjengelig for windows.

Det som følger med i Windows XP er 'netstat' for å liste åpne porter, som så
vidt jeg husker er full av feil (den lister ikke alt), og 'openfiles' for å
liste åpne filer. I Windows 2000 var det et program tilsvarende 'openfiles'
kalt 'oh' (open handles), som var bedre, men det var kun i Resource Kit hvis
jeg ikke husker feil. Det kan lastes ned og fungerer også på Windows XP.

Når jeg kjører 'netstat' nå så går den listingen uhyggelig tregt, og det er
så mye der at jeg kuttet listen øverst i UDP-settet.

Det er vel kun sikkerhetsentusiaster (om noen) som har noen idé om hva alt
dette er, og hvordan det kan skrus av -- jeg bare stenger for portene, så
får rasket stå der.


C:\Documents and Settings\Alf> netstat -a -b

Active Connections

Proto Local Address Foreign Address State PID
TCP SpringFlower:ftp SpringFlower:0 LISTENING 1588
[inetinfo.exe]

TCP SpringFlower:http SpringFlower:0 LISTENING 1588
[inetinfo.exe]

TCP SpringFlower:epmap SpringFlower:0 LISTENING 688
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]

TCP SpringFlower:https SpringFlower:0 LISTENING 1588
[inetinfo.exe]

TCP SpringFlower:microsoft-ds SpringFlower:0 LISTENING 4
[System]

TCP SpringFlower:1026 SpringFlower:0 LISTENING 1588
[inetinfo.exe]

TCP SpringFlower:netbios-ssn SpringFlower:0 LISTENING 4
[System]

TCP SpringFlower:1025 SpringFlower:0 LISTENING 1268
[navapw32.exe]

TCP SpringFlower:1032 SpringFlower:0 LISTENING 2372
[alg.exe]

TCP SpringFlower:1223 nomms22no.ulv.nextra.no:554 ESTABLISHED
1536
[wmplayer.exe]

TCP SpringFlower:1313 localhost:1314 ESTABLISHED 652
[firefox.exe]

TCP SpringFlower:1314 localhost:1313 ESTABLISHED 652
[firefox.exe]

UDP SpringFlower:1027 *:* 816
C:\WINDOWS\system32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

...

Odd H. Sandvik

unread,
Aug 1, 2005, 7:45:11 PM8/1/05
to
Bare noen kommentarer til din ellers utmerkete FAQ. :)

In article <dcm99i$1b9r$1...@news.uit.no>, Tobias Brox says...


> "Noen" burde sette opp en FAQ (eller, Ofte Besvarte Spørsmål) for
> no.it.sikkerhet.diverse, der temaet blir belyst fra alle sider. Jeg
> vil gjøre et forsøk på å oppsummere tidligere debatter her:

> 1. Det er mange her på gruppa (meg inkludert) som innerst inne mener
> at brannvegger og virusscannere er noe tull.

Mens, i den virkelige verden, som tross alt er den som teller, så kan og
vil ofte ikke de aller fleste brukere lære seg såpass sikkerhet at de
ikke trenger antivirus og brannvegger.

> Argumentet er at
> brannvegger ikke gir noen sikring utover hva korrekt konfigurering
> av tjenester på maskinen ville ha gitt, og at virusbeskyttere kun
> hjelper mot kjente virus;

Det skal vel dog nevnes at flere og flere virusbeskyttere benytter
seg av såkalt heuristisk skanning. I tillegg til å trigge på signatur,
så trigges det også på oppførsel.

> det aller meste av virus i dag benytter
> seg av sikkerhetshull i programvare, og da bør slik programvare
> fikses.

Ja, ideelt sett. Men det er ikke alltid realistisk at det skjer, eller
at det skjer innenfor en relevant tidsramme.

> 2. Eventuelt, unntaket må være dersom man har et lokalnett som man
> anser som "sikker sone", og ønsker "fri flyt" av tjenester og
> innhold på lokalnettet, og ikke har tid/lyst til å konfigurere hver
> enkelt av disse tjenestene; da er det bedre å ha en brannvegg
> stående mellom lokalnett og internett. Enkelte vil hevde at et
> lokalnett nesten aldri kan ansees for å være en "sikker sone", og
> at tjenester på lokalnettet uansett bør være beskyttet gjennom
> innlogging (brukernavn/passord).
>
> 3. På en gjennomsnitts windowsmaskin, administrert av en
> gjennomsnittlig bruker, bør man antageligvis ha både brannvegg(er)
> og virusscanning.
>
> 4. Ulempen med brannvegger er at man risikerer at "ting ikke virker",
> brannvegger har ofte en tendens til å stenge ute legitim trafikk,
> ofte uten at man får tilstrekkelig tilbakemelding om at trafikken
> er blitt blokkert.
>
> 5. Uansett hvor gode virusscannere og brannvegger man har, kan man i
> utgangspunktet aldri være trygg mot angrep.

--
Odd H. Sandvik

Odd H. Sandvik

unread,
Aug 1, 2005, 7:52:52 PM8/1/05
to
In article <jjyHe.2069$jA4.569@amstwist00>, C A Gloersen says...

Den eneste ormen som jeg kan huske ble sluppet innen 24 timer etter
at et hull var annonsert er Witty ormen. Men den var myntet på
sikkerhets-programvare fra Internet Security Systems (ISS).
Ormen var teknisk interessant og meget destruktiv.

--
Odd H. Sandvik

C A Gloersen

unread,
Aug 1, 2005, 7:51:26 PM8/1/05
to

"Tobias Brox" <tob...@stud.cs.uit.no> skrev i melding
news:dcmb5d$1bdh$1...@news.uit.no...

> netstat -a funker likedan (?) her, men lsof har den fordelen at den
> også viser hvilken prossess (navn og pid) som står bak;

Med netstat -o får du PID. Det enkleste er allikevel TCPview som gir deg
både navnet og resten kontinuerlig oppdatert.

http://www.sysinternals.com/Utilities/TcpView.html


C A G

Tobias Brox

unread,
Aug 1, 2005, 7:57:06 PM8/1/05
to
[Alf P. Steinbach]

> Men det kan i praksis ikke gjøres kontinuerlig.

Det er et poeng; et forsøk på "korrekt" konfigurering kan ikke hindre
et vilkårlig program (enten det skyldes features, malware, bugs, etc)
å åpne en lyttende port, og en god brannvegg kan vel også rapportere
om uforventet utgående trafikk på ukjente porter. I teorien bør det
vel være mulig å lage en brannvegg som detekterer om det kjøres noe
annet enn forventede protokoller på kjente porter. Kanskje
brannvegger kan ha noe for seg. Men personlig mener jeg uansett at
brannvegger er en uting, i de aller fleste tilfeller :-)

> Så kan man selvfølgelig la være å bruke Microsoft programvare som Outlook
> Express (jeg bruker OE kun av og til, til spesielle formål) og WMP (bruker
> den kun til P4) og Visual Studio og whatever.

> Men da er litt av poenget med Windows borte.

Poenget med Windows er vel at den allerede kommer preinstallert, og at
gjennomsnittsbrukeren ikke har noen større grunn til å skifte. Men
det gjelder kanskje OE/WMP/VS/whatever?

> Når jeg kjører 'netstat' nå så går den listingen uhyggelig tregt, og det er
> så mye der at jeg kuttet listen øverst i UDP-settet.

> Det er vel kun sikkerhetsentusiaster (om noen) som har noen idé om hva alt
> dette er, og hvordan det kan skrus av -- jeg bare stenger for portene, så
> får rasket stå der.

Der er fordelen med lsof. Jeg får kjapt en idé om hva alt er.
Eksempler:

(...)
autossh 17619 tobias 3u IPv4 16614 TCP localhost:23554 (LISTEN)
(...)
skype.bin 30356 tobias 5u IPv4 1935931 UDP *:35006
(...)
wish 25163 tobias 8u IPv4 2044179 TCP 10.0.0.2:42248->baym-cs187.msgr.hotmail.com:1863 (ESTABLISHED)

Hadde jeg ikke sett prossessnavnene, hadde jeg kverket disse tvert -
men uten prossessnavn/pid blir det også vanskelig å kverke dem, så da
måtte jeg heller stengt det i brannveggen?

(aMSN, chatklient, er bygd over wish - hadde jeg ikke tenkt over at
jeg faktisk har en del peers som tvinger meg til å være koblet opp mot
msn-nettverket hadde jeg fått panikk over denne. Skype også, liker
ikke helt å bruke produkter med lukkede standarder, men det er nå så,
nå behøver jeg i allefall ikke å lure på hvorfor port 35006 er åpen
lengre. Også autossh, den kjører noe forwarding på bestemte porter
for å sjekke at forbindelsen fungerer, også noe jeg ikke ville ha
tenkt på sånn helt av meg selv).

> C:\Documents and Settings\Alf> netstat -a -b

> Active Connections

> Proto Local Address Foreign Address State PID
> TCP SpringFlower:ftp SpringFlower:0 LISTENING 1588
> [inetinfo.exe]

Vel, netstat på windows funker visst litt bedre enn netstat på Linux.
Jeg får ikke innblikk i pid og programnavn.

Tobias Brox

unread,
Aug 1, 2005, 7:59:25 PM8/1/05
to
Odd H. Sandvik <inv...@online.invalid> wrote:

> Bare noen kommentarer til din ellers utmerkete FAQ. :)

>> 1. Det er mange her på gruppa (meg inkludert) som innerst inne mener
>> at brannvegger og virusscannere er noe tull.

> Mens, i den virkelige verden, som tross alt er den som teller, så kan og
> vil ofte ikke de aller fleste brukere lære seg såpass sikkerhet at de
> ikke trenger antivirus og brannvegger.

Og da er vi på punkt 3. :-)

>> Argumentet er at
>> brannvegger ikke gir noen sikring utover hva korrekt konfigurering
>> av tjenester på maskinen ville ha gitt, og at virusbeskyttere kun
>> hjelper mot kjente virus;

> Det skal vel dog nevnes at flere og flere virusbeskyttere benytter
> seg av såkalt heuristisk skanning. I tillegg til å trigge på signatur,
> så trigges det også på oppførsel.

Kjent oppførsel?

>> det aller meste av virus i dag benytter
>> seg av sikkerhetshull i programvare, og da bør slik programvare
>> fikses.

> Ja, ideelt sett. Men det er ikke alltid realistisk at det skjer, eller
> at det skjer innenfor en relevant tidsramme.

Og da er vi igjen inne på punkt 3 ;-)

>> 3. På en gjennomsnitts windowsmaskin, administrert av en
>> gjennomsnittlig bruker, bør man antageligvis ha både brannvegg(er)
>> og virusscanning.

--
Tobias Brox, Tromsø

C A Gloersen

unread,
Aug 1, 2005, 8:03:12 PM8/1/05
to

"Alf P. Steinbach" <al...@start.no> skrev i melding
news:42eeab8b...@news.individual.net...

> Proto Local Address Foreign Address State PID
> TCP SpringFlower:ftp SpringFlower:0 LISTENING
1588
> [inetinfo.exe]
>
> TCP SpringFlower:http SpringFlower:0 LISTENING
1588
> [inetinfo.exe]


Du kjører tydeligvis web- og FTP- server (IIS), men det er kanskje meningen?
Hvis ikke, kunne det kanskje vært en fordel å skru det av...


C A G


Odd H. Sandvik

unread,
Aug 1, 2005, 8:17:17 PM8/1/05
to
In article <dcmd0t$1biv$2...@news.uit.no>, Tobias Brox says...

> Odd H. Sandvik <inv...@online.invalid> wrote:
>
> > Det skal vel dog nevnes at flere og flere virusbeskyttere benytter
> > seg av såkalt heuristisk skanning. I tillegg til å trigge på signatur,
> > så trigges det også på oppførsel.
>
> Kjent oppførsel?

Man gir et program en score basert på hvor mange virus-liknende
egenskaper det har. Jo høyere score, jo større sjanse for at det
er et virus. Da trenger en ikke en eksakt signatur for å flagge
et virus. Men teknikken er langt fra perfekt. Man risikerer at
enkelte uskyldige program blir flagget som virus.

--
Odd H. Sandvik

Alf P. Steinbach

unread,
Aug 1, 2005, 8:20:15 PM8/1/05
to
* C A Gloersen:

FTP-serveren er og skal være åpen.

Web-serveren er stengt for innkommende men brukes lokalt.

Listingen nedenfor viser hvordan det ligger an med dét, og også at man ikke
bør stole blindt på gratis portscannere på nettet (FTP-en rapporteres ikke),
her fra <url: http://www.alken.nl/portscan.php>:

<quote>
Portscan on IP 81.191.161.87

Checking for a SMTP server....
Testing port 25: Connection timed out....

Checking for a POP3 Server....
Testing port 110: Connection timed out....

Checking for a open proxy server....
Testing port 1080: Connection timed out....
Testing port 81: Connection timed out....
Testing port 8080: Connection timed out....

Checking for a open Windows share....
Testing port 136: Connection timed out....
Testing port 137: Connection timed out....
Testing port 138: Connection timed out....

Checking misc ports....

Results:
Tested ports that are closed:
25, 110, 1080, 81, 8080, 136, 137, 138,

Tested ports that are Open but not accepting connections:
None

Tested ports that are Open and accepting connections:
None

Guess
My guess is that the machine has:.. a firewall
</quote>


Og fra <url: http://networking.ringofsaturn.com/Tools/probe.php>:

<quote>
Address lookup

Hostname 81.191.161.87
Addresses
Aliases

Service scan

Port Service Response
21 ftp
Nmap 1
</quote>

Tobias Brox

unread,
Aug 1, 2005, 9:31:53 PM8/1/05
to
[Alf P. Steinbach]

> Listingen nedenfor viser hvordan det ligger an med dét, og også at man ikke
> bør stole blindt på gratis portscannere på nettet (FTP-en rapporteres ikke),
> her fra <url: http://www.alken.nl/portscan.php>:

> <quote>
> Portscan on IP 81.191.161.87

(...)


> Results:
> Tested ports that are closed:
> 25, 110, 1080, 81, 8080, 136, 137, 138,

Det er ikke hva jeg velger å kalle "portscan", med en "scan" tenker
jeg på en prossess som starter med portnummer 1 og fortsetter oppover
- men å forvente at en gratis, offentlig tilgjengelig tjeneste skal
gjøre slikt på forespørsel er vel for mye forlangt - særlig siden det
krever mye mer ressurser med portscan mot firewall enn uten.

Sist jeg kjørte en portscan ... og det er temmelig mange år siden ...
gjorde jeg det vha noen få linjer perl-kode ;-)

--
Tobias Brox, Tromsø

furu...@gmail.com

unread,
Aug 6, 2005, 12:27:04 PM8/6/05
to

netstat kan gjøre nytten, men ellers bruker jeg ofte TCPView eller
TDIMon fra Sysinternals (*1) som gir en kjapp oversikt over alt som
kjører, hvilke porter det lyttes på og også om det er aktivitet der.

Bjørn

(*1) http://www.sysinternals.com/

Bjørn Furuknap

unread,
Aug 10, 2005, 5:41:51 AM8/10/05
to
May-Brith wrote:
> Er det noen fordeler/bakdeler ved å bruke både WIN XP sin brannmur og
> brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på
> meg som "smør på flesk".

Har dessverre ikke hatt muligheten til å svare deg før nå.

Temaet 'hvilken brannmurconfig skal jeg bruke' dukker opp med jevne
mellomrom. Min mening om dette er som følger:

Du trenger ingen brannmur i det hele tatt. Brannmuren gjør ingen nytte, og
kan være direkte skadelig. Dog er det eksplisitte tilfeller der brannmurer
kan være nyttige, men med mindre du vet at du har et slikt eksplisitt
tilfelle bør du gjøre de tiltakene du skal gjøre på maskinen din uansett og
så fjerne brannmuren helt.

I korthet er problemet med brannmurer basert på følgende problemområder:
- Brannmurer sperrer porter. De portene du ikke vil at folk skal inn på skal
du uansett skru av, så dermed gjør ikke brannmuren annet enn akkurat det
samme som du likevel gjør.
- Brannmurer er programvare, på lik linje med all annen programvare du
kanskje har problemer med å holde ved like allerede. Hvorfor skulle _mer_
programvare å holde oppdatert og forstå løse problemet med at du allerede
har for mye programvare å holde oppdatert og forstå?
- Brannmurer kan lett bli en sovepute fra å holde maskinen tilstrekkelig
sikret bak brannmuren. Oppdateringer av programvare og sikring av
operativsystemet er absolutt nødvendig uansett, og har du gjort det er det
ingenting brannmuren gjør som er en nyttig funksjon for deg. Tror du derimot
at brannmuren kan spare deg for jobben med å sikre maskinen bak så lever du
livsfarlig; hva tror du for eksempel skjer da dersom noen finner en feil i
brannmuren og kommer seg gjennom den og rett på din totalt usikrede og
feilbefengte maskin?
- Brannmuren kan like gjerne inneholde feil som alt annet, og _mer_
programvare på maskinen din øker sannsynligheten for kritiske feil som kan
medføre sikkerhets- eller stabilitetsproblemer.

Der brannmurer har en funksjon er når de 'vanlige' vedlikeholds- og
sikringsoppgavene du har ikke kan gjennomføres i det hele tatt eller ikke
kan gjennomføres tilstrekkelig for å fjerne eventuelle problemer. For
eksempel kan det være at en sikkerhetsoppdatering ikke fungerer, og inntil
du får funnet ut av hvorfor kan du sperre de utsatte funksjonene gjennom en
brannmur. Et annet tilfelle er der du må bruke eksplisitt usikker
programvare eller protokoller, for eksempel tfpt eller lanmanager
autentisering. Dette er aktuelt for noen sære tilfeller, men for den jevne
bruker er det såpass spesielt at det ikke fordrer noen generell
brannmuranbefaling.

Konklusjonen i min argumentasjon er derfor at du _må_ sikre maskinen din som
om brannmuren ikke var der fordi det kan hende at den svikter eller settes
til side. Når du likevel sikrer maskinen som om brannmuren ikke er der så
kan du like gjerne fjerne brannmuren og de potensielle ekstra problemene som
mer programvare medfører.

Ellers finner du dette temaet behørlig diskutert tidligere i gruppa, men du
må kanskje litt lenger bak enn februar i år. Google er din venn.

Lykke til,

Bjørn


Bjørn Furuknap

unread,
Aug 10, 2005, 6:02:43 AM8/10/05
to
Tobias Brox wrote:
> [May-Brith]

>
> "Noen" burde sette opp en FAQ (eller, Ofte Besvarte Spørsmål) for
> no.it.sikkerhet.diverse, der temaet blir belyst fra alle sider. Jeg
> vil gjøre et forsøk på å oppsummere tidligere debatter her:

0a. Har du fått maskinen din infisert av virus, spyware, trojanere, har
generelle problemer med at maskinen er ustabil eller annet som ikke er
direkte sikkerhetsrelatert er ikke dette gruppen for deg. Forsøk heller å se
på chartre for eksempel for gruppene no.it.sikkerhet.virus og
no.it.os.ms-windows.diverse. Gruppens formål er å diskutere sikkerhet, men
ikke å løse enkelte brukeres problemer. Kontakt eventuelt også support hos
leverandøren av maskinen din.

ob. Hvis du kommer hit for å fortelle om den siste antivirusløsningen du
synes er kjempefin eller du har funnet en ny spywarefjerner du vil at alle
skal høre om så bør du først av alt trekke ut støpselet til pc'en din, tappe
deg et varmt bad med badesalt og ta med deg kabelen, som fortsatt skal være
plugget i veggen og føre strøm, opp i badekaret.

[ mulig at siste punkt bør skrives av noen andre, men behold gjerne
meningen... ]

Bjørn


Rune Mikalsen

unread,
Aug 10, 2005, 5:19:30 PM8/10/05
to

Lesere av den rabiate Bjørn Furuknaps innlegg på news bør ikke følge hans
tips direkte, men heller lese hans helt egen (virusfrie) newsgroup:
no.sikkerhet.par-elexense.confuruknap.amore. Der får man flere tips på
hvordan man kan begå selvmord hvis man ikke følger solkongens anvisninger i
det daglige liv. Oppkast og brekninger er en opsjon. Helt sikkert.

--
-Rune-
Hasta la Victoria siempre.


Jarle Aase

unread,
Aug 11, 2005, 5:19:18 PM8/11/05
to
Bjørn Furuknap wrote:

> Temaet 'hvilken brannmurconfig skal jeg bruke' dukker opp med jevne
> mellomrom. Min mening om dette er som følger:
>
> Du trenger ingen brannmur i det hele tatt. Brannmuren gjør ingen nytte, og
> kan være direkte skadelig. Dog er det eksplisitte tilfeller der brannmurer
> kan være nyttige, men med mindre du vet at du har et slikt eksplisitt
> tilfelle bør du gjøre de tiltakene du skal gjøre på maskinen din uansett
> og så fjerne brannmuren helt.

Dette er et dårlig råd, med mindre du vet /nøyaktig/ hva som kjører på
maskinen din, og helst har inspisert kildekoden til programmene og
kompilert dem selv. Operativsystemet inkludert.

Eksperter kan kjøre rimelig trygt uten brannmur, i alle fall på UNIX/Linux
maskiner. Vanlige brukere kan /ikke/ kjøre trygt uten brannmur. Og selv
eksperter vil gjerne ha brannmur på den bærbare maskinen sin om den
utsettes for nettverk de ikke har 100% kontroll over (f.eks. hos kunder,
venner, på hoteller osv.).

Det er så mange meget alvorlige hull i Windows at det egentlig er galskap å
sette nettkort i slike maskiner.

Jarle
--
Jarle Aase http://www.jgaa.com
mailto:jg...@jgaa.com

<<< no need to argue - just kill'em all! >>>

Alf P. Steinbach

unread,
Aug 11, 2005, 6:34:02 PM8/11/05
to
* Jarle Aase:

Enig, og det tror jeg Bjørn også er innerst inne (blant annet fordi han
svarer på forslaget om eventuell FAQ om brannmurer i denne tråden, framsatt
av Tobias Brox, uten å si seg uenig i punkt 3), men han har laget seg et
image som "Mr. No Brannmur", og det må følges opp og vedlikeholdes! ;-)

Tobias Brox

unread,
Aug 11, 2005, 8:09:48 PM8/11/05
to
[Jarle Aase]

> Og selv
> eksperter vil gjerne ha brannmur på den bærbare maskinen sin om den
> utsettes for nettverk de ikke har 100% kontroll over (f.eks. hos kunder,
> venner, på hoteller osv.).

Duh :-)

En laptop er da ikke mer utsatt når den står på et "fremmed" lokalnett
enn når den er direkte knyttet mot Internet. Jeg har ingen
brannvegger på min laptop, og føler meg såpass trygg at jeg svært
sjeldent sjekker opp nettverksaktiviteten på den.

> Det er så mange meget alvorlige hull i Windows at det egentlig er galskap å
> sette nettkort i slike maskiner.

Det er klart. Galskap å bruke slikt, vil nå jeg si ;-)

--
This signature has been virus scanned, and is probably safe
Tobias Brox, 69°42'N, 18°57'E

Per W.

unread,
Aug 12, 2005, 3:38:56 AM8/12/05
to

"Bjørn Furuknap" <furu...@lit.no> skrev i melding
news:11fjiv3...@news.supernews.com...

> May-Brith wrote:
>> Er det noen fordeler/bakdeler ved å bruke både WIN XP sin brannmur og
>> brannmuren til ruteren min samtidig? Sånn umiddelbart virker det på
>> meg som "smør på flesk".
>
> Har dessverre ikke hatt muligheten til å svare deg før nå.
>
> Temaet 'hvilken brannmurconfig skal jeg bruke' dukker opp med jevne
> mellomrom. Min mening om dette er som følger:
>
> Du trenger ingen brannmur i det hele tatt. Brannmuren gjør ingen nytte, og
> kan være direkte skadelig. Dog er det eksplisitte tilfeller der brannmurer
> kan være nyttige, men med mindre du vet at du har et slikt eksplisitt
> tilfelle bør du gjøre de tiltakene du skal gjøre på maskinen din uansett
> og
> så fjerne brannmuren helt.

Helt riktig, en software brannmur gjør nok mer skade enn nytte, og er man
først i stand til å vite hva som popper opp av meldinger og vet hva man skal
svare når man har en software brannmur så trenger man ikke en slik, og
maskinen vil også være raskere uten all denne dritten installert. Man er
beskyttet nok om man har en router med NAT og kjører antivirus og spyware
fjernere av og til. Hvis man i tillegg på død og liv skal surfe på tvilsomme
sider så lønner det seg å kjøre med en popup killer. Har aldri selv brukt
software brannmur annet enn å teste de så jeg vet hvordan de effektivt skal
slås av/fjernes når kunder ringer. Har heller aldri fått virus inn på
maskinen da dette blir stoppet hos min ISP (sjekk av mail), og i og med at
jeg kjører med NAT så kommer det heller ikke virus/ormer inn. Så det
markedet i dag som en software brannmur til personelig bruk oppererer i er
ett marked som er konstruert og som ikke har rot i virkeligheten i og med at
det faktisk ikke trengs i 99% av tilfellene, før når man koblet seg opp uten
bruk av router (ISDN) var slikt mer aktuelt.

/Per W.


Bjørn Furuknap

unread,
Aug 12, 2005, 7:38:04 AM8/12/05
to
Jarle Aase wrote:
> Bjørn Furuknap wrote:
>
>> Temaet 'hvilken brannmurconfig skal jeg bruke' dukker opp med jevne
>> mellomrom. Min mening om dette er som følger:
>>
>> Du trenger ingen brannmur i det hele tatt. Brannmuren gjør ingen
>> nytte, og kan være direkte skadelig. Dog er det eksplisitte
>> tilfeller der brannmurer kan være nyttige, men med mindre du vet at
>> du har et slikt eksplisitt tilfelle bør du gjøre de tiltakene du
>> skal gjøre på maskinen din uansett og så fjerne brannmuren helt.
>
> Dette er et dårlig råd, med mindre du vet /nøyaktig/ hva som kjører på
> maskinen din, og helst har inspisert kildekoden til programmene og
> kompilert dem selv. Operativsystemet inkludert.

Man snakker aldri eller i allefall sjelden om 100% sikkerhet, men snarere om
tilstrekkelig sikkerhet. Tiltakene du nevner er ikke nødvendige i generell
sikkerhet, om enn kanskje i spesiell sikkerhet.

Vanlige brukere _vet_ hva som kjører på maskinene sine. Om de ikke vet det
har ingen brannmur noen effekt likevel, for om 'alt mulig kjører' så kan det
like gjerne kjøre programvare som omgår brannmuren gjennom tilgang til
vanlige trafikk. Er maskinen din kompromittert er den usikker, uansett hva
du gjør foran eller bak maskinen.

> Eksperter kan kjøre rimelig trygt uten brannmur, i alle fall på
> UNIX/Linux maskiner. Vanlige brukere kan /ikke/ kjøre trygt uten
> brannmur. Og selv eksperter vil gjerne ha brannmur på den bærbare
> maskinen sin om den utsettes for nettverk de ikke har 100% kontroll
> over (f.eks. hos kunder, venner, på hoteller osv.).

Dette er tullball. I et sikkerhetsperspektiv er enhver maskin du har tilgang
til en mulig angriper, inkludert maskina til kona di eller ungene dine.
Eller kompisen som er innom. Eller gjengen på dataparty. Eller, som er den
mest fornuftige måten å forholde seg til det på, enhver maskin på internett.
Sikrer du deg utifra dette perspektivet så har det ingenting å si hvor du
har maskinen eller hvem som er 'den slemme'.

> Det er så mange meget alvorlige hull i Windows at det egentlig er
> galskap å sette nettkort i slike maskiner.

Ref?

Bjørn


Bjørn Furuknap

unread,
Aug 12, 2005, 7:43:24 AM8/12/05
to
Per W. wrote:
> Man er beskyttet nok om man har en router med NAT
> og kjører antivirus og spyware fjernere av og til. Hvis man i tillegg
> på død og liv skal surfe på tvilsomme sider så lønner det seg å kjøre
> med en popup killer.

Antiware generelt er en uting, inkludert men ikke begrenset til antivirus,
antispyware, antitrojanere eller hva det nå heter om dagen. Dette er
programvare som, etterpåstanden, skal hjelpe deg når maskinen din _er_
kompromittert. Antivirus hjelper deg ikke med virus som kommer i mail, fordi
du uansett aldri åpner vedlegg som du ikke har verifisert. Antispyware
hjelper deg ikke mot installasjon av f.eks. winmx, kazaa og alt dette her,
fordi du ikke installerer slik programvare uten å vite hva programvaren
gjør. Etc., etc.

En popupkiller kan hjelpe, men mest mot irriterende, men muligens legitim,
reklame. Jeg bruker selv proxomitron, men det er etter å ha forsøkt en del
forskjellige alternativer, og det har absolutt ingenting med min sikkerhet å
gjøre.

> Har heller aldri fått virus inn på maskinen da dette
> blir stoppet hos min ISP (sjekk av mail), og i og med at jeg kjører
> med NAT så kommer det heller ikke virus/ormer inn.

Dette er en farlig naiv holdning. Hva skjer dersom et virus kommer inn før
ISP'en din har oppdatert signaturene? Hva skjer om none skriver en orm for å
ramme _deg_ og får denne formidlet via en kanal du tror du kan stole på
siden du 'aldri fr inn virus/ormer'?

Anta ikke at du er trygg. Anta at du er utrygg. Veldig utrygg.

Bjørn


Jarle Aase

unread,
Aug 12, 2005, 9:59:11 AM8/12/05
to
Bjørn Furuknap wrote:

> Man snakker aldri eller i allefall sjelden om 100% sikkerhet, men snarere
> om tilstrekkelig sikkerhet. Tiltakene du nevner er ikke nødvendige i
> generell sikkerhet, om enn kanskje i spesiell sikkerhet.

Dersom man vil unngå at passord havner på aveie, eller at andre maskiner
kobler seg til obskure porter som Windows holder åpne av underlige årsaker,
og utnytter informasjonslekkasjer (hørt om "Null Sessions?") eller
buffer-overruns og lignende, så forsegler man maskinen med en brannmur som
kun slipper gjennom trafikk man godkjenner på program/host-nivå. Er man
usikker, så sier man nei.

> Vanlige brukere _vet_ hva som kjører på maskinene sine.

Nei, det vet de /ikke/!

Jeg har vært i bransjen i 20 år. Jeg har drevet med systemprogrammering,
applikasjonsprogrammering, datasikkerhet, opplæring og drift. Jeg er
medforfatter for en bok om maskinvare og operativsystemer. Jeg vet /ikke/
hva som kjører på Windowsmaskinene mine. Jeg har /ikke/ oversikt over alle
portene Windows insisterer på å holde åpne. Å påstå at vanlige brukere vet
dette er bare dumt.

Selv på Linux begynner jeg å miste oversikten, i alle fall når KDE/Gnome
kjører. Det er kun på Linuxserverne mine jeg har en god oversikt over hva
som kjører, og dette er de eneste maskinene jeg ville betro et liv uten
brannmur.

> Om de ikke vet
> det har ingen brannmur noen effekt likevel, for om 'alt mulig kjører' så
> kan det like gjerne kjøre programvare som omgår brannmuren gjennom tilgang
> til vanlige trafikk. Er maskinen din kompromittert er den usikker, uansett
> hva du gjør foran eller bak maskinen.

En brannmur gjør det /vanskeligere/, ikke umulig, å bryte inn i maskinen.
Det er ett av mange tiltak for å ivareta datasikkerhet.

> I et sikkerhetsperspektiv er enhver maskin du har
> tilgang til en mulig angriper, inkludert maskina til kona di eller ungene
> dine. Eller kompisen som er innom. Eller gjengen på dataparty. Eller, som
> er den mest fornuftige måten å forholde seg til det på, enhver maskin på
> internett. Sikrer du deg utifra dette perspektivet så har det ingenting å
> si hvor du har maskinen eller hvem som er 'den slemme'.

Det er riktig. Derfor setter ikke jeg maskiner med Windows i slike nett - i
alle fall ikke maskiner som inneholder noe som helst spennende (som f.eks.
cvs arkiver eller original kildekode som kan bli modifisert).

Bjørn Furuknap

unread,
Aug 12, 2005, 1:20:56 PM8/12/05
to
Jarle Aase wrote:
> Bjørn Furuknap wrote:
>
>> Man snakker aldri eller i allefall sjelden om 100% sikkerhet, men
>> snarere om tilstrekkelig sikkerhet. Tiltakene du nevner er ikke
>> nødvendige i generell sikkerhet, om enn kanskje i spesiell sikkerhet.
>
> Dersom man vil unngå at passord havner på aveie, eller at andre
> maskiner kobler seg til obskure porter som Windows holder åpne av
> underlige årsaker, og utnytter informasjonslekkasjer (hørt om "Null
> Sessions?") eller buffer-overruns og lignende, så forsegler man
> maskinen med en brannmur som kun slipper gjennom trafikk man
> godkjenner på program/host-nivå. Er man usikker, så sier man nei.

Du har fortsatt ikke klart å dokumentere disse 'obskure portene som Windows
holder åpne' selv om du har referert til dem tidligere. Hvilke obskure
porter er åpne og hvilke sikkerhetsrisikoer eksisterer ved disse?

Og vær så snill, anta at jeg har vært innom et par sikkerhetsproblemer
tidligere. Spørsmål om jeg kjenner til null sessions burde være unødvendige.

>> Vanlige brukere _vet_ hva som kjører på maskinene sine.
>
> Nei, det vet de /ikke/!

Så, hvordan vet du da at de ikke kjører programvare som omgår brannmuren?
Antar du at farlig programvare kun oppfører seg slik du forventer, for
eksempel at de åpner porter og lytter på trafikk?

Hvis brukeren ikke vet hva som kjører på maskinen så må du anta at
brannmuren ikke har noen verdi fordi malprogramvare da kan gå tvert forbi
brannmuren ved for eksempel å kjøre piggyback på eksisterende trafikk. Spør
deg selv, som utvikler, om du kan tenke deg en måte å gå forbi en brannmur
gitt at du hadde full kontroll på en maskin bak brannmuren. Tenk for
eksempel på å lage en wrapper rundt tcp-stacken eller rundt wininet.dll.
Klarer du å forestille deg noe slik kan du ta rimelig for gitt at andre også
klarer det.

> Jeg har vært i bransjen i 20 år. Jeg har drevet med
> systemprogrammering, applikasjonsprogrammering, datasikkerhet,
> opplæring og drift. Jeg er medforfatter for en bok om maskinvare og
> operativsystemer. Jeg vet /ikke/ hva som kjører på Windowsmaskinene
> mine. Jeg har /ikke/ oversikt over alle portene Windows insisterer på
> å holde åpne. Å påstå at vanlige brukere vet dette er bare dumt.

Det er vel mer et problem for deg og ikke for sikkerhet. Vanlige bruker
_vet_ dette om de gidder å slå det opp, og om de ikke gidder det så bør de
holdes unna nettverk der de kan skade andre.

At du ikke vet det, og påstår at du har drevet med dette i 20 år, er en
større bekymring enn jeg vet om jeg vil forholde meg til.

>> Om de ikke vet
>> det har ingen brannmur noen effekt likevel, for om 'alt mulig
>> kjører' så kan det like gjerne kjøre programvare som omgår
>> brannmuren gjennom tilgang til vanlige trafikk. Er maskinen din
>> kompromittert er den usikker, uansett hva du gjør foran eller bak
>> maskinen.
>
> En brannmur gjør det /vanskeligere/, ikke umulig, å bryte inn i
> maskinen. Det er ett av mange tiltak for å ivareta datasikkerhet.

Hvorfor er det vanskeligere? Fordi det ikke er kjente utnyttelser av
piggyback i dag? Fordi det ikke er mat for it-pressen at det faktisk skrives
programvare for å angripe enkeltselskaper direkte? Du argumenterer basert på
det som er en populistisk oppfatning av datasikkerhet, men har du drevet
noen år med systemutvikling slik du har så vet du at det å omgå en
begrensning i portvalg eller kanal for trafikk er en triviell operasjon.

Bjørn


Tobias Brox

unread,
Aug 12, 2005, 6:39:21 PM8/12/05
to
[Per W.]

> Man er beskyttet nok om man har en router med NAT og kjører antivirus og spyware
> fjernere av og til.

Dette er jo tull. Det meste av virus, ormer, trojanere og malware
generelt kommer via mail eller web nå for dagen, slik at hverken NAT
eller brannmur hjelper. "antivirus" og ymse kan antageligvis hjelpe
på noe malware, men ikke alt.

> Har heller aldri fått virus inn på
> maskinen da dette blir stoppet hos min ISP (sjekk av mail), og i og med at
> jeg kjører med NAT så kommer det heller ikke virus/ormer inn.

Jeg er ikke enig i at NAT og ISP-mail-scan er saliggjørende, man
unngår ikke eventuell malware som kommer inn gjennom web, og
ISP-mail-scan hjelper kun mot allerede kjente virus.

Alle virus benytter en eller annen form for sikkerhetshull i
mail/web-klient eller operativsystem, og et kjent virus/orm/etc vil
utnytte et kjent sikkerhetshull, så da er det alltid bedre å lappe opp
dette. I allefall i teorien ;-)
enn å

> Så det
> markedet i dag som en software brannmur til personelig bruk oppererer i er
> ett marked som er konstruert og som ikke har rot i virkeligheten i og med at
> det faktisk ikke trengs i 99% av tilfellene,

Dét er jeg enig i.

--
This signature has been virus scanned, and is probably safe to read

Tobias Brox

unread,
Aug 13, 2005, 6:19:26 AM8/13/05
to
[Jarle Aase]

> Dersom man vil unngå at passord havner på aveie, eller at andre maskiner
> kobler seg til obskure porter som Windows holder åpne av underlige årsaker,
> og utnytter informasjonslekkasjer (hørt om "Null Sessions?")

Sant nok, man er mer utsatt for avlytting på et fremmed lokalnett enn
dersom man er koblet "direkte mot internett". Og det er dessverre
veldig vanlig å utveksle passord i klartekst mot mailservere.

Selv om man bruker kryptering der det er naturlig, vil en avlytter
kunne trekke ut informasjon om en persons bruksmønster av nettet.

--
This signature has been virus scanned, and is probably safe

Olaf Berli

unread,
Aug 13, 2005, 9:12:51 AM8/13/05
to
Bjørn Furuknap skrev:

> Per W. wrote:
>
>>Man er beskyttet nok om man har en router med NAT
>>og kjører antivirus og spyware fjernere av og til. Hvis man i tillegg
>>på død og liv skal surfe på tvilsomme sider så lønner det seg å kjøre
>>med en popup killer.
>
>
> Antiware generelt er en uting, inkludert men ikke begrenset til antivirus,
> antispyware, antitrojanere eller hva det nå heter om dagen. Dette er
> programvare som, etterpåstanden, skal hjelpe deg når maskinen din _er_
> kompromittert. Antivirus hjelper deg ikke med virus som kommer i mail, fordi
> du uansett aldri åpner vedlegg som du ikke har verifisert. Antispyware
> hjelper deg ikke mot installasjon av f.eks. winmx, kazaa og alt dette her,
> fordi du ikke installerer slik programvare uten å vite hva programvaren
> gjør. Etc., etc.
>

Er ikke helt enig med deg.... Det finnes gode anit-virusprogrammer
(Norman) som ikke er avhengig av signaturfil for å oppdage virus. Har
selv sett et par tilfeller av at Sandbox-teknikken oppdaget virus som
ikke var inkludert i signaturfilen. Dessuten - et anti-virusprogram er
også nyttig for å verifisere at man ikke har virus.

Antivirusfunksjon i mailserveren oppfatter jeg også som nyttig fordi det
stopper det meste av skiten som er på vei inn. Det blir færre suspekte
vedlegg å forholde seg til, og jeg oppfatter det som en bedring av
sikkerheten.

Det jeg er veldig enig i er at man skal forutsette at man ikke er trygg....

-Olaf-

Bjørn Furuknap

unread,
Aug 13, 2005, 9:44:59 AM8/13/05
to
Olaf Berli wrote:
> Er ikke helt enig med deg.... Det finnes gode anit-virusprogrammer
> (Norman) som ikke er avhengig av signaturfil for å oppdage virus. Har
> selv sett et par tilfeller av at Sandbox-teknikken oppdaget virus som
> ikke var inkludert i signaturfilen. Dessuten - et anti-virusprogram er
> også nyttig for å verifisere at man ikke har virus.

Dette er fortsatt bare tull. Man får ikke virus fordi man ikke utsetter seg
for det. Man lar rett og slett være å engasjere seg i aktiviteter som kan
medføre virussmitte. Dersom man bruker antivirus så er det fordi man
forutsetter at dette beskytter og er en tilstrekkelig beskyttelse, slik at
man _kan_ begynne å åpne alle mulige suspekte vedlegg. Slike forutsetninger
fører ingen gode ting med seg.

Dessuten - man har ikke virus om man unngår å få det, så enkelt er det
faktisk. Jeg trenger ikke å gå rundt å sjekke til stadighet om jeg er
smittet at et virus rett og slett fordi jeg ikke driver med noe som kan
medføre slik smitte. Jeg skjønner ikke hvorfor folk på død og liv vil det
heller, men dem om det, de får takke seg selv.

> Antivirusfunksjon i mailserveren oppfatter jeg også som nyttig fordi
> det stopper det meste av skiten som er på vei inn. Det blir færre
> suspekte vedlegg å forholde seg til, og jeg oppfatter det som en
> bedring av sikkerheten.

Det finnes ingen mindre suspekte vedlegg å forholde seg til uansett. Alle
vedlegg er suspekte og skal behandles deretter. Ethvert vedlegg som kommer
skal verifiseres før det åpnes, punktum. Kan det ikke verifiseres skal det
ikke åpnes. Selv dette er ingen garanti for å unngå virus og i allefall ikke
sikkerrhetsrelaterte problemer, så strengt tatt bør man unngå å kjøre
vedlegg eller programkode man ikke kan stole på. Antivirus vil ikke hjelpe
på dette.

> Det jeg er veldig enig i er at man skal forutsette at man ikke er
> trygg....

Men å anbefale folk å gi opp kontrollen og la de driver med ekstremsport
uten sikring synes du er greit for det...

Bjørn


Lasse G. Dahl

unread,
Aug 13, 2005, 10:23:31 AM8/13/05
to
* Tobias Brox:

> Alle virus benytter en eller annen form for sikkerhetshull i
> mail/web-klient eller operativsystem,

Dette er vel ikke helt korrekt? En del virus benytter seg vel
bare at det faktum at enkelte ser ut til å klikke på alt som
dukker opp i innboksen, uansett hvor lite man måtte vite om
det.

--
Lasse G. Dahl <URL: http://www.lassedahl.com/ >

Signér gjerne «oppropet» for news.online.no her:
http://www.lassedahl.com/b/la_news_online_no_leve

Bjørn Furuknap

unread,
Aug 13, 2005, 10:36:48 AM8/13/05
to
Lasse G. Dahl wrote:
> * Tobias Brox:
>> Alle virus benytter en eller annen form for sikkerhetshull i
>> mail/web-klient eller operativsystem,
>
> Dette er vel ikke helt korrekt? En del virus benytter seg vel
> bare at det faktum at enkelte ser ut til å klikke på alt som
> dukker opp i innboksen, uansett hvor lite man måtte vite om
> det.

Også kalt sikkerhetshull i brukeren.

Dette hullet er dessverre vesentlig utbredt og kan ikke patches. Bransjens
svar på dette er som en hvilken som helst annen kapitalistisk bransje vil
gjøre: drit faen i hva som er best og se hvor mye penger vi kan dra ut av
det...

Bjørn


Olaf Berli

unread,
Aug 13, 2005, 11:51:56 AM8/13/05
to
Bjørn Furuknap skrev:

> Olaf Berli wrote:
>
>>Antivirusfunksjon i mailserveren oppfatter jeg også som nyttig fordi
>>det stopper det meste av skiten som er på vei inn. Det blir færre
>>suspekte vedlegg å forholde seg til, og jeg oppfatter det som en
>>bedring av sikkerheten.
>
>
> Det finnes ingen mindre suspekte vedlegg å forholde seg til uansett. Alle
> vedlegg er suspekte og skal behandles deretter. Ethvert vedlegg som kommer
> skal verifiseres før det åpnes, punktum. Kan det ikke verifiseres skal det
> ikke åpnes. Selv dette er ingen garanti for å unngå virus og i allefall ikke
> sikkerrhetsrelaterte problemer, så strengt tatt bør man unngå å kjøre
> vedlegg eller programkode man ikke kan stole på. Antivirus vil ikke hjelpe
> på dette.
>

Jeg forsøkte å si at om du lar mailserveren stoppe det den finner av
virusinfiserte vedlegg (og spam), så vil du (eller jeg) som bruker
oppleve å forholde meg til 10 vedlegg i steden for 100 i løpet av en
arbeidsdag. Det gjør det enklere å sjekke de som har sluppet igjennom.

>
>>Det jeg er veldig enig i er at man skal forutsette at man ikke er
>>trygg....
>
>
> Men å anbefale folk å gi opp kontrollen og la de driver med ekstremsport
> uten sikring synes du er greit for det...
>

Anbefaler ikke å gi opp kontrollen. I min verden finnes og gjøres feil,
og da er det greit å ha mer enn en forsvarslinje......synes jeg.....

-Olaf-

Tobias Brox

unread,
Aug 13, 2005, 12:59:04 PM8/13/05
to
[Bjørn Furuknap]

> Dette er fortsatt bare tull. Man får ikke virus fordi man ikke utsetter seg
> for det. Man lar rett og slett være å engasjere seg i aktiviteter som kan
> medføre virussmitte. (...)

> Dessuten - man har ikke virus om man unngår å få det, så enkelt er det
> faktisk. Jeg trenger ikke å gå rundt å sjekke til stadighet om jeg er
> smittet at et virus rett og slett fordi jeg ikke driver med noe som kan
> medføre slik smitte. Jeg skjønner ikke hvorfor folk på død og liv vil det
> heller, men dem om det, de får takke seg selv.

Så holdningen din er: "de som får virus har seg selv å takke"? At all
malware som kommer inn skyldes en brukerfeil? Slik jeg har forstått
det, sprer mange ormer seg pga sikkerhetshull i noen av de mest vanlig
brukte applikasjonene, som MSOE, MSN Messenger, MSIE, etc.

sandbox-prinsippet er en nyttig ting - rett og slett å ikke gi
programmene man kjører rettigheter til å gjøre noe galt. I
unix-verdenen er det ikke så vanskelig å sette opp en "sandbox"
(chroot), og det er enda mer trivielt å kjøre programmet som en egen
bruker. Dersom det finnes anti-malware-programvare på windows som
faktisk kan gjøre dette for brukeren, både begrense og sjekke opp hva
slags diskaktivitet, nettverkstrafikk etc programmer man ikke stoler
helt på medfører, så er jo dette en Fin Ting.

De aller fleste windows-brukere kjører, såvidt jeg skjønner, alt av
programvare med "administratorrettigheter", og det er jo det samme som
å be om virus.

> Det finnes ingen mindre suspekte vedlegg å forholde seg til uansett. Alle
> vedlegg er suspekte og skal behandles deretter. Ethvert vedlegg som kommer
> skal verifiseres før det åpnes, punktum. Kan det ikke verifiseres skal det
> ikke åpnes.

Jeg er faktisk helt uenig i det ;-) Hvordan definerer du å "åpne" et
vedlegg?

Med den holdningen du utviser her, så kan jeg godt se at folk
foretrekker at ISP'en fjerner "suspekte" vedlegg. Det blir som å
motta brevbomber hver dag, og tenke at man er jo trygg så lenge man
ikke åpner posten. Tabber gjør man hele tiden - så da er det tross
alt bedre at postverket fjerner de aller fleste "suspekte" pakkene.

I min verden skal det være trygt å "åpne" vedlegg. Dersom det ikke er
trygt, er det en alvorlig feil enten i mailprogrammet eller i den
applikasjonen man bruker for å "åpne" vedlegget. Dersom det er et
eksekverbart program, bør mailprogrammet enten sette opp en
"sandbox"-modell som over, eller ikke tillate eksekvering.

--
This signature has been virus scanned, and is probably safe to read

Tobias Brox

unread,
Aug 13, 2005, 1:01:39 PM8/13/05
to
[Lasse G. Dahl]

> Dette er vel ikke helt korrekt? En del virus benytter seg vel
> bare at det faktum at enkelte ser ut til å klikke på alt som
> dukker opp i innboksen, uansett hvor lite man måtte vite om
> det.

Vel, dersom mailprogrammet tillater spredning av virus simpelthen ved
at brukeren klikker på galt sted (noe som skjer stødt og stadig hos
mange touchpad-brukeren), så er det åpenbart noe feil med
mailprogrammet.

Terje Kvernes

unread,
Aug 13, 2005, 2:06:11 PM8/13/05
to
Tobias Brox <tob...@stud.cs.uit.no> writes:

[ ... ]

> Så holdningen din er: "de som får virus har seg selv å takke"? At
> all malware som kommer inn skyldes en brukerfeil? Slik jeg har
> forstått det, sprer mange ormer seg pga sikkerhetshull i noen av de
> mest vanlig brukte applikasjonene, som MSOE, MSN Messenger, MSIE,
> etc.

det er ikke mange ormer lengre som sprer seg slik. i hvert fall
ikke om man ser på topp-listene over virusspredning de siste årene.

--
Terje

Lasse G. Dahl

unread,
Aug 13, 2005, 2:09:27 PM8/13/05
to
* Lasse G. Dahl:

>> Dette er vel ikke helt korrekt? En del virus benytter seg vel
>> bare at det faktum at enkelte ser ut til å klikke på alt som
>> dukker opp i innboksen, uansett hvor lite man måtte vite om
>> det.

* Tobias Brox:


> Vel, dersom mailprogrammet tillater spredning av virus simpelthen ved
> at brukeren klikker på galt sted (noe som skjer stødt og stadig hos
> mange touchpad-brukeren), så er det åpenbart noe feil med
> mailprogrammet.

Neida, det er jo ikke det som skjer. _Viruset_ (eller oftest;
trojaneren) startes med et klikk. Dette kan da legge seg i minnet og
sette seg til å starte ved boot, og for eksempel generere mail og sende
dem via MAPI eller sin egen, innebygde SMTP-server.

Ingen feil eller bugs utnyttet. Jeg mener, det er jo rimelig enkelt så
lenge man får brukeren til å starte programmet (altså viruset).

En maskin som _ikke_ tillater at jeg kan kjøre programmer som kan sende
mail, ville i alle fall ikke _jeg_ hatt ...

Lasse G. Dahl

unread,
Aug 13, 2005, 2:18:23 PM8/13/05
to
* Tobias Brox:

> Så holdningen din er: "de som får virus har seg selv å takke"?

Jeg skal ikke svare for andre, men hvem ellers skulle de skylde på?

> At all malware som kommer inn skyldes en brukerfeil?

Slik ser i alla fall jeg på det.

> Slik jeg har forstått
> det, sprer mange ormer seg pga sikkerhetshull i noen av de mest vanlig
> brukte applikasjonene, som MSOE, MSN Messenger, MSIE, etc.

Det er så vidt jeg husker ikke kjent skadeprogrammer som utnytter slike
hull _før de er patchet_. Altså er det brukere som gir blanke i å holde
systemet sitt oppdatert som utsettes for slike hull.

Slike brukere er farlige både for seg selv og andre - og all slags
anti-ware vil i beste fall bare utsette problemene de kommer til å skape.

> De aller fleste windows-brukere kjører, såvidt jeg skjønner, alt av
> programvare med "administratorrettigheter", og det er jo det samme som
> å be om virus.

Jepp. Brukerfeil.

> Dersom det er et
> eksekverbart program, bør mailprogrammet enten sette opp en
> "sandbox"-modell som over, eller ikke tillate eksekvering.

Hmm. Skal det heller ikke tillate lagring? Eller visning av den rene
teksten meldingen består av?

Bjørn Furuknap

unread,
Aug 13, 2005, 2:36:23 PM8/13/05
to
Tobias Brox wrote:
>
> Så holdningen din er: "de som får virus har seg selv å takke"?

Jepp, når det er trivielt å unngå det så: ja. Det er trivielt å unngå det,
så: ja.

> At all
> malware som kommer inn skyldes en brukerfeil?

Ja.

> Slik jeg har forstått
> det, sprer mange ormer seg pga sikkerhetshull i noen av de mest vanlig
> brukte applikasjonene, som MSOE, MSN Messenger, MSIE, etc.

Nei, les om igjen, du har nok ikke forstått riktig. Det er mulig de spres
gjennom sikkerhetshull. Disse hullene er tettet for lang tid siden, hvor
'lang' er definert som lengre enn den tiden brukeren normalt bør ha på å få
sikret seg når informasjonen gjøres lett tilgjengelig.

> sandbox-prinsippet er en nyttig ting - rett og slett å ikke gi
> programmene man kjører rettigheter til å gjøre noe galt. I
> unix-verdenen er det ikke så vanskelig å sette opp en "sandbox"
> (chroot), og det er enda mer trivielt å kjøre programmet som en egen
> bruker. Dersom det finnes anti-malware-programvare på windows som
> faktisk kan gjøre dette for brukeren, både begrense og sjekke opp hva
> slags diskaktivitet, nettverkstrafikk etc programmer man ikke stoler
> helt på medfører, så er jo dette en Fin Ting.

Dette har da eksistert i mange år, i allefall 10 år. runas funker helt fett.
Dog er 'riktig' politikk ikke å kjøre programmer soom begrenset bruker, men
å kjøre alt som begrenset bruker og elevere rettigheter ved behov. Dette
gjelder uansett plattform. JEg vet ikke om det var dette du mente.

> De aller fleste windows-brukere kjører, såvidt jeg skjønner, alt av
> programvare med "administratorrettigheter", og det er jo det samme som
> å be om virus.

Ja, og det er ikke brukerfeil?

>> Det finnes ingen mindre suspekte vedlegg å forholde seg til uansett.
>> Alle vedlegg er suspekte og skal behandles deretter. Ethvert vedlegg
>> som kommer skal verifiseres før det åpnes, punktum. Kan det ikke
>> verifiseres skal det ikke åpnes.
>
> Jeg er faktisk helt uenig i det ;-) Hvordan definerer du å "åpne" et
> vedlegg?

Det har mindre og mindre å si, så lenge brukerene forventer mer og mer
funksjonalitet. Åpne en HTML-side kan være like farlig som å eksekvere
vedlegg, men det er litt på siden av poenget. Det er lettere, sikrerer og
mer oppnåelig å forhindre brukere i å åpne vedlegg enn det er å lære dem
hvilke vedlegg de kan åpne og hvordan de skal klare å gjenkjenne farlig
kode.

> Med den holdningen du utviser her, så kan jeg godt se at folk
> foretrekker at ISP'en fjerner "suspekte" vedlegg.

ISP'en er ikke antydningsvis i nærheten av å vite filla om hva som er et
suspekt vedlegg. Anta derfor at du ikke vet noe som helst om hva som er
suspekte vedlegg og forsvar deg utifra det.

Jeg har tidligere nevnt Sokrates og han kommer på banen igjen. Det er en
ukjent mengde du _ikke_ har tenkt på for hver ting du _har_ tenkt på, og
ettersom mengden er ukjent er den ett eller annet sted mellom det du kan og
uendelig. Den mengden er så stor at du gjør klokt i å anta at du ikke vet
noe som helst om hva som er suspekte vedlegg.

Derfor verifiserer du vedlegg. Uansett.

> I min verden skal det være trygt å "åpne" vedlegg. Dersom det ikke er
> trygt, er det en alvorlig feil enten i mailprogrammet eller i den
> applikasjonen man bruker for å "åpne" vedlegget. Dersom det er et
> eksekverbart program, bør mailprogrammet enten sette opp en
> "sandbox"-modell som over, eller ikke tillate eksekvering.

Nei, som nevnt tidligere i dag, det er noe feil i deg, som bruker. Du antar
at andre håndterer sikkerheten din fordi du heller vil spille playstation
eller se på idol enn å lese en bok om sikkerhet.

Med mindre du skriver din egen kompilator for hånd i maskinkode, og
kompilerer på en prosessor du selv har bygget, så er du aldri sikker. Det er
dog forskjell på praktisk sikkerhet og absolutt sikkerhet. Det å åpne
ikke-verifiserte vedlegg tilhører ingen av de gruppene...

Bjørn

Bjørn Furuknap

unread,
Aug 13, 2005, 2:44:38 PM8/13/05
to
Tobias Brox wrote:
> [Lasse G. Dahl]
>> Dette er vel ikke helt korrekt? En del virus benytter seg vel
>> bare at det faktum at enkelte ser ut til å klikke på alt som
>> dukker opp i innboksen, uansett hvor lite man måtte vite om
>> det.
>
> Vel, dersom mailprogrammet tillater spredning av virus simpelthen ved
> at brukeren klikker på galt sted (noe som skjer stødt og stadig hos
> mange touchpad-brukeren), så er det åpenbart noe feil med
> mailprogrammet.

Så det du vil ha er altså et operativsystem som ikke tillater spredning av
informasjon. Eller skal du på noen måte begynne å finne ut av hvilken
informasjon man skal få lov til å spre og hindre spredning av informasjon vi
ikke liker? Tror du at du bare kan fjerne spredning av 'virus' gitt at man
engang blir _enige_ om hva som er et virus, langt mindre klarer å oppdage
dem?

Hva med skadelig kode jeg lager for å angripe noen?
Hva med skadelig kode jeg lager for å utdanne noen?

Dog er det irrelevant, for om mailprogrammet ikke tillater det så omgår
brukeren mailprogrammet bare han eller hun er motivert nok. Lov dem gratis
sex og øl og de blir motivert på bare noen øyeblikk. Stans dem derimot fra
det de mener er nødvendig bruk, og de omgår ikke bare det hinderet, de
begynner å hate systemet, og akkurat i et øyeblikket er hvordan virus spres
ditt aller minste sikkerhetsproblem; nå har du plutselig en haug med hackere
på _innsiden_ av sikkerhetstiltakene dine, og det er _deg_ de angriper.

Bjørn


Tobias Brox

unread,
Aug 14, 2005, 12:32:18 AM8/14/05
to
[Terje Kvernes]

> det er ikke mange ormer lengre som sprer seg slik. i hvert fall
> ikke om man ser på topp-listene over virusspredning de siste årene.

Nå er det kanskje ikke antallet ormer/virus som er mest vesentlig ....

Tobias Brox

unread,
Aug 14, 2005, 12:53:30 AM8/14/05
to
[Lasse G. Dahl]

> Det er så vidt jeg husker ikke kjent skadeprogrammer som utnytter slike
> hull _før de er patchet_. Altså er det brukere som gir blanke i å holde
> systemet sitt oppdatert som utsettes for slike hull.

Hvor mange timer har man på seg tli å patche opp, og hvordan fungerer
det i Windows?

Jeg oppgraderer programvaren min i beste fall en gang i døgnet lokalt;
det gir jo litt spillerom for en effektiv orm.

Vi er i allefall enige i at virusscannere er et svært dårlig
alternativ til å installere sikkerhetsfikser.

> Slike brukere er farlige både for seg selv og andre - og all slags
> anti-ware vil i beste fall bare utsette problemene de kommer til å skape.

>> De aller fleste windows-brukere kjører, såvidt jeg skjønner, alt av
>> programvare med "administratorrettigheter", og det er jo det samme som
>> å be om virus.

> Jepp. Brukerfeil.

>> Dersom det er et
>> eksekverbart program, bør mailprogrammet enten sette opp en
>> "sandbox"-modell som over, eller ikke tillate eksekvering.

> Hmm. Skal det heller ikke tillate lagring?

Man har jo forskjellige måter å håndtere dette på:

- bare nekte; slik fungerer vel java, java-applets har generelt ikke
tilgang til å accessere disk.

- popup-vindu som spør brukeren om hvorvidt programmet skal få lov
eller ikke. Jeg antar at windowsprogrammer kan fungere på denne måten.

- chroot eller vm - programmet kan gjøre hva den vil innenfor en viss
sandkasse. Med chroot i unix kan man angi f.eks at katalogen
/tmp/sandkasse skal fungere som rotkatalog for programmet. Dersom
programmet prøver å skrive til /tmp/tull eller lese fra /bin/ls, vil
det i realiteten bli skrevet til /tmp/sandkasse/tmp/tull og lest fra
/tmp/sandkasse/bin/ls. Med en 'virtual machine' er det mulig å lage
en fil på harddisken, f.eks. på 1 GB, og late som at det er en
engigabytes harddisk.

- separat brukerkonto. Uansett hva slags program/virus jeg kjører, så
skal det i teorien ikke være mulig å sabotere/infisere egen
brukerkonto. Lager man så en separat testbruker, og bruker denne for
all programvare som kommer fra tredjepart, vil man i prinsippet være
trygg.

> Eller visning av den rene
> teksten meldingen består av?

Klart man kan vise et dokument - enten det er .pdf, .txt, .html eller
hva det måtte være. Da forutsettes det at programvaren som viser frem
dokumentet ikke har noen hull som kan utnyttes (f.eks. buffer
overflow). Jeg føler meg stort sett trygg ikke fordi jeg tror den
programvaren jeg bruker er feilfri, men fordi programmene ikke har så
stor utbredning at malwareproblematikken er aktuell. Men holder man
programvaren oppdatert er man jo nogenlunde trygg.

Tobias Brox

unread,
Aug 14, 2005, 1:09:06 AM8/14/05