---

Hejsa,

Jeg er på udkig efter en windows firewall, gerne gratis,
der kan lave regler for både indgående og udgående trafik.

Jeg har en del arfaring med Norman og synes den fungerer
nogenlunde.

Jeg kan godt lide at den laver meget specifikke regler, også
selv om den nogen gange ter sig som manisk spørge-Jørgen.

Egentlig burde det ikke være nødvændigt at filtrere udgående
trafik overhovedet, men det er en ret effiktiv måde at
detektere en hulens masse spyware. (naturligvis ikke 100%
sikkert, men klart bedre end ingenting)

Nå ja, det er egentlig ikke til mig selv, men en bekendt
som i forvejen har en TDC-pakket Norman på den ene PC,
men nu mangler noget til PC nummer 2.
(mon man bare kan købe endnu en licens via TDC? prisen er
acceptabel, om end et gratis download ville være bedre....)

Kommentarer?


/Morten

---

Den 04 May 2006 17:59:44 GMT skrev Morten Guldager:
>
> Egentlig burde det ikke være nødvændigt at filtrere udgående
> trafik overhovedet, men det er en ret effiktiv måde at
> detektere en hulens masse spyware. (naturligvis ikke 100%
> sikkert, men klart bedre end ingenting)

Hvorfor installerer I spyware?

> Nå ja, det er egentlig ikke til mig selv, men en bekendt
> som i forvejen har en TDC-pakket Norman på den ene PC,
> men nu mangler noget til PC nummer 2.

Firewalls hører ikke til på hver PC, men som adskillelse imellem
lokalnettet og internettet. Overvej i stedet en NAT-router, der
gør jobbet meget effektivt for hjemme-brugere, og er betragteligt
mere sikker end en tilfældig software-firewall til windows. Men
sådan en har han vel allerede?

Hvis i endelig vil gå software-firewall ruten, så har Windows
XP en indbygget software-firewall, som må formodes at være skrevet
af nogen der har styr på Windows-programmering, og ikke øger risikoen
(mere end højst nødvendigt), i modsætning til mange andre
software-firewalls.

Begge løsninger er dog ikke optimale hvis I insisterer på at fortsætte
med at installere spyware, i så fald vil jeg anbefale at tage
netkablet ud sålænge spywaren er installeret.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis skrev:
> Begge løsninger er dog ikke optimale hvis I insisterer på at fortsætte
> med at installere spyware, i så fald vil jeg anbefale at tage
> netkablet ud sålænge spywaren er installeret.

Ingen af de løsninger løser behovet for at monitorere udgående
forbindelser - som nogen (mig selv inkl.) sætter meget pris på.

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

Den Thu, 04 May 2006 20:26:47 +0200 skrev Uffe S. Callesen:
> Kent Friis skrev:
>> Begge løsninger er dog ikke optimale hvis I insisterer på at fortsætte
>> med at installere spyware, i så fald vil jeg anbefale at tage
>> netkablet ud sålænge spywaren er installeret.
>
> Ingen af de løsninger løser behovet for at monitorere udgående
> forbindelser - som nogen (mig selv inkl.) sætter meget pris på.

Til at monitorere bruger man netstat, tcpdump, ethereal eller
lignende. Det har ikke noget med firewalls at gøre.

Til at forhindre udgående (og indgående) forbindelser, er den
sidste løsning ekstremt effektiv.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis skrev:
> Til at monitorere bruger man netstat, tcpdump, ethereal eller
> lignende. Det har ikke noget med firewalls at gøre.

I teorien er det helt korrekt - men i praksis er det jo håbløst at have
ethereal kørende 24/7 og få noget fornuftigt ud af det. Ingen af
ovennævnte giver dig en øjeblikkelig alarm og mulighed for at reagere
derpå. Evt malware vil jo stadig ufortrødent sende trafik ud gennem din
NAT router.

> Til at forhindre udgående (og indgående) forbindelser, er den
> sidste løsning ekstremt effektiv.

Ja men den er jo til gengæld ikke (når vi snakker en pakke baseret
firewall) istand til at skille skidt fra kanel - altså ingen kontrol af
om TCP trafik på på 25 nu også er SMTP...


--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

Den Thu, 04 May 2006 20:53:21 +0200 skrev Uffe S. Callesen:
> Kent Friis skrev:
>> Til at monitorere bruger man netstat, tcpdump, ethereal eller
>> lignende. Det har ikke noget med firewalls at gøre.
>
> I teorien er det helt korrekt - men i praksis er det jo håbløst at have
> ethereal kørende 24/7 og få noget fornuftigt ud af det.

Til det formål ville jeg nok vælge tcpdump. Det har jeg iøvrigt før
brugt den til (tror den kørte en uge), men det var før jeg kendte
ethereal.

Det kræver naturligvis fornuftigt definerede regler, så man ikke
logger alt det trafik man ikke ønsker at se.

> Ingen af
> ovennævnte giver dig en øjeblikkelig alarm og mulighed for at reagere
> derpå. Evt malware vil jo stadig ufortrødent sende trafik ud gennem din
> NAT router.

Dertil vil jeg stadig anbefale at lade være med at installere malware.

>> Til at forhindre udgående (og indgående) forbindelser, er den
>> sidste løsning ekstremt effektiv.
>
> Ja men den er jo til gengæld ikke (når vi snakker en pakke baseret
> firewall) istand til at skille skidt fra kanel - altså ingen kontrol af
> om TCP trafik på på 25 nu også er SMTP...

Er det nu jeg skal nævne mit lille IP over SMTP tunnel projekt?

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

2006-05-04 Kent Friis wrote
> Den 04 May 2006 17:59:44 GMT skrev Morten Guldager:
>>
>> Egentlig burde det ikke være nødvændigt at filtrere udgående
>> trafik overhovedet, men det er en ret effiktiv måde at
>> detektere en hulens masse spyware. (naturligvis ikke 100%
>> sikkert, men klart bedre end ingenting)
>
> Hvorfor installerer I spyware?

Det er naturligvis heller ikke det primære mål. Men af og
til står man med et program som helt bestemt mener at det
da har ret til at ringe hjem og checke om der mon er kommet
en nyere version af samme.
Det er ikke altid brugeren har mulighed for at fravælge dette.

Her er det super fikst bare at klikke nixen-bixen når fw
popper op.

>> Nå ja, det er egentlig ikke til mig selv, men en bekendt
>> som i forvejen har en TDC-pakket Norman på den ene PC,
>> men nu mangler noget til PC nummer 2.
>
> Firewalls hører ikke til på hver PC, men som adskillelse imellem
> lokalnettet og internettet.

Den påstand kan diskuteres herfra og til langeland.
Men til indgående filtrering er jeg enig i at en "ekstern"
firewall er langt at foretrække. (Men det er vist mest af
praktiske årsager)

> Hvis i endelig vil gå software-firewall ruten, så har Windows
> XP en indbygget software-firewall,

Ah pokkers. Fik ikke skrevet at den aktuelle maskine stadig kører
win2000. Min fejl, beklager.

Men XP's firewall kan vis heller ikke blokere for udgående
forbindelser. (kunne ihvertfald ikke sidst jeg checkede)



/Morten

---

Morten Guldager skrev:
> Men XP's firewall kan vis heller ikke blokere for udgående
> forbindelser. (kunne ihvertfald ikke sidst jeg checkede)

Det kan hverken W2K's indbyggede firewall (ja den har faktisk en _meget_
primitiv indbygget packet filtering firewall) eller Windows XP's
firewall (ICF).

Det er nu muligt både på W2K og WinXP at blokkere for udgående trafik
ved at benytte IPsec policies (ikke det formål de er der for men det virker)

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

"Morten Guldager" <Morten.Guldager@gmail.com> skrev i en
meddelelse

> XP's firewall kan vis heller ikke blokere for udgående
> forbindelser. (kunne ihvertfald ikke sidst jeg checkede)

Korrekt:

"... The question is "is the Windows Firewall sufficient" though?
The bottom line answer is "no". The Windows Firewall is much
better than its Internet Connection Firewall (ICF) predecessor,
but still no match for a 3rd-party personal firewall solution..."

http://netsecurity.about.com/od/firewalls/a/aa081804b.htm

- men Vista's firewall kan, (til dén tid):

"...When Windows Vista is released early next year, it will have
an updated firewall that looks at incoming as well as outgoing
traffic..."

http://news.com.com/Microsoft+takes+down+barrier+in+Vista+firewall/2100-7355_3-6065797.html?tag=cd.top

Mvh John

---

Den 04 May 2006 18:41:25 GMT skrev Morten Guldager:
> 2006-05-04 Kent Friis wrote
>> Den 04 May 2006 17:59:44 GMT skrev Morten Guldager:
>>>
>>> Egentlig burde det ikke være nødvændigt at filtrere udgående
>>> trafik overhovedet, men det er en ret effiktiv måde at
>>> detektere en hulens masse spyware. (naturligvis ikke 100%
>>> sikkert, men klart bedre end ingenting)
>>
>> Hvorfor installerer I spyware?
>
> Det er naturligvis heller ikke det primære mål. Men af og
> til står man med et program som helt bestemt mener at det
> da har ret til at ringe hjem og checke om der mon er kommet
> en nyere version af samme.
> Det er ikke altid brugeren har mulighed for at fravælge dette.

Det er normalt ikke det man kalder spyware.

> Her er det super fikst bare at klikke nixen-bixen når fw
> popper op.

Og så have et fint lille sikkerhedshul, som kan bruges til at
installere fjernstyringssoftware?

>>> Nå ja, det er egentlig ikke til mig selv, men en bekendt
>>> som i forvejen har en TDC-pakket Norman på den ene PC,
>>> men nu mangler noget til PC nummer 2.
>>
>> Firewalls hører ikke til på hver PC, men som adskillelse imellem
>> lokalnettet og internettet.
>
> Den påstand kan diskuteres herfra og til langeland.
> Men til indgående filtrering er jeg enig i at en "ekstern"
> firewall er langt at foretrække. (Men det er vist mest af
> praktiske årsager)

Og til filtrering af udgående connections er en separat firewall
en nødvendighed, da et program der allerede er på maskinen har
masser af muligheder for at omgås en software-firewall.

Den fanger så at sige kun "the good guys", hvor "the bad guys"
lige så stille sniger sig udenom.

>> Hvis i endelig vil gå software-firewall ruten, så har Windows
>> XP en indbygget software-firewall,
>
> Ah pokkers. Fik ikke skrevet at den aktuelle maskine stadig kører
> win2000. Min fejl, beklager.

Der er et simpelt pakke-filter helt tilbage i NT4, men det er muligt
det kun gælder server-versioner.

> Men XP's firewall kan vis heller ikke blokere for udgående
> forbindelser. (kunne ihvertfald ikke sidst jeg checkede)

Nej, det var også det jeg sagde.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis skrev:
> Og til filtrering af udgående connections er en separat firewall
> en nødvendighed, da et program der allerede er på maskinen har
> masser af muligheder for at omgås en software-firewall.
>
> Den fanger så at sige kun "the good guys", hvor "the bad guys"
> lige så stille sniger sig udenom.

Link ?

> Nej, det var også det jeg sagde.

Nej det gjorde du så ikke :)

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

Den Thu, 04 May 2006 22:27:06 +0200 skrev Uffe S. Callesen:
> Kent Friis skrev:
>> Og til filtrering af udgående connections er en separat firewall
>> en nødvendighed, da et program der allerede er på maskinen har
>> masser af muligheder for at omgås en software-firewall.
>>
>> Den fanger så at sige kun "the good guys", hvor "the bad guys"
>> lige så stille sniger sig udenom.
>
> Link ?

http://sikkerhed-faq.dk/hjemme_pc#fw-malware

>> Nej, det var også det jeg sagde.
>
> Nej det gjorde du så ikke :)

Ok, indirekte. Der hvor jeg skrev at de ikke er egnede hvis man
ønsker at fortsætte med at installere spyware.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:

>>Her er det super fikst bare at klikke nixen-bixen når fw
>>popper op.

> Og så have et fint lille sikkerhedshul, som kan bruges til at
> installere fjernstyringssoftware?

Nu er det ikke alle programmer, der er i den kategori. Eksempel:

Min søns computer har et TV-kort. For at se TV benytter han programmet
ChrisTV Lite. Dette program modtager kun to slags kommunikation fra
omverdenen:

1. Datastrømmen fra TV-tuneren.

2. Svar på den forbindelse, der "ringer hjem" og spørger efter nye
opdateringer.

Nr. 1 kan muligvis udnyttes, hvis nogen finder et sikkerhedshul i den
del af programmet, der håndterer datastrømmen fra TV-tuneren og derefter
får kodet et TV-signal, så det indeholder et exploit, og sidst men ikke
mindst får min søn til at vælge at modtage dette signal via vores
fællesantenne. Jeg tror bare, vi skal kalde det urealistisk.

Nr. 2 kan muligvis også udnyttes, hvis nogen finder et hul i "ringe
hjem"-delen af programmet og derefter får magten over den server, der
ringes hjem til, eller får omdirigeret forbindelsen til en anden server.
Igen ikke alt for realistisk. Og jeg er lige ved at sige: Skulle det
være fejl af denne type, en opdatering skal rette, er det nok fint nok,
at der i forvejen har været lukket af for udgående forbindelser fra
dette program.

Med andre ord: Jeg føler mig ikke spor utryg ved ikke at have seneste
version af programmet.

Alligevel synes firmaet bag programmet, at den installerede version skal
ophøre med at fungere, når der foreligger en ny version. Ingen
forudgående advarsler om, at man bør opdatere inden xx dage. Ingen
automatisk opdatering (hvilket han heller ikke har rettigheder til under
sit daglige login alligevel).

Den situation er et supporthelvede. Pludselig opdager han, at han ikke
længere har lov at se fjernsyn, og så skal farmand igang med at hente en
ny version og installere den uden noget forvarsel.

Jeg vælger nok at løse problemet ved at finde noget andet
TV-tunersoftware. Jeg kunne også lukke for adgang til firmaets server i
hjemmets hardware-firewall, men så ville jeg måske afskære mig fra at
hente opdateringerne, hvis de viser sig at ligge på samme server.

Men jeg kunne faktisk også ganske bekvemt løse problemet ved at
installere en software-firewall og lade den blokere programmets mulighed
for at ringe hjem. Man skal bare ikke bilde sig ind, at det giver
særlige sikkerhedsfordele i øvrigt.

> Og til filtrering af udgående connections er en separat firewall
> en nødvendighed, da et program der allerede er på maskinen har
> masser af muligheder for at omgås en software-firewall.
>
> Den fanger så at sige kun "the good guys", hvor "the bad guys"
> lige så stille sniger sig udenom.

Jeg synes faktisk, at the good guys er ved at blive rigeligt dygtige,
som ovenstående eksempel viser. Det vil ikke skade at have lidt opsyn
med dem. Og jeg tror ikke, at de vil give sig til at bruge "onde"
metoder for at slippe uden om dette opsyn (vi glemmer lige Sonys rootkit
et øjeblik - jeg er alligevel ikke overbevist om, at de hører hjemme i
kategorien "good guys").

--
Allan Olesen

---

"Morten Guldager" <Morten.Guldager@gmail.com> skrev i en
meddelelse

> Jeg er på udkig efter en windows firewall, gerne gratis,
> der kan lave regler for både indgående og udgående trafik.

Et par bud:

Sygate, freeware:
http://majorgeeks.com/download.php?det=3356

Agnitum Outpost, shareware:
http://majorgeeks.com/download.php?det=1057

Mvh John

---

On Thu, 2006-05-04 at 18:41 +0000, Morten Guldager wrote:
> Ah pokkers. Fik ikke skrevet at den aktuelle maskine stadig kører
> win2000. Min fejl, beklager.

http://homepages.wmich.edu/~mchugha/w2kfirewall.htm

> Men XP's firewall kan vis heller ikke blokere for udgående
> forbindelser. (kunne ihvertfald ikke sidst jeg checkede)

Det er en gennemgående forkert påstand mange kommer med.

http://homepages.wmich.edu/~mchugha/w2kfirewall.htm

---

On Thu, 2006-05-04 at 22:27 +0200, Uffe S. Callesen wrote:
> > Den fanger så at sige kun "the good guys", hvor "the bad guys"
> > lige så stille sniger sig udenom.
>
> Link ?

http://groups.google.com/groups?q=lysel+dns+firewall&scoring=d

Andre angrebsvinkler kan være igennem en browser, mail program,
eller andre applikationer.....det er da almindelig viden, og det
har vi haft oppe at vende før.
Vi fik engang en udvikler på Bitguard til at indrømme det, kan dog
ikke lige finde artiklen.

---

On Thu, 2006-05-04 at 23:25 +0200, Allan Olesen wrote:
> Nr. 2 kan muligvis også udnyttes, hvis nogen finder et hul i "ringe
> hjem"-delen af programmet og derefter får magten over den server, der
> ringes hjem til, eller får omdirigeret forbindelsen til en anden server..
> Igen ikke alt for realistisk. Og jeg er lige ved at sige: Skulle det

Hvorfor er det ikke realistisk at få kontrollen over serveren.

Man vil evt. meget hurtigt derfra kunne få kontrollen over alle
klienterne.

> Men jeg kunne faktisk også ganske bekvemt løse problemet ved at
> installere en software-firewall og lade den blokere programmets mulighed
> for at ringe hjem. Man skal bare ikke bilde sig ind, at det giver
> særlige sikkerhedsfordele i øvrigt.

Software firewall vil se de som en ny applikation, når den er blivet
opdateret.

---

On Fri, 2006-05-05 at 00:00 +0200, Allan Olesen wrote:
> Det var kombinationen af...:
>
> 1. at programmet indeholder et exploit, som vil kunne udnyttes af serveren.
>
> 2. at nogen får magten over serveren.
>
> ... som jeg ikke fandt helt realistisk.

Kombinationen behøves ikke at være til stede.

Har jeg adgang til serveren, kan jeg bestemme hvad der skal
køre på alle klienterne, der henter opdateringer fra mig, hvis
designet ikke er gennemtænkt.

> Og igen:
> Hvis den situation nogensinde skulle opstå, ville det jo meget tydeligt
> vise, at programmet slet ikke i første omgang burde have haft adgang til
> nettet for at checke opdateringer.

Men var det ikke et nødvendigt onde for at få programmet til at virke?

---

Morten Guldager ramte sit keyboard den 04-05-2006 19:59 og fik dette ud
af det:
> Hejsa,
>
> Jeg er på udkig efter en windows firewall, gerne gratis,
> der kan lave regler for både indgående og udgående trafik.

Hvorfor ? Hvorfor bruger du ikke en NAT router og sund fornuft ?

> Jeg har en del arfaring med Norman og synes den fungerer
> nogenlunde.

Tja ...

> Jeg kan godt lide at den laver meget specifikke regler, også
> selv om den nogen gange ter sig som manisk spørge-Jørgen.
>
> Egentlig burde det ikke være nødvændigt at filtrere udgående
> trafik overhovedet, men det er en ret effiktiv måde at
> detektere en hulens masse spyware. (naturligvis ikke 100%
> sikkert, men klart bedre end ingenting)

Lad være med at installere spyware i første omgang.

> Nå ja, det er egentlig ikke til mig selv, men en bekendt
> som i forvejen har en TDC-pakket Norman på den ene PC,
> men nu mangler noget til PC nummer 2.

Hvorfor købe en hurtig pc for derefter at lade cpu'en bruges til
AV-programmer ?

> (mon man bare kan købe endnu en licens via TDC? prisen er
> acceptabel, om end et gratis download ville være bedre....)
>
> Kommentarer?

Opfør dig ordentligt på nettet ... så kommer der hverken virus eller
spyware på pc'en.


--
Benny Nissen
www.bennynissen.dk

---

Benny Nissen wrote:
> Hvorfor købe en hurtig pc for derefter at lade cpu'en bruges til
> AV-programmer ?

Uden at kunne huske det nøjagtige tal så mener jeg at den tid en CPU på
et desktop system er idle er over 90% - forklar så lige problemet i at
et program æder et par extra clock cycluser.

> Opfør dig ordentligt på nettet ... så kommer der hverken virus eller
> spyware på pc'en.

Det er bare for naivt - forestil dig at en side du har tillid til bliver
hacket - angriberen placerer et IE exploit som udnytter en IE sårbarhed
der endnu ikke er et patch til. Du vil ikke alene blive ramt - du vil
ikke have den fjernest mistanke fordi du har overbevist dig selv om at
så længe du kun besøger 5 forskellige internetsider så er du "helt
sikker" (TM)

---

Uffe S. Callesen ramte sit keyboard den 05-05-2006 09:13 og fik dette ud
af det:
> Benny Nissen wrote:
>> Hvorfor købe en hurtig pc for derefter at lade cpu'en bruges til
>> AV-programmer ?
>
> Uden at kunne huske det nøjagtige tal så mener jeg at den tid en CPU på
> et desktop system er idle er over 90% - forklar så lige problemet i at
> et program æder et par extra clock cycluser.

Man køber vel cup efter hvad man skal lave med maskinen.
Jeg arbejder ofte med mange-spors musik og video, og der kan jeg sagtens
bruge alle resurcerne fra cpu'en selv

>> Opfør dig ordentligt på nettet ... så kommer der hverken virus eller
>> spyware på pc'en.
>
> Det er bare for naivt - forestil dig at en side du har tillid til bliver
> hacket - angriberen placerer et IE exploit som udnytter en IE sårbarhed
> der endnu ikke er et patch til.

Jeg er ligeglad. Som jeg skrev: Opfør dig ordentligt. Det betyder da
også, at man ikke bruger så hullet software som IE.


--
Benny Nissen
www.bennynissen.dk

---

Kære Benny, Bertel og klaus.

Jeg skrev som kommentar til:

<snip>
Opfør dig ordentligt på nettet ... så kommer der hverken virus eller
spyware på pc'en.
</snip>

at..

<snip>
Det er bare for naivt - forestil dig at en side du har tillid til bliver
hacket - angriberen placerer et IE exploit som udnytter en IE sårbarhed
der endnu ikke er et patch til. Du vil ikke alene blive ramt - du vil
ikke have den fjernest mistanke fordi du har overbevist dig selv om at
så længe du kun besøger 5 forskellige internetsider så er du "helt
sikker" (TM)
<snip>

Min pointe var (det var åbenbart ikke tydeligt nok) at man altså ikke
skal bilde sig selv ind at man hverken får virus eller spyware hvis blot
man kun benytter tjenester på nettet som man har tillid til. De kan også
kompromiteres og derigennem dig.

Og spar mig nu for en præsentation af modsatte situation hvor man har
blind tilid til sin AV osv... Jeg kommenterede blot Benny's indtryk af
at han selv er 100% herre over hvad der 'kan' komme ind på hans PC.


--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

---

Den Fri, 05 May 2006 19:44:05 +0200 skrev Uffe S. Callesen:
>
> Min pointe var (det var åbenbart ikke tydeligt nok) at man altså ikke
> skal bilde sig selv ind at man hverken får virus eller spyware hvis blot
> man kun benytter tjenester på nettet som man har tillid til. De kan også
> kompromiteres og derigennem dig.

Real life tests viser at det får man ikke.

> Og spar mig nu for en præsentation af modsatte situation hvor man har
> blind tilid til sin AV osv... Jeg kommenterede blot Benny's indtryk af
> at han selv er 100% herre over hvad der 'kan' komme ind på hans PC.

Intet er 100% sikkert, men fornuftig opførsel, opdateret system og
ingen unødvendige services der lytter på nettet kommer meget tæt
på.

Meget tættere end AV-programmer og personlige "firewalls".

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Uffe S. Callesen skrev:

> Det er bare for naivt - forestil dig at en side du har tillid til bliver
> hacket - angriberen placerer et IE exploit som udnytter en IE sårbarhed
> der endnu ikke er et patch til. Du vil ikke alene blive ramt - du vil
> ikke have den fjernest mistanke fordi du har overbevist dig selv om at
> så længe du kun besøger 5 forskellige internetsider så er du "helt
> sikker" (TM)

Ligegyldigt hvilken sikkerhedspolitik et system har, kan man
digte en rædselshistorie som ovenstående. Jeg synes f.eks. det
er naivt at stole på en 'personlig' firewall. Forestil dig at en
side du har tillid til bliver hacket - angriberen placerer et ZA
exploit som udnytter en ZA sårbarhed der endnu ikke er et patch
til. Du vil ikke alene blive ramt - du vil ikke have den
fjernest mistanke fordi du har overbevist dig selv om at ZA nok
skal redde dig hvis du kommer til at besøge risikable sider.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

"Uffe S. Callesen" <anon@anon.local> writes:

>Det er bare for naivt - forestil dig at en side du har tillid til bliver
>hacket - angriberen placerer et IE exploit som udnytter en IE sårbarhed
>der endnu ikke er et patch til.

Må jeg se din konkrete risikovurdering for dette scenarie kontra din
sikkerhedsvurdering for de anbefalede programmer mht. kernel-level
kode og hårdheden af opdateringssystemet?

Hvor stor en procentsats har du givet det hackede website, og hvor
stor har du givet kodefejlene? Står de i så rimeligt forhold til
hinanden? Hvad har du af betragtninger omkring det tilfædle, at
antivirus-programmets opdateringstjeneste bliver hacket, så du får
ond kode ind den vej? Har du en automatisk proces til at opdage det?

Jeg synes, det eneste naive her er din blinde tiltro til, at alle
firewall/antispyware/antivirus-leverandører laver 100% fejlfri
kode, og at alle deres online-opdaterings-systemer er 100% fejlfri
og med 100% garanti aldrig nogensinde kan udsættes for angreb.

Hvis de kun laver 75% fejlfri kode, opdateringssystemet kun er 80%
sikkert og sandsynligheden for afværgelse af angreb er 90%, så er
antivirus-programmer faktisk langt farligere end de fleste vira!

Kan du dokumentere, at mine tal er forkerte?

Hvis du ikke kan det, hvordan kan du så udtale dig om, at det er
(mere) sikkert at installere den slags end at lade være?

Mvh.
   Klaus.

---

Den Fri, 05 May 2006 09:13:55 +0200 skrev Uffe S. Callesen:
> Benny Nissen wrote:
>> Hvorfor købe en hurtig pc for derefter at lade cpu'en bruges til
>> AV-programmer ?
>
> Uden at kunne huske det nøjagtige tal så mener jeg at den tid en CPU på
> et desktop system er idle er over 90% - forklar så lige problemet i at
> et program æder et par extra clock cycluser.

Det er bare altid på tidspunkter hvor man ikke har brug for CPU-kraften
at den er idle.

Hvis antivirus'en kunne on-demand scanne om natten, når man arbejder
om dagen, kunne det være at det ikke ville sløve maskinen. Eller hvis
de CPU-cycler man ikke har brug for når den er idle kunne spares sammen,
og bruges på en gang når der er behov for det, kunne det være der
var nok til anti-virus'en ordentligt.

>> Opfør dig ordentligt på nettet ... så kommer der hverken virus eller
>> spyware på pc'en.
>
> Det er bare for naivt - forestil dig at en side du har tillid til bliver
> hacket - angriberen placerer et IE exploit som udnytter en IE sårbarhed
> der endnu ikke er et patch til. Du vil ikke alene blive ramt - du vil
> ikke have den fjernest mistanke fordi du har overbevist dig selv om at
> så længe du kun besøger 5 forskellige internetsider så er du "helt
> sikker" (TM)

Rimelig usandsynligt. Meget mere usandsynligt end at modtage en
mail med virus i, dobbeltclicke på virus'en (der er ikke noget at være
nervøs for, man har jo antivirus), og ikke engang opdage at det
var en af de virus'er som antivirus'en ikke opdager, i hvert fald ikke
før det er for sent.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

On Fri, 05 May 2006 09:13:55 +0200, "Uffe S. Callesen"
<anon@anon.local> wrote:

> Uden at kunne huske det nøjagtige tal så mener jeg at den tid en CPU på
> et desktop system er idle er over 90% - forklar så lige problemet i at
> et program æder et par extra clock cycluser.

Det ser ikke ud til at være generelt. I hvert fald er maskiner med AV-
scanner, firewall og anti-dit og -dag ofte enormt langsomme. Desuden
er de programmer netop aktive, når man beder sin pc om at lave noget
(fx fordi AV-softwaren lave on-demand scanning), og det betyder, at
når man faktisk har brug for sin cpu, bliver den også brugt (mere) til
anti-dit og -dat.

-A
--
http://www.hojmark.org/

---

On Fri, 2006-05-05 at 00:43 +0200, Allan Olesen wrote:
> Christian E. Lysel wrote:
> Klienterne henter netop ikke opdateringer. De ringer kun hjem for at
> konstatere, at der findes en nyere version. Gør der det, nægter de at
> fungere.

Ok, jeg læste dit indlæg forkert.

> Derefter må man over i den normale rutine med manuelt at hente og
> installere en opdatering af programmet, og her er
> sikkerhedsovervejelserne ikke anderledes fra andre programmer _uden_
> ringe-hjem-funktion.

Enig.

> Nej, det er jo netop omvendt. Har programmet ikke netværksadgang, vil
> det ikke kunne konstatere, at der findes en nyere version, og dermed vil
> det vedblive med at fungere.

Kan en hosts fil ikke hjælpe?

---

04 May 2006 17:59:44 GMT, skrev Morten Guldager
<Morten.Guldager@gmail.com> :

>(mon man bare kan købe endnu en licens via TDC? prisen er
>acceptabel, om end et gratis download ville være bedre....)
>
>Kommentarer?
>
>
>/Morten

Man kan godt købe en ekstra licens hos TDC, kan endda gøres online.

http://privat.tdc.dk/internet/sikkerhed/


Hilsen Lars