---

I dag konstaterede jeg pludselig at jeg uploade en hel del - uden at
nogle programmer var sat til at uploade. Ligeledes var computeren
meget sløv til at gå på nettet.

Min AntiTrojan http://www.anti-trojan.net/ detekterede mulige trojaner
på flg.

Port 3129: MastersParadise 0.92
Port 4092: WinCrash
Port 4590: ICQTrjan
Port 5000: Sockets de Troie, Blazer 5 - denne skulle ikke nødvendigvis
være en trojaner.

Jeg kører med WinXP Pros firewall - og kan ikke finde ud af at fjerne
disse trojaner. Norton Antivirus har ikke kunnet finde noget, ej
heller ved senere installering af Norton Internet Security bliver der
fundet og detekteret noget.

Ved søgning på http://www.anti-trojan.net/en/portscan.aspx findes der
pludselig heller ikke noget - men hvordan sikrer jeg mig at computeren
er renset..... Har naturligvis sat NAV til at søge, men også NIS er
aktiv nu. Anti-Trojan, finder ikke noget mere? Og jeg har ikke fjernet
noget som helst.......


Jeg kan ikke længere bruge CTRL-ALT-DEL for at se hvad der kører af
applikationer. Den åbner sjældent vinduet og gør den det lukkes det
med det samme.

Kan nogen hjælpe??


--

Med venlig hilsen fra

Karsten Jensen
k-j_absolute_no_spamming@direkte.org

---

Karsten Jensen <k-j_absolute_no_spamming@direkte.org> writes:

> Ved søgning på http://www.anti-trojan.net/en/portscan.aspx findes der
> pludselig heller ikke noget - men hvordan sikrer jeg mig at computeren
> er renset.....

Den eneste måde at være sikker på at man har fjernet alle bagdøre på
ens system er at reinstallere maskinen.

--
Peter Makholm | Yes, you can fight it, but in the end the ultimate
peter@makholm.net | goal of life is to have fun
http://hacking.dk | -- Linus Torvalds

---

On Wed, 04 Jun 2003 14:29:01 +0200, Peter Makholm <peter@makholm.net>
wrote:


>Den eneste måde at være sikker på at man har fjernet alle bagdøre på
>ens system er at reinstallere maskinen.

hmmmm...

--

Med venlig hilsen fra

Karsten Jensen
k-j_absolute_no_spamming@direkte.org

---

Karsten Jensen <k-j_absolute_no_spamming@direkte.org> writes:

> On Wed, 04 Jun 2003 14:29:01 +0200, Peter Makholm <peter@makholm.net>
> wrote:
>
>
>>Den eneste måde at være sikker på at man har fjernet alle bagdøre på
>>ens system er at reinstallere maskinen.
>
> hmmmm...

Tror du ikke på det? Hvordan vil du være helt sikker på at der ikke er
noget tilbage?

Hilsen
Kåre

--
Kaare Fiedler Christiansen fiedler@daimi.au.dk

2b|~2b == -1

---

On Wed, 04 Jun 2003 18:10:56 +0200, Kaare Fiedler Christiansen
<fiedler@daimi.au.dk> wrote:

>
>Tror du ikke på det?

jo, det var bare ikke lige det svar jeg havde håbet.

--

Med venlig hilsen fra

Karsten Jensen
k-j_absolute_no_spamming@direkte.org

---

"Karsten Jensen" <k-j_absolute_no_spamming@direkte.org> skrev i en
meddelelse news:8cisdv8gtquppf5ih6nqkvu6o018apbq56@4ax.com...
> On Wed, 04 Jun 2003 18:10:56 +0200, Kaare Fiedler Christiansen
> <fiedler@daimi.au.dk> wrote:
>
> >
> >Tror du ikke på det?
>
> jo, det var bare ikke lige det svar jeg havde håbet.
>

Har du prøvet og slippe Ad-aware løs på dit system?

/Hans

---

On Wed, 4 Jun 2003 22:29:50 +0200, "Hans" <kvik@NOSPAMmail.tdcadsl.dk>
wrote:


>
>Har du prøvet og slippe Ad-aware løs på dit system?

Ja, og den konstaterer ikke noget.

- men problemet er løst nu - det viste sig at det var w32.spybot.worm
der på mystsik vis havde lagt sig ind på computeren 6 steder.
Mærkeligt fordi jeg kører Norton Antivirus 2003 Professionel Edition -
og jeg søger efter opdateringer til den HVER dag. Jeg har ikke i et
sekund kørt uden NAV og har ikke disablet den på nogen tidspunkter.

Nu har jeg altså fået renset maskinen og kan igen køre regedit.exe
msconfig.exe og taskmgr.exe - det kunne jeg ikke før uden at rename
filerne.

--

Med venlig hilsen fra

Karsten Jensen
k-j_absolute_no_spamming@direkte.org

---

Karsten Jensen <k-j_absolute_no_spamming@direkte.org> wrote:

>Mærkeligt fordi jeg kører Norton Antivirus 2003 Professionel Edition -
>og jeg søger efter opdateringer til den HVER dag. Jeg har ikke i et
>sekund kørt uden NAV og har ikke disablet den på nogen tidspunkter.

Symantecs hjemmeside paastaar, at ormen blev opdaget d. 16/5
2003, og at de havde en opdatering klar samme dag. Men selv hvis
det er sandt, kan du jo have vaeret udsat i over et doegn,
afhaengig af timingen, saa jeg forstaar ikke din forundring.

Naar jeg skriver "paastaar", skyldes det, at w32.spybot.worm har
vaeret omtalt allerede d. 8/5 i en taiwanesisk nyhedsgruppe (som
jeg naturligvis ikke fatter et klap af). Det er over en uge
tidligere.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

On Fri, 06 Jun 2003 16:24:46 +0200, Allan Olesen
<aolesen@post3.tele.dk> wrote:

>>Mærkeligt fordi jeg kører Norton Antivirus 2003 Professionel Edition -
>>og jeg søger efter opdateringer til den HVER dag. Jeg har ikke i et
>>sekund kørt uden NAV og har ikke disablet den på nogen tidspunkter.
>
>Symantecs hjemmeside paastaar, at ormen blev opdaget d. 16/5
>2003, og at de havde en opdatering klar samme dag. Men selv hvis
>det er sandt, kan du jo have vaeret udsat i over et doegn,
>afhaengig af timingen, saa jeg forstaar ikke din forundring.

Jeg er ikke typen der klikker på dit og dat når jeg modtager noget så
bla. derfor er jeg forundret )

--

Med venlig hilsen fra

Karsten Jensen
k-j_absolute_no_spamming@direkte.org

---

On Fri, 06 Jun 2003 13:26:05 +0200, Karsten Jensen
<k-j_absolute_no_spamming@direkte.org> wrote:

>- men problemet er løst nu - det viste sig at det var w32.spybot.worm
>der på mystsik vis havde lagt sig ind på computeren 6 steder.

Ja, det er ikke så rart at de bruger magi.
--
Svend Olaf

---

In article <8cisdv8gtquppf5ih6nqkvu6o018apbq56@4ax.com>, Karsten Jensen wrote:
>>Tror du ikke på det?
>
> jo, det var bare ikke lige det svar jeg havde håbet.

Hvad mener du?

Det tager maks 5 minutter at reetablere en klient PC, jeg kan ikke
se problemet.

For at lære af fejlen ville jeg nok tage en backup af den nuværende installation
og sammenligne denne med den oprindelige backup, for at finde forskelle
og forhåbenlig også grunden til problemet.

---

Christian E. Lysel wrote:
> In article <8cisdv8gtquppf5ih6nqkvu6o018apbq56@4ax.com>, Karsten Jensen wrote:
>
>>>Tror du ikke på det?
>>
>>jo, det var bare ikke lige det svar jeg havde håbet.
>
>
> Hvad mener du?
>
> Det tager maks 5 minutter at reetablere en klient PC, jeg kan ikke
> se problemet.

Og det mener du alvorligt?

(Note: de fleste private har ikke backup af mere end deres data - imho).

>
> For at lære af fejlen ville jeg nok tage en backup af den nuværende installation
> og sammenligne denne med den oprindelige backup, for at finde forskelle
> og forhåbenlig også grunden til problemet.

---

In article <3edefca4$0$13197$edfadb0f@dread15.news.tele.dk>, Kim Petersen wrote:
>> Det tager maks 5 minutter at reetablere en klient PC, jeg kan ikke
>> se problemet.
>
> Og det mener du alvorligt?

Nej, det tager nok 3 minutter at reetablere.

> (Note: de fleste private har ikke backup af mere end deres data - imho).

Sidst jeg købte en PC, fuldte ghost med, jeg købte to harddisk skuffer
og en ekstra disk til ialt 700 kr.

Det tog 10 min at formatere den nye disk, ghoste en
kopi af min installation af min OS ned på disken fra en boot disk.

Herefter kan jeg smider jeg ghost disken ind i et skab til den skal bruges igen,
fx ved restore, eller ved størrer system ændringer (som sevlfølgelig bliver bygget
ud fra en frisk restore).

---

Christian E. Lysel wrote:
> In article <3edefca4$0$13197$edfadb0f@dread15.news.tele.dk>, Kim Petersen wrote:
>
>>>Det tager maks 5 minutter at reetablere en klient PC, jeg kan ikke
>>>se problemet.
>>
>>Og det mener du alvorligt?
>
>
> Nej, det tager nok 3 minutter at reetablere.

Det gjorde du jo så ....
>
>
>>(Note: de fleste private har ikke backup af mere end deres data - imho).
>
>
> Sidst jeg købte en PC, fuldte ghost med, jeg købte to harddisk skuffer
> og en ekstra disk til ialt 700 kr.

(snip - forklaring om backup metode)

At _du_ gør det på den måde og derfor kan reetablere på 3-5 minutter -
gør ikke at man kan komme med et _generelt_ udsagn om at det max tager 5
minutter at reetable.

Din måde at gøre det på er dog et eksempel at følge...

--
Med Venlig Hilsen / Regards

Kim Petersen - Kyborg A/S (Udvikling)
IT - Innovationshuset
Havneparken 2
7100 Vejle
Tlf. +4576408183 || Fax. +4576408188

---

On Thu, 05 Jun 2003 10:17:40 +0200, Kim Petersen <kp@kyborg.dk> wrote:


>(Note: de fleste private har ikke backup af mere end deres data - imho).

Det har jeg dog af alle data ) næste skridt må blive et image.

--

Med venlig hilsen fra

Karsten Jensen
k-j_absolute_no_spamming@direkte.org

---

Christian E. Lysel skrev:

>Det tager maks 5 minutter at reetablere en klient PC, jeg kan ikke
>se problemet.

Så lad være med at skrive noget. Det er svar fra folk der godt
kan se problemerne, der er nyttige.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

In article <0g0udv0mh655o1o24giib9mgaum2c8vdsi@news.stofanet.dk>, Bertel Lund Hansen wrote:
>>Det tager maks 5 minutter at reetablere en klient PC, jeg kan ikke
>>se problemet.
> Så lad være med at skrive noget. Det er svar fra folk der godt
> kan se problemerne, der er nyttige.

Mener du virkelig en backup ikke er nyttig?

---

Christian E. Lysel skrev:

>Mener du virkelig en backup ikke er nyttig?

Jeg har backup i 3-4 niveauer på tre forskellige computere
foruden dem der er brændt ud på cd. Jeg tager løbende backup af
arbejdsfilerne i snit 6 gange om dagen (dobbeltklik når jeg
forlader computeren midlertidigt). Jeg har 5 ghostede versioner
af systemet på min hovedcomputer, taget på forskellige
tidspunkter, dog kun én af hver ekstracomputer - så nej, jeg
mener ikke at backup er unyttigt.

Men jeg er ikke en typisk bruger, og derfor har den typiske
bruger ikke behov for svar a la:

   Det er sgu da for nemt. Bare kør din backup ind
   med Ghost.

Vel?

Det ville være noget andet hvis du i en afslappet tone fortalte
fyren hvordan han kunne lave et overskueligt backupsystem der
ikke var for dyrt. Det ville være brugbart på lang sigt.

Hans øjeblikkelige problem er der ikke så meget at gøre ved, for
jeg er enig i at en inficeret maskine bør reinstalleres.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

On Wed, 4 Jun 2003 21:34:37 +0000 (UTC), "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:


>Det tager maks 5 minutter at reetablere en klient PC, jeg kan ikke
>se problemet.

Øhm, så vidt jeg ved tager det da mere end 5 minutter at slette og
genoprette partitioner og lægge windows ind igen.

--

Med venlig hilsen fra

Karsten Jensen
k-j_absolute_no_spamming@direkte.org

---

Karsten Jensen <k-j_absolute_no_spamming@direkte.org> writes:

> On Wed, 4 Jun 2003 21:34:37 +0000 (UTC), "Christian E. Lysel"
> <news.sunsite.dk@spindelnet.dk> wrote:
>
>
>>Det tager maks 5 minutter at reetablere en klient PC, jeg kan ikke
>>se problemet.
>
> Øhm, så vidt jeg ved tager det da mere end 5 minutter at slette og
> genoprette partitioner og lægge windows ind igen.

Det kommer an på, hvordan man gør det samt størrelse og hastighed af
ens diske, backupmedie og maskinens generelle hastighed.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
When is it time to reinstall an operation system?
- When booted, the computer prints "Starting Windows..."
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Peter Makholm wrote:
> Den eneste måde at være sikker på at man har fjernet alle bagdøre på
> ens system er at reinstallere maskinen.

Det kommer vel helt an på hvad det er for et system man installerer
på maskinen ....

// Hans
--
http://www.dkfritidmotorcykel.dk/Hans_Joergensen

---

"Hans Joergensen" <haj@enterprise-server.dk> wrote in message
news:slrnbe1gg3.see.haj@enterprise-server.dk...
> Peter Makholm wrote:
> > Den eneste måde at være sikker på at man har fjernet alle bagdøre på
> > ens system er at reinstallere maskinen.
>
> Det kommer vel helt an på hvad det er for et system man installerer
> på maskinen ....

Gør det?

Hvilke (generelt brugelige) systemer tænker du på, hvor det ikke er en
nødvendighed?

vh
Jan

---

"Jan Bøgh" <jan@boegh-dot-net> writes:

>> Det kommer vel helt an på hvad det er for et system man installerer
>> på maskinen ....

>Hvilke (generelt brugelige) systemer tænker du på, hvor det ikke er en
>nødvendighed?

Tripwire-systemer?

Hvis man vel at mærke følger foreskrifterne.

Mvh.
   Klaus.

---

Jan Bøgh wrote:
>> Det kommer vel helt an på hvad det er for et system man installerer
>> på maskinen ....
> Gør det?
> Hvilke (generelt brugelige) systemer tænker du på, hvor det ikke er en
> nødvendighed?

Hvis du fx. reinstallerer en SUN-maskine med den ide at det lukker
alle bagdøre uden bagefter at stoppe alle de huller der er i en
default Solaris 8, så er du jo lige vidt.

Jeg beklager at jeg tillod mig at forsøge på at være morsom..

// Hans
--
Support the Demo Scene: http://se2k.dk
Scene Event 2003 - Dude you're getting a demo

---

"Hans Joergensen" <haj@enterprise-server.dk> wrote in message
news:slrnbe1mkh.see.haj@enterprise-server.dk...

> Hvis du fx. reinstallerer en SUN-maskine med den ide at det lukker
> alle bagdøre uden bagefter at stoppe alle de huller der er i en
> default Solaris 8, så er du jo lige vidt.

Enig.
Jeg opfattede din kommentar således, at du mente at der ingen grund
var til at reinstallere, hvis man /havde/ konstateret at maskinen
var kompromiteret, men kunne satse på blot at fjerne sårbarheder og bagdøre.

> Jeg beklager at jeg tillod mig at forsøge på at være morsom..

Beklager at jeg ikke forstod det.

vh
Jan

---

"Jan Bøgh" <jan@boegh-dot-net> writes:

>Jeg opfattede din kommentar således, at du mente at der ingen grund
>var til at reinstallere, hvis man /havde/ konstateret at maskinen
>var kompromiteret, men kunne satse på blot at fjerne sårbarheder og bagdøre.

Hvis systemet er statisk og tripwired ordentligt, kan man også. Men
det er de færreste, der gider gøre det. Hvilket også betyder, at de
som oftest ikke finder problemet med det samme.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
> "Jan Bøgh" <jan@boegh-dot-net> writes:
>
>> Jeg opfattede din kommentar således, at du mente at der ingen grund
>> var til at reinstallere, hvis man /havde/ konstateret at maskinen
>> var kompromiteret, men kunne satse på blot at fjerne sårbarheder og
>> bagdøre.
>
> Hvis systemet er statisk og tripwired ordentligt, kan man også. Men
> det er de færreste, der gider gøre det. Hvilket også betyder, at de
> som oftest ikke finder problemet med det samme.

Det forudsætter vel at man har sat Tripwire op /før/ maskinen bliver
kompromiteret. Hele pointen er vel at maskiner, der bliver kompromiteret
normalt ikke er hardnet, patched og slet ikke tripwired før lokummet
brænder, om man så må sige. For så var de nok aldrig blevet kompromiteret.

Og er det tilfældet kan jeg ikke se, hvordan man skulle kunne være sikker på
at /alle/ bagdøre er fjernet, hvorfor eneste gode råd er reinstallation.

vh
Jan

---

"Jan Bøgh" <jan@boegh-dot-net> wrote:
> Klaus Ellegaard wrote:
>> "Jan Bøgh" <jan@boegh-dot-net> writes:
>> Hvis systemet er statisk og tripwired ordentligt, kan man også. Men
>> det er de færreste, der gider gøre det. Hvilket også betyder, at de
>> som oftest ikke finder problemet med det samme.
>
> Det forudsætter vel at man har sat Tripwire op /før/ maskinen bliver
> kompromiteret.

www.knowngoods.org kan tilbyde 'known good' MD5 hashes af filerne i
mange systemer.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:

> www.knowngoods.org kan tilbyde 'known good' MD5 hashes af filerne i
> mange systemer.

Men ikke til goe' gamle Windows - og det er nok der, de fleste brugere
tumler rundt og klikker på filer og sider, de sku' holde sig fra!

Men ellers en interessant side - så'n efter en kort kigger.

vh
Jan

---

Jan Bøgh wrote:
> Jeg opfattede din kommentar således, at du mente at der ingen grund
> var til at reinstallere, hvis man /havde/ konstateret at maskinen
> var kompromiteret, men kunne satse på blot at fjerne sårbarheder og bagdøre.

Oh, sådan skulle det ihvertfald ikke forstås.... :)

Godt nok har jeg arbejdet et sted hvor der var enkelte personer
(*host* konsulenter *host*) der havde den opfattelse at man kun
behøvede at reinstallere en hacket maskine, hvis man ikke lige
skulle bruge den til noget..

// Hans
--
Fantastiske pandekager: http://www.ph33r.dk/pancakes.shtml
UNIX Admin søger arbejde, http://nathue.dk/?page=cv

---

In article <slrnbe1mkh.see.haj@enterprise-server.dk>, Hans Joergensen wrote:
> Hvis du fx. reinstallerer en SUN-maskine med den ide at det lukker
> alle bagdøre uden bagefter at stoppe alle de huller der er i en
> default Solaris 8, så er du jo lige vidt.

Jeg har set kunder der blev inficeret hurtigere af code-red
end de kunne nå at downloade patchen :)

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote:

>Jeg har set kunder der blev inficeret hurtigere af code-red
>end de kunne nå at downloade patchen :)

Du mener paa en frisk installation?

Man bringer vel ikke en frisk installation paa nettet, foer den
er behoerigt sikret?

Og nej, det er ikke en catch22.



--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

In article <3ee38255$0$76122$edfadb0f@dread11.news.tele.dk>, Allan Olesen wrote:
>>Jeg har set kunder der blev inficeret hurtigere af code-red
>>end de kunne nå at downloade patchen :)
>
> Du mener paa en frisk installation?

Ja.

Kunden havde lavet den fejl at han installeret maskinen i en DMZ, hvor firewallen
redirectede http forspørgelser til den friske webserver.

> Man bringer vel ikke en frisk installation paa nettet, foer den
> er behoerigt sikret?

Hmmm, han skal jo hente sine patches fra MS, via nettet :)

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

> > Man bringer vel ikke en frisk installation paa nettet, foer den
> > er behoerigt sikret?
>
> Hmmm, han skal jo hente sine patches fra MS, via nettet :)

Man kan hente dem ned på en anden maskine og overføre dem via CDROM.


Martin


--
Besøg http://adsltips.crunzh.com for guider
til ADSL og opsætning af CISCO router.

---

In article <rdnfzmg7e98.fsf@brok.diku.dk>, Martin Schultz wrote:
>> Hmmm, han skal jo hente sine patches fra MS, via nettet :)
> Man kan hente dem ned på en anden maskine og overføre dem via CDROM.

Personligt ville jeg fortrække ssh eller ftp, da filerne næsten
ændre sig dagligt...

---

Den Wed, 04 Jun 2003 14:26:19 +0200 skrev Karsten Jensen:
>I dag konstaterede jeg pludselig at jeg uploade en hel del - uden at
>nogle programmer var sat til at uploade. Ligeledes var computeren
>meget sløv til at gå på nettet.
>
>Min AntiTrojan http://www.anti-trojan.net/ detekterede mulige trojaner
>på flg.
>
>Port 3129: MastersParadise 0.92
>Port 4092: WinCrash
>Port 4590: ICQTrjan
>Port 5000: Sockets de Troie, Blazer 5 - denne skulle ikke nødvendigvis
>være en trojaner.
>
>Jeg kører med WinXP Pros firewall

Og det er så beviset på at en firewall i ukyndiges hænder er falsk
tryghed.

Mvh
Kent
--
"Handlingen blev afbrudt pga. computerens begrænsede effekt"
- Windows NT på en Pentium III 550 MHz

---

On Wed, 4 Jun 2003 16:21:16 +0000 (UTC), leeloo@phreaker.net (Kent
Friis) wrote:


>>Jeg kører med WinXP Pros firewall
>
>Og det er så beviset på at en firewall i ukyndiges hænder er falsk
>tryghed.

Mener du at XPs firewall ikke er god nok?

--

Med venlig hilsen fra

Karsten Jensen
k-j_absolute_no_spamming@direkte.org

---

Karsten Jensen skrev:

>>Og det er så beviset på at en firewall i ukyndiges hænder er falsk
>>tryghed.

>Mener du at XPs firewall ikke er god nok?

Jeg kender ikke noget til XP's firewall. Men din egen oplevelse
viser jo at det går galt hvis man stoler på den sådan som den
bliver sat op af en gennemsnitswindowsbruger. Og det er nok det
der er Kents pointe.

Det kan godt svare sig at lære hvordan man sætter Windows sikkert
op på nettet uden firewall. Desværre har jeg ikke brugt XP så
meget at jeg kan hjælpe dig med den.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Den Wed, 04 Jun 2003 21:34:38 +0200 skrev Karsten Jensen:
>On Wed, 4 Jun 2003 16:21:16 +0000 (UTC), leeloo@phreaker.net (Kent
>Friis) wrote:
>
>
>>>Jeg kører med WinXP Pros firewall
>>
>>Og det er så beviset på at en firewall i ukyndiges hænder er falsk
>>tryghed.
>
>Mener du at XPs firewall ikke er god nok?

Jeg nævnte ikke noget om XP, det er en generel betragtning.

En firewall skal sættes op af en der har erfaring indenfor området,
og ved "alt" om TCP/IP.

Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"

---

"Kent Friis" <leeloo@phreaker.net> wrote in message
news:bbmrp8$t06$3@sunsite.dk...

> En firewall skal sættes op af en der har erfaring indenfor området,
> og ved "alt" om TCP/IP.

Findes sådanne typer?

vh
Jan

---

Den Thu, 5 Jun 2003 14:56:22 +0200 skrev Jan Bøgh:
>"Kent Friis" <leeloo@phreaker.net> wrote in message
>news:bbmrp8$t06$3@sunsite.dk...
>
>> En firewall skal sættes op af en der har erfaring indenfor området,
>> og ved "alt" om TCP/IP.
>
>Findes sådanne typer?

Med erfaring? Ja da.

Og "alt" var netop i anførselstegn, fordi der altid er mere at lære,
men jo mere han ved, jo bedre. Men det jeg mener, er professionelle
IT-folk der arbejder med sikkerhed til dagligt, ikke naboens søn der
"ved noget om det der".

Mvh
Kent
--
"Handlingen blev afbrudt pga. computerens begrænsede effekt"
- Windows NT på en Pentium III 550 MHz

---

Kent Friis wrote:
> Den Wed, 04 Jun 2003 14:26:19 +0200 skrev Karsten Jensen:
>
>>I dag konstaterede jeg pludselig at jeg uploade en hel del - uden at
>>nogle programmer var sat til at uploade. Ligeledes var computeren
>>meget sløv til at gå på nettet.
>>
>>Min AntiTrojan http://www.anti-trojan.net/ detekterede mulige trojaner
>>på flg.
>>
>>Port 3129: MastersParadise 0.92
>>Port 4092: WinCrash
>>Port 4590: ICQTrjan
>>Port 5000: Sockets de Troie, Blazer 5 - denne skulle ikke nødvendigvis
>>være en trojaner.
>>
>>Jeg kører med WinXP Pros firewall
>
>
> Og det er så beviset på at en firewall i ukyndiges hænder er falsk
> tryghed.
>
> Mvh
> Kent

Ville en firewall som er blevet rigtigt sat op virke efter hensigten,
hvis man som i ovenstående tilfælde er blever narret til at installere
en trojansk hest ?


Mvh.

Michael

---

michael <dont_spam_me@kk.dk> writes:

> Kent Friis wrote:
> > Den Wed, 04 Jun 2003 14:26:19 +0200 skrev Karsten Jensen:
> >
> >>I dag konstaterede jeg pludselig at jeg uploade en hel del - uden at
> >>nogle programmer var sat til at uploade. Ligeledes var computeren
> >>meget sløv til at gå på nettet.
> >>
> >>Min AntiTrojan http://www.anti-trojan.net/ detekterede mulige trojaner
> >>på flg.
> >>
> >>Port 3129: MastersParadise 0.92
> >>Port 4092: WinCrash
> >>Port 4590: ICQTrjan
> >>Port 5000: Sockets de Troie, Blazer 5 - denne skulle ikke nødvendigvis
> >>være en trojaner.
> >>
> >>Jeg kører med WinXP Pros firewall
> >
> >
> > Og det er så beviset på at en firewall i ukyndiges hænder er falsk
> > tryghed.
> >
> > Mvh
> > Kent
>
> Ville en firewall som er blevet rigtigt sat op virke efter hensigten,
> hvis man som i ovenstående tilfælde er blever narret til at installere
> en trojansk hest ?

Måske. Det kommer an på hvor smart den trojanske hest var og hvor hårdt
firewallen var sat op. Hvis det fx. en trojan der kan brugte port 5000
og denne var lukket i firewallen så kunne den ikke slippe ud.

Martin

--
Besøg http://adsltips.crunzh.com for guider
til ADSL og opsætning af CISCO router.

---

michael skrev:

>Ville en firewall som er blevet rigtigt sat op virke efter hensigten,
>hvis man som i ovenstående tilfælde er blever narret til at installere
>en trojansk hest ?

Er det ikke lidt ligegyldigt? Hvis trojaneren ligger og laver
ulykker på ens system, er det lidt underordnet om den også kan
rapportere til basen og sprede sig selv.

Teoretisk kan en intelligent trojaner operere som om den er en
browser, men jeg aner ikke noget om praksis.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Hej All

> >>Min AntiTrojan http://www.anti-trojan.net/ detekterede mulige trojaner
> >>på flg.
> >>
> >>Port 3129: MastersParadise 0.92
> >>Port 4092: WinCrash
> >>Port 4590: ICQTrjan
> >>Port 5000: Sockets de Troie, Blazer 5 - denne skulle ikke nødvendigvis
> >>være en trojaner.
> >>
> >>Jeg kører med WinXP Pros firewall
> >
> >
> > Og det er så beviset på at en firewall i ukyndiges hænder er falsk
> > tryghed.
>
> Ville en firewall som er blevet rigtigt sat op virke efter hensigten,
> hvis man som i ovenstående tilfælde er blever narret til at installere
> en trojansk hest ?

Det er IKKE en firewalls opgave at stoppe trojanere .... hvordan skulle den
dog det ? - Ja Ja - nogle få FW har mulighed for at spore trojaner, men det
er ikke FW kernen som sørger for det. - Men hovedparten lader dem passere
eller.

Et system kan stadig være have Trojanere installeret også selv om de ikke
kan kommunikere (Portene lukket i firewall) ... Den test fortæller jo at der
er åben for porte, som nogle trojanere bruger ....til helt andre legitime
formål.

Trojanere skal stoppes ved smittet, som typisk er email, p2p og andre
fildownloads. Og derfor typisk en opgave for anti virus/trojans software. En
firewall har ingen mulighed for at se om en tcp session skyldes en trojaner
eller er en legitim session. Her skal man bruge IDS lignende funktionalitet
eller antitrojan software.

Det er korrekt at en stram styring af en firewall ville hjælpe på sagen. Men
hvis det er en hjemmepc, så vil det medfører store gener. Det er straks
nemmere at sikre sig at ens Antivirus software også detecter trojanere eller
installerer et antitrojan program, før uheldet er ude.

Men der er jo en del metoder til at checke om de nu også er aktive. Luk for
det pågældende porte i din FW. Log aktiviteten og se om de giver hits. Også
check med dine services via netstat og taskmanager .... Se om du har en
legitim service, som bruger de porte. Bruger du nat ...nå ja så kan man jo
også have disse porte "åbne".

Cheers, Real

---

RealWiild skrev:

>hvis det er en hjemmepc, så vil det medfører store gener. Det er straks
>nemmere at sikre sig at ens Antivirus software også detecter trojanere eller
>installerer et antitrojan program, før uheldet er ude.

Det nemmeste er at lukke portene så man hverken behøver
AV-program (hvis der kun er én bruger) eller firewall.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Hej Bertel

> >hvis det er en hjemmepc, så vil det medfører store gener. Det er straks
> >nemmere at sikre sig at ens Antivirus software også detecter trojanere
eller
> >installerer et antitrojan program, før uheldet er ude.
>
> Det nemmeste er at lukke portene så man hverken behøver
> AV-program (hvis der kun er én bruger) eller firewall.

Jeps - Tag netværkstikket ud - Det er den eneste sikre beskyttelse. Men er
man ikke liiiige indstillet til det, så ja ..... er AV + FW nødvendigt.

Cheers, Real

---

On Thu, 05 Jun 2003 04:11:04 +0200, RealWiild wrote:

> Tag netværkstikket ud

[...]

> men er
> man ikke liiiige indstillet til det, så ja ..... er AV + FW
> nødvendigt.

Sikke noget vrøl.

Windows-brugere er muligvis nødt til at have anti-virus software, men
firewall'en er i hvertfald unødvendig, måske endda skadelig for
sikkerheden. Se http://a.area51.dk/sikkerhed/hjemme_pc#firewall

/Troels

---

RealWiild skrev:

>Jeps - Tag netværkstikket ud - Det er den eneste sikre beskyttelse. Men er
>man ikke liiiige indstillet til det, så ja ..... er AV + FW nødvendigt.

Nej. Min computer er direkte på nettet altid og har hverken
firewall eller av-program installeret. En gang imellem når jeg
kommer i tanker om det, scanner jeg systemet med F-Prot, men det
er nok et halvt års tid siden sidst.

Jeg har lukket for alle lyttende tjenester, og jeg kører uden
delte drev. Jeg har et lokalnet hvor det er en lille gene at
drevene ikke er delt på hovedcomputeren, men det er til at leve
med.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

RealWiild <real@nowhere.com> wrote:
> Jeps - Tag netværkstikket ud - Det er den eneste sikre beskyttelse. Men er
> man ikke liiiige indstillet til det, så ja ..... er AV + FW nødvendigt.

Pis og papir. Den begraensede forstaaelse af datasikkerhed hoerer hjemme i
1980'erne. Naar netstikket tages ud er tilgaengelighed = 0, og man
kaemper blandt andet for at bevare en specificeret tilgaengelighed af
systemer og data.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Hej Alle

Jeg tager lige jer alle tre under et. Det er nu absolut ikke korrekt.
Halvdelen af indlæg herinde om orme, trojanere og vira er faktisk
hjemmepc'ere som bliver ramt. Men i har ret i, at det er en lille del, at
hjemmepc'ere, som bliver ramt - Men det sker. - Der er jo også relativt få
trafikuheld i DK, så hvorfor skulle man egentlig have sikkerhedssele på ?
Men hvis så man uheldigvis bliver indblandet i et trafik uheld, så ja
tæanker man typisk "hvorfor fanden havde jeg ikke sikkerhedsele på"

Eller rettere sagt vi ved jo ikke andet, der er jo en hel del, som end ikke
er herinde, og nåja I checker jeres PC'ere engang hver halve år. Det
betyder, jo at I kan være smittebærer og udsatte i det halve år.

Men hvis jeres venner uheldigvis er blevet smittet, så har smitten hurtigt
fri adgang til jeres PC'ere og videre distribueres ligeså let videre.

NAT i sig selv indeholder altså ikke nogen sikkerhed. Den umuligør portscans
(i PAT mode), for det kræver oprettelse af en nat statement et eller andet
sted for at få adgang til en service eller åben port på hosten. Så deror du
behøver faktisk ikke lukke dine services, hvis det var sand - for du laver
jo bare ikke den statement. Men starter du en tcp session, så er der åbnet
et hul også gennem NAT (PAT). Altså et system kan sagtens angribes og
inficeres gennem hver eneste session, som man selv initiere mod hosts
internettet (mail, ftp, p2p, http og https - og indholdet i disse.) Ren NAT
mode indeholder slet ikke nogen sikkerhed, for der oprettes en statement som
siger, alle sessioner til <midlertidig Public adr.> skal til <Private adr> -
her kigger man slet ikke på portene. Begge systemer er mulige og bruges
faktisk i dag.

Hvis man ER smittet, så er der heller ikke nogen sikkerhed i dynamiske IP
adresser. For mange orme og trojans giver den nye information videre til
"hackeren". Den information kan så blandt andet bruges til hackerangreb på
andre gennem det inficerede system.

Hvis man VIL forhindre sin PC'ere i at blive hacket/inficerede, så er man
skal man gøre noget proaktivt.

Lad være med at tro brugere generelt ved, hvordan man skal opføre sig på
internettet - Hvor mange brugere derude tager backup ?, ved hvordan man
reinstallere sin PC'er ? - Det er sgu ikke mange. Det er en illusion. Hvis
bare én i ens kontaktkredse, som skal gøre det forkerte, så er smitten
igang. Men jeg er sikker på, at første gang jeres systemer bliver
(mis)brugt til det utænkelige, så installere I jo nok AV & FW features på
jeres PC'ere.

Der er ikke noget der hedder korrekt brug af Internettet - Man skal kunne
bruge internettet til det, som man har lyst til. Men det kan man ikke med
jeres indstillinger. :

1) Minimere tiden på internettet mest muligt (højst en time eller 2) -
Sluk PC'eren, modem eller router, når man ikke er online.
2) Lad være med at bruge messengers (IRC, ICQ, Messenger whatever)
3) Lad være med at bruge andre tjenester, som : news, ftp, https.
4) Lad absolut vær med at bruge PC'en til homebanking o.l. sessioner.
5) Lad vær med at bruge din PC'ere, som hjemmearbejdsplads (tror heller
ikke IT afd. vil tillade det)
6) Lad være med at bruge søgeengine og dermed riiskere at gå ind på
websteder, som indeholder ondsindet html kode.
7) Sørg for at der slet ikke kan køres javascript, aspcode, cookies
o.s.v.
8) Sørg for aldrig at cache noget som helt i de temporere internet
foldere.
9) Lad være med at åbne links, vedhæftede file i mails uanset om de
kommer fra "vennerne eller familien"

Alt dette og meget mere skal der gøres, hvis man uden brug af FW & AV, skal
øge sikkerheden. Det kan godt være, at i følger reglerne til en hver tid,
men helt ærligt 90% vil nok hellere have kontrol frem for tillid.
Hver gang man går på kompromis med disse og garantere flere regler, som
udsætter man sig for en risiko - Den risiko ville være meget meget mindre,
hvis man bare sikrer sig lidt. - Også dyrt er det sgu heller ikke.

Iøvrigt er der jo stadig en hel del dial-up brugere, disse dialup er faktisk
100% sårbare for andre dialup kunder som er smittede hos samme ISP'ere (De
er i samme broadcast domæne) ... Dem er der stadig ca. rigtig mange af - kan
huske et tal fornyeligt for Telia på 65000 - og det er i hvertfald ikke
mindre hos andre ISP'ere (Tiscali, Cybercity, Get2Net, osv).

Jeres holdning er en gambling med jeres og andres IT-sikkerhed. Jeg kan kun
håbe, at andre ikke lytter på jer - Tjaaaeh Jeg gør det i hvert fald ikke
.

Lad være med at gøre et stort nummer ud af det. I har jeres holdning og
andre har min. Thats It - Religionskrig om sikkerhed gider jeg faktisk ikke


Cheers, Real.

---

On Thu, 5 Jun 2003 13:43:15 +0200, RealWiild <real@nowhere.com> wrote:
> Hej Alle
>
Hej RealWiild.

Hvad koster 100 gram af det stof du er på? Det lyder sjovt.

--
Jesper

---

Hej Jesper

> Hvad koster 100 gram af det stof du er på? Det lyder sjovt.

Hvor er det nu du bidrager med noget konstruktivt til denne debat ? - har du
noget fornuftigt at sige ? så sig det i stedet for den slags bemærkninger.

Cheers, Real

---

RealWiild <real@nowhere.com> wrote:
> Eller rettere sagt vi ved jo ikke andet, der er jo en hel del, som end ikke
> er herinde, og nåja I checker jeres PC'ere engang hver halve år. Det
> betyder, jo at I kan være smittebærer og udsatte i det halve år.

Forstaar du, at der skal visse tekniske forudsaetninger til foer at man
kan blive angrebet, og at man som PC bruger er i kontrol over disse
forudsaetninger? Dette er meget vigtigt. Der er ingen magi indvolveret,
og det hjaelper ikke at skraemme uvidende PC brugere til at benytte
vaerktoejer de ikke har en chance for at forstaa.

Virus er ikke on-topic her i gruppen, saa det ser jeg ingen grund til at
spilde tid paa.

En udgaaende forbindelse gennem NAT giver ikke mulighed for at skabe en
vilkaarlig forbindelse ind gennem enheden igen som du ellers ligger op
til.

> Altså et system kan sagtens angribes og inficeres gennem hver eneste
> session, som man selv initiere mod hosts internettet (mail, ftp, p2p,
> http og https - og indholdet i disse.)

Simpel brugeropfoersel - og i nogle tilfaelde korrekt konfigureret
klient software - stopper trusler af denne art. Hvis du tillader malware
at koere paa PC'en har du alligevel allerede tabt.

En Outlook der ikke *kan* udfoere malware er langt bedre beskyttelse end
et anti-virus program der forsoeger at opsnappe malware.

> Der er ikke noget der hedder korrekt brug af Internettet - Man skal kunne
> bruge internettet til det, som man har lyst til. Men det kan man ikke med
> jeres indstillinger. :
>
> 1) Minimere tiden på internettet mest muligt (højst en time eller 2) -
> Sluk PC'eren, modem eller router, når man ikke er online.

Hvilken forskel skulle det goere?

> 2) Lad være med at bruge messengers (IRC, ICQ, Messenger whatever)

Vroevl. Saa laenge man ikke udfoerer malware paa sin PC sker der ingen
skade.

> 3) Lad være med at bruge andre tjenester, som : news, ftp, https.

Hvad skulle det opnaa? Jeg har snippet resten. Du har totalt
misforstaaet emnet.

> Iøvrigt er der jo stadig en hel del dial-up brugere, disse dialup er faktisk
> 100% sårbare for andre dialup kunder som er smittede hos samme ISP'ere (De
> er i samme broadcast domæne)

Huh? Ved du overhovedet hvad 'broadcast domaene' betyder? Vi taler ikke
om ethernet paa en hub.

> Jeres holdning er en gambling med jeres og andres IT-sikkerhed. Jeg kan kun
> håbe, at andre ikke lytter på jer - Tjaaaeh Jeg gør det i hvert fald ikke
> .
>
> Lad være med at gøre et stort nummer ud af det. I har jeres holdning og
> andre har min. Thats It - Religionskrig om sikkerhed gider jeg faktisk ikke
>

Det er ikke en religionskrig. IT sikkerhed er, om noget, praeget af
mulighederne for at opstille kriterier paa sort og hvidt. Det er bygget
paa tekniske muligheder der skal fortolkes til hvad der er
oenskvaerdigt for individiet eller virksomheden.

Vis mig en threat model af ovenstaaende hvor anti-virus software og
personlige firewalls goer det mindste forskel, saa skal jeg vise dig en
threat model udarbejdet af en der ikke *forstaar* truslerne han
forsoeger at beskytte sig imod.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst <a@mongers.org> wrote:

>Simpel brugeropfoersel

Lidt uden for kontekst, men brugeropførsel kan i et typisk
flerbrugermiljø være svært at styre og noget man ikke rigtig kan bygge
en sikkerhedsmodel på - politik eller ej.

Tillid er godt, kontrol er bedre.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Hej Alex

> Forstaar du, at der skal visse tekniske forudsaetninger til foer at man
> kan blive angrebet, og at man som PC bruger er i kontrol over disse
> forudsaetninger? Dette er meget vigtigt. Der er ingen magi indvolveret,
> og det hjaelper ikke at skraemme uvidende PC brugere til at benytte
> vaerktoejer de ikke har en chance for at forstaa.

Jeg kender godt disse argumenter. Men mange vil have en tendens til at
dobbeltklikke på et eller andet, hvis de bliver bedt om det. Hvordan skal en
almindelig brugere vide forskellen ? Den eneste faktor er tillid til en
given mail, http eller eksekverbar fil.
Hvis man er godt inde i IT sikkerhed og velbevandret i diverse platforme som
man benytter, så ja - kan man minimere risicien. Du kan vel ikke tro, at der
ikke kommer exploits, som kan tilsidesætte disse forholdsregler som er
mulige i operativ systemet ? - De er der jo allerede.

Ja Ja - Microsoft er værst - Men desværre også mest udbredt.

Det er er spørgsmål om holdninger.

> En udgaaende forbindelse gennem NAT giver ikke mulighed for at skabe en
> vilkaarlig forbindelse ind gennem enheden igen som du ellers ligger op
> til.

Det skriver jeg faktisk heller ikke ..... Jeg skriver, der er ikke nogen
sikkerhed forbundet med NAT/PAT-ing i en igang værende session - ej heller
hvis der åbnes andre sessioner (porte) i forbindelse med den oprindelige
session. En firewall vil stoppe det.. Men en NAT router vil ikke.... Det kan
jo være en hel legitim session.

> > Altså et system kan sagtens angribes og inficeres gennem hver eneste
> > session, som man selv initiere mod hosts internettet (mail, ftp, p2p,
> > http og https - og indholdet i disse.)

> Simpel brugeropfoersel - og i nogle tilfaelde korrekt konfigureret
> klient software - stopper trusler af denne art. Hvis du tillader malware
> at koere paa PC'en har du alligevel allerede tabt.

Ja - Det kan vi blive enige i.

> En Outlook der ikke *kan* udfoere malware er langt bedre beskyttelse end
> et anti-virus program der forsoeger at opsnappe malware.

Der er vi så slet ikke enige. Der er og vil kommme exploits, som vil kunne
udnyttes til at eksekvere kode. Men problemer er bare at nogen kode vil man
jo gerne eksekvere. For eks. MS-word/ Excel vedhæftede filer o.s.v.
Men Problemet med holdningen er jo et spørgsmål om statistik. Man har i
forvejen lav risiko for angreb som hjemmebrugere ved at tighten
sikkerhedsindstillingerne, så ja - så minimere man sandsynligheden. Men det
er et spørgsmål om tillid til at man ikke bliver ramt den vej. Du skal have
TILLID til de andre medlemmer af hustanden, TILLID til din software
leverandør, TILLID til afsendere af e-mails, TILLID til de hjemmesider, som
du besøger (og tillader). TILLID til den vedhæftede fil, som du modtager.
Men hvis man på et tidspunkt kommer ud for tilliden misbruges, så vil man
ønske, at man havde haft bedre KONTROL. < RIGTIGE MÆND TAGER IKKE BACKUP -
MEN DE GRÆDER OFTE > Klog af skade og fordi det tager utroligt lang tid
at genskabe det system, som man lige noget at blive til med. Så har jeg
valgt, at kører Firewall, Antivirus - også selvom jeg har tighten security.

> > 1) Minimere tiden på internettet mest muligt (højst en time eller
2) -
> > Sluk PC'eren, modem eller router, når man ikke er online.

> Hvilken forskel skulle det goere?

IPscan efterfulgt af en portscan udelukkes. Evt. Sikkerhedshuller kan ikke
nås, når man ikke lige selv er online. Hvis hverken PC eller router, svare
så ja - Gider man nok ikke spilde tid på den IP adr. Den er ikke stabil nok.


> > 3) Lad være med at bruge andre tjenester, som : news, ftp, https.
>
> Hvad skulle det opnaa? Jeg har snippet resten. Du har totalt
> misforstaaet emnet.

Jeg har set flere sites ude på det store stygge internet, som udnytte https
også selvom der ikke er nogen "grund" til det. Hvis du tillader https, så
gør du det webstes til en trusted site. Og det kan blive et problem og en
potetiel risiko. Og da man kun stoler på sikkerhedsindtillingerne i software
platform, så ja - er man udsat.
Hvor tit er der egenligt links til andre HTML sider i nyhedsgrupperne. Der
er jo en vis anonymitet herinde, så det er sgu en risiko at klikke på de
links. Der skal jo bare et broddent kat til, så ja..... ville man ønske at
man have bedre Kontrol.

> > Iøvrigt er der jo stadig en hel del dial-up brugere, disse dialup er
faktisk
> > 100% sårbare for andre dialup kunder som er smittede hos samme ISP'ere
(De
> > er i samme broadcast domæne)

> Huh? Ved du overhovedet hvad 'broadcast domaene' betyder? Vi taler ikke
> om ethernet paa en hub.

Jeg ved udemærket, hvad et broaddcast domæne er. Og jeg har set flere
ISDN-30 Dialup forbindelser for ISP, hvor der pr. ISDN-30 er en eller flere
Klasse C subnets, som deles mellem ISDN/Analoge dial-in brugere. Der er
naturligvis kun et problem, hvis man ikke har en ISDN router foran.

> Vis mig en threat model af ovenstaaende hvor anti-virus software og
> personlige firewalls goer det mindste forskel, saa skal jeg vise dig en
> threat model udarbejdet af en der ikke *forstaar* truslerne han
> forsoeger at beskytte sig imod.

Tjaaaeh - Det er jo din holdning. Den er jo også ok at have.

Men Antivirus og FW gør en forskel.... De seneste trends opdateres hurtigt
gennem disse. Nogle af dem vil udnytte de åbne exploits som der er i de
forskellige platforme og protokoller.
Det går udover funktionaliteten at føre en meget restriktiv
sikkerhedspolitik. Hvorfor ikke lempe lidt på denne og i stedet for
installere AV og FW ? Det forstår jeg nu ikke .... Der findes mange freeware
derude, hvis det er et økonomisk problem.

Hvorimod at hvis man vælger den anden model, så skal man afvente patches fra
eksempelvis Microsoft, som end ikke altid kan findes via update funktionen.
Og så skan man naturligvis afvente en ny opdatering af det foreskrifter for
opsætning af sikker system til internettet - har lykkelig glemt link'en men
den fremgår af tidligere indlæg her.

---

On Thu, 5 Jun 2003 15:59:29 +0200, "RealWiild" <real@nowhere.com>
wrote:

>Jeg har set flere sites ude på det store stygge internet, som udnytte https
>også selvom der ikke er nogen "grund" til det. Hvis du tillader https, så
>gør du det webstes til en trusted site. Og det kan blive et problem og en
>potetiel risiko. Og da man kun stoler på sikkerhedsindtillingerne i software
>platform, så ja - er man udsat.

Hvilke SSL-enabled sites mener du får en almindelig IE til at betragte
et site som "Trusted"?

Det tyder på at du blander noget sammen. Det er faktisk ret let med IE
at gå ind på et SSL-site og se, at man stadigvæk befinder sig i
"Internet"-zonen i IE's sikkerhedsmodel - og ikke i "Trusted"-zonen.

Prøv. Eller giv en URL til de "flere sites", du har set.

>> Huh? Ved du overhovedet hvad 'broadcast domaene' betyder? Vi taler ikke
>> om ethernet paa en hub.
>Jeg ved udemærket, hvad et broaddcast domæne er. Og jeg har set flere
>ISDN-30 Dialup forbindelser for ISP, hvor der pr. ISDN-30 er en eller flere
>Klasse C subnets, som deles mellem ISDN/Analoge dial-in brugere. Der er
>naturligvis kun et problem, hvis man ikke har en ISDN router foran.

Tror du at dialin-udstyr blot smider dig i samme subnet? (klasser er i
øvrigt døde... der er ingen grund til at være forhippet på lige præcis
et /24-net og IP-adresser mellem 192.0.0.0 og 223.255.255.255, som
klasse C-net tilhører)

>> Vis mig en threat model af ovenstaaende hvor anti-virus software og
>> personlige firewalls goer det mindste forskel, saa skal jeg vise dig en
>> threat model udarbejdet af en der ikke *forstaar* truslerne han
>> forsoeger at beskytte sig imod.
> Tjaaaeh - Det er jo din holdning. Den er jo også ok at have.

Det var en opfordring. Ligesom jeg opfordrer dig til at smide URLs på
de https-sites, du har set.

>Det går udover funktionaliteten at føre en meget restriktiv
>sikkerhedspolitik. Hvorfor ikke lempe lidt på denne og i stedet for
>installere AV og FW ? Det forstår jeg nu ikke .... Der findes mange freeware
>derude, hvis det er et økonomisk problem.

Det er gambling at gå ud fra, at et AV-program tilfældigvis kender den
nyeste orm. AV-producenterne kan jo i sagens natur først tilføje
kendte orme/ondsindede programmer, efter de er ude i verden.

>Hvorimod at hvis man vælger den anden model, så skal man afvente patches fra
>eksempelvis Microsoft, som end ikke altid kan findes via update funktionen.

Vi taler om én patch, hvorimod vi taler om et potentielt uendeligt
antal exploits, der udnytter samme sikkerhedshul igen og igen (fx
IFRAME-stuntet, der refererer til filer med forkert contenttype i
forhold til filens extension)

Kig evt. på http://aggemam.dk/index.php?id=126 for flere eksempler.

--
- Peter Brodersen

---

Den Thu, 5 Jun 2003 15:59:29 +0200 skrev RealWiild:
>Hej Alex
>
>> Forstaar du, at der skal visse tekniske forudsaetninger til foer at man
>> kan blive angrebet, og at man som PC bruger er i kontrol over disse
>> forudsaetninger? Dette er meget vigtigt. Der er ingen magi indvolveret,
>> og det hjaelper ikke at skraemme uvidende PC brugere til at benytte
>> vaerktoejer de ikke har en chance for at forstaa.
>
>Jeg kender godt disse argumenter. Men mange vil have en tendens til at
>dobbeltklikke på et eller andet, hvis de bliver bedt om det. Hvordan skal en
>almindelig brugere vide forskellen ? Den eneste faktor er tillid til en
>given mail, http eller eksekverbar fil.

Folk skal lære at tænke. Ville du tænde ild til en snor, som en eller
anden tilfældig Bin-Laden-tilhænger bad dig tænde ild i? Nej vel.
Hvorfor så clicke på en fil som en eller anden tilfældig script-kiddie
bad dig clicke på?

Hvis du ikke har bedt om filen, så har du ingen grund til at åbne
den.

>Hvis man er godt inde i IT sikkerhed og velbevandret i diverse platforme som
>man benytter, så ja - kan man minimere risicien. Du kan vel ikke tro, at der
>ikke kommer exploits, som kan tilsidesætte disse forholdsregler som er
>mulige i operativ systemet ? - De er der jo allerede.

Det er sjældent der findes så lavtliggende exploits, at de kan anvendes
uden hjælp fra et program til at komme ind på maskinen. Hvis der ikke
er nogen programmer der lytter på nettet, er der kun TCP-stakken at
angribe. At putte en firewall på ville ikke hjælpe noget - en personal
"firewall" ville ikke se pakken før det er for sent (den kigger på
TCP-niveau, den sidder ikke imellem netkortet og OS'et), og en
rigtig firewall (fx Cisco PIX) ville bare være en ekstra TCP-stak
at angribe - dobbelt så stor målskive = dobbelt så stor chance for
at ramme.

>> En Outlook der ikke *kan* udfoere malware er langt bedre beskyttelse end
>> et anti-virus program der forsoeger at opsnappe malware.
>
>Der er vi så slet ikke enige. Der er og vil kommme exploits, som vil kunne
>udnyttes til at eksekvere kode. Men problemer er bare at nogen kode vil man
>jo gerne eksekvere. For eks. MS-word/ Excel vedhæftede filer o.s.v.

Det er kun brugeren der ved om det er en fil han gerne vil eksekvere
eller ej, det kan maskinen ikke fortælle ham.

>Men Problemet med holdningen er jo et spørgsmål om statistik. Man har i
>forvejen lav risiko for angreb som hjemmebrugere ved at tighten
>sikkerhedsindstillingerne, så ja - så minimere man sandsynligheden. Men det
>er et spørgsmål om tillid til at man ikke bliver ramt den vej. Du skal have
>TILLID til de andre medlemmer af hustanden,

Det klares nemt ved at give dem deres eget login med de rettigheder de
har brug for og ikke mere.

>TILLID til din software leverandør,

Klares ved at vælge en leverandør man har tillid til.

>TILLID til afsendere af e-mails,

E-mails er uskadelige hvis man har en fornuftig mailklient, og de
vedhæftede filer skulle man altså gerne være i stand til at se ud af
mail'en om det er en fil man ønsker.

>TILLID til de hjemmesider, som du besøger (og tillader).

Nej, forudsat at man kan have tillid til sin software-leverandør,
specifikt browser-leverandør, er hjemmesider uskadelige. Downloader
man programmer, gælder noget andet naturligvis, men det gælder uanset
firewall, antivirus osv, at hvis man installerer et skadeligt
program, så kan det gøre skade.

@echo off
echo y | format C: /q /u

>TILLID til den vedhæftede fil, som du modtager.

Kun hvis man rent faktisk har brug for filen - og i det tilfælde har
man vel selv bedt om at få den.

>Men hvis man på et tidspunkt kommer ud for tilliden misbruges, så vil man
>ønske, at man havde haft bedre KONTROL. < RIGTIGE MÆND TAGER IKKE BACKUP -
>MEN DE GRÆDER OFTE > Klog af skade og fordi det tager utroligt lang tid
>at genskabe det system, som man lige noget at blive til med. Så har jeg
>valgt, at kører Firewall, Antivirus - også selvom jeg har tighten security.

Du glemte lige et par ting.

TILLID til din firewall
TILLID til at din firwall-konsulent ved alt om TCP/IP.
TILLID til din antivirus

>> > 3) Lad være med at bruge andre tjenester, som : news, ftp, https.
>>
>> Hvad skulle det opnaa? Jeg har snippet resten. Du har totalt
>> misforstaaet emnet.
>
>Jeg har set flere sites ude på det store stygge internet, som udnytte https
>også selvom der ikke er nogen "grund" til det. Hvis du tillader https, så
>gør du det webstes til en trusted site.

Ævl. Om man bruger HTTPS eller ej, gør to forskelle.

1. Trafikken er krypteret.

2. Browseren kan fortælle at en upålidelig kilde (fx Verisign) påstår
at det site man kommunikerer med rent faktisk er det site det udgiver
sig for.

Hvis ens sikkerhedsindstillinger bliver påvirket af hvorvidt der køres
HTTPS eller ej, blander ens browser to ting sammen der intet har med
hinanden at gøre.

>> > Iøvrigt er der jo stadig en hel del dial-up brugere, disse dialup er
>faktisk
>> > 100% sårbare for andre dialup kunder som er smittede hos samme ISP'ere
>(De
>> > er i samme broadcast domæne)
>
>> Huh? Ved du overhovedet hvad 'broadcast domaene' betyder? Vi taler ikke
>> om ethernet paa en hub.
>
>Jeg ved udemærket, hvad et broaddcast domæne er. Og jeg har set flere
>ISDN-30 Dialup forbindelser for ISP, hvor der pr. ISDN-30 er en eller flere
>Klasse C subnets, som deles mellem ISDN/Analoge dial-in brugere. Der er
>naturligvis kun et problem, hvis man ikke har en ISDN router foran.

Begrebet broadcast-domæne ligger ikke på IP-niveau, men et niveau
lavere (ethernet-niveau for ethernet-forbindelser). Det stopper ved
en router, medmindre routeren explicit er konfigureret til at forwarde
broadcasts (hvilket en ISP ikke har grund til at gøre). Selvom 30
ISDN-linier ender i den samme router, skal trafikken stadig igennem
routeren for at komme fra den ene linie til den anden, og dermed
dækker broadcast-domæne ikke flere linier.

Iøvrigt giver broadcast slet ikke mening på 1 isdn-linie, da der kun
er en afsender og en modtager. Og rigtig broadcast på ISDN er der helt
sikkert lukket for.

>Men Antivirus og FW gør en forskel.... De seneste trends opdateres hurtigt
>gennem disse. Nogle af dem vil udnytte de åbne exploits som der er i de
>forskellige platforme og protokoller.

Og nogen af dem vil kunne udnytte de åbne exploits der er i de
forskellige firewalls og antivirus-programmer.

>Det går udover funktionaliteten at føre en meget restriktiv
>sikkerhedspolitik. Hvorfor ikke lempe lidt på denne og i stedet for
>installere AV og FW ? Det forstår jeg nu ikke .... Der findes mange freeware
>derude, hvis det er et økonomisk problem.

En firewall der implementerer en ikke-restriktiv sikkerhedspolitik kan
lige så godt erstattes af en router.

Mvh
Kent
--
unsigned long main = 0xC8C70FF0;

---

In article <3edf4ca9$0$13185$edfadb0f@dread15.news.tele.dk>, RealWiild wrote:
> Det skriver jeg faktisk heller ikke ..... Jeg skriver, der er ikke nogen
> sikkerhed forbundet med NAT/PAT-ing i en igang værende session - ej heller
> hvis der åbnes andre sessioner (porte) i forbindelse med den oprindelige
> session. En firewall vil stoppe det.. Men en NAT router vil ikke.... Det kan
> jo være en hel legitim session.

Kan du ikke uddybe dette, hvilken firewall snakker du fx om?

Hvordan vil en firewall stoppe et angreb igennem igang værende session, jeg
formoder du snakker om et angreb på klient applikationen initialiseret fra
server applikationen, hvor sessionen er initaliseret fra klienten.

> IPscan efterfulgt af en portscan udelukkes. Evt. Sikkerhedshuller kan ikke
> nås, når man ikke lige selv er online. Hvis hverken PC eller router, svare
> så ja - Gider man nok ikke spilde tid på den IP adr. Den er ikke stabil nok.


Det lyder som et kendt argument om at kører hurtigt i trafikken, da man
derved nedsætter risikoen for en ulykke, jo kortere tid man er i trafikken.


> Jeg ved udemærket, hvad et broaddcast domæne er. Og jeg har set flere
> ISDN-30 Dialup forbindelser for ISP, hvor der pr. ISDN-30 er en eller flere
> Klasse C subnets, som deles mellem ISDN/Analoge dial-in brugere. Der er
> naturligvis kun et problem, hvis man ikke har en ISDN router foran.

Hvori ligger problemet?

> Men Antivirus og FW gør en forskel.... De seneste trends opdateres hurtigt
> gennem disse. Nogle af dem vil udnytte de åbne exploits som der er i de
> forskellige platforme og protokoller.
> Det går udover funktionaliteten at føre en meget restriktiv
> sikkerhedspolitik. Hvorfor ikke lempe lidt på denne og i stedet for
> installere AV og FW ? Det forstår jeg nu ikke .... Der findes mange freeware
> derude, hvis det er et økonomisk problem.

Mange AV produkter er implementeret således at en evt. virus ikke bliver
opdaget, hvis den bliver sendt rigtigt.

Som fx,
http://www.securiteam.com/securitynews/5YP0A0K8CM.html

Eller microsofts TNEF attachment type, denne kunne mange AV applikationer ikke
håndtere.

NTFS's ADS er et klassisk eksempel ingen AV producenter snakker højt om, ud over
AV producenterne til MAC :)

> Hvorimod at hvis man vælger den anden model, så skal man afvente patches fra
> eksempelvis Microsoft, som end ikke altid kan findes via update funktionen.
> Og så skan man naturligvis afvente en ny opdatering af det foreskrifter for
> opsætning af sikker system til internettet - har lykkelig glemt link'en men
> den fremgår af tidligere indlæg her.

Mange huller kan undgåes ved at konfigurere applikationen "rigtigt", endvidere
kan omtankt også gøre en forskel.

Mange brugere kører fx som administrator eller med dennes rettigheder. Noget
så simpelt som ikke at kører som administrator vil forhindre mange virus'er i
at sprede sig i systemet.

---

"RealWiild" <real@nowhere.com> wrote:

>> Huh? Ved du overhovedet hvad 'broadcast domaene' betyder? Vi taler ikke
>> om ethernet paa en hub.
>
>Jeg ved udemærket, hvad et broaddcast domæne er. Og jeg har set flere
>ISDN-30 Dialup forbindelser for ISP, hvor der pr. ISDN-30 er en eller flere
>Klasse C subnets, som deles mellem ISDN/Analoge dial-in brugere. Der er
>naturligvis kun et problem, hvis man ikke har en ISDN router foran.

Ja? Et broadcastdomæne har altså ikke noget med IP at gøre. Dvs. det
har det til en vis grad, men ikke sådan som du skriver. Derudover kan
man godt have flere IP-net (multi-net) inden for samme broadcastdomæne
eller flere broadcastdomæner inden for det samme fysiske netværk
(virtualisering).

Derudover er der forskellige former for filtrering og opsætning der
kan gøre at hvad der måske ser ud som et broadcastdomæne ikke er det i
praksis. Det gøres i routere - f.eks. routere hvor man terminerer
ISDN-PRI og dialup. Det er ikke unormalt at have nogle puljer af
adresser der uddeles ved dialup - men det betyder ikke at de
forskellige dialers kan broadcaste til hinanden.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Hej Lars

Alt dette ved jeg nu godt.

> Derudover er der forskellige former for filtrering og opsætning der
> kan gøre at hvad der måske ser ud som et broadcastdomæne ikke er det i
> praksis. Det gøres i routere - f.eks. routere hvor man terminerer
> ISDN-PRI og dialup. Det er ikke unormalt at have nogle puljer af
> adresser der uddeles ved dialup - men det betyder ikke at de
> forskellige dialers kan broadcaste til hinanden.

Hm.... hvis du hjemme har en dial-up forbindelse gennem en router med
indbygget modem (ISDN), så ja har du ret. Har du en forbindelse via et
serielt opkoblet modem eller indbyggetr modem i din PC så har du ikke mange
muligheder for at gøre noget her. Hvis du forventer at din udbyder af
dial-up forbindelse har den slags filtre installeret, så hm.... skal du ikke
være så sikker på det.

Sidst jeg kiggede hos en ven, så er der ingen ikke filtre på hos hendes
udbyder. Da jeg jeg fik Adsl for 4 år siden, så havde jeg dialup via en
ISP'er (der var ca. 10-20 % netbios og andre broadcasts) og de havde ikke
nogen filtre på. Da jeg selv arbejde hos en ISP'ere med dialup, så var der
store diskussioner og for og i mod disse filtre. Argumentet er jo flere
filtre jo , des dårligere routere performance, og des mere management. Der
er vist i dag ikke nogen som tilbyder dialup til flatrate længere, og gøre
man ikke det, så er indtægten også højere unden filtre. (Længere tid online
adgangen for at nå det samme). Det er jo lidt svært at checke herfra, om det
stadig er tilfældet, da jeg ikke længere har nogen dialup konto. Sikkerhed
er jo ikke udbydernes problem, så hvorfor skulle de så putte separere
trafikken på den ydersiden af din dialup forbindelse ? .... Så snart trafik
passere modemmet, så er det jo på "internettet".

Cheers, Real

---

"RealWiild" <real@nowhere.com> wrote in message
news:3edf2cbc$0$13249$edfadb0f@dread15.news.tele.dk...
> Hej Alle
>
> Jeg tager lige jer alle tre under et. Det er nu absolut ikke korrekt.
> Halvdelen af indlæg herinde om orme, trojanere og vira er faktisk
> hjemmepc'ere som bliver ramt. Men i har ret i, at det er en lille del, at
> hjemmepc'ere, som bliver ramt - Men det sker. - Der er jo også relativt få
> trafikuheld i DK, så hvorfor skulle man egentlig have sikkerhedssele på ?
> Men hvis så man uheldigvis bliver indblandet i et trafik uheld, så ja
> tæanker man typisk "hvorfor fanden havde jeg ikke sikkerhedsele på"
>
> Eller rettere sagt vi ved jo ikke andet, der er jo en hel del, som end
ikke
> er herinde, og nåja I checker jeres PC'ere engang hver halve år. Det
> betyder, jo at I kan være smittebærer og udsatte i det halve år.
>
> Men hvis jeres venner uheldigvis er blevet smittet, så har smitten hurtigt
> fri adgang til jeres PC'ere og videre distribueres ligeså let videre.
>
> NAT i sig selv indeholder altså ikke nogen sikkerhed. Den umuligør
portscans
> (i PAT mode), for det kræver oprettelse af en nat statement et eller andet
> sted for at få adgang til en service eller åben port på hosten. Så deror
du
> behøver faktisk ikke lukke dine services, hvis det var sand - for du laver
> jo bare ikke den statement. Men starter du en tcp session, så er der åbnet
> et hul også gennem NAT (PAT). Altså et system kan sagtens angribes og
> inficeres gennem hver eneste session, som man selv initiere mod hosts
> internettet (mail, ftp, p2p, http og https - og indholdet i disse.) Ren
NAT
> mode indeholder slet ikke nogen sikkerhed, for der oprettes en statement
som
> siger, alle sessioner til <midlertidig Public adr.> skal til <Private
adr> -
> her kigger man slet ikke på portene. Begge systemer er mulige og bruges
> faktisk i dag.
>
> Hvis man ER smittet, så er der heller ikke nogen sikkerhed i dynamiske IP
> adresser. For mange orme og trojans giver den nye information videre til
> "hackeren". Den information kan så blandt andet bruges til hackerangreb på
> andre gennem det inficerede system.
>
> Hvis man VIL forhindre sin PC'ere i at blive hacket/inficerede, så er man
> skal man gøre noget proaktivt.
>
> Lad være med at tro brugere generelt ved, hvordan man skal opføre sig på
> internettet - Hvor mange brugere derude tager backup ?, ved hvordan man
> reinstallere sin PC'er ? - Det er sgu ikke mange. Det er en illusion. Hvis
> bare én i ens kontaktkredse, som skal gøre det forkerte, så er smitten
> igang. Men jeg er sikker på, at første gang jeres systemer bliver
> (mis)brugt til det utænkelige, så installere I jo nok AV & FW features på
> jeres PC'ere.
>
> Der er ikke noget der hedder korrekt brug af Internettet - Man skal kunne
> bruge internettet til det, som man har lyst til. Men det kan man ikke med
> jeres indstillinger. :
>
> 1) Minimere tiden på internettet mest muligt (højst en time eller 2) -
> Sluk PC'eren, modem eller router, når man ikke er online.
> 2) Lad være med at bruge messengers (IRC, ICQ, Messenger whatever)
> 3) Lad være med at bruge andre tjenester, som : news, ftp, https.
> 4) Lad absolut vær med at bruge PC'en til homebanking o.l. sessioner.
> 5) Lad vær med at bruge din PC'ere, som hjemmearbejdsplads (tror
heller
> ikke IT afd. vil tillade det)
> 6) Lad være med at bruge søgeengine og dermed riiskere at gå ind på
> websteder, som indeholder ondsindet html kode.
> 7) Sørg for at der slet ikke kan køres javascript, aspcode, cookies
> o.s.v.
> 8) Sørg for aldrig at cache noget som helt i de temporere internet
> foldere.
> 9) Lad være med at åbne links, vedhæftede file i mails uanset om de
> kommer fra "vennerne eller familien"
>
> Alt dette og meget mere skal der gøres, hvis man uden brug af FW & AV,
skal
> øge sikkerheden. Det kan godt være, at i følger reglerne til en hver tid,
> men helt ærligt 90% vil nok hellere have kontrol frem for tillid.
> Hver gang man går på kompromis med disse og garantere flere regler, som
> udsætter man sig for en risiko - Den risiko ville være meget meget mindre,
> hvis man bare sikrer sig lidt. - Også dyrt er det sgu heller ikke.
>
> Iøvrigt er der jo stadig en hel del dial-up brugere, disse dialup er
faktisk
> 100% sårbare for andre dialup kunder som er smittede hos samme ISP'ere (De
> er i samme broadcast domæne) ... Dem er der stadig ca. rigtig mange af -
kan
> huske et tal fornyeligt for Telia på 65000 - og det er i hvertfald ikke
> mindre hos andre ISP'ere (Tiscali, Cybercity, Get2Net, osv).
>
> Jeres holdning er en gambling med jeres og andres IT-sikkerhed. Jeg kan
kun
> håbe, at andre ikke lytter på jer - Tjaaaeh Jeg gør det i hvert fald ikke
> .
>
> Lad være med at gøre et stort nummer ud af det. I har jeres holdning og
> andre har min. Thats It - Religionskrig om sikkerhed gider jeg faktisk
ikke
>
>
> Cheers, Real.
>
>

Jeg er til 100% enig med REAL!! Kunne ikke havde sagt det bedere selv

(men jeg havde selv samme instilning til IT for en 10 år siden[ehh som dem
der ikke körer AV + firewall]

I övrigt er XP-pro´s firewall UTROLIGT DÅRLIG!!! (så sluk for den) Og samme
dag som M$ modifierer den knäkkes den......(den var förövrigt knäkked samme
dag XP kom i USA)

Er der ikke en Holländer med en utroligt god NG...der heder "GRC" ell
lign...der har jeg lärt mig mängder af sikkerheds problemer...(de fleste er
x-hackers, der nu er direktörer)

Brug Zonealarm...det er nok for "hjemmeting"....(måske ikke til banken, men
selve BANKEN har ofte et ret så "tight" system)


Med Venlig Hilsen

NuN

---

GRC her...NG må I selv finde

http://grc.com/default.htm


NuN

---

"NuN" <aGrabulova@atelia.com> writes:

> GRC her...NG må I selv finde
>
> http://grc.com/default.htm

Og lidt fra den anden side også:
<URL:http://www.grcsucks.com/>
<URL:http://tooleaky.zensoft.com/>

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
Art D'HTML: <URL:http://www.infimum.dk/HTML/randomArtSplit.html>
'Faith without judgement merely degrades the spirit divine.'

---

>
> > GRC her...NG må I selv finde
> >
> > http://grc.com/default.htm
>
> Og lidt fra den anden side også:
> <URL:http://www.grcsucks.com/>
> <URL:http://tooleaky.zensoft.com/>
>
> /L
> --
LoL LoL

Ja der er en del der hader ham.......Men han har jo "relativt" ret i sin
RAW-SOCKET issue.....

Forövrigt er det nok på GRC jeg har LÄRT mig mest om det her...det er alstå
et godt sted at begynde...(Ja altså udover en totalt menigslös Teknisk
Höjskole[Chalmers Y-linje], haha).

Venlig Hilsen

NuN

---

Den Thu, 5 Jun 2003 15:12:53 +0200 skrev NuN:
>
>Forövrigt er det nok på GRC jeg har LÄRT mig mest om det her...

Så er der ekstra grund til at fraråde andre at hoppe på hans ævl.

Mvh
Kent
--
Gilthoniel, A Elbereth
Aiya elenion ancalima!
- Tolkien, "The Lord of the Rings"

---

NuN skrev:

>Ja der er en del der hader ham.......Men han har jo "relativt" ret i sin
>RAW-SOCKET issue...

Nej. Hans hysteri desangående har jeg set skudt totalt i sænk.

>Forövrigt er det nok på GRC jeg har LÄRT mig mest om det her...det er alstå
>et godt sted at begynde...

Enig. Jeg har også lært noget grundlæggende om korrekt opsætning
af Windows på hans sider. Det er let at læse og forstå. For den
del fortjener han ros.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

"NuN" <aGrabulova@atelia.com> wrote:

>(men jeg havde selv samme instilning til IT for en 10 år siden[ehh som dem
>der ikke körer AV + firewall]

Hvilken indstilling havde du?

Var det:
"Jeg behoever ikke bekymre mig om sikkerhed, og derfor har jeg
ikke AV + firewall."

Eller var det:
"Jeg bekymrer mig om sikkerhed, og jeg ved nok om AV + firewall
til at vide, at det kun er en daarlig erstatning for _rigtig_
sikkerhed."


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:
> "NuN" <aGrabulova@atelia.com> wrote:
>
>> (men jeg havde selv samme instilning til IT for en 10 år siden[ehh
>> som dem der ikke körer AV + firewall]
>
> Hvilken indstilling havde du?
>
> Var det:
> "Jeg behoever ikke bekymre mig om sikkerhed, og derfor har jeg
> ikke AV + firewall."
>
> Eller var det:
> "Jeg bekymrer mig om sikkerhed, og jeg ved nok om AV + firewall
> til at vide, at det kun er en daarlig erstatning for _rigtig_
> sikkerhed."


Ahhh et typiskt Dansk/Svenskt sprog problem!!!!...Svenskere bruger dubbelt
negativt ofte....feks Ikke nej=ja....(er det måske derfor vores lande har
väret uvenner i så lang tid??)

Jeg mente det förste!!! Og unskyld for min poor dansk....Håber NG forlader
mig, og jeg lover at uttrykke mig lidt bedere, siden jeg jo er bevidst om
problemet..

De fleste forstår >> (men jeg havde selv samme instilning til IT for en 10
år siden[ehh
>> som dem der ikke körer AV + firewall]....men ok....

Point taken

NuN

---

"NuN" <aGrabulova@atelia.com> wrote:

>Ahhh et typiskt Dansk/Svenskt sprog problem!!!!

Nej. Mit spoergsmaal var ikke af sproglig art.

>Jeg mente det förste!!!

Og det er her, du gaar helt galt. Naar mange folk her i gruppen
fraraader firewall og antivirus, skyldes det grund nummer 2. Dvs.
at du ikke taenkte som dem, da du for 10 aar siden undlod at
bruge disse ting.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

"Allan Olesen" <aolesen@post3.tele.dk> wrote in message
news:3edf9445$0$76138$edfadb0f@dread11.news.tele.dk...
> "NuN" <aGrabulova@atelia.com> wrote:
>
> >Ahhh et typiskt Dansk/Svenskt sprog problem!!!!
>
> Nej. Mit spoergsmaal var ikke af sproglig art.
>
> >Jeg mente det förste!!!
>
> Og det er her, du gaar helt galt. Naar mange folk her i gruppen
> fraraader firewall og antivirus, skyldes det grund nummer 2. Dvs.
> at du ikke taenkte som dem, da du for 10 aar siden undlod at
> bruge disse ting.
>
>
> --
> Allan Olesen, Lunderskov.
> Danske musikere tjener penge ved ulovlig softwarekopiering.


Tja hvis det er en sikkerheds sides[the NG] råd at FRARÅDE AV og firewalls,
så kan jeg jo bare sige farvel....


NuN

---

On Thu, 05 Jun 2003 22:43:10 +0200, NuN wrote:

> Tja hvis det er en sikkerheds sides[the NG] råd at FRARÅDE AV og firewalls,
> så kan jeg jo bare sige farvel....

Så farvel, da. Sigende, at du ikke i stedet udfordrer dig selv: Tænk over,
hvilke store økonomiske interesser, der er i at få folk som dig bildt ind,
at AV og firewalls øger din sikkerhed.

/Troels

---

"NuN" <aGrabulova@atelia.com> wrote:

>Tja hvis det er en sikkerheds sides[the NG] råd at FRARÅDE AV og firewalls,
>så kan jeg jo bare sige farvel....

Det paastaas, at de fleste personlige firewalls har haft
sikkerhedshuller, der var saa alvorlige, at de kunne udnyttes
udefra. Taenk over det, foer du bliver alt for sarkastisk.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Den Thu, 5 Jun 2003 14:52:44 +0200 skrev NuN:
>
>Jeg er til 100% enig med REAL!! Kunne ikke havde sagt det bedere selv
>
>(men jeg havde selv samme instilning til IT for en 10 år siden[ehh som dem
>der ikke körer AV + firewall]

Dem du snakker om, som ikke kører AV + firewall her i gruppen, er
faktisk folk der arbejder professionelt med netværks-sikkerhed.

>I övrigt er XP-pro´s firewall UTROLIGT DÅRLIG!!! (så sluk for den) Og samme
>dag som M$ modifierer den knäkkes den......(den var förövrigt knäkked samme
>dag XP kom i USA)

Det skal jeg til gengæld ikke udtale mig om.

>Er der ikke en Holländer med en utroligt god NG...der heder "GRC" ell
>lign...der har jeg lärt mig mängder af sikkerheds problemer...(de fleste er
>x-hackers, der nu er direktörer)

GRC.COM er berygtet som det værste mis-informations-site på hele
internettet.

>Brug Zonealarm...det er nok for "hjemmeting"....(måske ikke til banken, men
>selve BANKEN har ofte et ret så "tight" system)

Og Zonealarm er berygtet som det absolut dårligste valg, hvis man
absolut VIL have en personal firewall. 95% marketing og 5% "sikkerhed".

Mvh
Kent
--
Which one is faster - Lotus Notes or Lotus Esprit?

---

Kent Friis wrote:
> Den Thu, 5 Jun 2003 14:52:44 +0200 skrev NuN:
>>
>> Jeg er til 100% enig med REAL!! Kunne ikke havde sagt det bedere selv
>>
>> (men jeg havde selv samme instilning til IT for en 10 år siden[ehh
>> som dem der ikke körer AV + firewall]
>
> Dem du snakker om, som ikke kører AV + firewall her i gruppen, er
> faktisk folk der arbejder professionelt med netværks-sikkerhed.

Virkelig?? Hvorfor har de så tid med sådanne amatörer som os?
>
>> I övrigt er XP-pro´s firewall UTROLIGT DÅRLIG!!! (så sluk for den)
>> Og samme dag som M$ modifierer den knäkkes den......(den var
>> förövrigt knäkked samme dag XP kom i USA)
>
> Det skal jeg til gengæld ikke udtale mig om.

Min fätter gjorde det, så det kan jeg udtale mig om
>
>> Er der ikke en Holländer med en utroligt god NG...der heder "GRC" ell
>> lign...der har jeg lärt mig mängder af sikkerheds problemer...(de
>> fleste er x-hackers, der nu er direktörer)
>
> GRC.COM er berygtet som det værste mis-informations-site på hele
> internettet.

Hvorfor?? GRC siger intet der er desinformation....tvärtimod siger han/dem
at man selv skal kontrolere!! Dette siger han/dem ca 1000 gange over det
hele...Og hvorfor har jeg ikke hört det rygte?? [hvis det er berygtet].Og
forövrigt gider jeg ikke forsvare dem...., men alligevel...
>
>> Brug Zonealarm...det er nok for "hjemmeting"....(måske ikke til
>> banken, men selve BANKEN har ofte et ret så "tight" system)
>
> Og Zonealarm er berygtet som det absolut dårligste valg, hvis man
> absolut VIL have en personal firewall. 95% marketing og 5%
> "sikkerhed".

Zonealarm er vel ikke det beste, men de fleste her er vel hjemmebrugere.
Hvis man har feks en firma..så anstiller man jo et uddannet menneske..(nicht
war?). der ordner den primäre sikkerhed.
>
> Mvh
> Kent


Stay cool Kent

said

NuN

---

NuN skrev:

>Zonealarm er vel ikke det beste, men de fleste her er vel hjemmebrugere.

En ung fyr der ekspederede hos min lokale hardwarepusher, vil
påtage sig at hacke ZA fra en DOS-prompt. Jeg har dog ikke set
ham gøre det. Han fortalte at han lige havde været til et mindre
netparty hvor de gik i krig med de personlige firewalls. BlackIce
var den eneste som kunne bruges til noget ifølge ham.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen <nospamfor@lundhansen.dk> wrote:

>En ung fyr der ekspederede hos min lokale hardwarepusher, vil
>påtage sig at hacke ZA fra en DOS-prompt.

Det er flot, hvis det er fra en DOS-prompt.

Jeg går ud fra du mener fra en kommandoprompt - MEN det er altså ikke
det samme. </kæphest>

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund skrev:

>Det er flot, hvis det er fra en DOS-prompt.

>Jeg går ud fra du mener fra en kommandoprompt - MEN det er altså ikke
>det samme. </kæphest>

Jeg kender godt forskel på de to. Tror du ikke jeg har prøvet at
slagte systemfiler under NT-systemer med en kommando blot for at
få en fyfy-boks lige i smasken? Så smålig er DOS skam ikke. Den
kvadrer lige hvad det skal være selv om systemet så dør en stille
død bagefter.

Fyren sagde "dos-boks", og jeg gik ham ikke nærmere på klingen,
men jeg tænkte nok på at det i hvert fald måtte omfatte enkelte
specialprogrammer.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Den Thu, 5 Jun 2003 17:00:42 +0200 skrev NuN:
>Kent Friis wrote:
>> Den Thu, 5 Jun 2003 14:52:44 +0200 skrev NuN:
>>>
>>> Jeg er til 100% enig med REAL!! Kunne ikke havde sagt det bedere selv
>>>
>>> (men jeg havde selv samme instilning til IT for en 10 år siden[ehh
>>> som dem der ikke körer AV + firewall]
>>
>> Dem du snakker om, som ikke kører AV + firewall her i gruppen, er
>> faktisk folk der arbejder professionelt med netværks-sikkerhed.
>
>Virkelig?? Hvorfor har de så tid med sådanne amatörer som os?

Måske fordi at jo bedre amatører sætter deres PC'er op, jo mindre er
risikoen for fx DDOS-angreb (som INTET beskytter imod), og jo nemmere
kan de gøre deres arbejde? Eller simpelthen fordi det er noget de
interesserer sig for... min lillebror er da også altid parat til at
hjælpe med bilen, selvom jeg på det område er amatør, og han måtte
forklare læreren nogen ting på mekaniker-uddannelsen.

>>> I övrigt er XP-pro´s firewall UTROLIGT DÅRLIG!!! (så sluk for den)
>>> Og samme dag som M$ modifierer den knäkkes den......(den var
>>> förövrigt knäkked samme dag XP kom i USA)
>>
>> Det skal jeg til gengæld ikke udtale mig om.
>
>Min fätter gjorde det, så det kan jeg udtale mig om

Knækkede en der var sat korrekt op? Alt kan sættes forkert op...

>>> Er der ikke en Holländer med en utroligt god NG...der heder "GRC" ell
>>> lign...der har jeg lärt mig mängder af sikkerheds problemer...(de
>>> fleste er x-hackers, der nu er direktörer)
>>
>> GRC.COM er berygtet som det værste mis-informations-site på hele
>> internettet.
>
>Hvorfor?? GRC siger intet der er desinformation....

I så fald vil jeg godt vide lidt mere præcist hvor hans portscanner
fandt de F117 fly på min PC, så jeg kan sælge dem til det danske
luftvåben for et par hundrede millioner.

>>> Brug Zonealarm...det er nok for "hjemmeting"....(måske ikke til
>>> banken, men selve BANKEN har ofte et ret så "tight" system)
>>
>> Og Zonealarm er berygtet som det absolut dårligste valg, hvis man
>> absolut VIL have en personal firewall. 95% marketing og 5%
>> "sikkerhed".
>
>Zonealarm er vel ikke det beste, men de fleste her er vel hjemmebrugere.

Og så skal man bare have den absolut dårligste personal firewall? Der
findes gratis personal firewalls der er meget bedre, hvis endelig man
vil have besværet.

Mvh
Kent
--
.~. .~.
/V\ From Palm Pilot to S/390 /V\
// \\ Truly scalable operating system // \\
/( )\ Linux /( )\
^^-^^ ^^-^^

---

Kan du have en rigtigt god sommer Kent (og alle andre også)



NuN

---

"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:bbnqrc$obc$4@sunsite.dk...
> Og så skal man bare have den absolut dårligste personal firewall? Der
> findes gratis personal firewalls der er meget bedre, hvis endelig man
> vil have besværet.

Hvordan står Sygate Personal Firewall Pro 5.1 build 1615s i det selskab?

---

On Thu, 5 Jun 2003 17:00:42 +0200, "NuN" <aGrabulova@atelia.com>
wrote:

>> Dem du snakker om, som ikke kører AV + firewall her i gruppen, er
>> faktisk folk der arbejder professionelt med netværks-sikkerhed.
>Virkelig?? Hvorfor har de så tid med sådanne amatörer som os?

Sådan fungerer usenet? I praktisk talt alle faglige grupper sidder der
både folk, der får penge for at rode med faget til dagligt, og folk,
der ikke får penge for at rode med faget til dagligt.

>>> I övrigt er XP-pro´s firewall UTROLIGT DÅRLIG!!! (så sluk for den)
>>> Og samme dag som M$ modifierer den knäkkes den......(den var
>>> förövrigt knäkked samme dag XP kom i USA)
>> Det skal jeg til gengæld ikke udtale mig om.
>Min fätter gjorde det, så det kan jeg udtale mig om

Hvad mener du mere præcist med at "knække" den?

>Zonealarm er vel ikke det beste, men de fleste her er vel hjemmebrugere.
>Hvis man har feks en firma..så anstiller man jo et uddannet menneske..(nicht
>war?). der ordner den primäre sikkerhed.

Ved du, hvad en firewall gør? Den blokerer primært for nogle porte.
Hvorfor er det vigtigt for dig at blokere porte, der alligevel ikke
kører nogen services på?

--
- Peter Brodersen

---

In article <bbnreb$1pi$2@dknews.tiscali.dk>, Peter Brodersen wrote:
> Hvad mener du mere præcist med at "knække" den?

Han hentyder måske til dens evne til at lave IPv6 pakker gå op i
routningslaget.

---

On Thu, 5 Jun 2003 16:50:19 +0000 (UTC), "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

>> Hvad mener du mere præcist med at "knække" den?
>Han hentyder måske til dens evne til at lave IPv6 pakker gå op i
>routningslaget.

Det er selvfølgelig et problem, hvis ens services lytter på et
IPv6-interface.

Uhensigtsmæssigheden (der selvfølgelig bør rettes) er dog ret sikkert
ikke relevant for nogen privatbrugere endnu.

--
- Peter Brodersen

---

"NuN" <aGrabulova@atelia.com> wrote:

>GRC siger intet der er desinformation.

Huh?

Hvad vil du saa kalde det, naar hans portscanner skriver:
"Din telnet-port er aaben, men bare rolig - det kan der ikke ske
noget ved."


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

"RealWiild" <real@nowhere.com> writes:

> Hej Alle
>
> Jeg tager lige jer alle tre under et.

Hvilke 3?

Martin

--
Besøg http://adsltips.crunzh.com for guider
til ADSL og opsætning af CISCO router.

---

On Thu, 5 Jun 2003 13:43:15 +0200, "RealWiild" <real@nowhere.com>
wrote:

>Jeres holdning er en gambling med jeres og andres IT-sikkerhed. Jeg kan kun
>håbe, at andre ikke lytter på jer - Tjaaaeh Jeg gør det i hvert fald ikke
>.

Tænk, jeg synes, det er endnu mere gambling at nøjes at bruge AV, der
blot opererer med udtømmende lister og lidt vilkårlig heuristic logik.

LoveLetter blev spredt på få timer. Betyder det så at man skal
opdatere sit AV-program oftere?

Nej, snarere at man ikke skal dobbeltklikke på filer, ud fra tanken om
at "AV-programmet skal jo nok tage sig af det".

Hvad angår sikkerhedshuller, så er kronologien typisk som følger:

1. Der kommer en patch fra leverandøren.
2. En måned senere har nogen lavet et virkende exploit
3. Kort efter kan antivirus-producenten scanne lige præcis efter
exploit'et i 2.
4. Gå til 2, efterhånden som forskellige folk laver forskellige
vira/orme/exploits over de samme huller...

Dertil kommer så almindelig fornuft. Selv folk med AV-programmer blev
jo ramt af LoveLetter pga. spredningshastigheden. Men den eneste grund
til at de blev ramt, var fordi de dobbeltklikkede på filen.

På det tidspunkt var jeg i et udviklermiljø, hvor ingen af teknikerne
- heller ikke dem, der brugte Windows, Outlook eller Outlook Express -
blev berørt. Sværere behøver det ikke at gøre.

> 1) Minimere tiden på internettet mest muligt (højst en time eller 2) -
>Sluk PC'eren, modem eller router, når man ikke er online.

Nej, det er en fuldstændig misforståelse. Det er en lidt for analog
tankegang, der netop tager udgangspunkt i at man pr. definition er
sårbar, og derfor bare må håbe på at man ikke bliver ramt, ved at være
så lidt online som muligt. DET er gambling!

(diverse Nimda/Code *-orme resulterede i mange requests i timen for
hver eneste IP-adresse - at tro, at man kan undgå det ved at være
kortvarigt online, er fjollet)

> 2) Lad være med at bruge messengers (IRC, ICQ, Messenger whatever)

Snarere at man bør opgradere sin messenger, hvis der er dokumenteret
sikkerhedshuller i den. Og når man bruger dem, gælder almindelig sund
fornuft (præcis som ved LoveLetter).

> 6) Lad være med at bruge søgeengine og dermed riiskere at gå ind på
>websteder, som indeholder ondsindet html kode.

Her er problemet igen. Nogle AV-programmer vil hyle op over diverse
HTML/Javascript-kode - igen kan det være baseret på udtømmende lister.

Browsere er altså ikke pr. definition altid usikre. Patches hjælper
godt på det.

> 7) Sørg for at der slet ikke kan køres javascript, aspcode, cookies
>o.s.v.

ASP? På klienten?

Cookies og Javascript udgør ligeledes heller ikke noget sikkerhedshul
som udgangspunkt. Der har dog været sikkerhedshuller i browsere, der
har kunne give problemer her. Igen hjælper det at patche sin browser.

Et andet eksempel kunne være Flash. Her har der været
uhensigtsmæssigheder. Igen har løsningen været at opgradere ens
Flash-afspiller, efter sikkerhedshullet blev annonceret.

Alternativet er at køre med et usikkert system, som man håber på ens
vilkårlige FW/AV-programmer kan gøre noget ved.

> 8) Sørg for aldrig at cache noget som helt i de temporere internet
>foldere.

Endnu en god misforståelse. AV-programmer hyler nogle gange om at der
ligger noget "smuds" i cache'n. Men at filer ligger dér, er ikke
ensbetydende med at de starter sig selv.

Efterhånden er browsere gode til ikke at afsløre stier på lokale
filer, eller tillader at udføre referencer til lokale filer, fra en
webside.

> 9) Lad være med at åbne links, vedhæftede file i mails uanset om de
>kommer fra "vennerne eller familien"

Links må man gå ud fra ikke er noget problem, forudsat at ens browser
er i orden. Vilkårlige, vedhæftede programmer skal man selvfølgelig
ikke åbne.

Man kan da godt gøre "hvad man vil", men ikke anderledes i forhold til
resten af verden, vil der være konsekvenser. Mod dum opførsel hjælper
ingen programmer, hvis brugeren insisterer.

--
- Peter Brodersen

---

Hej Peter

Jeg var lige ved at give i at forsætte denne thread fordi det kræver tid at
skrive svar, og jeg skulle lige lave en præsentation til i morgen .... Men
lad gå

> Hvad angår sikkerhedshuller, så er kronologien typisk som følger:
>
> 1. Der kommer en patch fra leverandøren.
> 2. En måned senere har nogen lavet et virkende exploit
> 3. Kort efter kan antivirus-producenten scanne lige præcis efter
> exploit'et i 2.
> 4. Gå til 2, efterhånden som forskellige folk laver forskellige
> vira/orme/exploits over de samme huller...

Jeg har på intet tidspunkt sagt, man ikke skal tighten sikkerheden, så meget
som muligt. Det er ikke tale om gambling afhægig af oprindeleses landet, så
har du faktisk en fungerende signatur i løbet af ganske få timer. Selvom
internettet er blevet hurtigere, så går der altså nogen tid, før de når
europa og vores hjemmearbejdspladser. Når det er sagt, så er blandet andet
MS hverken kendt for deres hurtighed eller åbenhed omkring patche. Kig
eksempelvis på :
http://www.microsoft.com/technet/security/bulletin/MS03-019.asp
Startede med kun at være DoS .... Hvilket nå ja - Men "glemte" i den den med
at den kan eksekvere kode. Denne er allerede

Men der er ca. 17 åbne sårbarheder i Microsoft produkter, så kan udnyttes
til at kompromittere systemer eller lave vira som udnytter disse exploits.

> Dertil kommer så almindelig fornuft. Selv folk med AV-programmer blev
> jo ramt af LoveLetter pga. spredningshastigheden. Men den eneste grund
> til at de blev ramt, var fordi de dobbeltklikkede på filen.

En fungerbare antiVirus fil er i dag typisk til stede indenfor 24 timer.
Afhægig af oprindelseslandet, så er det mere end rigeligt, hvis folk har
AV - nogle gange hurtigere. Virus Producenter er i dag også hurtigt ude med
"Early Warns" også selvom de ikke lige kan detecte den endnu. (Lige bortset
fra SQLslamer).

> På det tidspunkt var jeg i et udviklermiljø, hvor ingen af teknikerne
> - heller ikke dem, der brugte Windows, Outlook eller Outlook Express -
> blev berørt. Sværere behøver det ikke at gøre.

Jamen så siger du også at det gælder for alle andre platforme end MS - og
problemet er jo bare at flertallet netop bruger microsoft produkter - Og det
bliver jo ikke nemmere med de seneste udmeldinger og microsoft.
>
> > 1) Minimere tiden på internettet mest muligt (højst en time eller
2) -
> >Sluk PC'eren, modem eller router, når man ikke er online.
>
> Nej, det er en fuldstændig misforståelse. Det er en lidt for analog
> tankegang, der netop tager udgangspunkt i at man pr. definition er
> sårbar, og derfor bare må håbe på at man ikke bliver ramt, ved at være
> så lidt online som muligt. DET er gambling!

Nope - Se svar andet steds (Du tænker kun Vira - Men der er jo en masse
andet derude.

> > 6) Lad være med at bruge søgeengine og dermed riiskere at gå ind på
> >websteder, som indeholder ondsindet html kode.
>
> Her er problemet igen. Nogle AV-programmer vil hyle op over diverse
> HTML/Javascript-kode - igen kan det være baseret på udtømmende lister.

Nej .... Den som hyler op om den slags koder er nu MS egne
sikkerhedsindstillinger. AV vil (i dag) kunne hyle op med ondsindet code i
hvert fald dem, som jeg har set..

> Browsere er altså ikke pr. definition altid usikre. Patches hjælper
> godt på det.

Helt enig.

>
> > 7) Sørg for at der slet ikke kan køres javascript, aspcode, cookies
> >o.s.v.
>
> ASP? På klienten?
>
> Cookies og Javascript udgør ligeledes heller ikke noget sikkerhedshul
> som udgangspunkt. Der har dog været sikkerhedshuller i browsere, der
> har kunne give problemer her. Igen hjælper det at patche sin browser.
>
> Et andet eksempel kunne være Flash. Her har der været
> uhensigtsmæssigheder. Igen har løsningen været at opgradere ens
> Flash-afspiller, efter sikkerhedshullet blev annonceret.
>
> Alternativet er at køre med et usikkert system, som man håber på ens
> vilkårlige FW/AV-programmer kan gøre noget ved.

Hvor er det nu lige at brugere finder et samlet overblik over dette. Hvor
tit og hvorfor hurtigt tro du det sker hos almindelige dødelige bruger, som
der jo er flest af ? 90 % af samtlige PC brugere poå internettet kan bruge
software den software, som de har installeret, men de kan ikke ændre
indstillinger, slet ikke på OS'et.
Altså de kan åbne og bruge en browser, de kan bruger office pakke eller
tilsvarende, og de kan sende mails og benytter messengere. Men de kan altså
ikke holde deres systemer up-2-date med patches, sikkerhedsindstillinger
osv. De kan slet ikke vurdere risiko ved indhold på hjemmesider, mails
o.s.v. og slet ikke hvis det kommer fra en af vennerne.


> Endnu en god misforståelse. AV-programmer hyler nogle gange om at der
> ligger noget "smuds" i cache'n. Men at filer ligger dér, er ikke
> ensbetydende med at de starter sig selv.

Hvis en program kopieres til din temporere folder, og som indeholde
ondsindet kode vil du så ikke vide det ??? - Det vil jeg gerne. Så DEN skal
sgu hyle op. Du kan jo på et senere tidspunkt risikere enten selv, eller
andre i hustanden, eller udefra eksekvere koden. Det må sgu da øge
sikkrhededen at få den slettet eller puttet i karantæne så man ikke kommer
til at eksekvere den.

Nej men det er sgu et forsøg, så den gør ret i at hyle op.... og typisk i
dag skannes der kun on-access, så der SKAL hyles op.
>
> Efterhånden er browsere gode til ikke at afsløre stier på lokale
> filer, eller tillader at udføre referencer til lokale filer, fra en
> webside.
>
> > 9) Lad være med at åbne links, vedhæftede file i mails uanset om de
> >kommer fra "vennerne eller familien"

> Links må man gå ud fra ikke er noget problem, forudsat at ens browser
> er i orden. Vilkårlige, vedhæftede programmer skal man selvfølgelig
> ikke åbne.

Hm.... Hvad så med et worddokument son hedder fødselsdag_invitation.doc
afsendt fra din mor, skal det åbnes ? - Hvor meget stoler du på at andre
også i din omgangskreds har styr på sikkerheden, og hvor meget stoler du at
dem i din omgangskreds også kun stoler på dem i deres omgangskreds, som kun
har styr på sikkerheden. ..... Konsekvenserne er uoverskuelige og kunne nemt
undgås ved at indføre kontrol.

> Man kan da godt gøre "hvad man vil", men ikke anderledes i forhold til
> resten af verden, vil der være konsekvenser. Mod dum opførsel hjælper
> ingen programmer, hvis brugeren insisterer.

Nope .... Men det findes værktøjer, som også hjælper dig mod andres
dumheder, så du ikke udsættes pga den fejlagtige tillid, som du havde til
vedkommende.

Cheers, Real

---

Den Thu, 5 Jun 2003 17:08:32 +0200 skrev RealWiild:
>
>En fungerbare antiVirus fil er i dag typisk til stede indenfor 24 timer.

Og en low-risk orm som fx Loveletter (der ikke gør meget andet end
at skjule folks MP3-filer) kan fylde internettet op på den samme tid.

Med andre ord, antivirus-filen er ikke klar før det er for sent.

>> Links må man gå ud fra ikke er noget problem, forudsat at ens browser
>> er i orden. Vilkårlige, vedhæftede programmer skal man selvfølgelig
>> ikke åbne.
>
>Hm.... Hvad så med et worddokument son hedder fødselsdag_invitation.doc
>afsendt fra din mor, skal det åbnes ?

Nix, der skal et svar tilbage om at hvis det er vigtigt kan hun sg*
skrive det i mail'en.

Jeg har før afvist word-dokumenter fra familien med det argument.

Mvh
Kent
--
"A computer is a state machine.
Threads are for people who can't program state machines."
- Alan Cox

---

On Thu, 5 Jun 2003 17:08:32 +0200, "RealWiild" <real@nowhere.com>
wrote:

>En fungerbare antiVirus fil er i dag typisk til stede indenfor 24 timer.

Dvs. nær ubrugeligt for orme, der spreder sig hurtigt. Læg dertil
av-programmer, der fx "kun" opdaterer sig en gang om dagen eller en
gang om ugen.

>> På det tidspunkt var jeg i et udviklermiljø, hvor ingen af teknikerne
>> - heller ikke dem, der brugte Windows, Outlook eller Outlook Express -
>> blev berørt. Sværere behøver det ikke at gøre.
>Jamen så siger du også at det gælder for alle andre platforme end MS - og
>problemet er jo bare at flertallet netop bruger microsoft produkter - Og det
>bliver jo ikke nemmere med de seneste udmeldinger og microsoft.

Hva'ba? Hvad snakker du om? Jeg siger, at folk blandt andet brugte
Windows, Outlook og Outlook Express. Alligevel var der ingen
problemer.

>> Nej, det er en fuldstændig misforståelse. Det er en lidt for analog
>> tankegang, der netop tager udgangspunkt i at man pr. definition er
>> sårbar, og derfor bare må håbe på at man ikke bliver ramt, ved at være
>> så lidt online som muligt. DET er gambling!
>Nope - Se svar andet steds (Du tænker kun Vira - Men der er jo en masse
>andet derude.

Tankegangen med kun at være online i korte tidsrum er mildest talt
uheldig, men desværre appellerende i analoge miljøer ("Hvis jeg bare
opholder mig kort tid i denne park midt om natten, så går det nok").
Sænker man sin onlinetid til 1/4, vil det blot betyde, at der kan gå
op til 4 gange så lang tid før man evt. bliver inficeret på et
usikkert system. Hvad skulle forbedringen være i det på længere sigt?

>Hvor er det nu lige at brugere finder et samlet overblik over dette. Hvor
>tit og hvorfor hurtigt tro du det sker hos almindelige dødelige bruger, som
>der jo er flest af ? 90 % af samtlige PC brugere poå internettet kan bruge
>software den software, som de har installeret, men de kan ikke ændre
>indstillinger, slet ikke på OS'et.

Hvorfor skulle "Windows Update" være mere besværligt at køre, end at
installere et antivirus-program?

AV-programmet er jo ligeledes udtømmende, så det vil ikke hjælpe
særligt meget mod helt simple programmer, der vælger at slette eller
ændre filer - medmindre, de er kendt i forvejen.

Dertil kommer selvfølgelig, at hvis brugere ikke kan tage stilling til
om de må køre et program eller ej, så kommer man let til kort med nye
orme, der starter med at deaktivere AV-programmer og evt. firewalls.

>Hvis en program kopieres til din temporere folder, og som indeholde
>ondsindet kode vil du så ikke vide det ??? - Det vil jeg gerne. Så DEN skal
>sgu hyle op.

Hvorfor? Det eneste, det resulterer i, er at overfølsomme
AV-programmer brokker sig over websider, der viser noget af
virus-indholdet.

>Du kan jo på et senere tidspunkt risikere enten selv, eller
>andre i hustanden, eller udefra eksekvere koden.

Så kan den jo passende tjekke filen, når man vil afvikle den, ligesom
den gør i forvejen, ikke sandt?

>Det må sgu da øge
>sikkrhededen at få den slettet eller puttet i karantæne så man ikke kommer
>til at eksekvere den.

Tjekker AV-programmer ikke i forvejen de programmer, man er ved at
eksekvere? I så fald er det jo bare unødig støj - og for let at
skræmme folk, bare fordi en webside indeholder noget ondsindet kode,
som systemet alligevel ikke vil afvikle.

>> Man kan da godt gøre "hvad man vil", men ikke anderledes i forhold til
>> resten af verden, vil der være konsekvenser. Mod dum opførsel hjælper
>> ingen programmer, hvis brugeren insisterer.
>Nope .... Men det findes værktøjer, som også hjælper dig mod andres
>dumheder, så du ikke udsættes pga den fejlagtige tillid, som du havde til
>vedkommende.

Det vil stadigvæk være at undlade sikkerhedsselen, fordi "bilen har
airbag" (hey, der skal være mindst én bil-analogi). Specielt i disse
dage, hvor der er mange eksempler på orme og programmer, der let kan
deaktivere firewalls og AV-programmer, hvilket praktisk talt alle nye,
udbredte orme gør.

Så *er* man ganske enkelt ikke beskyttet.

--
- Peter Brodersen

---

Hej Peter


> Hva'ba? Hvad snakker du om? Jeg siger, at folk blandt andet brugte
> Windows, Outlook og Outlook Express. Alligevel var der ingen
> problemer.

Jeps, da jeg læste det igen, så ja - kan jeg godt se din mening

> Tankegangen med kun at være online i korte tidsrum er mildest talt
> uheldig, men desværre appellerende i analoge miljøer ("Hvis jeg bare
> opholder mig kort tid i denne park midt om natten, så går det nok").
> Sænker man sin onlinetid til 1/4, vil det blot betyde, at der kan gå
> op til 4 gange så lang tid før man evt. bliver inficeret på et
> usikkert system. Hvad skulle forbedringen være i det på længere sigt?

Suuuuk - som jeg skrive almindelige brugere, sidder ind i mellem og læser
mails, browser lidt og arbejder. Når man ikke er i gang, så kan man altså
ligeså godt slukke for skidtet, således at man i den periode i hvert fald
ikke udsættes for forsøg på at udnytte exploits eller andre forsøg hacking
(evt. gennem en IPscan og er Portscan.) Den tid, hvor du er udsat minimeres.
Det tager at nogen tid, at finde en ipadresse som svare og udfører
portscans, og forsøge at udnytte sikkerhedshuller. Jeg ser mange af disse
fra Asien primært i min Firewall logs.

> Hvorfor skulle "Windows Update" være mere besværligt at køre, end at
> installere et antivirus-program?

Nu er det jo sådan at ikke alle sikkerhedpatches ses via Windows update. For
at være sikker skal du jo også installere Microsoft Baseline Security
Analyser, som heller ikke er helt nøjagtigt og iøvrigt kun duer for Win2k og
frem.

> AV-programmet er jo ligeledes udtømmende, så det vil ikke hjælpe
> særligt meget mod helt simple programmer, der vælger at slette eller
> ændre filer - medmindre, de er kendt i forvejen.

> Dertil kommer selvfølgelig, at hvis brugere ikke kan tage stilling til
> om de må køre et program eller ej, så kommer man let til kort med nye
> orme, der starter med at deaktivere AV-programmer og evt. firewalls.

Tjaaaaeh som skrevet andetsteds, så vil jeg gætte på at der hurtigere kommer
vira, som udnytter svagheder i microsoft produkterne. Det er jo de samme
sårbarheder på tværs af OS, så det er bare en svaghed, som skal findes. På
AV så er der jo et hav af producenter, som hver gør tingene på deres måde,
så her er det jo ikke lige nemt at gøre det.

> >Hvis en program kopieres til din temporere folder, og som indeholde
> >ondsindet kode vil du så ikke vide det ??? - Det vil jeg gerne. Så DEN
skal
> >sgu hyle op.
>
> Hvorfor? Det eneste, det resulterer i, er at overfølsomme
> AV-programmer brokker sig over websider, der viser noget af
> virus-indholdet.

Vil en normal hjemmepc brugere kende forskellen ? Næppe så jo den skal give
alarm, hvad skal brugere iøvrigt derinde ? Og mener du ikke AV- programmerne
kan kende forskel på ufarlig kode gengivelse, og malware ? - Hvis du har en
link til en sådan side, som får AV til at reagere, så vil jeg da gerne prøve
det.

> Så kan den jo passende tjekke filen, når man vil afvikle den, ligesom
> den gør i forvejen, ikke sandt?
.......
> Tjekker AV-programmer ikke i forvejen de programmer, man er ved at
> eksekvere? I så fald er det jo bare unødig støj - og for let at
> skræmme folk, bare fordi en webside indeholder noget ondsindet kode,
> som systemet alligevel ikke vil afvikle.

Joeeh - Men det er jo det .... Argumentet er at der ikke er behov for
AV-programmer. Så er det jo ikke noget som checker filerne, før de
eksekveres vel ?. Nogen i debatten vil undvære begge dele, nogen vil undvære
en af delene og nogen vil ikke undvære nogen af delene.

> >Nope .... Men det findes værktøjer, som også hjælper dig mod andres
> >dumheder, så du ikke udsættes pga den fejlagtige tillid, som du havde til
> >vedkommende.
>
> Det vil stadigvæk være at undlade sikkerhedsselen, fordi "bilen har
> airbag" (hey, der skal være mindst én bil-analogi). Specielt i disse
> dage, hvor der er mange eksempler på orme og programmer, der let kan
> deaktivere firewalls og AV-programmer, hvilket praktisk talt alle nye,
> udbredte orme gør.

Nej - Den eneste 100 % beskyttelse er at slukke sin PC. Men sandsynligheden
for at man bliver ramt før en opdatering findes er jo lille i forvejen. Men
nye antivirus filer er sgu meget hurtigere ude end patches til MS.

Jeg er sikker på, at vi herinde har ret til hver sin holdning til det
spørgsmål om AV/FW og flertallet har forudsætningerne for netop deres
holdninger. Problemet er at man skal tænke på, at ikke alle på internettet
har de samme forudsætninger, uddannelse i brugen af hverken OS eller
Internet o.s.v. Når jeg svarede, så var det fordi, at jeg mener det er
generelt forkert at råde folk (Almindelige brugere) til ikke at benytte
AV/FW. De har ikke en christian eller bertel siddende ved siden af dem - vel
?

Svare på et indlæg til et eller andet sted - Ellers slutter det nu for mig,
jeg får simpelthen ikke lavet mit arbejde, hvis jeg forsætter

Cheers Real

---

On Thu, 5 Jun 2003 19:27:12 +0200, "RealWiild" <real@nowhere.com>
wrote:

>Suuuuk - som jeg skrive almindelige brugere, sidder ind i mellem og læser
>mails, browser lidt og arbejder. Når man ikke er i gang, så kan man altså
>ligeså godt slukke for skidtet, således at man i den periode i hvert fald
>ikke udsættes for forsøg på at udnytte exploits eller andre forsøg hacking
>(evt. gennem en IPscan og er Portscan.) Den tid, hvor du er udsat minimeres.
>Det tager at nogen tid, at finde en ipadresse som svare og udfører
>portscans, og forsøge at udnytte sikkerhedshuller. Jeg ser mange af disse
>fra Asien primært i min Firewall logs.

Jamen... hvis man ved, man er sårbar, så er det ikke en løsning bare
at være 1/4 af tiden online. For man vil jo stadigvæk blive ramt,
måske blot senere.

Og igen, at nogen portscanner én gør ikke at man bliver mere sårbar.
Man bliver heller ikke mindre sårbar af at et firewall-program hyler
op omkring det.

Sat på spidsen: Hvis jeg ikke har nogen services kørende, hvordan kan
jeg så blive angrebet/kompromitteret ved at nogen portscanner mig?

>> Hvorfor? Det eneste, det resulterer i, er at overfølsomme
>> AV-programmer brokker sig over websider, der viser noget af
>> virus-indholdet.
>Vil en normal hjemmepc brugere kende forskellen ? Næppe så jo den skal give
>alarm, hvad skal brugere iøvrigt derinde ?

Jam... det er jo irrelevant om der skulle ligge noget dér i første
omgang. Brugeren vil blot få en alarm, som vil gøre, at han vil tro,
at "der er virus på hans system". Det er der også i form af en fil,
men at "et system har virus" betyder, at et virusinficeret program
rent faktisk er blevet afviklet.

Der er ingen grund til at hyle og larme. Der er heller ingen grund til
at en firewall hyler og larmer, hvis nogen fx prøver at tilgå en port.
Hyleriet tjener intet formål.

>Og mener du ikke AV- programmerne
>kan kende forskel på ufarlig kode gengivelse, og malware ? - Hvis du har en
>link til en sådan side, som får AV til at reagere, så vil jeg da gerne prøve
>det.

Fra en gammel onlineavis:
http://stock.ter.dk/pcworld.dk.gif

Der var tale om følgende side, hvor jeg måtte lave HTML-baserede
ændringer for at den tåbelige rutine ikke hylede op:
http://www.loveletter.trc.dk/

>Nej - Den eneste 100 % beskyttelse er at slukke sin PC. Men sandsynligheden
>for at man bliver ramt før en opdatering findes er jo lille i forvejen. Men
>nye antivirus filer er sgu meget hurtigere ude end patches til MS.

Fra http://aggemam.dk/index.php?id=126 :

==
* BadTrans-ormen, der er dukket op i løbet af november 2001
benytter sig af et exploit, hvortil der fandtes en patch 29. marts
2001.
* I september 2001 var det Nimda, der hærgede. Den benyttede sig
af en række exploits i IE og Outlook (og IIS, hvilket dog er
irrelevant i denne sammenhæng, idet almindelige brugere næppe vil køre
en webserver). Et Nimda-immunt system skal være patches med rettelser
fra hhv. 29. marts 2001 og 16. marts 2001, samt have IE opgraderet til
SP2, der blev frigivet hhv. 19. juni 2001 og 2. august 2001.
* Code Red huserede i juli 2001. Den benyttede sig af exploits,
hvortil der fandtes en patch den 18. juni.
==

Vi taler måneder her. Først kommer en patch. Over et halvt år efter
kommer BadTrans. Og først derefter kommer et middel mod lige præcis
BadTrans. Hvem ved om ens computer er blevet kompromitteret af samme
hul fra mere målrettede angreb i mellemtiden af programmer, der ikke
på samme måde er i bred omløb?

>Problemet er at man skal tænke på, at ikke alle på internettet
>har de samme forudsætninger, uddannelse i brugen af hverken OS eller
>Internet o.s.v. Når jeg svarede, så var det fordi, at jeg mener det er
>generelt forkert at råde folk (Almindelige brugere) til ikke at benytte
>AV/FW. De har ikke en christian eller bertel siddende ved siden af dem - vel
>?

Det er faktisk ret simpelt: Hvis folk vil afvikle programmer med
hovedet under armen, så har de tabt - uanset om de har et AV-program
installeret eller ej, netop fordi de fleste nye ondsindede programmer
deaktiverer AV-programmer.

Derfor skal der et minimum af opdragelse til, uanset hvad. Hvis man
ikke forstår bare en lille smule af hvordan, verden fungerer, er man
tabt. Enten kommer man fx til at blokere for DNS-svar (som firewall'en
tror er sendt "uprovokeret"), eller også undrer man sig over at man
kunne blive inficeret på sit upatchede system ved at kigge på en
webside, "selvom man havde firewall".

Hvis man ikke ved, hvad en firewall hjælper mod, kan man let bruge den
forkert - eller træffe forkerte beslutninger.

--
- Peter Brodersen

---

On Thu, 5 Jun 2003 19:27:12 +0200, RealWiild <real@nowhere.com> wrote:

> Suuuuk - som jeg skrive almindelige brugere, sidder ind i mellem og læser
> mails, browser lidt og arbejder. Når man ikke er i gang, så kan man altså
> ligeså godt slukke for skidtet, således at man i den periode i hvert fald
> ikke udsættes for forsøg på at udnytte exploits eller andre forsøg hacking
> (evt. gennem en IPscan og er Portscan.)
>

Hvorfor nu det? Hvis ens program ikke kan rammes? Det andet, at køre med
programmer man ikke stoler på, kan også lade sig gøre. Man skal bare
gøre sig klart hvilke data der _derudover_ skal befinde sig på den
maskine.

> Den tid, hvor du er udsat minimeres. Det tager at nogen tid, at finde
> en ipadresse som svare og udfører portscans, og forsøge at udnytte
> sikkerhedshuller. Jeg ser mange af disse fra Asien primært i min
> Firewall logs.

Hvorfra ved du at de er fra Asien? Har du da lavet et SYN-handshake med
dem?

> Nu er det jo sådan at ikke alle sikkerhedpatches ses via Windows update. For
> at være sikker skal du jo også installere Microsoft Baseline Security
> Analyser, som heller ikke er helt nøjagtigt og iøvrigt kun duer for Win2k og
> frem.

Hvis det er sandt, så skal du overveje om Windows er den platform du
ønsker at have hemmeligt klassificeret data på.

> Tjaaaaeh som skrevet andetsteds, så vil jeg gætte på at der hurtigere kommer
> vira, som udnytter svagheder i microsoft produkterne. Det er jo de samme
> sårbarheder på tværs af OS, så det er bare en svaghed, som skal findes. På
> AV så er der jo et hav af producenter, som hver gør tingene på deres måde,
> så her er det jo ikke lige nemt at gøre det.

Ikke forstået.

> Vil en normal hjemmepc brugere kende forskellen ? Næppe så jo den skal give
> alarm, hvad skal brugere iøvrigt derinde ? Og mener du ikke AV- programmerne
> kan kende forskel på ufarlig kode gengivelse, og malware ? - Hvis du har en
> link til en sådan side, som får AV til at reagere, så vil jeg da gerne prøve
> det.

1. Jeg koder en virus
2. Jeg smider den i hovedet på dig
3. Vil dit AV program opdage den?

> Joeeh - Men det er jo det .... Argumentet er at der ikke er behov for
> AV-programmer. Så er det jo ikke noget som checker filerne, før de
> eksekveres vel ?. Nogen i debatten vil undvære begge dele, nogen vil undvære
> en af delene og nogen vil ikke undvære nogen af delene.

Det er masser af gode alternativer til AV. Kildekode er en af dem, men
så skal du stole på compileren. systrace i OpenBSD er en anden
interessant løsning. Fornuft er altoverskyggende den bedste mulighed.

> Nej - Den eneste 100 % beskyttelse er at slukke sin PC. Men sandsynligheden
> for at man bliver ramt før en opdatering findes er jo lille i forvejen. Men
> nye antivirus filer er sgu meget hurtigere ude end patches til MS.

NEJ! For helvede da!

Den pointe har vi haft oppe at vende. Hvis en bruger med en PC har som
krav til sit system at det skal kunne anvende nettet og skal kunne være
koblet til nettet, så må man konfigurere sit system til den opgave.

> Problemet er at man skal tænke på, at ikke alle på internettet
> har de samme forudsætninger, uddannelse i brugen af hverken OS eller
> Internet o.s.v. Når jeg svarede, så var det fordi, at jeg mener det er
> generelt forkert at råde folk (Almindelige brugere) til ikke at benytte
> AV/FW. De har ikke en christian eller bertel siddende ved siden af dem - vel
> ?

Problemet er nærmere at en række AV- og firewall-producenter i årevis
har leget ''Peter og ulven'' med forbrugerne. Derved har de fået vendt
hovedet på en del folk til at det skal være værktøjet (firewallen), der
sikrer dem og ikke konfigurationen.

Har du overvejet at en firewall kræver en politik for overhovedet at
kunne fungere og at det er brugeren der skal levere denne politik? Hvis
brugeren ikke kan konfigurere sit system, kan brugeren så definere en
politik, der som regel kræver indgående TCP/IP-viden?

Hvis du interesserer dig for sikkerhed, så glem alt om firewalls.
Sikkerhed er kedeligt. Det handler ikke om at se på pakker fra Asien så
meget som det handler om at se på track-records fra programmer. Hvis to
programmer kan det samme, men det ene har haft 100 sikkerhedshuller, det
andet 0, hvad vælger du så? _Det_ er nemt at verificere ved at se på
fornuftige producenters hjemmesider. Du behøver ingen viden om TCP/IP.
Der findes masser af sider der beskriver hvad man skal frakonfigurere i
Windows.

Dem, der ikke interesserer sig for sikkerhed bør vælge den simple
løsning. Og den er ikke at installere en firewall, men at forstå
konsekvenserne ved at køre forskellige programmer.

Du snakkede om tillid til programmer. Med mindre du har tillid til
programmet kan det gøre hvad det passer det. Inklusive at rekonfigurere
den maskine du har. Vælger du at installere programmet må du leve med
det. I princippet vil en firewall ikke yde nogen beskyttelse da denne
kan slåes fra eller endnu bedre: patches ''passende''. Jeg er ikke klar
over hvor mange programmer der gør det, men der skal nok være nogen
muligheder for at gøre det.

Derudover hjælper en firewall nada når din IE igen har et sikkerhedshul
der reagerer når man betræder en bestemt hjemmeside. Metoden til at
sikre sig mod det er ikke at benytte sig af IE. Hvis man partout skal
benytte sig af den (det hænder jo at visse sider kun kan ses i den), så
kan man med passende sikkerhedskonfiguration begrænse hvad ukendte sider
må og derved minimere risikoen for at et ukendt hul benyttes. Det
beskrives i gruppens OSS og er vigtigere end firewalls, da det lader til
at være mindre kendt information når man kigger på gennemsnittet
herinde.




--
Jesper

---

On Fri, 6 Jun 2003 08:00:10 +0000 (UTC), jlouis@pc-063.diku.dk
(Jesper Louis Andersen) wrote:

> 1. Jeg koder en virus
> 2. Jeg smider den i hovedet på dig
> 3. Vil dit AV program opdage den?

Det afhænger af, hvilket AV-program man anvender, og hvad din
hypotetiske virus laver. Nogle AV-programmer er ikke baseret på
signaturer for kendte vira, men ser i stedet på, hvad programmer
faktisk gør.

Se fx. hos Finjan.

-A
--
http://www.hojmark.org/

---

On Fri, 06 Jun 2003 11:12:37 +0200, Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
>> 1. Jeg koder en virus
>> 2. Jeg smider den i hovedet på dig
>> 3. Vil dit AV program opdage den?
>
> Det afhænger af, hvilket AV-program man anvender, og hvad din
> hypotetiske virus laver. Nogle AV-programmer er ikke baseret på
> signaturer for kendte vira, men ser i stedet på, hvad programmer
> faktisk gør.

Jep, jeg tror bare ikke på anomali-checkers kan fange det hvis jeg er
smart nok. Der skal sandsynligvis et par test til mod deres
heuristikker.


--
Jesper

---

In article <3edf2cbc$0$13249$edfadb0f@dread15.news.tele.dk>, RealWiild wrote:
> Halvdelen af indlæg herinde om orme, trojanere og vira er faktisk

De hører nok til dk.edb.sikkerhed.virus

> hjemmepc'ere som bliver ramt. Men i har ret i, at det er en lille del, at
> hjemmepc'ere, som bliver ramt - Men det sker. - Der er jo også relativt få

At det sker er ikke noget "bevis" for det ene eller andet er sandt.

> trafikuheld i DK, så hvorfor skulle man egentlig have sikkerhedssele på ?
> Men hvis så man uheldigvis bliver indblandet i et trafik uheld, så ja
> tæanker man typisk "hvorfor fanden havde jeg ikke sikkerhedsele på"

Vil sikkerhedsselen også kunne hjælpe hvis jeg kører 200 km i timen
og rammer et træ?

Jeg fortrækker at kører forsigtigt.

> Eller rettere sagt vi ved jo ikke andet, der er jo en hel del, som end ikke
> er herinde, og nåja I checker jeres PC'ere engang hver halve år. Det
> betyder, jo at I kan være smittebærer og udsatte i det halve år.
>
> Men hvis jeres venner uheldigvis er blevet smittet, så har smitten hurtigt
> fri adgang til jeres PC'ere og videre distribueres ligeså let videre.

Hvis maskinen er sikret. En sikring kan ske på mange måder, nogle hardner
applikationerne, andre installere blot flere applikationer.

> NAT i sig selv indeholder altså ikke nogen sikkerhed. Den umuligør portscans
> (i PAT mode), for det kræver oprettelse af en nat statement et eller andet

NAT dækker over adresse oversættelse intet andet. Hvis du har en router
der kun kører NAT, vil man udefra kunne bruge routeren som routere og blive
routet ind til det interne netværk.

Du mener nok en eller anden smart NAT kasse, men indbygget firewall.

> sted for at få adgang til en service eller åben port på hosten. Så deror du
> behøver faktisk ikke lukke dine services, hvis det var sand - for du laver
> jo bare ikke den statement. Men starter du en tcp session, så er der åbnet
> et hul også gennem NAT (PAT). Altså et system kan sagtens angribes og
> inficeres gennem hver eneste session, som man selv initiere mod hosts
> internettet (mail, ftp, p2p, http og https - og indholdet i disse.) Ren NAT
> mode indeholder slet ikke nogen sikkerhed, for der oprettes en statement som
> siger, alle sessioner til <midlertidig Public adr.> skal til <Private adr> -
> her kigger man slet ikke på portene. Begge systemer er mulige og bruges
> faktisk i dag.

Måske du skulle opdatere din viden på dette område.

> Hvis man VIL forhindre sin PC'ere i at blive hacket/inficerede, så er man
> skal man gøre noget proaktivt.
>
> Lad være med at tro brugere generelt ved, hvordan man skal opføre sig på
> internettet - Hvor mange brugere derude tager backup ?, ved hvordan man
> reinstallere sin PC'er ? - Det er sgu ikke mange. Det er en illusion. Hvis

At største delen gør noget forkert er ikke et argument for det er rigtigt.

> bare én i ens kontaktkredse, som skal gøre det forkerte, så er smitten
> igang. Men jeg er sikker på, at første gang jeres systemer bliver
> (mis)brugt til det utænkelige, så installere I jo nok AV & FW features på
> jeres PC'ere.

Indtil videre er der gået 20 år, uden virus, men har været hos en del kunder
med AV som blev inficeret med virus.

Hvor mange virus scanner håndtere ADS i NTFS?

> Alt dette og meget mere skal der gøres, hvis man uden brug af FW & AV, skal
> øge sikkerheden. Det kan godt være, at i følger reglerne til en hver tid,
> men helt ærligt 90% vil nok hellere have kontrol frem for tillid.
> Hver gang man går på kompromis med disse og garantere flere regler, som
> udsætter man sig for en risiko - Den risiko ville være meget meget mindre,
> hvis man bare sikrer sig lidt. - Også dyrt er det sgu heller ikke.
>
> Iøvrigt er der jo stadig en hel del dial-up brugere, disse dialup er faktisk
> 100% sårbare for andre dialup kunder som er smittede hos samme ISP'ere (De
> er i samme broadcast domæne) ... Dem er der stadig ca. rigtig mange af - kan
> huske et tal fornyeligt for Telia på 65000 - og det er i hvertfald ikke
> mindre hos andre ISP'ere (Tiscali, Cybercity, Get2Net, osv).

Den fatter jeg ikke, hvad snakker du om?

> Jeres holdning er en gambling med jeres og andres IT-sikkerhed. Jeg kan kun
> håbe, at andre ikke lytter på jer - Tjaaaeh Jeg gør det i hvert fald ikke
> .

Som jeg ser din holdning er den, at AV og personlig firewall er alt hvad
der skal til for at få et sikkert setup.


For 2-3 år siden, var alle AV produkter sat op til at scanne exe, dll, sys.

Så kom "ILOVEU", den havde frit spille rum, da største delen af alle virus installation
var sat forkert op (i de fleste af tilfældene var det default opsætningen).



Hvad gør du imod de nye virus'er der er bygget til at omgåes virus scannerne for
derefter at så dem fra?


Jeg fortrækker at hardne min opsætning, maskinen kører endvidere også hurtigere.

> Lad være med at gøre et stort nummer ud af det. I har jeres holdning og
> andre har min. Thats It - Religionskrig om sikkerhed gider jeg faktisk ikke
>
>
> Cheers, Real.
>
>

---

Hej Christian

> Vil sikkerhedsselen også kunne hjælpe hvis jeg kører 200 km i timen
> og rammer et træ?
>
> Jeg fortrækker at kører forsigtigt.

Og hvis du nu kører forsigtigt, det vil sig overholder normale
hastigehedsgrænser, så vil du ikke bruge sikkerhedssele ? - Hvad så hvis
andre opfører sig tåbeligt og kører ind i dig med 200 timen ? - Eller
pludselig manøvrere forkert, fordi de liiiige skulle hente deres mobiltlf,
som var faldet på gulvet. Hvis du kører forsigtigt og altid korrekt, og dine
medtrafikanter gør det samme, så behøver du ikke sikkerhedssele. Men vil du
have TILLID til at de gør det. Eller vil du køre med sikkerhedssele ? også
selvom din bil er i sikkerhedsmæssig forsvarlig stand ?

> Hvis maskinen er sikret. En sikring kan ske på mange måder, nogle hardner
> applikationerne, andre installere blot flere applikationer.

Tjaaaeh - hvis du hardner en applikation, så stoler du på at leverandøren
også har 100% styr på applikatioenen. Hvis du så samtidig installere en ny
applikation til af kontrollere den første. Så må du jo have forhøjet
sikkerhed.

> > NAT i sig selv indeholder altså ikke nogen sikkerhed. Den umuligør
portscans
> > (i PAT mode), for det kræver oprettelse af en nat statement et eller
andet

> NAT dækker over adresse oversættelse intet andet. Hvis du har en router
> der kun kører NAT, vil man udefra kunne bruge routeren som routere og
blive
> routet ind til det interne netværk.

Ja så er vi jo enige .... NAT er ren addresse port tranlation, og indeholder
ikke nogen sikkerhed. Men services på bagved ligger private IP adresser kan
ikke nås, hvis der ikke er en NAT statement i routeren.

> > sted for at få adgang til en service eller åben port på hosten. Så deror
du
> > behøver faktisk ikke lukke dine services, hvis det var sand - for du
laver
> > jo bare ikke den statement. Men starter du en tcp session, så er der
åbnet
> > et hul også gennem NAT (PAT). Altså et system kan sagtens angribes og
> > inficeres gennem hver eneste session, som man selv initiere mod hosts
> > internettet (mail, ftp, p2p, http og https - og indholdet i disse.) Ren
NAT
> > mode indeholder slet ikke nogen sikkerhed, for der oprettes en statement
som
> > siger, alle sessioner til <midlertidig Public adr.> skal til <Private
adr> -
> > her kigger man slet ikke på portene. Begge systemer er mulige og bruges
> > faktisk i dag.
>
> Måske du skulle opdatere din viden på dette område.

Den oprindelige mail nævnte at der var sikkerhed i NAT, så det var det spor,
som blev forsat. Derfor er det ikke altid lige nemt at forstå.

Fortæl mig så lige hvad der skulle være galt i ovenstående fremfor at komme
med den indholdstomme bemærkning Men jeg kan godt se, at der kan optræde
forvirring..... NAT i dag er jo misforstået, der er jo egenligt tale om PAT.
Oprindelig NAT gik ud på at man havde en rækker private subnets, og en
address pool på eksempelvis et klasse C-net. Hvis en privat IP adresse
skulle på internettet, så benyttede man en map <Privat> -> <Public> og den
havde man så længe man havde en igangværende session eller til den timede
ud. Men i takt med at internette var ved at løbe tør for adresse, så måtte
man gøre noget andet. Og det blev til PAT (Port Address Translation) ....
Der er ikke mange som længere benytte NAT i deres opringelige udgave, så
derfor er PAT blevet til NAT. Hvis du har en enkelt offentlig IP adresse, så
skal du bruge en NAT router for at få flere PC'ere til at dele samme IP
adresse.

Kort og Godt - Hvis man har en ADSL forbindelse fra for.eks. TDC vil man så
putte sin XP arbejdsstation PC'er direkte på Internettet ? og kun stole på
thighten security i XP, som eneste sikkerhed mod internettet ? JA / Nej ?

> At største delen gør noget forkert er ikke et argument for det er rigtigt.

Den holdning kommer man jo ikke langt med vel ? - Nogen rådgiver til at den
eneste beskyttelse, man behøver mod internettet er en opstramning af
sikkerheden på hjemmepc'en.

> > bare én i ens kontaktkredse, som skal gøre det forkerte, så er smitten
> > igang. Men jeg er sikker på, at første gang jeres systemer bliver
> > (mis)brugt til det utænkelige, så installere I jo nok AV & FW features
på
> > jeres PC'ere.

> Indtil videre er der gået 20 år, uden virus, men har været hos en del
kunder
> med AV som blev inficeret med virus.

Tjaaaeh - Den slags argumenter er jo dejlige. De kan ikke bevises, og bør
vel ikke være et generelt råd til den almindelige bruger. Men jeg er sikker
på at de 2-3 millioner internet brugere, som er i DK - Alle har gennemført
en brugeruddannelse, som gør dem i stand til at konfigurere en sikker
platformen, og giver dem erfaringen til at køre 20 år uden virus som dig.
Men hovedparten kommer jo til at lukke noget ind inden der er gået 20 år..


> Hvor mange virus scanner håndtere ADS i NTFS?

Aner det ikke - har ikke undersøgt det.

> Som jeg ser din holdning er den, at AV og personlig firewall er alt hvad
> der skal til for at få et sikkert setup.

Og hvor er det nu lige at jeg skriver det ?

> For 2-3 år siden, var alle AV produkter sat op til at scanne exe, dll,
sys.

> Så kom "ILOVEU", den havde frit spille rum, da største delen af alle virus
installation
> var sat forkert op (i de fleste af tilfældene var det default
opsætningen).

Tjaaaaeh - Hvad skal jeg sige til sådan et argument..... Lad være med at
skanne exe, dll, sys filer for virus benytter alligevel frem over andre
extensions ? Eller skal man lade antivirus producenterne også udvikle sig i
takt med de ændrede vira mønstre. I dag sker det jo ikke på den måde. vel ?

> Hvad gør du imod de nye virus'er der er bygget til at omgåes virus
scannerne for
> derefter at så dem fra?

Og hvad med de vira som er bygget til at udnyttes sårbarheder i din platform
? - Hvilke tror du først lukkes ? Sårbarhederne i din platform eller nye
virus signatur filer, som tager højde for dette ?

> Jeg fortrækker at hardne min opsætning, maskinen kører endvidere også
hurtigere.

Altså du har en Hjemmearbejdsplads med WINXP Home Edition, som sidder
direkte på en public adr uden firewall og uden AV ?

Cheers, Real

---

In article <3edf69b0$0$13216$edfadb0f@dread15.news.tele.dk>, RealWiild wrote:
> Hej Christian
>
>> Vil sikkerhedsselen også kunne hjælpe hvis jeg kører 200 km i timen
>> og rammer et træ?
>>
>> Jeg fortrækker at kører forsigtigt.
>
> Og hvis du nu kører forsigtigt, det vil sig overholder normale
> hastigehedsgrænser, så vil du ikke bruge sikkerhedssele ? - Hvad så hvis
> andre opfører sig tåbeligt og kører ind i dig med 200 timen ? - Eller

Du brugte sikkerhedsselen som parallel til AV og firewall.

Generelt er det dumt at tegne paralleller mellem bilers sikkerhed og edb sikkerhed

>> Hvis maskinen er sikret. En sikring kan ske på mange måder, nogle hardner
>> applikationerne, andre installere blot flere applikationer.
>
> Tjaaaeh - hvis du hardner en applikation, så stoler du på at leverandøren
> også har 100% styr på applikatioenen. Hvis du så samtidig installere en ny
> applikation til af kontrollere den første. Så må du jo have forhøjet
> sikkerhed.

En ting er helt sikkert, man har forhøjet antallet af applikationer,
antallet af kode liner og antallet af fejl. Om det er godt eller skidt
afhænger af situationen.

> Ja så er vi jo enige .... NAT er ren addresse port tranlation, og indeholder
> ikke nogen sikkerhed. Men services på bagved ligger private IP adresser kan
> ikke nås, hvis der ikke er en NAT statement i routeren.

Private IP adresser kan godt nåes, ligegyldigt hvordan NAT reglerne er sat op!

> Den oprindelige mail nævnte at der var sikkerhed i NAT, så det var det spor,
> som blev forsat. Derfor er det ikke altid lige nemt at forstå.

Ok

> Fortæl mig så lige hvad der skulle være galt i ovenstående fremfor at komme
> med den indholdstomme bemærkning Men jeg kan godt se, at der kan optræde
> forvirring..... NAT i dag er jo misforstået, der er jo egenligt tale om PAT.
> Oprindelig NAT gik ud på at man havde en rækker private subnets, og en
> address pool på eksempelvis et klasse C-net. Hvis en privat IP adresse
> skulle på internettet, så benyttede man en map <Privat> -> <Public> og den

Generelt laver man også nogle filtre for hvilke pakker der må routes igennem
boksen.

> havde man så længe man havde en igangværende session eller til den timede
> ud. Men i takt med at internette var ved at løbe tør for adresse, så måtte

Nogle produkter bruger stateful inspection af pakkerne, for at se om fx
sekvens numrene passer

> Kort og Godt - Hvis man har en ADSL forbindelse fra for.eks. TDC vil man så
> putte sin XP arbejdsstation PC'er direkte på Internettet ? og kun stole på
> thighten security i XP, som eneste sikkerhed mod internettet ? JA / Nej ?

Hvis netstat ikke viser nogle listner på det eksterne kort, JA, ellers Nej, afhængigt
af hvad maskinen skal kører.

>> At største delen gør noget forkert er ikke et argument for det er rigtigt.
> Den holdning kommer man jo ikke langt med vel ? - Nogen rådgiver til at den
> eneste beskyttelse, man behøver mod internettet er en opstramning af
> sikkerheden på hjemmepc'en.

"opstramning af sikkerheden på hjemmepc'en" kan vist dække over mange ting.

>> Indtil videre er der gået 20 år, uden virus, men har været hos en del
> kunder
>> med AV som blev inficeret med virus.
>
> Tjaaaeh - Den slags argumenter er jo dejlige. De kan ikke bevises, og bør

Nej, for de tidligere kunder ville nok være kede af at blive udstillet.

Men du kan finde mange andre beviser, det mest kende er nok ILOVEU, den
blev endda vist i TV-Avisen.


Den nemmeste måde at forhindre ILOVEU ved hardning af sin maskiner er at
slette VB fortolkeren.

> vel ikke være et generelt råd til den almindelige bruger. Men jeg er sikker
> på at de 2-3 millioner internet brugere, som er i DK - Alle har gennemført
> en brugeruddannelse, som gør dem i stand til at konfigurere en sikker
> platformen, og giver dem erfaringen til at køre 20 år uden virus som dig.
> Men hovedparten kommer jo til at lukke noget ind inden der er gået 20 år..

Ovenstående kan klares af applikationer, men generelt gør det ikke noget folk
ved hvad det fortager sig.

Hvis man tager din bil-parallel, kræver det et kørekort at køre bil.

>> Hvor mange virus scanner håndtere ADS i NTFS?
>
> Aner det ikke - har ikke undersøgt det.

Jeg har ikke set en der håndtere det...hvordan kan man/du så være sikker
på man ikke har virus?

>> Som jeg ser din holdning er den, at AV og personlig firewall er alt hvad
>> der skal til for at få et sikkert setup.
> Og hvor er det nu lige at jeg skriver det ?

Det er det som jeg læser....du må sige til hvis jeg er forkert på den.

>> For 2-3 år siden, var alle AV produkter sat op til at scanne exe, dll,
> sys.
>
>> Så kom "ILOVEU", den havde frit spille rum, da største delen af alle virus
> installation
>> var sat forkert op (i de fleste af tilfældene var det default
> opsætningen).
>
> Tjaaaaeh - Hvad skal jeg sige til sådan et argument..... Lad være med at
> skanne exe, dll, sys filer for virus benytter alligevel frem over andre
> extensions ? Eller skal man lade antivirus producenterne også udvikle sig i
> takt med de ændrede vira mønstre. I dag sker det jo ikke på den måde. vel ?

Argumentet går på at stort set alle havde denne opsætning for 2-3 år siden, og
AV var ikke nogen løsning på ILOVEU.

Man kan så mener at det jo var sat forkert op, problemet var blot at konkurrencen
imellem AV producenterne også gik på performance.

Nogle installation kører meget langsomt med AV.

>
>> Hvad gør du imod de nye virus'er der er bygget til at omgåes virus
> scannerne for
>> derefter at så dem fra?
>
> Og hvad med de vira som er bygget til at udnyttes sårbarheder i din platform
> ? - Hvilke tror du først lukkes ? Sårbarhederne i din platform eller nye
> virus signatur filer, som tager højde for dette ?

Jeg fortrækker at minimere antallet af sårbarheder, fremfor blot at installere
flere applikationer, der potentielt kan være mere sårbart.

Et eksempel på dette er Symantec Norton antivirus's Liveupdate, der i gamle dage
(for 1 år siden), kontaktede en ftp server, hentede en zip fil, pakkede denne ud,
for derefter at aktivere en applikation i arkivet.

En angriber, kunne tage Symantecs ftp server, direkte eller indirekte (fx via DNS) og
placere en opdatering indeholdende en troj.

Derefter ville alle Norton brugere få en troj installeret automatisk.


Der findes masser af problemer med AV og personlige firewalls.

>> Jeg fortrækker at hardne min opsætning, maskinen kører endvidere også
> hurtigere.
>
> Altså du har en Hjemmearbejdsplads med WINXP Home Edition, som sidder
> direkte på en public adr uden firewall og uden AV ?

Jeg har en firewall, da jeg arbejder med flere netværkssegmenter og kun har
en public adresse, endvidere ville jeg aldrig kører XP, men ellers ja (dvs. uden AV).

---

Hej Christian


Du får absolut sidste mail i denne sag.

> > Kort og Godt - Hvis man har en ADSL forbindelse fra for.eks. TDC vil man
så
> > putte sin XP arbejdsstation PC'er direkte på Internettet ? og kun stole
på
> > thighten security i XP, som eneste sikkerhed mod internettet ? JA / Nej
?
>
> Hvis netstat ikke viser nogle listner på det eksterne kort, JA, ellers
Nej, afhængigt
> af hvad maskinen skal kører.

Oki - Der er jo det. Vi har så bare forskellige holdninger.

> >> Hvor mange virus scanner håndtere ADS i NTFS?
> >
> > Aner det ikke - har ikke undersøgt det.

> Jeg har ikke set en der håndtere det...hvordan kan man/du så være sikker
> på man ikke har virus?

Jeg har iøvrigt checkket - de to prof of concept vira af den type kan
detektes af blandt andet Norman (Kile : Norman). Men jeg har ikke kunnet
finde nogen "Virus in the wild" af den type .... Måske kender du nogen ?

Men på den anden side hvad er der muligt at gøre ved det gennem microsoft
? - Det har jeg hellet ikke kunnet finde nogen information om. Men du har
måske et link ?

> Det er det som jeg læser....du må sige til hvis jeg er forkert på den.

Naturligvis skal et system holdes up to date med patches, så vidt det er
muligt. Men man kan ikke med tighten security erstatte den funktionalitet og
beskyttelse som ligger i et godt AV og FW.

> Argumentet går på at stort set alle havde denne opsætning for 2-3 år
siden, og
> AV var ikke nogen løsning på ILOVEU.
>
> Man kan så mener at det jo var sat forkert op, problemet var blot at
konkurrencen
> imellem AV producenterne også gik på performance.

Og der kom aldrig en løsing på det og alle med AV produkter installeret
nåede at blive smittet ? Eller ?

> Nogle installation kører meget langsomt med AV.

Jeg ser faktisk slet ikke min, kan slet ikke mærke den kører, nå ja
naturligvis gør den, hvis den opdager en eller anden vira. Har et par
stykker liggende i zippede arkiver. Skal bare liiiige check at den stadig
virker ind imellem og det gør den.

> > Og hvad med de vira som er bygget til at udnyttes sårbarheder i din
platform
> > ? - Hvilke tror du først lukkes ? Sårbarhederne i din platform eller nye
> > virus signatur filer, som tager højde for dette ?
>
> Jeg fortrækker at minimere antallet af sårbarheder, fremfor blot at
installere
> flere applikationer, der potentielt kan være mere sårbart.

jamen - Det gør du jo ikke. Du ved jo IKKE om der er nogen sårbarheder i AV
programmerne ? Hvis der er så er de jo lukkede nu. Ligesom til Windows skal
man nok opgave flere og flere sårbarheder, som skal lukkes i AV
programmerne. Men ligenu er der ikke nogen kendte åbne sårbarheder i
AVprogrammer. Du kan nok finde et par stykker, som har nogen. Men der er
masser i microsoft.

Men lad det ligge ..... Jeg kan jo ikke tvinge jer. I har selv truffet et
valg "fred være med det" - Jeg kunne ikke være mere ligeglad. Nu har folk i
det mindste en valgmulighed - Og kan jo selv vælge frit.

Jeg kører windows update, normal sikkershed nivauer brugt med omtanke,
checker patches og opsætning med Microsoft Baseline Security Analyzer,
holder mig a jour med bugtraq, cert og modtager nyhedsbrevet fra
www.krusesecurity.dk - en god og let forståelig side, som giver selv
almindelige brugere mulighed for at forstå det. Men herudover har jeg
naturligvis AV samt mail AV (Amavis på Linux), så har jeg en Firewall (ikke
personlig), samt en Cisco Router med IOS Firewall. Herudover kører jeg inden
i mellem sårbarhedsskanninger af mine putere (Sker dog ikke så tit).

Det vil jeg jo ikke råde almindelige brugere til at gøre - med mindre at de
har ekspertisen. Her vil jeg råde dem til at :
1) Benytte et AV program
2) Installere en personlig firewall.
3) Vær up-to-date med windows update
4) Abonner på nyhedsbrevet fra krusesecurity (Gratis)
5) Benyt Microsoft Baseline Security Analyser til at vurdere sikkerheden
og eventuelt manglende patches

Men jeg ville aldrig råde dem til at undvære punkt 1 eller 2.

Cheers, Real

---

On Thu, 05 Jun 2003 21:57:12 +0200, RealWiild wrote:

> Her vil jeg råde dem til at :
> 1) Benytte et AV program
> 2) Installere en personlig firewall.
[...]
> Men jeg ville aldrig råde dem til at undvære punkt 1 eller 2.

Vil du så ikke bare undlade at råde nogen som helst om noget i relation
til netværkssikkerhed? Please.

/Troels

---

Hej Troels

> > Her vil jeg råde dem til at :
> > 1) Benytte et AV program
> > 2) Installere en personlig firewall.
> [...]
> > Men jeg ville aldrig råde dem til at undvære punkt 1 eller 2.
>
> Vil du så ikke bare undlade at råde nogen som helst om noget i relation
> til netværkssikkerhed? Please.

Tjaaaeh - Her kunne jeg komme med tilsvarende dumsmart bemærkning. Men jeg
vælger at lade være. Men svaret er nej - og slet ikke hvis alternativet er
den slags bemærkninger, som har intet konstruktivt eller eller på nogen
måde har en værdi for tråden.

Cheers, Real

---

In article <3edfa080$0$13215$edfadb0f@dread15.news.tele.dk>, RealWiild wrote:
> Du får absolut sidste mail i denne sag.

Hvorfor er der altid nogle der kan skrive dette flere gange på
én dag?

>> Hvis netstat ikke viser nogle listner på det eksterne kort, JA, ellers
> Nej, afhængigt
>> af hvad maskinen skal kører.
>
> Oki - Der er jo det. Vi har så bare forskellige holdninger.

Hvad skal en firewall hindre hvis der ikke er nogen listner i tcp stakken?

>> >> Hvor mange virus scanner håndtere ADS i NTFS?
>> > Aner det ikke - har ikke undersøgt det.
>> Jeg har ikke set en der håndtere det...hvordan kan man/du så være sikker
>> på man ikke har virus?
>
> Jeg har iøvrigt checkket - de to prof of concept vira af den type kan
> detektes af blandt andet Norman (Kile : Norman). Men jeg har ikke kunnet
> finde nogen "Virus in the wild" af den type .... Måske kender du nogen ?

Tag en hvilken som helst virus og gem den i ADS strukturen, nu kan virus scanneren
ikke se den.

Dette bør også være trivielt for en troj.


Men hvordan er du sikker på du ikke har en virus, hvis din scanner
ikke kan se den på filsystemet?

> Men på den anden side hvad er der muligt at gøre ved det gennem microsoft
> ? - Det har jeg hellet ikke kunnet finde nogen information om. Men du har
> måske et link ?

Sikre systemet så sandsynligheden er lille, bla. får brugeren ikke lov til at
gemme data på system partitionen.

>> Det er det som jeg læser....du må sige til hvis jeg er forkert på den.
> Naturligvis skal et system holdes up to date med patches, så vidt det er

Patches alene gør det ikke.

> muligt. Men man kan ikke med tighten security erstatte den funktionalitet og
> beskyttelse som ligger i et godt AV og FW.

Hvad er et godt AV og FW?

>> Argumentet går på at stort set alle havde denne opsætning for 2-3 år
> siden, og
>> AV var ikke nogen løsning på ILOVEU.
>>
>> Man kan så mener at det jo var sat forkert op, problemet var blot at
> konkurrencen
>> imellem AV producenterne også gik på performance.
>
> Og der kom aldrig en løsing på det og alle med AV produkter installeret
> nåede at blive smittet ? Eller ?

Jo løsningen var at sætte produktet ordenligt op, hvilket også
er løsningen med OS'et.

Løsningen er ikke at bruge AV uden at sætte det eller OS'et ordenligt op.


Jeg har set en størrer EL-producent, få virus fordi en chef kommer ind med
en maskine der kørte langsomet. IT-supporteren kunne ikke finde fejlen, og den
kørte også langsomt da han logger ind på den...måske er det et rettigheds-
problem, derfor logger han ind som administrator, herefter spreder virusen
sig via c$ shares på serverne.

Hvorfor har man c$ shares på sine serveren hvis man ikke bruger det til noget?

Den oprindelig maskine havde AV installeret, der var blot gået noget galt siden
installationen.

>> Nogle installation kører meget langsomt med AV.
>
> Jeg ser faktisk slet ikke min, kan slet ikke mærke den kører, nå ja

Spørg den grafiske brance, specielt dem med billed-databaser.

> naturligvis gør den, hvis den opdager en eller anden vira. Har et par
> stykker liggende i zippede arkiver. Skal bare liiiige check at den stadig
> virker ind imellem og det gør den.

>> > Og hvad med de vira som er bygget til at udnyttes sårbarheder i din
> platform
>> > ? - Hvilke tror du først lukkes ? Sårbarhederne i din platform eller nye
>> > virus signatur filer, som tager højde for dette ?

Jeg antager det for naivt at tro en virus signatur fil, kan finde en
sårbarhed, da en sårbarhed kan udnyttes på mange måder.

>> Jeg fortrækker at minimere antallet af sårbarheder, fremfor blot at
> installere
>> flere applikationer, der potentielt kan være mere sårbart.
>
> jamen - Det gør du jo ikke. Du ved jo IKKE om der er nogen sårbarheder i AV
> programmerne ? Hvis der er så er de jo lukkede nu. Ligesom til Windows skal

Almidelig sund fornuft forudsætter at der er sårbarheder i alle applikationer.

Jeg ser det som at antallet af applikationer, er lig med antallet af kodeliner, som
er lig med antallet af fejl.

Jo simpler et setup du har, jo nemmere er det at sikre...det kan da ikke være
svært at forstå.

> man nok opgave flere og flere sårbarheder, som skal lukkes i AV
> programmerne. Men ligenu er der ikke nogen kendte åbne sårbarheder i
> AVprogrammer. Du kan nok finde et par stykker, som har nogen. Men der er
> masser i microsoft.

De slemmeste AV sårbarheder har betyder det var muligt at inficere alle
maskiner med den ene producents AV applikation, på en gang.

> Men lad det ligge ..... Jeg kan jo ikke tvinge jer. I har selv truffet et
> valg "fred være med det" - Jeg kunne ikke være mere ligeglad. Nu har folk i
> det mindste en valgmulighed - Og kan jo selv vælge frit.

> Jeg kører windows update, normal sikkershed nivauer brugt med omtanke,
> checker patches og opsætning med Microsoft Baseline Security Analyzer,
> holder mig a jour med bugtraq, cert og modtager nyhedsbrevet fra
> www.krusesecurity.dk - en god og let forståelig side, som giver selv
> almindelige brugere mulighed for at forstå det. Men herudover har jeg
> naturligvis AV samt mail AV (Amavis på Linux), så har jeg en Firewall (ikke
> personlig), samt en Cisco Router med IOS Firewall. Herudover kører jeg inden
> i mellem sårbarhedsskanninger af mine putere (Sker dog ikke så tit).

Dvs. du kører 4 applikationer på din maskine for at sikre dig.

Mangler du ikke også en spyware scanner?

> Det vil jeg jo ikke råde almindelige brugere til at gøre - med mindre at de
> har ekspertisen. Her vil jeg råde dem til at :
> 1) Benytte et AV program
> 2) Installere en personlig firewall.
> 3) Vær up-to-date med windows update
> 4) Abonner på nyhedsbrevet fra krusesecurity (Gratis)
> 5) Benyt Microsoft Baseline Security Analyser til at vurdere sikkerheden
> og eventuelt manglende patches
>
> Men jeg ville aldrig råde dem til at undvære punkt 1 eller 2.

---

Hej Christian

> Hvad skal en firewall hindre hvis der ikke er nogen listner i tcp stakken?

Nu ser du en Firewall som simpel packet filtering - Nu er den jo mere end
det.


> > Jeg har iøvrigt checkket - de to prof of concept vira af den type kan
> > detektes af blandt andet Norman (Kile : Norman). Men jeg har ikke kunnet
> > finde nogen "Virus in the wild" af den type .... Måske kender du nogen ?
>
> Tag en hvilken som helst virus og gem den i ADS strukturen, nu kan virus
scanneren
> ikke se den.
>
> Dette bør også være trivielt for en troj.

Hvorfor er det så ikke gjort endnu ? - Jeg mener, der er jo lavet
proff-of-concept. Man er jo så sikker på at lægge alt ned. Så er det jo bare
at gøre det. Måske fordi det ikke er så nemt endda.
Men som jeg skrev Norman understøtter det i følge support@norman.no i hvert
fald for de to test vira som er lavet. Og Norman er absout ikke unikke på
det her område, så jeg må tror andre også gør. Det er jo ikke nogen "virus
in the wild, som udnytter det" - hvis der var, så ville de jo nok.

> Men hvordan er du sikker på du ikke har en virus, hvis din scanner
> ikke kan se den på filsystemet?

Den skal jo lige ind på filsystemet ikk ? - Men der er jo ikke nogen vira af
den type i omløb.

> > Men på den anden side hvad er der muligt at gøre ved det gennem
microsoft
> > ? - Det har jeg hellet ikke kunnet finde nogen information om. Men du
har
> > måske et link ?

> Sikre systemet så sandsynligheden er lille, bla. får brugeren ikke lov til
at
> gemme data på system partitionen.

Hm.... Vi snakker stadig om hjemmePC'ere ikk ? Og hvem styrer så brugeren ?

> >> Det er det som jeg læser....du må sige til hvis jeg er forkert på den.
> > Naturligvis skal et system holdes up to date med patches, så vidt det er
>
> Patches alene gør det ikke.

Nej - Naturligvis ikke.

> > muligt. Men man kan ikke med tighten security erstatte den
funktionalitet og
> > beskyttelse som ligger i et godt AV og FW.
>
> Hvad er et godt AV og FW?

Se det er i hvertfald et spørgsmål om subjektivt spørgsmål, som jeg ikke kan
svare på for alle og som tilgodeser alles individuelle behov. .

> Jo løsningen var at sætte produktet ordenligt op, hvilket også
> er løsningen med OS'et.

Hvor meget skal der egenligt gøres ved et AV program under installation og
opsætning ? Der er ikke mange valgmuligheder eller steder der skal pilles.
OS'et er jo en hel anden snak.

> Løsningen er ikke at bruge AV uden at sætte det eller OS'et ordenligt op.

> Jeg har set en størrer EL-producent, få virus fordi en chef kommer ind med
> en maskine der kørte langsomet. IT-supporteren kunne ikke finde fejlen, og
den
> kørte også langsomt da han logger ind på den...måske er det et rettigheds-
> problem, derfor logger han ind som administrator, herefter spreder virusen
> sig via c$ shares på serverne.

Tjaaaaeh hvad skal jeg sige .... Den slags scenarier ville jo ikke have
hjulpet i din løsning heller. Han logger jo på som administrator. Og her er
tale om total utraditionel smittevej. Det er jo ikke noget særligt brugbart
argument.

> Hvorfor har man c$ shares på sine serveren hvis man ikke bruger det til
noget?

> Den oprindelig maskine havde AV installeret, der var blot gået noget galt
siden
> installationen.

Hm... Altså vi snakker om hjemmePC'ere ? Eller skal virksomheder heller ikke
brug AV produkter ? Der findes også dårlige AV installationer udført at
kompetente folk - Man er jo kun menneske.

> >> Nogle installation kører meget langsomt med AV.
> >
> > Jeg ser faktisk slet ikke min, kan slet ikke mærke den kører, nå ja
>
> Spørg den grafiske brance, specielt dem med billed-databaser.

Vi snakker stadig om hjemmePC'er ikke ? Argumenterne kommer jo ikke
derfra. On-Access skanninger benytter jo ikke CPU kraft mens man arbejder i
grafisk applikation. Hvis AV ikke kan kører resisdent, så kan andet heller
ikke, som mail, office produkter, browsere o.s.v. Alle mine AV deamons
benytter i gennemsnit 0% CPU kraft. Så det er altså heller ikke et argument.
Man kunne vælge en anden AV leverandør - Men der må sgu være noget galt i
opsættet, hvis det skulle gøre så stor forskel. Men hvilket AV program
brugere de ?

Hmmm.... Jeg har arbejdet i den grafiske branche (næsten : Engineering) men
ret tunge applikationer til 2/3D Modelling og Modellerne bestod af rør ....
masser af rør, og de kunne nu godt køre AV.

Men det er jo snart slut med den slags der er flere AV leverandører, som vil
lave en netbaseret udgave, som aflevere dele af tcp data til en central AV
skanner server, som så skanner den del, og hvis det ser mistænkelig ud beder
den om resten. Den tager alle protokol typer, så er det jo en helt anden
snak.

> Jeg antager det for naivt at tro en virus signatur fil, kan finde en
> sårbarhed, da en sårbarhed kan udnyttes på mange måder.

Hvis en Vira udnytter sårbarheder i dit OS, så vil disse hurtigere blive
fanget af et AV program end eksempelvis MS er til at kommer med patches.

> > jamen - Det gør du jo ikke. Du ved jo IKKE om der er nogen sårbarheder i
AV
> > programmerne ? Hvis der er så er de jo lukkede nu. Ligesom til Windows
skal
>
> Almidelig sund fornuft forudsætter at der er sårbarheder i alle
applikationer.

Ja - Og selv om MS lukker alle de 17 åbne sårbarheder, så vil der til
stadighed komme nye sårbaheder til. Som jeg sagde, jeg har hverken i
cert.org, bugtraqs, announce set nogen nuværende sårbarheder i AV
programmer - har du ?

> Jeg ser det som at antallet af applikationer, er lig med antallet af
kodeliner, som
> er lig med antallet af fejl.

> Jo simpler et setup du har, jo nemmere er det at sikre...det kan da ikke
være
> svært at forstå.

Og jo mere vil det gå ud over den funktionalitet, som du ønsker. Men hvis
man også har simple krav til funktionalitet, så er det jo nemt at lukke af
for alt.

> Dvs. du kører 4 applikationer på din maskine for at sikre dig.

Jeg kører den jo ikke på min maskine men på mit private netværk. Nu har jeg
jo også lidt større krav til funktionalitet med egen mailserver, webserver,
ftp server, IPsec klienter, samt P2P, diverse messengere, online spil (ind
i mellem) o.s.v. - Samt 400 GB data, som jeg helst ikke vil miste, har tre
unger, og en kone, som også gerne vil lege på internettet. Så jooeh jeg har
et unormalt brug, som gør, at jeg vil sikre mig, så godt som jeg overhovedet
kan.

> Mangler du ikke også en spyware scanner?

Tjaaaeh ... Tjoooeh .... har ikke de store problemer med spyware ... spam er
en helt anden sag.

Men det sluttere senere i dag hvor jeg installere en smtp-gateway på DMZ på
net med to NICs, et til intern trafik og et til eksternt, så putter jeg SW
på som skanner mails for alle former for malware med heuristisk skanner,
samt spam blocker. Men det er jo en helt anden snak

Cheers, Real