---

Jeg hører jo om at en nyinstalleret winxp er inficeret efter ganske få
minutter online, så jeg er lidt nysgerrig. Hvordan ny-installerer man
windows xp på en sikker måde?

Kan man f.eks. downloade microsoft patches som "bundles" på en anden
maskine som man selv kan lægge på installations-maskinen med netstikket
taget ud? Hvis ja, hvor henter man så den slags?


--
np: Boc Scadet - parasol
http://www.last.fm/user/front243/

---

Thomas Jespersen skrev:

> Jeg hører jo om at en nyinstalleret winxp er inficeret efter ganske få
> minutter online, så jeg er lidt nysgerrig. Hvordan ny-installerer man
> windows xp på en sikker måde?

Ved at hente denne her opskrift:

http://home18.inet.tele.dk/madsen/winxp/Tjenester_SP2.pdf

Så installerer man XP og bruger derefter opskriften - og først
derefter får pc'en lov at gå på nettet.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen skrev:
> Ved at hente denne her opskrift:
>
> http://home18.inet.tele.dk/madsen/winxp/Tjenester_SP2.pdf
>
> Så installerer man XP og bruger derefter opskriften - og først
> derefter får pc'en lov at gå på nettet.

Jeg må endnu engang kommentere den "opskift" - den er altså langt fra
perfekt.

1) Opskriften anbefaler at man deativerer Windows XP's indbyggede NTP
klient - i samme sekund man gør det har man effektivt ødelagt enhver
chance for bevisførelse hvis ens system bliver kompromitteret. I
princippet kan man ligeså godt herefter deaktivere AL logning på
systemet da den uden korrekt tidsstempling ikke er valid.

2) Det er usmart at frakoble Windows XP's indbyggede overvågning af
firewall og antivirus funktioner - at én af disse pludseligt er sat ud
af funktion er en god indikation af at ens system kan være kompromitteret.

3) Det er ligeledes meget usmart at guiden overhovedet nævner muligheden
for at deaktivere automatisk opdatering af Windows. Den jævne bruger vil
ikke få besøgt Windows Update dagligt - eller ugentligt som det
efterhånden må siges at værre tvingende nødvendigt.

Den bedste løsning er mine mine øje - at flå netværkskablet ud af PC'en
mens man installerer Windows XP.

Herefter patches installationen til nyeste service pack - er firewall'en
aktiv kan man roligt enten lade Windows XP selv 'patche sig op' eller
man kan manuelt besøge Windowsupdate.

Vil man forbedre den procedure lidt - vil jeg anbefale at man har et
antivirus produkt samt de nyeste definitionsfiler liggende på en CD
eller USB stick og installer dem inden man kobler maskinen på nettet.

Dele af "Opskriften" som Bertel reklamerer for styrker rigtigt nok
sikkerheden - men den er ikke i sig selv nok til at man kan betegne
systemet som "hardened".

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

Uffe S. Callesen skrev:

> 1) Opskriften anbefaler at man deativerer Windows XP's
> indbyggede NTP klient - i samme sekund man gør det har man
> effektivt ødelagt enhver chance for bevisførelse hvis ens
> system bliver kompromitteret.

Ikke forstået. Mit ur går da fint uden netsynkronisering.

> 2) Det er usmart at frakoble Windows XP's indbyggede
> overvågning af firewall og antivirus funktioner

Nej. Begge dele er overflødige.

> - at én af disse pludseligt er sat ud af funktion er en god
> indikation af at ens system kan være kompromitteret.

Jeg holder øje med min sendlampe. Hvis den blinker uden selv jeg
bruger nettet, er en god indikation af at mit system er
kompromitteret. Det er endnu ikke sket.

> 3) Det er ligeledes meget usmart at guiden overhovedet nævner muligheden
> for at deaktivere automatisk opdatering af Windows.

Næ. Det noget tid siden jeg har opdateret min Windows, og sidst
jeg tjekkede, var der ikke noget at hente.

> Den jævne bruger vil ikke få besøgt Windows Update dagligt -
> eller ugentligt

Det er korrekt. De systemer jeg har sat op eller anbefalet
opsætning af, er sikkert ikke blevet opdateret siden de blev
installeret (og opdateret som det første).

> som det efterhånden må siges at værre tvingende nødvendigt.

Det er ikke tvingende nødvendigt for mig. Det er ikke tvingende
nødvendigt for dem jeg har hjulpet og hjælper.

> Den bedste løsning er mine mine øje - at flå netværkskablet ud
> af PC'en mens man installerer Windows XP.

Har du læst opskriften?

> Dele af "Opskriften" som Bertel reklamerer for styrker rigtigt
> nok sikkerheden - men den er ikke i sig selv nok til at man
> kan betegne systemet som "hardened".

Det er svært at argumentere imod succes.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen skrev:
> Ikke forstået. Mit ur går da fint uden netsynkronisering.

Ja bevares - men alle dine log filer kan ikke bruges til bevisførelse
hvis klokkeslettet i dem ikke stemmer nøjagtigt. Har man en hardware
router / firewall sørger man naturligvis for at denne trækker tid/dato
fra samme kilde.


>> 2) Det er usmart at frakoble Windows XP's indbyggede
>> overvågning af firewall og antivirus funktioner
>
> Nej. Begge dele er overflødige.

Det savner jeg stadig saglige argumenter for..

> Jeg holder øje med min sendlampe. Hvis den blinker uden selv jeg
> bruger nettet, er en god indikation af at mit system er
> kompromitteret. Det er endnu ikke sket.

Hvad med forespørgsler til dit system som afvises - de vil også få "send
lampen" til at blinke..

>> 3) Det er ligeledes meget usmart at guiden overhovedet nævner muligheden
>> for at deaktivere automatisk opdatering af Windows.
>
> Næ. Det noget tid siden jeg har opdateret min Windows, og sidst
> jeg tjekkede, var der ikke noget at hente.

Så er vi tilbage til min oprindelige pointe - folk der ikke holder deres
systemer opdaterede og benytter AV er *bulder* roden til alt ondt -
Det er disse maskiner der bruges i bot netværk - og som før eller siden
rammers af orme og hjælper disse i deres hærgen.

>> Den jævne bruger vil ikke få besøgt Windows Update dagligt -
>> eller ugentligt
>
> Det er korrekt. De systemer jeg har sat op eller anbefalet
> opsætning af, er sikkert ikke blevet opdateret siden de blev
> installeret (og opdateret som det første).

Se ovenfor...

>> som det efterhånden må siges at værre tvingende nødvendigt.
>
> Det er ikke tvingende nødvendigt for mig. Det er ikke tvingende
> nødvendigt for dem jeg har hjulpet og hjælper.

Se ovenfor og - vi andre ville dæleme sætte pris på at de systemer blev
holdt opdateret.

>> Den bedste løsning er mine mine øje - at flå netværkskablet ud
>> af PC'en mens man installerer Windows XP.
>
> Har du læst opskriften?

Ja - som sagt er der også visdom i den - det er bare ikke biblen hvad
sikring af Windows XP angår...


> Det er svært at argumentere imod succes.

Syntes ellers det går fint :) Kniber lidt mere for dig at argumentere
for den påståede succes i mine øjne

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

Uffe S. Callesen skrev:

>> Nej. Begge dele er overflødige.

> Det savner jeg stadig saglige argumenter for..

Jeg savner saglige argumenter for at de er nødvendige. Og jeg
forstår ikke din og andres tyrkertro på at diverse billige
produkter er i orden.

Du mente tidligere at jeg kunne have en virus som jeg ikke
opdagede. Har du overvejet den tanke at alle de systemer der er
sat op efter dit ønske, ikke er anderledes stillet hvad det
angår?

> Hvad med forespørgsler til dit system som afvises - de vil også få "send
> lampen" til at blinke..

Så får jeg nok ikke sådan nogen. Den blinker kun når jeg bruger
nettet. Derimod står enet-lampen og recv-lampen og leger
stroboskoplys.

>> Næ. Det noget tid siden jeg har opdateret min Windows, og sidst
>> jeg tjekkede, var der ikke noget at hente.

> Så er vi tilbage til min oprindelige pointe - folk der ikke holder deres
> systemer opdaterede og benytter AV er *bulder* roden til alt ondt

Den bliver ikke rigtig af at blive gentaget. Er det meget svært
at forstå at mit system ikke er smittet?

> Det er disse maskiner der bruges i bot netværk - og som før eller siden
> rammers af orme og hjælper disse i deres hærgen.

Det er ikke min, og de andre ville give lyd fra sig hvis deres
system blev mærkeligt. De har ikke monstermaskiner hvor det knapt
kan mærkes hvis de pumper spam i baggrunden.

> Se ovenfor og - vi andre ville dæleme sætte pris på at de systemer blev
> holdt opdateret.

Pjat. Det er ikke uangrebne systemer der skal bruges kræfter på.

>> Har du læst opskriften?

> Ja

Den starter med at man fjerner netforbindelsen inden man
installerer. Det lød som om det var undgået din opmærksomhed.

> Syntes ellers det går fint :) Kniber lidt mere for dig at argumentere
> for den påståede succes i mine øjne

De systemer jeg har med at gøre, er ikke smittede. Hvad skulle
jeg dog ellers kunne sige af 'argumenter'?

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen skrev:
> Jeg savner saglige argumenter for at de er nødvendige. Og jeg
> forstår ikke din og andres tyrkertro på at diverse billige
> produkter er i orden.

Jeg har aldrig sagt noget om at alle antivirus programmer er lige gode -
det er de bestemt ikke - Jeg vil dog altid påstå at en dårlig antivirus
er bedre end ingen antivirus. I mine øjne handler det også om at tage
ansvar - hvis alle folk -fejlagtigt- troede at de ikke kunne få virus så
ville internettet jo være fuldstændigt ubrugeligt med alt den trafik det
ville generere. Det er fint at du tror at din maskine er "sikker nok"
men at du prædiker det til andre er en glidebane jeg gerne gør mit for
at sætte en stopper for.

> Du mente tidligere at jeg kunne have en virus som jeg ikke
> opdagede. Har du overvejet den tanke at alle de systemer der er
> sat op efter dit ønske, ikke er anderledes stillet hvad det
> angår?

Det er jo netop forskellen - jeg ved at de systemer jeg administrerer
ihvertfald ikke er inficeret med nogen af de viruser der spreder sig
lige nu (med mindre vi snakker om det lille vindue fra virus frigives
til de nye definitioner er klar) - du ved (ikke generelt ment) ingenting..

Moderne viruser er ofte skrevet målrettet til at suge informationer ud
af dit system - de er ikke nødvendigvis skadelige for dit system men kan
blot ligge og smide alt hvad du indtaster på websider ud i en IRC kanel.
Du skal ikke forsøge at bilde mig ind at du nogensinde ville opdage en
sådan infektion af dit system.


> Den bliver ikke rigtig af at blive gentaget. Er det meget svært
> at forstå at mit system ikke er smittet?

Er det meget svært at forstå at du jo IKKE kan udtale dig om hvorvidt
dit system er inficeret eller ej uden at scanne det... At det sikkert
ikke er inficeret har du nok ret i - men det er ikke min pointe...

> Pjat. Det er ikke uangrebne systemer der skal bruges kræfter på.

Tillykke du er nu nået det stadie at sikkerheds "awareness" hvor de
fleste windows administratorer var for 3-4 år siden. Den gang kunne man
vade rundt i u-patchede systemer som blot tiggede om at blive ramt at
exploits - og det kan jeg garantere dig for at de gjorde.

Jeg vil anbefale dig at læse lidt op på trusselsbilledet idag - et eller
andet siger mig at vi ikke snakker om beskyttelse imod de samme ting.

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

Den Fri, 28 Apr 2006 20:39:27 +0200 skrev Uffe S. Callesen:
> Bertel Lund Hansen skrev:
>> Jeg savner saglige argumenter for at de er nødvendige. Og jeg
>> forstår ikke din og andres tyrkertro på at diverse billige
>> produkter er i orden.
>
> Jeg har aldrig sagt noget om at alle antivirus programmer er lige gode -
> det er de bestemt ikke - Jeg vil dog altid påstå at en dårlig antivirus
> er bedre end ingen antivirus. I mine øjne handler det også om at tage
> ansvar - hvis alle folk -fejlagtigt- troede at de ikke kunne få virus så
> ville internettet jo være fuldstændigt ubrugeligt med alt den trafik det
> ville generere. Det er fint at du tror at din maskine er "sikker nok"
> men at du prædiker det til andre er en glidebane jeg gerne gør mit for
> at sætte en stopper for.

Problemet er bare at manden har ret. At fjerne angrebsvektorer er
meget mere sikkert end at installere ekstra software med egne
angrebsvektorer.

> Det er jo netop forskellen - jeg ved at de systemer jeg administrerer
> ihvertfald ikke er inficeret med nogen af de viruser der spreder sig
> lige nu (med mindre vi snakker om det lille vindue fra virus frigives
> til de nye definitioner er klar) - du ved (ikke generelt ment) ingenting..

Så som fra da "loveletter" virus'en blev frigivet til for et års
tid siden da en kollega ikke ville tro på at McAfee ikke fanger
den?

Jeg har aldrig set nogen flå et netkabel ud så hurtigt som da det
gik op for ham at antivirus'en ikke opdagede noget.

> Moderne viruser er ofte skrevet målrettet til at suge informationer ud
> af dit system - de er ikke nødvendigvis skadelige for dit system men kan
> blot ligge og smide alt hvad du indtaster på websider ud i en IRC kanel.
> Du skal ikke forsøge at bilde mig ind at du nogensinde ville opdage en
> sådan infektion af dit system.
>
>
>> Den bliver ikke rigtig af at blive gentaget. Er det meget svært
>> at forstå at mit system ikke er smittet?
>
> Er det meget svært at forstå at du jo IKKE kan udtale dig om hvorvidt
> dit system er inficeret eller ej uden at scanne det... At det sikkert
> ikke er inficeret har du nok ret i - men det er ikke min pointe...

Har du en troværdig måde at scanne for virus'er? Eller tror du
stadig på antivirus-producenterne?

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Uffe S. Callesen skrev:

> Jeg har aldrig sagt noget om at alle antivirus programmer er lige gode -
> det er de bestemt ikke - Jeg vil dog altid påstå at en dårlig antivirus
> er bedre end ingen antivirus.

Jamen, det bliver stadig ikke rigtigere af at blive gentaget. Min
sikring består i at lukke netforbindelser ned. Når de er fjernet,
ved jeg at mit system ikke kan angribes medmindre jeg selv
aktiverer noget snavs.

Din sikring består i at sætte sin lid til en fabrikant der tjener
penge på at bilde dig ind at hans program kan lukke alle huller.
Og det går galt når det er ukyndige der betjener systemet. Man
ved ikke hvad de siger ja eller nej til, og man ved ikke om de
ikke aktiverer en virus i blind tillid til deres AV-program.

> ville generere. Det er fint at du tror at din maskine er "sikker nok"
> men at du prædiker det til andre er en glidebane jeg gerne gør mit for
> at sætte en stopper for.

I lige måde med din og andres præken om AV og firewall.

> Det er jo netop forskellen - jeg ved at de systemer jeg administrerer
> ihvertfald ikke er inficeret med nogen af de viruser der spreder sig
> lige nu

Det ved du jo ikke. Du ved kun at de ikke er smittede med dem som
din AV-guru kan opdage. Hvis du brugte din fantasi over for dine
egne systemer som du gør over for mit, kan du hurtigt hitte på en
virus som er på dit system uden at du opdager det.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen <nospamfilius@lundhansen.dk> wrote:

>> Hvad med forespørgsler til dit system som afvises - de vil også få "send
>> lampen" til at blinke..
>
>Så får jeg nok ikke sådan nogen. Den blinker kun når jeg bruger
>nettet. Derimod står enet-lampen og recv-lampen og leger
>stroboskoplys.

Gætter på du har en router med NAT. Så vil den jo bare droppe al
baggrundsstøjen på Nettet der ikke matcher dens sessionstabel.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund skrev:

> Gætter på du har en router med NAT.

Det har jeg, men dens dioder er så små at det er kabelmodemmets
lamper jeg kikker på, og det sidder før routeren.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen <nospamfilius@lundhansen.dk> wrote:

>> Gætter på du har en router med NAT.
>
>Det har jeg, men dens dioder er så små at det er kabelmodemmets
>lamper jeg kikker på, og det sidder før routeren.

Ligegyldigt ift. pointen - som jeg ikke tror du helt fangede. Så prøv
at læse mit indlæg igen.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Bertel Lund Hansen skrev:
> Lars Kim Lund skrev:
>
>> Gætter på du har en router med NAT.
>
> Det har jeg, men dens dioder er så små at det er kabelmodemmets
> lamper jeg kikker på, og det sidder før routeren.

Jamen du milde himmel du prædiker løs om at firewall's ikke er
nødvendige - samtidig med at du gemmer dig bag en NAT enhed.

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

Den Sat, 29 Apr 2006 09:03:13 +0200 skrev Uffe S. Callesen:
> Bertel Lund Hansen skrev:
>> Lars Kim Lund skrev:
>>
>>> Gætter på du har en router med NAT.
>>
>> Det har jeg, men dens dioder er så små at det er kabelmodemmets
>> lamper jeg kikker på, og det sidder før routeren.
>
> Jamen du milde himmel du prædiker løs om at firewall's ikke er
> nødvendige - samtidig med at du gemmer dig bag en NAT enhed.

Har du overvejet muligheden for at han gør det enten fordi dimsen
laver andet end NAT, eller fordi han har brug for NAT-enhedens
primære funktionalitet, ikke for at gemme sig.

Hvorfor er NAT-enheden sikker? Fordi den er solgt som et sikkerheds-
produkt? Fordi der står NAT på den? Fordi et marketing-fjols kom til at
skrive "firewall" i reklamen? Fordi den ikke er lavet af Microsoft (hehe)?
Fordi den er magisk?

Nej, det er fordi den ikke lytter på nettet, men blot afviser[1] alle
indkommende connections den ikke har bedt om. Ligesom Bertels PC gør.
Det er præcis det samme der sker i begge tilfælde, og resultatet er
derfor også det samme.

Mvh
Kent

[1] Hvis den følger TCP/IP standarden. Nogen af de billige har det
ligesom Internet Explorer hvad angår standarder.
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis skrev:
> Har du overvejet muligheden for at han gør det enten fordi dimsen
> laver andet end NAT, eller fordi han har brug for NAT-enhedens
> primære funktionalitet, ikke for at gemme sig.

En NAT enhed har kun et formål - at mappe en public IP adresse til flere
interne. En (i nogen henseender) heldig bi-effekt er at den som du selv
siger kun tillader indgående trafik som er initialiseret fra den private
side af NAT enheden. Det er vi fuldstændigt enige om og det har intet
med denne diskution at gøre.

> Hvorfor er NAT-enheden sikker? Fordi den er solgt som et sikkerheds-
> produkt? Fordi der står NAT på den? Fordi et marketing-fjols kom til at
> skrive "firewall" i reklamen? Fordi den ikke er lavet af Microsoft (hehe)?
> Fordi den er magisk?

Hvem har sagt den er sikker - den opfylder ovenstående og sikrer dermed
effektivt at man kun får den kontakt/kommunikation til internettet man
selv ønsker (eller som ihvertfald initialiseres fra det private net)

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

Uffe S. Callesen skrev:

> Jamen du milde himmel du prædiker løs om at firewall's ikke er
> nødvendige - samtidig med at du gemmer dig bag en NAT enhed.

Ja, fordi det er ligegyldigt for min pointe. Jeg vil uden
problemer kunne sætte pc'en direkte på mit kabelmodem, og sådan
kørte jeg i et par år før jeg fik router.

Routeren NAT'er og den har indbygger firewall som jeg ikke har
slået fra. Det skyldes at den ikke trækker ressourcer fra mit
system, at den holder sin kæft til den bliver spurgt, og at den
ikke konflikter med det jeg bruger, men den er ikke en del af min
sikkerhedspolitik.

Mine kunder har også router, men de private jeg har hjulpet har
ikke.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Uffe S. Callesen ramte sit keyboard den 29-04-2006 09:03 og fik dette ud
af det:

> Jamen du milde himmel du prædiker løs om at firewall's ikke er
> nødvendige - samtidig med at du gemmer dig bag en NAT enhed.

Ja, det er da helt vildt.
<ironi>
Det er da meget bedre at forbinde pc'en direkte til internettet, og så
købe en maskine der er 30% kraftigere end man har brug for, og så fylde
den op med software, som bruger disse 30% cpu-kraft til at lytte og lede
efter ting, som allerede er kommet ind på pc'en.
Det er ikke firewallfunktion alligevel. Det er brandslukning. Tingene
*er* allerede inde på pc, for ellers kan softwaren jo ikke få kontakt
med det.
Det er også bedre at bruge noget software (læs: MS Windows), der default
har en masse porte åbne, end at bruge en NAT router, der default har
alle porte lukkede.
</ironi>

En firewall, der virker kan i sagens natur ikke ligge på samme maskine,
som den skal beskytte.

--
Benny Nissen
Stop underskriftsindsamlinger: www.stop.underskrifter.dk

---

Benny Nissen skrev:

> <ironi>
> Det er da meget bedre at forbinde pc'en direkte til internettet, og så
> købe en maskine der er 30% kraftigere end man har brug for, og så fylde
> den op med software, som bruger disse 30% cpu-kraft til at lytte og lede
> efter ting, som allerede er kommet ind på pc'en.

Jeg kender én der havde (og måske har) to forskellige
AV-programmer installeret og en installeret firewall samt XP's
indbyggede kørende. Det tager en borgerkrig hver gang han starter
sit system, og ind imellem må han holde pause når en af
AV-scannerne går igang.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen skrev:
> Jeg kender én der havde (og måske har) to forskellige
> AV-programmer installeret og en installeret firewall samt XP's
> indbyggede kørende. Det tager en borgerkrig hver gang han starter
> sit system, og ind imellem må han holde pause når en af
> AV-scannerne går igang.

2 antivirus scannere der kører samtidigt er dømt til at gå galt - hvis
de begge scanner on-access er det jo i princippet en skrue uden ende :)

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

"Bertel Lund Hansen" <nospamfilius@lundhansen.dk> skrev i en meddelelse
news:44534b95$0$12400$ba624c82@nntp02.dk.telia.net...
> Benny Nissen skrev:
>
> Jeg kender én der havde (og måske har) to forskellige
> AV-programmer installeret og en installeret firewall samt XP's
> indbyggede kørende. Det tager en borgerkrig hver gang han starter
> sit system, og ind imellem må han holde pause når en af
> AV-scannerne går igang.
>

Jeg kan følge dig langt hen af vejen - det bedste er at lukke de åbenlyse
huller a'la "sikker installation af XP/SP2" - men jeg har AVG free edition,
Spybot, Spywareblaster, og Lillebløds egen Antispyware samt dens egen
Firewall kørende - det tager ca. 20 sekunder fra jeg trykker på knappen til
maskinen er klar - det må være verdens korteste borgerkrig!

Men jeg indrømmer, at de nævnte programmer tilsyneladende er arbejdsløse


Alf

---

Bertel Lund Hansen <nospamfilius@lundhansen.dk> wrote:

>> Det er da meget bedre at forbinde pc'en direkte til internettet, og så
>> købe en maskine der er 30% kraftigere end man har brug for, og så fylde
>> den op med software, som bruger disse 30% cpu-kraft til at lytte og lede
>> efter ting, som allerede er kommet ind på pc'en.
>
>Jeg kender én der havde (og måske har) to forskellige
>AV-programmer installeret og en installeret firewall samt XP's
>indbyggede kørende. Det tager en borgerkrig hver gang han starter
>sit system, og ind imellem må han holde pause når en af
>AV-scannerne går igang.

Det er også noget fjolleri. Men der er en række problemstillinger,
hvor dit forslag ikke løser dem alle.

Der er det problem at en windows maskine som udgangspunkt tilbyder en
række services, som kan misbruges. Det løser man ved at sørge for at
den ikke tilbyder disse services eller ved at have en firewall / NAT
boks, så andre ikke kan tilgå dem.

Et andet problem er at der kan være fejl i programmer, der gør at man
kan blive "hacket" ved almindelig brug. Det løser man ved at holde
maskinen opdateret med sikkerhedsrettelser.

Det tredje problem er at der er masser af virus, orme o.l på nettet.
Hvis man kun downloader ting fra steder man har ubetinget tillid til -
og kører sin maskine i en ikke-administrativ bruger-kontekst, så når
man langt. Men i princippet løser din metode ikke problemet med
brugeradfærd.

Så lidt afhængig af hvor på Nettet man opholder sig så giver det god
mening at have en on-access virus-scanner på maskinen.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Den Sat, 29 Apr 2006 18:28:34 +0200 skrev Lars Kim Lund:
>
> Det tredje problem er at der er masser af virus, orme o.l på nettet.
> Hvis man kun downloader ting fra steder man har ubetinget tillid til -
> og kører sin maskine i en ikke-administrativ bruger-kontekst, så når
> man langt. Men i princippet løser din metode ikke problemet med
> brugeradfærd.

Det gør antivirus og firewalls heller ikke. Vi er endnu langt fra at
kunne installere software på brugeren, og så længe vi ikke kan det,
kan software ikke ændre brugeradfæren i ønsket retning.

(Den kan faktisk godt ændre brugeradfæren, fx har vi set hvordan Windows
og andre programmer har lært brugere at clicke <OK>, <Ja>, <Installer>,
<Accepter>, <Tillad> og lignende helt uden at læse hvad det er de
bliver spurgt om. Men sikkerhedsmæssigt er det det stik modsatte vi
skal opnå, og det er endnu ikke lykkedes nogen at gøre pr software).

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

"Bertel Lund Hansen" <nospamfilius@lundhansen.dk> skrev i en
meddelelse

> Jeg kender én der havde (og måske har) to forskellige
> AV-programmer installeret og en installeret firewall samt XP's
> indbyggede kørende.

Så er vi straks ovre i det groteske..

> Det tager en borgerkrig hver gang han starter
> sit system,

Forståeligt. Man kan jo nemt pladre sin pc til med så megen
(overflødig) sikkerhed, at det bliver en tvivlsom fornøjelse at
arbejde med den. Simple is sometimes best

> og ind imellem må han holde pause når en af
> AV-scannerne går igang.

- og når advarsler fra alle firewall'ene popper op.. :)

Mvh John

---

"Uffe S. Callesen" <anon@anon.local> writes:

>1) Opskriften anbefaler at man deativerer Windows XP's indbyggede NTP
>klient - i samme sekund man gør det har man effektivt ødelagt enhver
>chance for bevisførelse hvis ens system bliver kompromitteret.

Nope. Det er blot spørgsmål om at fastslå et delta med en
fornuftig sikkerhed.

>I princippet kan man ligeså godt herefter deaktivere AL logning på
>systemet da den uden korrekt tidsstempling ikke er valid.

Det er helt forkert. Og jeg taler af praktisk erfaring.

>2) Det er usmart at frakoble Windows XP's indbyggede overvågning af
>firewall og antivirus funktioner - at én af disse pludseligt er sat ud
>af funktion er en god indikation af at ens system kan være kompromitteret.

Det mest sandsynlige er, at en sådan kompromittering også
vil sørge for at slå advarslen fra. Om noget er advarlsen
farligere end mangel på ditto: den skaber falsk tryghed.

>3) Det er ligeledes meget usmart at guiden overhovedet nævner muligheden
>for at deaktivere automatisk opdatering af Windows. Den jævne bruger vil
>ikke få besøgt Windows Update dagligt - eller ugentligt som det
>efterhånden må siges at værre tvingende nødvendigt.

Det kan jeg godt give dig ret i.

>Vil man forbedre den procedure lidt - vil jeg anbefale at man har et
>antivirus produkt samt de nyeste definitionsfiler liggende på en CD
>eller USB stick og installer dem inden man kobler maskinen på nettet.

Hver eneste ekstra linje kode, der installeres på en pc,
udgør pr. definition en sikkerhedsrisiko. Jo mere af den
pågældende applikation, der kører i kerne-kontekst, jo
større kan problemet ved kodefejl være.

Antivirus-programmer har betydelige dele af deres kode i
hooks til diverse systemfunktioner. Dermed øger antivirus-
programmet pc'ens sårbarhed - samtidig med at den gør to
andre ting: skaber en delvist falsk tryghed og i et vist
omfang naturligvis får bugt med de mest kendte vira.

Software-baserede firewalls er også en farlig ting. Uden en
firewall vil en meget lille kodestump i operativsystemet stå
for at afvise forbindelsesforsøg til lukkede porte.

En firewall vil "smage" på alle forbinelsesforsøg for at
prøve at lure noget, den kan logge (loggen i sig selv gør
i øvrigt brugeren unødigt utryg, så allerede her har den
gjort dårlig reklame for sig selv).

Men dette smageri gør, at der er måske 10 eller 100 gange
mere kode involveret i at afvise forbindelser. Og dermed
er pc'en pludselig 10 eller 100 gange mere sårbar over for
angreb på dårlig kode end uden en firewall.

Alt i alt er en pc med antivirus+firewall pludselig blevet
1000 gange mere sårbar, end før man begyndte at installere
den slags. Samtidig med at brugeren er blevet bange og i
praksis udstyret med en masse falsk tryghed.

Mvh.
   Klaus.

---

Bertel Lund Hansen skrev:
> Ved at hente denne her opskrift:
>
> http://home18.inet.tele.dk/madsen/winxp/Tjenester_SP2.pdf
>
> Så installerer man XP og bruger derefter opskriften - og først
> derefter får pc'en lov at gå på nettet.

Hvis man absolut vil sikre ens maskine jf. en fordefineret opskrift - så
bør an i det mindste bruge en ordentlig én.

NSA's udgave til Windows 2K har jeg selv brugt tidligere - den var og er
aldeles fremragende.

Windows XP udgaven kan læses her.

http://www.nsa.gov/snac/os/winxp/C44-026-02.pdf

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

Uffe S. Callesen skrev:

> NSA's udgave til Windows 2K har jeg selv brugt tidligere - den
> var og er aldeles fremragende.

Den kræver vist at man kan engelsk.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

On Saturday 29 April 2006 17:41, Bertel Lund Hansen wrote in dk.edb.sikkerhed:

[...]

> Den kræver vist at man kan engelsk.

Fantastisk skarpt observeret.

[...]

--
Med Venlig Hilsen: Henrik

"It must be soooo dull to be you"
-- Alan Ruck as Stuart Bondek in 'Spin City'

---

Henrik skrev:

> Fantastisk skarpt observeret.

Det var kode for "Den vejledningen er ikke bare i nærheden af at
være et realistisk alternativ til Thomas' opskrift. Man skal være
it-ekspert for at kunne læse den, og den gennemgår ting som er
helt irrelevante for en privat bruger med én maskine".

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

"Uffe S. Callesen" <anon@anon.local> skrev i en meddelelse

> NSA's udgave... er
> aldeles fremragende.
> Windows XP udgaven kan læses her.
> http://www.nsa.gov/snac/os/winxp/C44-026-02.pdf

NSA, min 'foretrukne' hemmelige tjeneste. :)

Yderst gedigent håndværk. Eneste problem: Hvem, ud over prof it
folk, orker at læse de mange sider igennem og udføre de
anbefalede indstillinger? Vor berømte 'hr Jensen' tør næppe gå i
gang med det. Tænk, hvis 'noget' ikke fungerer bagefter..

Hvad 'hr Jensen' sikkert savner, er et lille gratis, overskueligt
program, der kan udføre arbejdet, noget i stil med dette:
http://www.sniff-em.com/hardenit.shtml

Programmet ændrer en bunke sikkerheds-relaterede indstillinger,
er uhyre nemt at arbejde med, også for ikke-professionelle, og
skal kun køres én gang. Der er små forklaringer med anbefalede
samt alternative indstillinger i hele forløbet, og man kan ganske
nemt 'spole tilbage' til windows original-indstillinger. Dermed
bliver opgaven overskuelig, også for 'hr Jensen', og det er
li'som ham vi skal ha' fat i, ikke?

Det optimale ville selvfølgelig være, hvis Windows havde
indbygget en default option med anbefalede
sikkerheds-indstillinger, så 'hr Jensen' slet ikke behøver at
tumle med det. De professionelle ved jo nok, hvad der skal gøres,
ikke mindst, hvis 'noget' ikke fungerer længere.

Mvh John

---

"John" <nogen@pladderballe.ok> skrev i en meddelelse
news:44539784$0$38694$edfadb0f@dread12.news.tele.dk...
> "Uffe S. Callesen" <anon@anon.local> skrev i en meddelelse
>
> > NSA's udgave... er
>> aldeles fremragende.
>> Windows XP udgaven kan læses her.
>> http://www.nsa.gov/snac/os/winxp/C44-026-02.pdf
>
>
> Hvad 'hr Jensen' sikkert savner, er et lille gratis, overskueligt program,
> der kan udføre arbejdet, noget i stil med dette:
> http://www.sniff-em.com/hardenit.shtml
>
> Mvh John
Nu hedder jeg godt nok ikke Jensen
Men det lyder ikke som noget jeg turde binde an med.
Who should use Harden-IT ?
Harden-ItT is intended for the network/server administrator or the
professional internet user.
You should not use this tool if you are a novice.

--
venlig hilsen / best regards
Bjarne Christensen

---

"Bjarne" <Bj@virker_ikke.dk> skrev i en meddelelse

> Nu hedder jeg godt nok ikke Jensen

:))

> Men det lyder ikke som noget jeg turde binde an med.

Forstås, men det _er_ ganske ukompliceret! Download blot til
skrivebordet, og kør programmet. Det er ikke rigtigt noget
program, nærmest en trin-for-trin vejledning. Som nævnt kan der
vælges mellem anbefalede, alternative (for de professionelle)
samt windows original-værdier.

De anbefalede indstillinger er default, så du behøver blot at
(læse lidt forklaring, og) klikke 'next'. Fortryder du og vil
tilbage til windows default, køres programmet blot igen, og du
skal ikke igennem hele forløbet én gang til.

Mvh John

---

John skrev:
> Programmet ændrer en bunke sikkerheds-relaterede indstillinger, er uhyre
> nemt at arbejde med, også for ikke-professionelle, og skal kun køres én
> gang. Der er små forklaringer med anbefalede samt alternative
> indstillinger i hele forløbet, og man kan ganske nemt 'spole tilbage'
> til windows original-indstillinger. Dermed bliver opgaven overskuelig,
> også for 'hr Jensen', og det er li'som ham vi skal ha' fat i, ikke?

Problemet er at de indstillinger den retter kun dækker spidsen af
isbjerget så at sige. Som privat bruger har du næppe særligt stort behov
for at sikre din maskine mod Denial of service angreb - og da slet ikke
hvis du har en router mellem dine klienter og internettet.

Uden lige at lige hovedet på blokken så vil jeg tro den primært
tilrettet policy indstillinger på winNT og w2k så de svarer til dem på
windows xp. Men det er helt sikkert en god idé at starte med et sådant
værktøj - man skal bare ikke tro det hjælper det helt store - men det
gør bestemt heller ingen skade.


--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

"Uffe S. Callesen" <anon@anon.local> skrev i en meddelelse

> Problemet er at de indstillinger den retter kun dækker spidsen
> af isbjerget så at sige.

Tror jeg gerne (jeg er desværre ikke it-prof). Derfor bruger jeg
yderligere nogle få og små sikkerheds-programmer

> det er helt sikkert en god idé at starte med et sådant værktøj

Min pointe: Forestil dig et lignende nemt værktøj, der udfører fx
Madsen-metoden, eller NSA-metoden

> Som privat bruger har du næppe særligt stort behov for at sikre
> din maskine mod Denial of service angreb

Sikkert ikke, og dog! I visse chat-rooms, Yahoo fx, er det for
nogle en yndet fornøjelse at lægge andres computere ned, såee..

> man skal bare ikke tro det hjælper det helt store

Har du rent faktisk kørt Harden-It, eller blot læst beskrivelsen?
Der er jo i forløbet mange indstillinger 'recommended for
work-stations'. Måske har du lyst til også at give din vurdering
af følgende program, som jeg dog kasserede, da det (hos mig) gav
forringet funktionalitet. (Husker ikke lige, hvad problemet var):
http://www.sniff-em.com/secureit.shtml

Mange tak for din tilbagemelding Uffe, meget værdsat!

Mvh John

---

John skrev:
> Har du rent faktisk kørt Harden-It, eller blot læst beskrivelsen? Der er
> jo i forløbet mange indstillinger 'recommended for work-stations'. Måske
> har du lyst til også at give din vurdering af følgende program, som jeg
> dog kasserede, da det (hos mig) gav forringet funktionalitet. (Husker
> ikke lige, hvad problemet var): http://www.sniff-em.com/secureit.shtml
>
> Mange tak for din tilbagemelding Uffe, meget værdsat!

Jeg har ikke lige en maskine til overs lige nu jeg kan svine til og
desværre heller ikke en vmware installation af winxp der kan bruges. Så
nej den kan jeg desværre ikke lige magte lige nu :)

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

"Thomas Jespersen" <jespersen.thomas@gmail.com> skrev i en
meddelelse

> Hvordan ny-installerer man
> windows xp på en sikker måde?

Vi har gemt følgende på CD-rom:

Win xp og sp2, samt følgende gratis programmer: AVG antivirus,
Sygate firewall, SpywareBlaster og IE-Spyad. PC'en bliver først
tilsluttet internettet, når disse ting er installeret. Det har
hidtil virket uden problemer hver eneste gang.

Mvh John

---

On Fri, 2006-04-28 at 16:51 +0200, Thomas Jespersen wrote:
> Jeg hører jo om at en nyinstalleret winxp er inficeret efter ganske få
> minutter online, så jeg er lidt nysgerrig. Hvordan ny-installerer man
> windows xp på en sikker måde?

Med en cdrom med SP2, se
http://www.nu2.nu/bootcd/wxp/ kan du opnå at maskinen er i SP2 efter
installationen.

Ellers kan du jo ringe til Microsoft og bestille en sikkerheds cd med
fejl rettelser...de tilbød det engang, men jeg ikke lige finde linket.

Husk at tage backup af maskinen når den er færdigt installeret, og følg
evt. resten af http://sikkerhed-faq.dk/

---

"Christian E. Lysel" <sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:1146238980.2304.12.camel@bigfoot.lan.spindelnet.dk...
On Fri, 2006-04-28 at 16:51 +0200, Thomas Jespersen wrote:
> Jeg hører jo om at en nyinstalleret winxp er inficeret efter ganske få
> minutter online, så jeg er lidt nysgerrig. Hvordan ny-installerer man
> windows xp på en sikker måde?

Med en cdrom med SP2, se
http://www.nu2.nu/bootcd/wxp/ kan du opnå at maskinen er i SP2 efter
installationen.

Ellers kan du jo ringe til Microsoft og bestille en sikkerheds cd med
fejl rettelser...de tilbød det engang, men jeg ikke lige finde linket.
>
Hej
Man kan downloade SP2 her
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&DisplayLang=da
Og bestille Cd'en her
http://www.microsoft.com/windowsxp/downloads/updates/sp2/cdorder/en_us/default.mspx

Hvis man kender alle KBbxxxxxx numrene på de ca. 38 opdateringer
der er kommet efter SP2 kan man downloade dem enkeltvis ca. 110 Mb ialt
skriv KB nummeret i søgefeltet
nogen af dem kræver validering inden man får lov

--
venlig hilsen / best regards
Bjarne Christensen

---

On Fri, 2006-04-28 at 18:42 +0200, Uffe S. Callesen wrote:
> Ja bevares - men alle dine log filer kan ikke bruges til bevisførelse
> hvis klokkeslettet i dem ikke stemmer nøjagtigt. Har man en hardware
> router / firewall sørger man naturligvis for at denne trækker tid/dato
> fra samme kilde.

Er du virkelig så glad for Windows logfiler?

Er de ikke meget upræsise?

Hvad kan man bruge systemmets logfiler til?

> >> 2) Det er usmart at frakoble Windows XP's indbyggede
> >> overvågning af firewall og antivirus funktioner
> >
> > Nej. Begge dele er overflødige.
>
> Det savner jeg stadig saglige argumenter for..

Hvor mange slår deres firewall fra hvis der er noget der ikke fungere?

> > Jeg holder øje med min sendlampe. Hvis den blinker uden selv jeg
> > bruger nettet, er en god indikation af at mit system er
> > kompromitteret. Det er endnu ikke sket.
>
> Hvad med forespørgsler til dit system som afvises - de vil også få "send
> lampen" til at blinke..

Ja, der vil blive sendt en ICMP retur, for både TCP og UDP pakker, og
nogle ICMP beskeder.

> Det er disse maskiner der bruges i bot netværk - og som før eller siden
> rammers af orme og hjælper disse i deres hærgen.

Har du et link?

> Se ovenfor og - vi andre ville dæleme sætte pris på at de systemer blev
> holdt opdateret.

Opdatere defekte systemmet, men lad vær med at opdatere systemmer der
ikke er ibrug, som kan påvirke dine tilrettelser af OS'et.

---

Thomas Jespersen wrote:
> Jeg hører jo om at en nyinstalleret winxp er inficeret efter ganske få
> minutter online, så jeg er lidt nysgerrig. Hvordan ny-installerer man
> windows xp på en sikker måde?
>
> Kan man f.eks. downloade microsoft patches som "bundles" på en anden
> maskine som man selv kan lægge på installations-maskinen med
> netstikket taget ud? Hvis ja, hvor henter man så den slags?

Jeg vil vove den påstand at zonealarm kan gøre tricket. Hent nyeste zone
alarm og installer den offline på den maskine der skal på. Set sikkerhed til
højest, og log så på. Tillad kun adgang til Microsoft og updater så hele
møget.

Evt. kan du også lige disable følgende:
http://www.grc.com/stm/shootthemessenger.htm
http://www.grc.com/unpnp/unpnp.htm
http://www.grc.com/dcom/

Det virkede for mig for 1/2 år siden.

Mvh. Flemming

---

On Fri, 28 Apr 2006 16:51:46 +0200, Thomas Jespersen
<jespersen.thomas@gmail.com> wrote:

>Jeg hører jo om at en nyinstalleret winxp er inficeret efter ganske få
>minutter online, så jeg er lidt nysgerrig. Hvordan ny-installerer man
>windows xp på en sikker måde?
>
>Kan man f.eks. downloade microsoft patches som "bundles" på en anden
>maskine som man selv kan lægge på installations-maskinen med netstikket
>taget ud? Hvis ja, hvor henter man så den slags?

Ud over netværksproblemer:

Hvis du har diske over 128 GB i systemet, hvor data skal bevares, skal
service pack 1 være med på CD-en, ellers vil du miste alle data på
diske over 128 GB.
--
Svend Olaf

---

Thomas Jespersen skrev:
> Jeg hører jo om at en nyinstalleret winxp er inficeret efter ganske få
> minutter online, så jeg er lidt nysgerrig. Hvordan ny-installerer man
> windows xp på en sikker måde?
>
> Kan man f.eks. downloade microsoft patches som "bundles" på en anden
> maskine som man selv kan lægge på installations-maskinen med netstikket
> taget ud? Hvis ja, hvor henter man så den slags?

Faldt over lidt nyttig information til dig Thomas.

Statistik over hvor længe der går før fx en frisk Windows installation
kan forventes inficeret.

http://isc.sans.org/survivalhistory.php

Samt SANS guide til (trommesolo) "Windows XP: Surviving the First Day" -
det er vist lige hvad du søger.

http://www.sans.org/rr/whitepapers/windows/1298.php

jeg vil lige tillade mig at 'quote' et par linier fra dokumentet som
altså er fra SANS - én af - hvis ikke den førende uddannelses og
certificerings virksomhed inden for IT-sikkerhed.

"Aside from keeping your system up to date, running a virus checker is
probably one of the best things you can do."

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

On Sun, 30 Apr 2006 00:57:16 +0200, Uffe S. Callesen wrote:


> http://www.sans.org/rr/whitepapers/windows/1298.php
>
> jeg vil lige tillade mig at 'quote' et par linier fra dokumentet som
> altså er fra SANS - én af - hvis ikke den førende uddannelses og
> certificerings virksomhed inden for IT-sikkerhed.

Takker, jeg har faktisk netop rodet lidt rundt med google men kunne ikke
finde nogle pålidelige kilder, men det må man jo sige Sans er :)

Det lykkedes kun mig at finde en gammel Windows NT opskrift hos Cert.

--
np: AFX - Children Talking
http://www.last.fm/user/front243/

---

On Sun, 2006-04-30 at 00:57 +0200, Uffe S. Callesen wrote:
> "Aside from keeping your system up to date, running a virus checker is
> probably one of the best things you can do."

Enig, så l¿nge de ikke fort¿ller brugerne de skal
v¿re kritisk med hvad de k¸re, eller problemmer ved at k¸re
med administrator rettigheder.

....Users you setup here will have ´Administrator¡ access and no
password. This is a bad combination if unauthorized users will have
access to this system. However, by default, Windows XP prevents network
access using accounts without password. As a result, these accounts will
not expose you to network based attacks.

Review your Windows XP documentation to learn how to limit these
accounts. ...


Det lyder jo n¿sten som det er en fordel at k¸re med brugere med
administrator rettigheder uden password.

---

Jeg tillod mig at stille samme spørgsmål på en mailingliste jeg er på, en
af deltagerne emailede mig et dokument han havde skrevet. Jeg har lagt det
på min hjemmesideplads her:

http://home1.stofanet.dk/front243/Securing%20Your%20PC%20101%20v1_2.pdf

Jeg synes det han skrev var meget godt.


--
np: Paul Oakenfold - Essential Mix 04-30-2006
http://www.last.fm/user/front243/

---

Thomas Jespersen skrev:

> Jeg synes det han skrev var meget godt.

Jeg kunne godt lide overskriften med "Remove unnecessary
software". Resten var jeg ikke så begejstret for.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen skrev:
> Jeg kunne godt lide overskriften med "Remove unnecessary
> software". Resten var jeg ikke så begejstret for.


Så kom med nogle generelle henvisninger til hvad det er du mener er galt
- den nævnte guide er ligesom den du bruger langt fra perfekt - men den
her er ihvertfald væsentligt bedre - Blandt andet gør den opmærksom på
behovet for en ordentlig firewall (med logning) og en fornuftig
kombination af anti spyware og antivirus.

Hvis forfatteren lige tilføjede.

1) via GPO - nægte netværksadgang for alle lokale brugere (med mindre
man har et specifikt behov for dette)

2) via GPO - nægte anonym SID/username opslag.

3) begrænse adgangen til eksekverbare filer som en angriber vil finde
interessante... fx cmd.exe, ftp.exe osv..

4) auditing på interessante mapper på systemdrevet

så er vi tæt på at være der...

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

Uffe S. Callesen skrev:

>> Jeg kunne godt lide overskriften med "Remove unnecessary
>> software". Resten var jeg ikke så begejstret for.

> Så kom med nogle generelle henvisninger til hvad det er du mener er galt
> - den nævnte guide er ligesom den du bruger langt fra perfekt - men den
> her er ihvertfald væsentligt bedre - Blandt andet gør den opmærksom på
> behovet for en ordentlig firewall (med logning) og en fornuftig
> kombination af anti spyware og antivirus.

Og du kunne ikke regne ud at det er dem jeg synes man skal af
med?

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen skrev:
> Og du kunne ikke regne ud at det er dem jeg synes man skal af
> med?

Så din pointe er at fordi den anbefaler antivirus og en firewall - så
duer den ikke ?!?

Lad os lege med tanken - at det er lykkedes mig at plante netcat på din
PC hvordan vil du så nogensinde opdage det ??? Ja altså bortset fra at
du vil stirre på din router / modems send diode 24/7...

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

On Mon, 01 May 2006 22:27:41 +0200, "Uffe S. Callesen"
<anon@anon.local> wrote:

>Lad os lege med tanken - at det er lykkedes mig at plante netcat på din
>PC hvordan vil du så nogensinde opdage det ??? Ja altså bortset fra at
>du vil stirre på din router / modems send diode 24/7...

På samme måde som man vil opdage at det er lykkedes at plante netcat
på din PC i en pakke, der skjuler sig for eller deaktiverer diverse
programmer...?

Angående logs, så er det også kun relevant, hvis brugeren forstår dem.
Det har historien vist, at brugere ikke gør, kombineret med at
programmerne stiller brugerne i situationer, hvor de skal tage
stilling til ting, de ikke burde tage stilling til.

SVCHOST.EXE VIL PÅ NETTET, MÅ DEN DET? NOGEN HAR SENDT EN PAKKE TIL
DIG PÅ PORT 53, HVAD VIL DU GØRE? SKAL DIT ANDET NETVÆRKSINTERFACE KUN
TILLADE TRAFIK FRA DIN /24?

Desværre er der en forretning i at beskyttelsesprogrammer skal gøre
opmærksomme på dem selv, for at brugeren kan vide "at de virker".

Dertil kommer antivirus-programmers dårlige brugeropdragelse. Når jeg
modtager e-mails fra bestemte folk, står der nogle gange i bunden:
"Denne e-mail er blevet antivirus-scannet af (produktnavn)". Hvad
pokker skulle det betyde? At de står inde for at hvis jeg får en
e-mail med den tekst i bunden, så er det ok at åbne vilkårlige
attachments? Det er en frygtelig og skadelig brugeropdragelse, der gør
nettet til et værre sted. Folk får lært dårlige vaner, og produkter
får fremhævet sig selv.

Nogle gange er det endnu værre. "This e-mail is certified
virus-free.." - certificeret? Hvordan? Hvori består dette, og er
certifikatet blot den tekst, som alle kan skrive, hvis de har lyst?

Dertil kommer antivirus-programmer på mailservere, hvis operation er:
"Jeg kan se at denne mail indeholder en orm. Jeg ved lige præcis
hvilken orm, der er tale om. Jeg ved også at lige præcis denne orm
forfalsker afsender-adressen. Derfor må jeg hellere sende en mail
tilbage til afsender-adressen (som er forfalsket og som rammer en
uskyldig person) om at HAN har sendt en mail og HAN har virus, og han
bør benytte vores program".

Antivirus-producenter har en lang spam-historie bag sig alene på det
felt.
--
- Peter Brodersen
Ugens værktøj - sammensæt og opdel PDF-filer: http://pdf.ter.dk/

---

Peter Brodersen skrev:
> På samme måde som man vil opdage at det er lykkedes at plante netcat
> på din PC i en pakke, der skjuler sig for eller deaktiverer diverse
> programmer...?

Min pointe er netop - at efter det lykkedes mig at placere den på
Bertel's maskine så har han _ingen_ mulighed for at finde den med mindre
han regelmæssigt checker hvilke processer der har åbne tcp/udp porte. Og
selv da skal han kunne gennemskue at lige netop den udgave af
svchost.exe eller lign. ikke er windows egen....

De fleste AV programmer vil stoppe netcat og dets ligesindede - også
selvom man piggybacker dem på anden programkode.

> Angående logs, så er det også kun relevant, hvis brugeren forstår dem.
> Det har historien vist, at brugere ikke gør, kombineret med at
> programmerne stiller brugerne i situationer, hvor de skal tage
> stilling til ting, de ikke burde tage stilling til.

Ikke enig - hvis din PC misbruges til noget kriminelt og politiet skal
have mulighed for at bruge den til noget som helst er du nødt til at
have bare et minimum af logning. En firewall log vil typisk være guld
værd - også selv om brugeren ikke forstår en dyt af det :)

Det koster jo ikke noget - heller ikke performancemæssigt på PC'ere idag
at logge.

> Desværre er der en forretning i at beskyttelsesprogrammer skal gøre
> opmærksomme på dem selv, for at brugeren kan vide "at de virker".

Både og - hvis man indbygger intelligens i programmerne bliver du jo
nemmere at omgå (med mindre brugerne kronisk klikker accept til alt)


--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

Den Mon, 01 May 2006 23:07:14 +0200 skrev Uffe S. Callesen:
> Peter Brodersen skrev:
>> På samme måde som man vil opdage at det er lykkedes at plante netcat
>> på din PC i en pakke, der skjuler sig for eller deaktiverer diverse
>> programmer...?
>
> Min pointe er netop - at efter det lykkedes mig at placere den på
> Bertel's maskine så har han _ingen_ mulighed for at finde den med mindre
> han regelmæssigt checker hvilke processer der har åbne tcp/udp porte. Og
> selv da skal han kunne gennemskue at lige netop den udgave af
> svchost.exe eller lign. ikke er windows egen....
>
> De fleste AV programmer vil stoppe netcat og dets ligesindede - også
> selvom man piggybacker dem på anden programkode.

Er AV-programmer virkelig blevet så slemme at de nu også fanger
standard-software som netcat? Yikes, det bliver værre og værre, sidst
jeg havde problemer var det kun programmer der konkurrerede med
AV-firmaernes egne produkter de fangede.

>> Angående logs, så er det også kun relevant, hvis brugeren forstår dem.
>> Det har historien vist, at brugere ikke gør, kombineret med at
>> programmerne stiller brugerne i situationer, hvor de skal tage
>> stilling til ting, de ikke burde tage stilling til.
>
> Ikke enig - hvis din PC misbruges til noget kriminelt og politiet skal
> have mulighed for at bruge den til noget som helst er du nødt til at
> have bare et minimum af logning. En firewall log vil typisk være guld
> værd - også selv om brugeren ikke forstår en dyt af det :)
>
> Det koster jo ikke noget - heller ikke performancemæssigt på PC'ere idag
> at logge.

Jeg vil meget gerne vide hvor du køber dine diske henne. For den
pris kan selv SHG sg* ikke hamle op med.

>> Desværre er der en forretning i at beskyttelsesprogrammer skal gøre
>> opmærksomme på dem selv, for at brugeren kan vide "at de virker".
>
> Både og - hvis man indbygger intelligens i programmerne bliver du jo
> nemmere at omgå (med mindre brugerne kronisk klikker accept til alt)

Og inde i parantesen skyder du så dine egne argumenter ned. Du kan
roligt slå en streg over "med mindre".

Brugerne clicker accept til alt. Uden at læse det.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

On Mon, 01 May 2006 23:07:14 +0200, "Uffe S. Callesen"
<anon@anon.local> wrote:

>Min pointe er netop - at efter det lykkedes mig at placere den på
>Bertel's maskine så har han _ingen_ mulighed for at finde den med mindre
>han regelmæssigt checker hvilke processer der har åbne tcp/udp porte.

Med hvilket program? Ét, der kører på den inficerede computer? Ét, der
spørger det inficerede operativsystem og forventer at få et validt
resultat tilbage?

Det samme gør sig gældende i forbindelse med antivirus-programmer,
m.m. Bortset fra at folk her ikke tror at det kan lade sig gøre.

>De fleste AV programmer vil stoppe netcat og dets ligesindede - også
>selvom man piggybacker dem på anden programkode.

De fleste orme vil også stoppe AV-programmer og dets ligesindende.

>Ikke enig - hvis din PC misbruges til noget kriminelt og politiet skal
>have mulighed for at bruge den til noget som helst er du nødt til at
>have bare et minimum af logning. En firewall log vil typisk være guld
>værd - også selv om brugeren ikke forstår en dyt af det :)

Fra en teknisk synsvinkel kan loggen også være temmeligt værdiløs,
hvis maskinen er kompromitteret. Enten vil den korrekt vise vej til
endnu en kompromitteret maskine (ud af millioner på nettet), der leger
jumphost, eller også vil den være slettet eller forfalsket.

Derudover hjælper det stadigvæk ikke én selv, når maskinen er blevet
kompromitteret. Det er ikke formålet at man skal lege Den Lille
Detektiv. Det er da godt, hvis andre kan få noget ud af det, men det
gør ikke én hverken mere eller mindre sikker at logge noget.

Historien og nyhedsgrupper er fuld af folk, der har prøvet at "finde
hoved og hale" ved at følge ip-adresser, lave whois-opslag og hvad ved
jeg. Typisk sker det uden at have tænkt tanken til ende. Hvad forskel
gør det om den eneste ip-adresse, man tilfældigvis har informationer
om, peger på en maskine i Belgien eller Kina? Følelsen af at "I det
mindste kan de gøre noget" eller "Det er så tæt på, at jeg godt lige
kan varme HiAce'n op"?

Danske netværksadministratorer hos forskellige udbydere har modtaget
voldstrusler fra folk, som ikke fattede at læse loggen korrekt.
Problemet var naturligvis, at de ikke fattede, at de ikke fattede at
læse loggen.

Der findes masser af tåbeligheder. Fejlagtig log og blokering af
DNS-requests.

Langt hen ad vejen har den informationsformidling og sammenblanding af
applikationer (firewalls og antivirus-programmer har pludselig en
mening om cookies fra bannersites), at brugeren ikke kan skelne farer
fra kække features, og pludselig er cookies onde og farlige.

Mængden af firewall-problem-support, som udbydere (og folk i
nyhedsgrupper) har lavet i forhold til
firewall-producenterne/distribuørerne er vel omkring 1000:1. Det er én
af grundene til at folk er trætte af at skulle bruge tid på noget,
firewall-producenterne ikke selv gider.

>> Desværre er der en forretning i at beskyttelsesprogrammer skal gøre
>> opmærksomme på dem selv, for at brugeren kan vide "at de virker".
>Både og - hvis man indbygger intelligens i programmerne bliver du jo
>nemmere at omgå (med mindre brugerne kronisk klikker accept til alt)

Hvis det ikke virker, når de klikker "nej", så vil de selvfølgelig
klikke "ja" bagefter. Helt almindelige usercases vil vise, at
spørgsmålene langt hen ad vejen antyder, at der blot er tale om en
grafisk skal (med ja/nej-spørgsmål) over den tekniske konfiguration.
SVCHOST? Tillad ICMP?

--
- Peter Brodersen
Ugens værktøj - Find vej - noget hurtigere end Krak: www.findvej.dk

---

Peter Brodersen wrote:
> Derfor må jeg hellere sende en mail
> tilbage til afsender-adressen (som er forfalsket og som rammer en
> uskyldig person) om at HAN har sendt en mail og HAN har virus, og han
> bør benytte vores program".

Det er da den milde version. I den grovere version bouncer den mailen
*inkl. virus* til den omtalte uskyldige person.

--
Allan Olesen

---

Uffe S. Callesen skrev:

> Så din pointe er at fordi den anbefaler antivirus og en firewall - så
> duer den ikke ?!?

Det kan da ikke overraske dig efter vores lange debat.

AV og firewall kan være nødvendige elementer i en
sikkerhedspolitik. Det er det f.eks. ved strengt hemmelige data
eller systemer med mange brugere. Men de har gjort mere skade end
gavn når de er blevet brugt af private som ikke ved ret meget om
computere.

Man kan f.eks. læse om en fyrs problemer med at komme af med
Zonealarm - den som anbefales af opskriften. Mine egne erfaringer
med ZA fra for et par år siden var heller ikke gode.

Og så mener jeg helt principielt at en firewall ikke skal køre på
en arbejds-pc. Anbefal hellere folk at købe en router hvis det
absolut skal være - også selv om de strengt taget ikke har brug
for den. Den giver en god beskyttelse og dens firewall generer
ikke.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen skrev:
> Og så mener jeg helt principielt at en firewall ikke skal køre på
> en arbejds-pc. Anbefal hellere folk at købe en router hvis det
> absolut skal være - også selv om de strengt taget ikke har brug
> for den. Den giver en god beskyttelse og dens firewall generer
> ikke.

Vi er fuldstændig enige om at en router er det bedste valg for private
brugere - men har de ikke det bør de have en software firewall på
maskinen. Det er den eneste måde de kan sikre sig imod nye sårbarheder i
den software de benytter - med mindre de dagligt patcher.

Med routeren mister du desværre alt L7 funktionaliteten samt alt kontrol
over udgående trafik.

Du undlod at svare på:

<snip>
Lad os lege med tanken - at det er lykkedes mig at plante netcat på din
PC hvordan vil du så nogensinde opdage det ??? Ja altså bortset fra at
du vil stirre på din router / modems send diode 24/7...
</snip>

Det interesserer mig i den grad hvordan du vil forholde dig til det ??

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

Den Mon, 01 May 2006 23:11:55 +0200 skrev Uffe S. Callesen:
> Bertel Lund Hansen skrev:
>> Og så mener jeg helt principielt at en firewall ikke skal køre på
>> en arbejds-pc. Anbefal hellere folk at købe en router hvis det
>> absolut skal være - også selv om de strengt taget ikke har brug
>> for den. Den giver en god beskyttelse og dens firewall generer
>> ikke.
>
> Vi er fuldstændig enige om at en router er det bedste valg for private
> brugere - men har de ikke det bør de have en software firewall på
> maskinen. Det er den eneste måde de kan sikre sig imod nye sårbarheder i
> den software de benytter - med mindre de dagligt patcher.

Har du slet ikke fulgt med? Pointen var at den software ikke har
noget at lytte på nettet efter, og derfor ikke kan angribes.

Browseren bør naturligvis holdes opdateret, men der er patches
heldigvis ude længe inden antivirus-programmet bliver opdateret.

(undtagen dog et enkelt firma der stadig opfatter sikkerhed som et
marketing-problem, men deres browser er alligevel så elendig at den
ikke er interessant at bruge).

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Uffe S. Callesen skrev:

> <snip>
> Lad os lege med tanken - at det er lykkedes mig at plante netcat på din
> PC hvordan vil du så nogensinde opdage det ??? Ja altså bortset fra at
> du vil stirre på din router / modems send diode 24/7...
> </snip>

Det ville jeg muligvis ikke. Jeg nærer ingen illusion om at mit
system er sikret mod et vilkårligt angreb.

> Det interesserer mig i den grad hvordan du vil forholde dig til det ?

Evt. ondsindet kode vil om ikke andet dø af og til når jeg kører
et image ind fra en backup.

Men jeg forstår ikke din blinde tillid til programmer der har
forårsaget så mange problemer for uskyldige brugere (og udbydere
og politiet), og Peter Brodersens forklaring om deres økonomiske
interesser er ganske udmærket.

Du skrev i et andet indlæg:

> De fleste AV programmer vil stoppe netcat og dets ligesindede - også
> selvom man piggybacker dem på anden programkode.

På et tidspunkt for nogle år siden var McAfee nede på at opdage
under 50 % af de virusser *der var i omløb*.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Den Mon, 1 May 2006 23:22:59 +0200 skrev Bertel Lund Hansen:
> Uffe S. Callesen skrev:
>
>> <snip>
>> Lad os lege med tanken - at det er lykkedes mig at plante netcat på din
>> PC hvordan vil du så nogensinde opdage det ??? Ja altså bortset fra at
>> du vil stirre på din router / modems send diode 24/7...
>> </snip>
>
> Det ville jeg muligvis ikke. Jeg nærer ingen illusion om at mit
> system er sikret mod et vilkårligt angreb.
>
>> Det interesserer mig i den grad hvordan du vil forholde dig til det ?
>
> Evt. ondsindet kode vil om ikke andet dø af og til når jeg kører
> et image ind fra en backup.
>
> Men jeg forstår ikke din blinde tillid til programmer der har
> forårsaget så mange problemer for uskyldige brugere (og udbydere
> og politiet), og Peter Brodersens forklaring om deres økonomiske
> interesser er ganske udmærket.
>
> Du skrev i et andet indlæg:
>
>> De fleste AV programmer vil stoppe netcat og dets ligesindede - også
>> selvom man piggybacker dem på anden programkode.
>
> På et tidspunkt for nogle år siden var McAfee nede på at opdage
> under 50 % af de virusser *der var i omløb*.

Sidst vi testede fangede den stadig ikke love-letter. Og jeg tror
faktisk den tog 9 ud af 15 da jeg bad den scanne min samling.

(hvilket iøvrigt resulterede i at den begyndte at fylde disken op
med kopier af de 9 den genkendte).

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Bertel Lund Hansen wrote:
> Det ville jeg muligvis ikke. Jeg nærer ingen illusion om at mit
> system er sikret mod et vilkårligt angreb.

Der er jo lige netop ikke tale om et vilkårligt angreb - ved du hvad
netcat er ?


> På et tidspunkt for nogle år siden var McAfee nede på at opdage
> under 50 % af de virusser *der var i omløb*.


Netcat er ikke en virus..

--
Mail mig på uffe <snabelA> skelmose <prik> dk

---

Uffe S. Callesen skrev:

> Der er jo lige netop ikke tale om et vilkårligt angreb - ved du hvad
> netcat er ?

Nej, men du må gerne forklare hvad det er, og du må også gerne
forklare hvordan den kommer ind på mit system. Gå ud fra at min
pc sidder direkte på mit kabelmodem.

> > På et tidspunkt for nogle år siden var McAfee nede på at opdage
>> under 50 % af de virusser *der var i omløb*.

> Netcat er ikke en virus..

Oplysningen hørte sammen med de to linjer hvor du udtrykte blind
tillid til stort set alle AV-programmer.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

"Bertel Lund Hansen" <nospamfilius@lundhansen.dk> skrev i en
meddelelse

> Nej, men du må gerne forklare hvad det er

Symantecs forklaring:

"...Hacktool.NetCat is a tool commonly used by network
administrators for network debugging. However, the tool is also
commonly installed by malicious programs to allow unauthorized
remote access. ..."

Link:
http://securityresponse.symantec.com/avcenter/venc/data/hacktool.netcat.html

Mvh John

---

"Bertel Lund Hansen" <nospamfilius@lundhansen.dk> skrev i en
meddelelse

> du må gerne forklare hvad det er

Wikipedia:

"... In computing, netcat is a network utility for reading from
and writing to network connections on either TCP or UDP. It is
designed in a thin and simple way, which makes it easy to
incorporate in larger applications. Because of its versatility,
netcat is also called the "TCP/IP Swiss Army knife". ..."

Link: http://en.wikipedia.org/wiki/Netcat

Mvh John

---

Bertel Lund Hansen wrote:
> Nej, men du må gerne forklare hvad det er, og du må også gerne
> forklare hvordan den kommer ind på mit system. Gå ud fra at min
> pc sidder direkte på mit kabelmodem.

netcat er et lille program der kan agere både klient og server - og kan
generelt bruges til stort set hvad som helst over et IP netværk. Typisk
bruges den i forbindelse med exploits som tager en IP or et port nummer
som input og fx stiller en cmd prompt på din maskine til rådighed for
netcat'en i den anden ende.

At få den ind på din maskine er naturligvis den lidt mere tricky del -
jeg ville jo nok starte med at port scanne dig og efterfølgende
undersøge om der er porte åbne til services som har én eller flere
sårbarheder - Det vil jeg jo kunne gøre i ro og mag fordi du intet gør
for at alarmere dig selv om den slags aktivitet. Så ved jeg godt at du
har fulgt den omtalte guide - men har du bare installeret et stykke
software som ligger og lytter på netværket så er du potentielt sårbar der.

Alternativt er der jo mulighederne for at forsøge at udnytte sårbarheder
i dit mailprogram eller i den browser. Der skal lidt social enginnering
til men du er næppe mindre nysgerrig end alle andre


--
Mail mig på uffe <snabelA> skelmose <prik> dk

---

Uffe S. Callesen skrev:

> At få den ind på din maskine er naturligvis den lidt mere tricky del -

Det' jo det.

> jeg ville jo nok starte med at port scanne dig og efterfølgende
> undersøge om der er porte åbne til services som har én eller flere
> sårbarheder -

Det er der ikke.

> Det vil jeg jo kunne gøre i ro og mag fordi du intet gør
> for at alarmere dig selv om den slags aktivitet.

Ja.

> Så ved jeg godt at du
> har fulgt den omtalte guide - men har du bare installeret et stykke
> software som ligger og lytter på netværket så er du potentielt sårbar der.

Det har jeg ikke.

> Alternativt er der jo mulighederne for at forsøge at udnytte sårbarheder
> i dit mailprogram eller i den browser.

Hvordan kommer du i kontakt med et af disse programmer? Nu bruger
jeg selv Dialog og Opera, men du må gerne anvise metoder til IE
og OE.

> Der skal lidt social enginnering til men du er næppe mindre
> nysgerrig end alle andre

Med andre ord du aner ikke hvordan angrebet skulle kunne lykkes.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Uffe S. Callesen wrote:
> men har du bare installeret et stykke
> software som ligger og lytter på netværket så er du potentielt sårbar der.

Eksempelvis en personlig firewall der modtager data fra netværket?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Den Tue, 2 May 2006 15:02:28 +0200 skrev Bertel Lund Hansen:
> Uffe S. Callesen skrev:
>
>> Der er jo lige netop ikke tale om et vilkårligt angreb - ved du hvad
>> netcat er ?
>
> Nej, men du må gerne forklare hvad det er,

Det er et program der minder meget om telnet, bortset fra at den
lader være med at gøre en masse ting (telnet negotiation, oversættelse
af backspace og enter), som kan give problemer hvis man telnet'er
til andet end telnet.

Det kommer fra unix-verdenen, hvor ting ofte foregår ved at kæde
kommandoer sammen via pipes, og netcat giver her mulighed for at
pipen starter på en maskine og ender på en anden.

Der er intet kriminelt over netcat, og ethvert program der opfatter
det som virus eller lignende kan du roligt betragte som defekt. Det
kan naturligvis misbruges, præcis som alle andre programmer, men hvis
det er nok til at markere et program som virus, skal Microsofts egen
telnet og ftp naturligvis også markeres som virus.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Uffe S. Callesen wrote:

> Vi er fuldstændig enige om at en router er det bedste valg for private
> brugere - men har de ikke det bør de have en software firewall på
> maskinen. Det er den eneste måde de kan sikre sig imod nye sårbarheder i
> den software de benytter - med mindre de dagligt patcher.

http://sikkerhed-faq.dk/personlig-fw-eval

--
Martin

---

Martin Poulsen wrote:
>
> http://sikkerhed-faq.dk/personlig-fw-eval
>

Det er vist ingen hemmelighed at det forholder sig sådan for software
firewalls (som de jo gør med al software).

Spørgsmålet må så være hvem der er hurtigst til at rette vulnerabilities
FW eller OS producenterne ...

--
Mail mig på uffe <snabelA> skelmose <prik> dk

---

Uffe S. Callesen wrote:

> Det er vist ingen hemmelighed at det forholder sig sådan for software
> firewalls (som de jo gør med al software).

Hvordan kan du så argumentere for, at den eneste måde at sikre sig mod
nye sårbårheder i den software man benytter, er ved at indføre endnu et
lag software med sårbarheder?

--
Martin

---

Martin Poulsen wrote:
> Hvordan kan du så argumentere for, at den eneste måde at sikre sig mod
> nye sårbårheder i den software man benytter, er ved at indføre endnu et
> lag software med sårbarheder?

Hvis du nu havde quotet hele mit indlæg så havde du svaret - det handler
om at vælge mellem at have sin perimeter sikkerhed baseret på software
fra en OS eller en FW/AV leverandør.

--
Mail mig på uffe <snabelA> skelmose <prik> dk

---

Den Tue, 02 May 2006 14:08:57 +0200 skrev Uffe S. Callesen:
> Martin Poulsen wrote:
>> Hvordan kan du så argumentere for, at den eneste måde at sikre sig mod
>> nye sårbårheder i den software man benytter, er ved at indføre endnu et
>> lag software med sårbarheder?
>
> Hvis du nu havde quotet hele mit indlæg så havde du svaret - det handler
> om at vælge mellem at have sin perimeter sikkerhed baseret på software
> fra en OS eller en FW/AV leverandør.

Firewall og antivirus kører ikke uden OS.

Så reelt handler det om at vælge imellem huller i OS'et, og huller
i Firewall, Antivirus og OS tilsammen.

Hvis hver har 1 hul, vil der altså være et hul i første tilfælde, og
tre i det andet tilfælde. Bare en af dem ikke er patchet, er spillet
tabt.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Uffe S. Callesen wrote:
> Spørgsmålet må så være hvem der er hurtigst til at rette vulnerabilities
> FW eller OS producenterne ...

Nej, mand. Så har ingen af dem jo grund til at udvikle softwaren
ordenligt første gang.

Spørgsmålet er, hvordan vi kommer ud af den situation, at man som bruger
har tabt i det øjeblik der bliver fundet bare èn sikkerhedsfejl i det
software man benytter.

Er du klar over, at man kan designe software således, at når udvikleren
har implementeret en sikkerhedsfejl, har angriberen ikke automatisk fuld
kontrol over systemet?

Det er der vi skal hen, og det kommer vi ikke, sålænge brugere og
"sikkerhedseksperter" ikke forlanger mere af f.eks. OS og
browserproducenterne.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

"Uffe S. Callesen" <anon@anon.local> writes:

>Lad os lege med tanken - at det er lykkedes mig at plante netcat på din
>PC hvordan vil du så nogensinde opdage det ???

Hvordan ville han opdage det med McAfee installeret?

(Det skal i den forbindelse siges, at McAfee var den eneste
antivirus-producent i min stikprøvekontrol, der havde et clue
om, hvad netcat var; de andre kalder det et remote-control-
værktøj eller lignende sludder)

Mvh.
   Klaus.

---

On Mon, 2006-05-01 at 23:07 +0200, Uffe S. Callesen wrote:
> De fleste AV programmer vil stoppe netcat og dets ligesindede - også
> selvom man piggybacker dem på anden programkode.

Hvilken teknik tænker du på?

> Ikke enig - hvis din PC misbruges til noget kriminelt og politiet skal
> have mulighed for at bruge den til noget som helst er du nødt til at
> have bare et minimum af logning. En firewall log vil typisk være guld
> værd - også selv om brugeren ikke forstår en dyt af det :)

Jeg vil gætte på den log bliver slettet, af angriberen.

---

On Mon, 2006-05-01 at 23:37 +0200, Peter Brodersen wrote:
> Mængden af firewall-problem-support, som udbydere (og folk i
> nyhedsgrupper) har lavet i forhold til
> firewall-producenterne/distribuørerne er vel omkring 1000:1. Det er én
> af grundene til at folk er trætte af at skulle bruge tid på noget,
> firewall-producenterne ikke selv gider.

Og firewallen ryger hurtigt af når brugeren ikke kan få et program/spil
til at virke.

Hvad sker der så?