/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
'To firewall or not to firewall...'
Fra : Towli


Dato : 10-03-04 07:36

Hej alle

Det er ærgeligt at tråden nedenunder der diskuterer relevansen af firewalls
hos en almindelig privat xp-bruger, bliver afløst af en diskussion om
hvorvidt det bør hedde vira eller viruser.
Jeg er igang med samme diskussion med min gode ven der iøvrigt er
computerblads-skribent.
Som jeg kan forstå det er "holdningen på bjerget" (j.f. oss'en) at såfremt
man ikke kører nogle tjenester / "server-services" på sin pc, har man ikke
behov for en firewall som privat bruger.
Men hvad så med de porte man kan se der lyttes på ved en "netstat -a", -er
de ikke åbne for "exploits" eller hvad det hedder? Og hvorledes udnytter
kompetente hackere typisk disse lyttende porte?

Venligst

/Towli (@oldboyz.dk)



 
 
Troels Arvin (10-03-2004)
Kommentar
Fra : Troels Arvin


Dato : 10-03-04 09:37

On Wed, 10 Mar 2004 07:35:39 +0100, Towli wrote:

> Men hvad så med de porte man kan se der lyttes på ved en "netstat -a"

En port holdes åbent af et eller andet program. Om du kalder programmet
en service eller ej, er en diskussion om ord.

En note om netstat: Ifølge
http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en har visse
versioner af Windows en buggy udgave af netstat, der giver forkert output.

Det store problem mht. dette her emne er, at det på Windows kan være
urimeligt svært at få lukket unødvendige porte (eller få dem til kun
at lytte på ikke-offentlige interfaces). Bl.a. derfor findes sider som
ovennævnte og http://a.area51.dk/sikkerhed/w2k_workstation

> -er de ikke åbne for "exploits"

Jo, hvis programmet, der lytter, har sikkerhedsfejl, eller hvis programmet
giver adgang på basis af passwords, der er lette at gætte.

--
Greetings from Troels Arvin, Copenhagen, Denmark


Christian E. Lysel (10-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 10-03-04 10:03

In article <c2mcvq$2hon$1@news.cybercity.dk>, Towli wrote:
> Som jeg kan forstå det er "holdningen på bjerget" (j.f. oss'en) at såfremt
> man ikke kører nogle tjenester / "server-services" på sin pc, har man ikke
> behov for en firewall som privat bruger.
> Men hvad så med de porte man kan se der lyttes på ved en "netstat -a", -er
> de ikke åbne for "exploits" eller hvad det hedder? Og hvorledes udnytter

Du modsiger lidt dig selv.

Hvis du ikke har nogle tjenester kørende på PC'en har du heller ikke nogle
porte åbne.

> kompetente hackere typisk disse lyttende porte?

I øjeblikket udnyttes messenger til at åbne et vindue på pc'en med
servicen kørende (hvilket er standard)...de mere alvorlige angreb
udnytter evt. sårbarheder i servicens software.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Michael U. Hove (10-03-2004)
Kommentar
Fra : Michael U. Hove


Dato : 10-03-04 10:47

Towli wrote:
> Hej alle
>
> Det er ærgeligt at tråden nedenunder der diskuterer relevansen af firewalls
> hos en almindelig privat xp-bruger, bliver afløst af en diskussion om
> hvorvidt det bør hedde vira eller viruser.
> Jeg er igang med samme diskussion med min gode ven der iøvrigt er
> computerblads-skribent.
> Som jeg kan forstå det er "holdningen på bjerget" (j.f. oss'en) at såfremt
> man ikke kører nogle tjenester / "server-services" på sin pc, har man ikke
> behov for en firewall som privat bruger.
> Men hvad så med de porte man kan se der lyttes på ved en "netstat -a", -er
> de ikke åbne for "exploits" eller hvad det hedder? Og hvorledes udnytter
> kompetente hackere typisk disse lyttende porte?
>
> Venligst
>
> /Towli (@oldboyz.dk)
>
>

Generelt er det "holdningen på bjerget" at har man nedlukket unødige
netværks-services og disablet de særligt sårbare Windows
funktionaliteter (ActiveX, DCOM, NBT, m.m.), er man bedre stillet, end
med en pivåben PC med alskens SW firewalls og antivirus pakker klistret
ovenpå.

Det handler om at minimere mængden af sårbar kode, som en
angriber/orm/virus kan tilgå, ved at klistre mere software (læs SF
firewalls/antivirus) opnår man den modsatte effekt og værre, man har
ikke fået den vitale erfaring ved selv at identificere sårbarhederne og
lukke dem. Det er peg-og-klik når det er værst, og en af grundene til at
Windows er det mest angrebne OS overhovedet.

Microsofts software-udviklingsfilosofi, har altid været at integrere
applikationerne så meget som muligt. Dette er både gaven og forbandelsen
ved at være et monopol.

Gaven består i at man bliver populær hos brugerne, når de kan åbne deres
obskure WP fil-format fra tante Oda, i Internet Explorer, og derefter
blive spurgt om de vil konvertere den til Word 2000 format og maile den
automatisk tilbage til tante Oda, iøvrigt med et link til den nyestes
Messenger på MSN.dk, fordi hvorfor bruge noget så forældet som e-mail,
når real-time kommunikation er opfundet. Altsammen uden at have klikket
mere end højst 1 gang....

Forbandelsen består i at kode der på den måde væver applikationer
sammen, også hurtigt bliver meget kompleks og en "motorvej" for
ondsindet kode der udnytter Windows dybe integration ml. applikationerne.

Som case-study er den udskældte Outlook Express (OE) et godt eksempel.
OE er en mail-applikation, men den er samtidig også en browser, media
player, ActiveX afvikler osv.

Et sådant program med så meget funktionalitet er jo et udsat mål for
exploits, virus og orme. Man skal ikke engang ud i nogle særlig
avancerede teknikker for at få kørt sin kode. OE afvikler lykkeligt alt
der bliver smidt efter den, fordi sådan er den programmeret. Microsofts
"integrations-politik" bider her dem selv i halen, og smider man det
faktum at de fleste brugere uforvarent surfer/e-mailer som
"Administrator" ind i mixet, er det ikke underligt at så mange
mennesker får virus, orme, bliver "hacket" osv. Alle applikationer har
adgang til alt og med "Administrator" rettigheder er der fuld adgang til
filsystemet og hermed frit slag for alskens maliciøs kode.

Det er meget fint at Microsoft er begyndt at fokusere noget mere på
sikkerhed, Trustworthy Computing osv, men grundlæggende er deres OS
svært at sikre, fordi alting er integreret med hinanden. Læg så oveni
hatten, at ingen nogensinde får kildekoden at se (og dog...), og MS står
med et problem. Deres OS er grundlæggende tænkt usikkert, og skal
tænkes helt om, hvis Trustworthy Computing skal have nogen som helst effekt.

Det er ikke fordi UNIX/Linux/BSD/ er mindre sårbar end Windows, men
Windows tillader dig at bruge en computer, uden at vide det mindste om
hvordan den fungerer. Det samme er ikke til tilfældet med *NIX, og mange
*NIX brugere kører desuden deres OS, for at finde ud af hvordan deres
computer virker, hvilket i sig selv er en god basis for at forstå,
hvordan man sikrer den.

Grunden til at der i OSS'en tales om at man ikke behøver en firewall
hvis man ikke kører nogen services, er nok at manden bag OSS'en, i
modsætning til mange alm. computerbrugere, har en betydelig viden om
computer-sikkerhed.

Hvis man ikke aner hvordan en firewall fungerer, endsige hvad en service
er, og ikke mindst hvordan man lukker den, er det måske ikke så skidt at
køre en SW firewall og en antivirus pakke. I det mindste finder man ud
af at det ikke hjælper synderligt med alverdens sikkerhedssoftware, når
man stadig drøner rundt og klikker på alle pop-ups i Internet Explorer,
henter MP3'ere på E-mulen, får sjove multimedia-mails i sin Outlook
osv. Pudsigt nok kører alle de af mine venner der har virusproblemer,
både SW firewall og antivirus programmer...hvorimod "nørderne" aldrig
kunne finde på at lade en Zonealarm ell. Norton komme i nærheden af
deres computer, og iøvrigt i parantes bemærket aldrig har haft en eneste
virus.

Klog af skade efter endnu et virusangreb, hvor SW firewallen ikke lige
reagerede og antivirus abonnementet var udløbet, kan man så læse OSS'en
en gang til og forhåbentlig blive inspireret til at gøre noget aktivt
for at forstå mekanismerne bag sårbarhederne, og dermed tage det første
skidt til at forstå, hvorfor computer sikkerhed ikke handler om
software, men om grundlæggende computer indsigt, fornuftig online
opførsel og en passende mængde sund skepsis.

Hvis du vil være med til at forbedre vores kollektive
computer-sikkerhed, bør du snakke med din skribent-ven, og spørge
hvorfor computer-bladene, der burde være en troværdig kilde, selv er med
til at give folk det forkerte udgangspunkt med den ene stort anlagte
test af antivirus og SW firewall efter den anden!

Man skulle mene, at der på bare en af alle de mange computer-blads
redaktioner i DK, sad bare en enkelt skribent, der havde fattet at
computer sikkerhed ikke kan købes i en fint indpakket kasse med
tilhørende 3 årligt abonnement, og som så det som sin jounalistiske
pligt at holde op med at stikke sine læsere blår i øjnene. Med den
nuværende glorificering af diverse kommercielle sikkerheds
pakke-løsninger, kunne man jo få den grimme mistanke, at journalistene
af den ene eller den anden årsag ikke er helt partiske...

Indtil den dag kommer, hvor der ikke findes grimme mennesker, der synes
det er sjovt at skrive viruser og orme, vil der nok desværre også være
et marked for div. snake-oil "shrink-wrapped" sikkerheds software. De
kulørte kasser taler nemlig til menneskets værste side: dovenskab, og
hvis man kan overlade sin personlige computersikkerhed til endnu et
multi-nationalt selskab, der kan grine hele vejen til banken, gør man
åbenbart glædeligt det!

Bare trist at man kunne værre bedre stillet og væsentlig mindre fattig,
hvis man istedet for det grå i pungen, havde brugt det grå mellem ørene.

/mvh
michael

Jens Kristian Søgaar~ (12-03-2004)
Kommentar
Fra : Jens Kristian Søgaar~


Dato : 12-03-04 19:36

Hej Michael,

Først, vil jeg lige anbefale dig, at skære lidt i det, du citerer...
(det er et langt indlæg, så jeg skriver det lige her øverst, før jeg går
i gang med at svare)

> ikke fået den vitale erfaring ved selv at identificere sårbarhederne
og
> lukke dem. Det er peg-og-klik når det er værst, og en af grundene til
at
> Windows er det mest angrebne OS overhovedet.

Hvorfor er det en vital erfaring?

Jeg kan godt se, at man gør sig en erfaring af typen: "Der kan være fejl
i software.", hvilket kan gøre en mere opmærksom på at man skal sikre
sig.

Men at man erfarer: "Jeg har nu klikket her for at installere patch X
der fjerner Y", der kan jeg ikke umiddelbart se en forbindelse til, at
man så bliver bedre til at identificere og fjerne andre sårbarheder (i
hvert fald ikke "vital" erfaring).

Hvis man reelt kan lukke sikkerhedshuller ved at pege og klikke, ser jeg
ingen problemer i det.

Kan det i øvrigt dokumenteres, at Windows er det mest angrebne
operativsystem?

> Forbandelsen består i at kode der på den måde væver applikationer
> sammen, også hurtigt bliver meget kompleks og en "motorvej" for
> ondsindet kode der udnytter Windows dybe integration ml.
applikationerne.

Her skal man jo så blot være opmærksom på, at dette ikke er specifikt
for Windows. Samme form for integration og sammenkobling af
applikationer kan du jo se på Macintosh, i Linux (bare se KDE fx), osv.

Du farver diskussionen meget ved at lade det fremstå som om, at
Microsoft er af det onde. Istedet kunne man måske vurdere om det ikke
netop er vigtigt for forbrugerne at programmerne spiller sammen, og kan
betjenes let. - Samtidigt er det jo en kendsgerning at software bliver
mere og mere komplekst.

Altså må sikkerhedsfolket (og udviklerne) tage det som en udfordringen
at udvikle teknikker, værktøjer og politikker som kan bevare
sikkerheden, når kompleksiteten vokser.

> OE afvikler lykkeligt alt
> der bliver smidt efter den, fordi sådan er den programmeret.

Her overdriver du vist mere end godt er.

> filsystemet og hermed frit slag for alskens maliciøs kode.

Jeg har bemærket et par gange, at ordet "maliciøs" er blevet brugt
herinde. Jeg kan forstå det, hvis det benyttes ved citater af
skønlitteratur fra fordums tider... men er det ikke mere passende blot
at skrive "ondsindet" i dagens Danmark?

> Det er meget fint at Microsoft er begyndt at fokusere noget mere på
> sikkerhed, Trustworthy Computing osv, men grundlæggende er deres OS
> svært at sikre, fordi alting er integreret med hinanden.

Og?

Du skriver som om, at det er "dårligt" af Microsoft at de fokuserer på
sikkerhed, fordi deres operativsystem er svært at sikre. Netop derfor må
det da være vigtigt at fokusere på sikkerhed. Hvis det var nemt at
sikre, var der jo ikke behov for fokus.

> Læg så oveni
> hatten, at ingen nogensinde får kildekoden at se (og dog...), og MS
står
> med et problem.

Har du nogen dokumentation for, at closed-source operativsystemer
generelt set er behæftet med flere sikkerhedsfejl end open-source
operativsystemer? (dvs. at det er selve open/closed-source egenskaben
som direkte påvirker sikkerheden)

> Deres OS er grundlæggende tænkt usikkert, og skal

Hvordan er det tænkt usikkert?

> tænkes helt om, hvis Trustworthy Computing skal have nogen som helst
effekt.

Hvad vil du have lavet om?

> Det er ikke fordi UNIX/Linux/BSD/ er mindre sårbar end Windows, men
> Windows tillader dig at bruge en computer, uden at vide det mindste om
> hvordan den fungerer.

Og det er noget skidt?

Hvor meget ved du om, hvordan din bil virker?
Eller dit oliefyr?
Og hvordan er en el-sparepære egenligt indrettet?

Det kan man jo så diskutere til hudløshed, men faktum i dag er jo, at
folk bruger computere uden at de ved alt om, hvordan de fungerer. Det må
man tage med i sine sikkerhedsovervejelser. Hvis det ikke er noget man
kan leve med, må man jo så uddanne sine brugere eller lade dem skulle
tage forskellige typer "kørekort" for at få adgang til maskineriet. Det
synes jeg ikke er noget, man skal lade operativsystemsproducenten
bestemme.

> Det samme er ikke til tilfældet med *NIX, og mange
> *NIX brugere kører desuden deres OS, for at finde ud af hvordan deres
> computer virker, hvilket i sig selv er en god basis for at forstå,
> hvordan man sikrer den.

Har du nogen dokumentation for, hvor mange "mange" er?

Hvad med alle dem som ikke kører deres unix-lignende operativsystem for
at lære om deres computers virkemåde?
Hvad med alle dem som kører Mac OS X?
Hvad med alle dem, som har brugt Unix før det blev moderne, og stadig
ikke ved hvordan bitsene bliver flyttet rundt bagved skærmen?

Og er du sikker på at årsagsvirkningsretningen virkeligt er fra
operativsystem til viden, og ikke den anden vej rundt?

Dvs. at det ikke er Unix systemet som gør, at folk ved mere om deres
computers virkemåde -- men at det istedet er sådan, at dem som ved meget
om deres computers virkemåde vælger et Unix system?

(sandheden er sikkert en kombination af de to ting)

> Hvis man ikke aner hvordan en firewall fungerer, endsige hvad en
service
> er, og ikke mindst hvordan man lukker den, er det måske ikke så skidt
at
> køre en SW firewall og en antivirus pakke.

Hvad med sovepudeargumentet? - den falske tryghed...

> Hvis du vil være med til at forbedre vores kollektive
> computer-sikkerhed, bør du snakke med din skribent-ven, og spørge
> hvorfor computer-bladene, der burde være en troværdig kilde

Hvorfor bør computer-bladene være en troværdig kilde omkring meget
avanceret edb?

> pligt at holde op med at stikke sine læsere blår i øjnene. Med den
> nuværende glorificering af diverse kommercielle sikkerheds
> pakke-løsninger, kunne man jo få den grimme mistanke, at journalistene
> af den ene eller den anden årsag ikke er helt partiske...

Kender du da journalister som er blevet bestukket til at reklamere for
kommerciele sikkerhedspakkeløsninger?

> Indtil den dag kommer, hvor der ikke findes grimme mennesker, der
synes
> det er sjovt at skrive viruser og orme, vil der nok desværre også være
> et marked for div. snake-oil "shrink-wrapped" sikkerheds software.

Hvorfor er man grim, hvis man synes det er sjovt at skrive om vira og
orme?

--
Jens Kristian Søgaard, Mermaid Consulting ApS,
jens@mermaidconsulting.dk,
http://www.mermaidconsulting.com/




Stig Johansen (13-03-2004)
Kommentar
Fra : Stig Johansen


Dato : 13-03-04 13:06

Jens Kristian Søgaard wrote:

> Her skal man jo så blot være opmærksom på, at dette ikke er specifikt
> for Windows. Samme form for integration og sammenkobling af
> applikationer kan du jo se på Macintosh, i Linux (bare se KDE fx), osv.

Enig, og med det voksende kompetanceniveau virus skribenterne(programmører)
udviser, må man (linix folket) nok forvente tilsvarende problemer i
fremtiden. Lidt afhængig af, hvor meget automatik der bliver indbygget i
eksempelvis KDE, som du nævner.

> Altså må sikkerhedsfolket (og udviklerne) tage det som en udfordringen
> at udvikle teknikker, værktøjer og politikker som kan bevare
> sikkerheden, når kompleksiteten vokser.

Eller undgå for meget(unødvendig) kompleksitet.

>
>> OE afvikler lykkeligt alt
>> der bliver smidt efter den, fordi sådan er den programmeret.
>
> Her overdriver du vist mere end godt er.

Her tror jeg, vi skal fortolke det 'pr. default' opsat.

> Jeg har bemærket et par gange, at ordet "maliciøs" er blevet brugt
> herinde. Jeg kan forstå det, hvis det benyttes ved citater af
> skønlitteratur fra fordums tider... men er det ikke mere passende blot
> at skrive "ondsindet" i dagens Danmark?

Det er nok mere et forsøg på at fordanske malicious code.

>> Deres OS er grundlæggende tænkt usikkert, og skal
>
> Hvordan er det tænkt usikkert?

Uden at tage parti, så tænk på forskellen mellem:
- Et desktop O/S, der prøver at lege server O/S
- Et server O/S, der prøver at lege desktop O/S

> Hvad med alle dem, som har brugt Unix før det blev moderne, og stadig
> ikke ved hvordan bitsene bliver flyttet rundt bagved skærmen?

Hmm.. Unix - eller diverse afarter har da været moderne i 20 år, tror du
ikke de efterhånden ved hvilke bits, der fiser rundt?

>> Indtil den dag kommer, hvor der ikke findes grimme mennesker, der
> synes
>> det er sjovt at skrive viruser og orme, vil der nok desværre også være
>> et marked for div. snake-oil "shrink-wrapped" sikkerheds software.
>
> Hvorfor er man grim, hvis man synes det er sjovt at skrive om vira og
> orme?

Bemærk forskellen mellem 'skrive'(programmere) og 'skrive om'.


--
Med venlig hilsen
Stig Johansen

Andreas Plesner Jaco~ (13-03-2004)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 13-03-04 13:03

On 2004-03-13, Stig Johansen <aaa@bbb.com> wrote:
>
>> Her skal man jo så blot være opmærksom på, at dette ikke er specifikt
>> for Windows. Samme form for integration og sammenkobling af
>> applikationer kan du jo se på Macintosh, i Linux (bare se KDE fx), osv.
>
> Enig, og med det voksende kompetanceniveau virus skribenterne(programmører)
> udviser, må man (linix folket) nok forvente tilsvarende problemer i
> fremtiden.

Ahva? De vira vi ser i dag er da (ihvertfald rent teknisk) noget
makværk, de udnytter blot at folk er dumme.

--
Andreas Plesner Jacobsen | It was all so different before everything changed.

Stig Johansen (27-03-2004)
Kommentar
Fra : Stig Johansen


Dato : 27-03-04 08:11

Andreas Plesner Jacobsen wrote:

> On 2004-03-13, Stig Johansen <aaa@bbb.com> wrote:
>>
>>> Her skal man jo så blot være opmærksom på, at dette ikke er specifikt
>>> for Windows. Samme form for integration og sammenkobling af
>>> applikationer kan du jo se på Macintosh, i Linux (bare se KDE fx), osv.
>>
>> Enig, og med det voksende kompetanceniveau virus
>> skribenterne(programmører) udviser, må man (linix folket) nok forvente
>> tilsvarende problemer i fremtiden.
>
> Ahva? De vira vi ser i dag er da (ihvertfald rent teknisk) noget
> makværk, de udnytter blot at folk er dumme.

Inspireret af en diskussion i går, om makro økonomiske konsekvenser, tøffede
jeg her til morgen lidt rundt på vor ven google.
<http://66.102.11.104/search?q=cache:3mhImH46SZgJ:www.viruslibrary.com/virusinfo/I-Worm.Aliz.htm+I-Worm.Aliz&hl=en&ie=UTF-8>
(Google cache, da siden er nede lige nu)
Bemærk:
<overskrift>
Last Modified: November 19, 2001
</overskrift>
<udsnit>
The worm itself is a Windows PE EXE file about 4Kb in length and written in
_Assembler_.
</udsnit>

Så jeg tager mine ord om _voksende_ kompetanceniveau i mig. Kompetancen har
åbenbart været til stede i mange år.

Hmmm.. Gad vide hvor mange zombier, der ikke blev fanget af AV, og ligger
klar til genoplivning.
Hmmm.. Gad vide om der en association net-sky -> sky-net - hint
'Terminator'.

--
Med venlig hilsen
Stig Johansen

Jens Kristian Søgaar~ (13-03-2004)
Kommentar
Fra : Jens Kristian Søgaar~


Dato : 13-03-04 16:15

Hej Stig,

> > Altså må sikkerhedsfolket (og udviklerne) tage det som en
udfordringen
> > at udvikle teknikker, værktøjer og politikker som kan bevare
> > sikkerheden, når kompleksiteten vokser.

> Eller undgå for meget(unødvendig) kompleksitet.

Det tror jeg tilgengæld er laaaangt sværere, så længe vi stadig
forestiller os, at software skal udvikles på markedsvilkår.

> >> OE afvikler lykkeligt alt
> >> der bliver smidt efter den, fordi sådan er den programmeret.

> > Her overdriver du vist mere end godt er.
> Her tror jeg, vi skal fortolke det 'pr. default' opsat.

Jeg mener nu ikke, at en ny Outlook Express i standardopsætning blot
udfører "alt hvad smider efter den". Det mener jeg, er en stærk
overdrivelse. Brugeren skal klikke-klikke før den udfører ting.

> > Jeg har bemærket et par gange, at ordet "maliciøs" er blevet brugt
> Det er nok mere et forsøg på at fordanske malicious code.

Dum idé, når nu vi har et ganske udmærket ord på dansk i forvejen.

> Uden at tage parti, så tænk på forskellen mellem:
> - Et desktop O/S, der prøver at lege server O/S
> - Et server O/S, der prøver at lege desktop O/S

Hvem er hvem?

Jeg regner med, at vi betragter nyere udgaver af operativsystemerne,
altså eksempelvis Windows XP / 2003. Jeg mener ikke, det blot er baseret
på et desktop operativsystem - men snarere på et server operativsystem.

Tilsvarende har Unix jo ikke altid været et reelt server operativsystem.

Dog kan jeg godt se, at der foregår en vis "afsmitning" fra praksis
omkr. brug af operativsystemet og til hvilke features programmørerne
vælger at putte i opgraderinger til operativsystemet.

> > Hvad med alle dem, som har brugt Unix før det blev moderne, og
stadig
> > ikke ved hvordan bitsene bliver flyttet rundt bagved skærmen?

> Hmm.. Unix - eller diverse afarter har da været moderne i 20 år, tror
du
> ikke de efterhånden ved hvilke bits, der fiser rundt?

Nej?

En stakkels bruger, som har brugt en WordPerfect på en Unix maskine
stillet tilrådighed af hans arbejdsplads for 15 år siden -- og han har
altså kun leget med sin WordPerfect: Jeg kan ikke se, hvorfor han
nødvendigvis skulle vide en dyt mere om bits og bytes end hans kollega i
nabofirmaet som har brugt WordPerfect på sin DOS maskine i samme
tidsperiode.

--
Jens Kristian Søgaard, Mermaid Consulting ApS,
jens@mermaidconsulting.dk,
http://www.mermaidconsulting.com/




Peder Vendelbo Mikke~ (13-03-2004)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 13-03-04 20:01

Jens Kristian Søgaard skrev:

> Jeg regner med, at vi betragter nyere udgaver af operativsystemerne,
> altså eksempelvis Windows XP / 2003.

Paul Thurrott har skrevet en udmærket artikel-serie om tilblivelsen af
Windows Server 2003 (artikel-serien rækker fra MS startede med at pro-
grammere NT i 1988 til RTM af Windows Server 2003 sidste år):

"Windows Server 2003: The Road To Gold"

http://www.winsupersite.com/reviews/winserver2k3_gold1.asp

Windows 2000 var den sidste version, hvor desktop og server delte kode-
base, hvis jeg forstår denne sætning korrekt:

"Since the completion of Windows 2000, the biggest decision the Windows
team made was to split the client and server releases with the Whistler
products, which became Windows XP and Windows Server 2003."


Kent Friis (13-03-2004)
Kommentar
Fra : Kent Friis


Dato : 13-03-04 23:35

Den Sat, 13 Mar 2004 20:01:27 +0100 skrev Peder Vendelbo Mikkelsen:
>Jens Kristian Søgaard skrev:
>
>> Jeg regner med, at vi betragter nyere udgaver af operativsystemerne,
>> altså eksempelvis Windows XP / 2003.
>
>Paul Thurrott har skrevet en udmærket artikel-serie om tilblivelsen af
>Windows Server 2003 (artikel-serien rækker fra MS startede med at pro-
>grammere NT i 1988 til RTM af Windows Server 2003 sidste år):
>
>"Windows Server 2003: The Road To Gold"
>
>http://www.winsupersite.com/reviews/winserver2k3_gold1.asp
>
>Windows 2000 var den sidste version, hvor desktop og server delte kode-
>base, hvis jeg forstår denne sætning korrekt:
>
>"Since the completion of Windows 2000, the biggest decision the Windows
>team made was to split the client and server releases with the Whistler
>products, which became Windows XP and Windows Server 2003."

Der står da egentlig bare at man igen har delt den op i "bogstav-serien"
(NT, ME, XP) og "tal-serien" (95, 98, 2000, 2003), efter at man i
årevis har forsøgt at køre de to serier sammen til en. Windows 2000
skulle have været den version der forenede de to serier, men den
var ikke god nok til desktop-brugerne, så man lavede Windows ME. Så
skulle XP have været den version der forenede de to serier, men
den var åbenbart ikke god nok til servere, så man lavede Windows 2003.

(At det skifter på halvvejen om det er tal-serien eller bogstavserien
er er til desktop beviser bare at det ikke var planlagt, men først noget
man konstaterede efter Windows 2000 var navngivet).

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Kasper Dupont (14-03-2004)
Kommentar
Fra : Kasper Dupont


Dato : 14-03-04 01:38

Peder Vendelbo Mikkelsen wrote:
>
> Windows 2000 var den sidste version, hvor desktop og server delte kode-
> base, hvis jeg forstår denne sætning korrekt:
>
> "Since the completion of Windows 2000, the biggest decision the Windows
> team made was to split the client and server releases with the Whistler
> products, which became Windows XP and Windows Server 2003."

Sætningen siger så vidt jeg kan se ikke noget om, at
der er to forskellige kodebaser. Det ville også være
en dårlig idé. Der står til gengæld noget om
forskellige releases. Altså desktop udgaven bliver
frigivet når PC producenterne skal præinstallere
deres maskiner, uanset om den så er færdig eller ej.
Server udgaven må så vente indtil koden er testet og
de værste fejl er rettet. Der kan sikkert også være
andre forskelle, f.eks. hvilke komponenter man
inkluderer, og default konfigurationer. Men de
komponenter, som man har begge stedder er der ingen
mening i at hente fra to forskellige kodebaser.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Peder Vendelbo Mikke~ (14-03-2004)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 14-03-04 03:20

Kasper Dupont skrev:

> Der står til gengæld noget om forskellige releases. Altså desktop ud-
> gaven bliver frigivet når PC producenterne skal præinstallere deres
> maskiner, uanset om den så er færdig eller ej. Server udgaven må så
> vente indtil koden er testet og de værste fejl er rettet.

Tak for rettelsen, den giver udmærket mening nu hvor jeg læser artiklen
igen.

> Der kan sikkert også være andre forskelle, f.eks. hvilke komponenter man
> inkluderer, og default konfigurationer.

Ja. Der er jo lidt stor forskel på standardopsætning af WXP og W2K3. En
W2K3 er opsat ret konservativt. Forhåbentlig ser man det samme med WXP
når SP 2 kommer.


Michael U. Hove (13-03-2004)
Kommentar
Fra : Michael U. Hove


Dato : 13-03-04 16:42

Jens Kristian Søgaard wrote:

> Først, vil jeg lige anbefale dig, at skære lidt i det, du citerer...

Okey dokey...

>>ikke fået den vitale erfaring ved selv at identificere sårbarhederne
>
> og
>
>>lukke dem. Det er peg-og-klik når det er værst, og en af grundene til
>
> at
>
>>Windows er det mest angrebne OS overhovedet.
>
>
> Hvorfor er det en vital erfaring?
>
> Jeg kan godt se, at man gør sig en erfaring af typen: "Der kan være fejl
> i software.", hvilket kan gøre en mere opmærksom på at man skal sikre
> sig.
>
> Men at man erfarer: "Jeg har nu klikket her for at installere patch X
> der fjerner Y", der kan jeg ikke umiddelbart se en forbindelse til, at
> man så bliver bedre til at identificere og fjerne andre sårbarheder (i
> hvert fald ikke "vital" erfaring).
>
> Hvis man reelt kan lukke sikkerhedshuller ved at pege og klikke, ser jeg
> ingen problemer i det.

Det var ikke det jeg skrev. Jeg skrev at man, hvis man overlader pc'ens
sikkerhed til antivirus software og en personlig firewall, er man lige
vidt mht, til at forstå *hvorfor* ens pc er sårbar.

De fleste alm computerbrugere jeg kender, aner ikke hvad en service
eller en patch er, og er egentlig også ligeglade, de kører jo en AV +
personlig FW, så de er jo sikre. Erfaringen viser at dette ikke helt er
tilfældet.

> Kan det i øvrigt dokumenteres, at Windows er det mest angrebne
> operativsystem?

Med angrebne mente jeg ikke server-OS, men desktop OS angreb i form af
virus, orme osv. Der fører MS rimeligt godt.

>>Forbandelsen består i at kode der på den måde væver applikationer
>>sammen, også hurtigt bliver meget kompleks og en "motorvej" for
>>ondsindet kode der udnytter Windows dybe integration ml.
>
> applikationerne.
>
> Her skal man jo så blot være opmærksom på, at dette ikke er specifikt
> for Windows. Samme form for integration og sammenkobling af
> applikationer kan du jo se på Macintosh, i Linux (bare se KDE fx), osv.

Det er muligt at KDE + Mac læner sig opad MS i et forsøg på at opnå
samme integration på deres desktop. Men hvornår hørte du sidst om en
KDE-desktop ell. en Mac-desktop virus?! Forskellen er at MS har så mange
VBS/JS scriptsprog, ActiveX fortolkere, DCOM API'er, NBT-API osv.
smækket sammen i deres OS, at ondsindet kode har en væsentlig større
angrebsflade end på ex. Linux/BSD/Mac.

At MS har lykkedes at integrere så mange programmerings/script
teknologier i et OS er da fint og et plus i *deres* bog.

Det giver i sidste ende brugeren en meget *venlig* maskine, der "kan"
selv, hvor andre OS'ere kræver at brugeren foretager sig noget manuelt
for at en given applikation/script kan køre.

Problemet med MS' model er netop dette: Ondsindet kode *har* for nemt
spil på MS platform jvf. OE exemplet. Brugervenlighed og sikkerhed er to
vidt forskellige filosofier at udvikle et OS ud fra, jvf ex. Windows
kontra OpenBSD.

> Du farver diskussionen meget ved at lade det fremstå som om, at
> Microsoft er af det onde. Istedet kunne man måske vurdere om det ikke
> netop er vigtigt for forbrugerne at programmerne spiller sammen, og kan
> betjenes let. - Samtidigt er det jo en kendsgerning at software bliver
> mere og mere komplekst.

Jeg giver min holdning til en problemstilling, der drejer sig om at
sikre personlige computere. Selvfølgelig er min holdning farvet og
subjektiv, ellers ville den da være uinteressant.

Jeg beskylder ikke MS for at være af det onde. Jeg siger at deres
ultimative fokus på brugervenlighed giver væsentlige sikkerhedsproblemer
i deres OS, og at der skal andre ting på bordet, hvis vi skal komme
videre fra det nuværende virus + orm cirkus, som trives så godt på MS
platformen.

> Altså må sikkerhedsfolket (og udviklerne) tage det som en udfordringen
> at udvikle teknikker, værktøjer og politikker som kan bevare
> sikkerheden, når kompleksiteten vokser.

Det er spørgsmålet om hønen og ægget.

Hvis udviklerne laver noget slamkode, er det så sikkerhedsfolkenes job
at forsøge at beskytte det, ell. er det deres job at skifte OS'et ud med
et hvor koden er tænkt sikkert fra starten?!

>>OE afvikler lykkeligt alt
>>der bliver smidt efter den, fordi sådan er den programmeret.
>
>
> Her overdriver du vist mere end godt er.

Prøv du at sysadme et Windows NT/2000 + Exchange + Outlook/Outlook
Express baseret netværk, så bliver du også overbevist om at Outlook er
en alt for villig afvikler af alskens skidt.

>>filsystemet og hermed frit slag for alskens maliciøs kode.
>
>
> Jeg har bemærket et par gange, at ordet "maliciøs" er blevet brugt
> herinde. Jeg kan forstå det, hvis det benyttes ved citater af
> skønlitteratur fra fordums tider... men er det ikke mere passende blot
> at skrive "ondsindet" i dagens Danmark?

Jeg synes "maliciøst" er et glimrende ord. Det lyder grimmere end
"ondsindet"!

>>Det er meget fint at Microsoft er begyndt at fokusere noget mere på
>>sikkerhed, Trustworthy Computing osv, men grundlæggende er deres OS
>>svært at sikre, fordi alting er integreret med hinanden.
>
>
> Og?
>
> Du skriver som om, at det er "dårligt" af Microsoft at de fokuserer på
> sikkerhed, fordi deres operativsystem er svært at sikre. Netop derfor må
> det da være vigtigt at fokusere på sikkerhed. Hvis det var nemt at
> sikre, var der jo ikke behov for fokus.

Jeg ser tingene fra en Sysadmins vinkel. Min hverdag består i at spurte
rundt for at forhindre brugerne i at lave ulykker med MS' software.

Fra et sikkerhedsmæssigt perspektiv, er MS filosofi med deres OS' lidt
som at give en svært epileptisk person et maskingevær. På et ell. andet
tidspunkt går det rigtigt galt.


>>Læg så oveni
>>hatten, at ingen nogensinde får kildekoden at se (og dog...), og MS
>
> står
>
>>med et problem.
>
>
> Har du nogen dokumentation for, at closed-source operativsystemer
> generelt set er behæftet med flere sikkerhedsfejl end open-source
> operativsystemer? (dvs. at det er selve open/closed-source egenskaben
> som direkte påvirker sikkerheden)
>

Open source OS verdenen baserer sig på full-disclosure princippet mht.
sårbarheder. En alvorlig sårbarhed bliver ofte lukket og en patch
udsendt indenfor timer.

MS bestemmer suverænt selv, om de har lyst til at reagere på en
henvendelse vedr. en bestemt sårbarhed, dette har givet nogen alvorlige
huller, der ikke blev rettet i meget lang tid. Og nogen der højst
sandsynligt ikke er blevet det, for hvordan skal vi checke det hvis
kildekoden er lukket?!


>>Deres OS er grundlæggende tænkt usikkert, og skal
>
>
> Hvordan er det tænkt usikkert?

Det har jeg forklaret hvorfor jeg mener, tidligere i min post.

MS' fokus er på brugervenlighed og "de mange muligheder", ikke på
sikkerhed.

Deres software skal "eftersikres" for at opnå et nogenlunde acceptabelt
niveau af sikkerhed. Jvf. andre OS'er (ex. OpenBSD), der er tænkt sikre
fra starten.


>>tænkes helt om, hvis Trustworthy Computing skal have nogen som helst
>
> effekt.
>
> Hvad vil du have lavet om?
>

Jeg troede det var klart....Windows.

>
>>Det er ikke fordi UNIX/Linux/BSD/ er mindre sårbar end Windows, men
>>Windows tillader dig at bruge en computer, uden at vide det mindste om
>>hvordan den fungerer.
>
>
> Og det er noget skidt?

Ja.

Du kan ikke skade andre mennesker ved ikke at vide hvordan ex. din
brødrister, dit fjernsyn, ell. din elovn virker. Du kan i højeste grad
skade andre mennesker, hvis du ikke aner det ringeste om hvordan din
computer virker.

>
> Hvor meget ved du om, hvordan din bil virker?

Jeg kører på cykel.

> Eller dit oliefyr?

Jeg har centralvarme.

> Og hvordan er en el-sparepære egenligt indrettet?

Ved du ikke hvordan en lyspære virker?!

> Det kan man jo så diskutere til hudløshed, men faktum i dag er jo, at
> folk bruger computere uden at de ved alt om, hvordan de fungerer. Det må
> man tage med i sine sikkerhedsovervejelser. Hvis det ikke er noget man
> kan leve med, må man jo så uddanne sine brugere eller lade dem skulle
> tage forskellige typer "kørekort" for at få adgang til maskineriet. Det
> synes jeg ikke er noget, man skal lade operativsystemsproducenten
> bestemme.

Det er derimod OS producentens ansvar at deres software er sikkert,
hvilket er det min post handler om.

Det er da også en bilproducents ansvar at deres biler er sikre, selvom
chaufføren ikke ved det ringeste om hvordan skidtet virker.

>>Det samme er ikke til tilfældet med *NIX, og mange
>>*NIX brugere kører desuden deres OS, for at finde ud af hvordan deres
>>computer virker, hvilket i sig selv er en god basis for at forstå,
>>hvordan man sikrer den.
>
>
> Har du nogen dokumentation for, hvor mange "mange" er?

Næ.

>
> Hvad med alle dem som ikke kører deres unix-lignende operativsystem for
> at lære om deres computers virkemåde?

Det sgu' svært at køre UNIX uden at vide bare et minimum om hvordan din
computer virker.

> Hvad med alle dem som kører Mac OS X?

Som i nyeste udgave også er UNIX med en fancy skal.

> Hvad med alle dem, som har brugt Unix før det blev moderne, og stadig
> ikke ved hvordan bitsene bliver flyttet rundt bagved skærmen?

Dem kender jeg ikke mange af. De fleste af de rigtig gamle UNIX-rotter,
har selv skovlet bits'ene *ind* i skærmen.

> Og er du sikker på at årsagsvirkningsretningen virkeligt er fra
> operativsystem til viden, og ikke den anden vej rundt?
>
> Dvs. at det ikke er Unix systemet som gør, at folk ved mere om deres
> computers virkemåde -- men at det istedet er sådan, at dem som ved meget
> om deres computers virkemåde vælger et Unix system?
>
> (sandheden er sikkert en kombination af de to ting

Jeg vil hælde til den sidste udlægning. Igen modificering til at folk
som ønsker at vide mere om hvordan deres computer virker, typisk på et
tidspunkt vælger et UNIX-system. Simpelthen fordi det lader dig
manipulere det ned til mindste bit (hvis du er god...).


>>Hvis man ikke aner hvordan en firewall fungerer, endsige hvad en
>
> service
>
>>er, og ikke mindst hvordan man lukker den, er det måske ikke så skidt
>
> at
>
>>køre en SW firewall og en antivirus pakke.
>
>
> Hvad med sovepudeargumentet? - den falske tryghed...
>

Du har klippet en væsentlig del af min tråd ud her, hvori min pointe
netop var, at man *ved* at køre en personlig FW + AV finder ud af at,
man er sårbar alligevel, og forhåbentlig bestemmer sig for at tage sin
computersikkerhed alvorligt og i egne hænder, istedet for at lægge sine
penge hos Norton/Sygat/Zonelabs/whoever.

>
>>Hvis du vil være med til at forbedre vores kollektive
>>computer-sikkerhed, bør du snakke med din skribent-ven, og spørge
>>hvorfor computer-bladene, der burde være en troværdig kilde
>
>
> Hvorfor bør computer-bladene være en troværdig kilde omkring meget
> avanceret edb?

Er det *meget* avanceret edb, selv at ville sikre sin computer, istedet
for at installere en antivirus ell. personlig FW?! Det mener jeg ikke.


>>pligt at holde op med at stikke sine læsere blår i øjnene. Med den
>>nuværende glorificering af diverse kommercielle sikkerheds
>>pakke-løsninger, kunne man jo få den grimme mistanke, at journalistene
>>af den ene eller den anden årsag ikke er helt partiske...
>
>
> Kender du da journalister som er blevet bestukket til at reklamere for
> kommerciele sikkerhedspakkeløsninger?
>

Ikke personligt, men jeg finder det påfaldende, at computerbladene
bugner med test af personlige firewalls og antivirus pakker, mens den
ene mere slemme virus + orm "storm" efter den anden, rammer computere
verden over gang på gang. Enten er det der står i bladene ikke rigtigt
eller også følger folk ikke de råd, der står i bladene. Vælg selv.

Iøvrigt skulle der have stået "upartiske".

>
>>Indtil den dag kommer, hvor der ikke findes grimme mennesker, der
>
> synes
>
>>det er sjovt at skrive viruser og orme, vil der nok desværre også være
>>et marked for div. snake-oil "shrink-wrapped" sikkerheds software.
>
>
> Hvorfor er man grim, hvis man synes det er sjovt at skrive om vira og
> orme?

Den må du have fået galt i halsen...jeg siger ikke at journalister er
grunden til at folk køber "sikkerhedssoftware", men at virus-forfatterne er.


/mvh
michael


Jens Kristian Søgaar~ (13-03-2004)
Kommentar
Fra : Jens Kristian Søgaar~


Dato : 13-03-04 17:36

Hej Michael,

> > Først, vil jeg lige anbefale dig, at skære lidt i det, du citerer...
> Okey dokey...

Gerne endnu mere!

> > Hvis man reelt kan lukke sikkerhedshuller ved at pege og klikke, ser
jeg
> > ingen problemer i det.

> Det var ikke det jeg skrev. Jeg skrev at man, hvis man overlader
pc'ens
> sikkerhed til antivirus software og en personlig firewall, er man lige
> vidt mht, til at forstå *hvorfor* ens pc er sårbar.

Ja, men du har stadig ikke forklaret:

a) Hvorfor man får "vitale erfaringer" om at lukke sikkerhedshuller ved
at gøre det med peg-og-klik

b) Hvorfor en person som forstår, hvorfor en pc er sårbar, også
"automatisk" opfører sig korrekt?

c) Hvorfor et antivirusprogram på en pc er værre end ikke at have et
antivirus-program, givet at forstår hvorfor en pc er sårbar og hvad et
antivirusprogram kan gøre?

> De fleste alm computerbrugere jeg kender, aner ikke hvad en service
> eller en patch er, og er egentlig også ligeglade, de kører jo en AV +
> personlig FW, så de er jo sikre. Erfaringen viser at dette ikke helt
er
> tilfældet.

Det er jo korrekt. Men du skrev jo ikke blot at deres pc var usikker,
den var også mere usikker end før...

Men hvad skal disse alm. computerbrugere gøre? - altså dem, som ikke har
tid/lyst/kræfter til at finde ud af en service og en patch er, og som så
ikke længere skal køre med antivirus og personlig firewall?

> > Kan det i øvrigt dokumenteres, at Windows er det mest angrebne
> > operativsystem?

> Med angrebne mente jeg ikke server-OS, men desktop OS angreb i form af
> virus, orme osv. Der fører MS rimeligt godt.

Er det noget du kan dokumentere?
Set i forhold til antallet af brugere af Windows og antallet af brugere
af Linux, er der så forholdvis flere angreb per bruger mod Windows end
mod Linux?

> > Her skal man jo så blot være opmærksom på, at dette ikke er
specifikt
> > for Windows. Samme form for integration og sammenkobling af
> > applikationer kan du jo se på Macintosh, i Linux (bare se KDE fx),
osv.

> Det er muligt at KDE + Mac læner sig opad MS i et forsøg på at opnå
> samme integration på deres desktop. Men hvornår hørte du sidst om en
> KDE-desktop ell. en Mac-desktop virus?!

Well, det er nok en 14 dage siden jeg hørte om en Mac-virus, men at jeg
ikke hører om dem tiere skyldes vel primært:

a) Jeg bruger ikke selv Macintosh, så på den måde har jeg ingen direkte
interesse.

b) Der er færre Macintosh brugere end Windows brugere.

Dit forhadte Outlook Express findes jo også til Macintosh...

Det er ikke længe siden, jeg har hørt og set eksempler på orme til
Linux, der naturligvis også kan inficere KDE maskiner. I øvrigt har der
tidligere (flere steder) været huller i KDE's Konqueror browser som
gjorde, at hvis man browsede sig ind på en (meget ond) side, kunne den
side køre valgfri kode under ens brugerkonto. Derfra og så til at opnå
root på maskinen er der typisk slet ikke så langt, da de færreste
hjemmebrugere har opdateret deres kerne fornyligt.

> Forskellen er at MS har så mange
> VBS/JS scriptsprog, ActiveX fortolkere, DCOM API'er, NBT-API osv.
> smækket sammen i deres OS

Nu jævner du jo specifikt en masse Microsoft specifikt. Det er jo næsten
soleklart, at der ikke er så meget ActiveX over KDE, da det jo er en
meget Windows specifik ting.

Hvis du vil sammenligne, så prøv at kig på antallet af installerede
scriptsprog på en typisk desktop Linux-maskine. Jeg tror du vil opdage,
at der er _langt flere_ end på en tilsvarende Windows-maskine.

Tænk også på ting som Gnus i Emacs... hvor integreret med et
programmeringssprog er det ikke lige?

Og hvad adskiller DCOM API'et sikkerhedsmæssigt fra det tilsvarende
objekt API som KDE benytter sig af?

> Problemet med MS' model er netop dette: Ondsindet kode *har* for nemt
> spil på MS platform jvf. OE exemplet.

Du har stadig ikke dokumenteret, at en ny Outlook Express blot udfører
alt det kode, man sender til den.

> Brugervenlighed og sikkerhed er to
> vidt forskellige filosofier at udvikle et OS ud fra, jvf ex. Windows
> kontra OpenBSD.

Vil du ikke give mig ret i, at det er tåbeligt at udvikle et
operativsystem efter kun et af de to kriterier? (jeg vil ikke kalde det
for filosofier)

Efter min mening, farver du diskussionen alt for sort/hvidt.

> Jeg giver min holdning til en problemstilling, der drejer sig om at
> sikre personlige computere. Selvfølgelig er min holdning farvet og
> subjektiv, ellers ville den da være uinteressant.

Det er meget rart, hvis man har nogle gode argumenter for holdningen
også

> Jeg beskylder ikke MS for at være af det onde. Jeg siger at deres
> ultimative fokus på brugervenlighed giver væsentlige
sikkerhedsproblemer
> i deres OS

Men du dokumenterer bare ikke, at de rent faktisk har sådan et
enevældigt og ultimativt fokus på brugervenlighed?

Jeg mener da blandt andet at have læst i tidligere indlæg fra dig, at
Microsoft netop fokuserer på sikkerhed.

Illustrerer dette ikke blot, at sikkerhed er svært?

> > Altså må sikkerhedsfolket (og udviklerne) tage det som en
udfordringen
> > at udvikle teknikker, værktøjer og politikker som kan bevare
> > sikkerheden, når kompleksiteten vokser.

> Det er spørgsmålet om hønen og ægget.
> Hvis udviklerne laver noget slamkode, er det så sikkerhedsfolkenes job
> at forsøge at beskytte det, ell. er det deres job at skifte OS'et ud
med
> et hvor koden er tænkt sikkert fra starten?!

Du drejer diskussionen kraftigt. Kompleks kode er ikke det samme som
slamkode.


> >>OE afvikler lykkeligt alt
> >>der bliver smidt efter den, fordi sådan er den programmeret.

> > Her overdriver du vist mere end godt er.

> Prøv du at sysadme et Windows NT/2000 + Exchange + Outlook/Outlook
> Express baseret netværk, så bliver du også overbevist om at Outlook er
> en alt for villig afvikler af alskens skidt.

Aha? - Men kan du dokumentere at OE bare lykkeligt afvikler alt, eller
var det for bastant sagt?

Jeg synes ikke, at du kan argumentere ud fra at det er nørj så hårdt og
træls at være Windows administrator, og så til at OE bare partout er
usikkert ligemeget, hvem der bruger det.

> > Jeg har bemærket et par gange, at ordet "maliciøs" er blevet brugt
> > herinde. Jeg kan forstå det, hvis det benyttes ved citater af
> > skønlitteratur fra fordums tider... men er det ikke mere passende
blot
> > at skrive "ondsindet" i dagens Danmark?

> Jeg synes "maliciøst" er et glimrende ord. Det lyder grimmere end
> "ondsindet"!

Hvorfor gøre brand af røg?

> > Du skriver som om, at det er "dårligt" af Microsoft at de fokuserer

> > sikkerhed, fordi deres operativsystem er svært at sikre. Netop
derfor må
> > det da være vigtigt at fokusere på sikkerhed. Hvis det var nemt at
> > sikre, var der jo ikke behov for fokus.

> Jeg ser tingene fra en Sysadmins vinkel. Min hverdag består i at
spurte
> rundt for at forhindre brugerne i at lave ulykker med MS' software.

Det giver stadig ikke mening for mig. Hvis du er træt af at folk laver
"ulykker", så er det da kun godt for dig, hvis Microsoft vil gøre det
sværere, at lave ulykker.

Du kunne jo overveje at uddanne brugerne, således at de ikke laver disse
ulykker -- eller du kunne udskifte eller udbygge softwaren, så det blev
meget sværere at lave disse ulykker.

Har du ikke mulighed for at gøre dette pga. ledelsen, så er det jo bare
"tough luck". Ikke noget du kan klandre andre Microsoft for.

> Fra et sikkerhedsmæssigt perspektiv, er MS filosofi med deres OS' lidt
> som at give en svært epileptisk person et maskingevær. På et ell.
andet
> tidspunkt går det rigtigt galt.

Igen, jeg synes du farer vældigt hårdt frem mod Microsoft uden at have
nogen form for dokumentation. Du har stadig ikke henvist til noget
officielt fra Microsoft om, hvad deres "filosofi" er. Ej heller har du
godtgjort, at andre udviklere end Microsofts ville være anderledes end
en sådan epilieptisk person med et maskingevær.

Jeg tror det er lidt for naivt, hvis du blot tror at Microsoft har en
bunke inkompetente udviklere ansat, som hverken har begreb om det ene
eller det andet.

> > Har du nogen dokumentation for, at closed-source operativsystemer
> > generelt set er behæftet med flere sikkerhedsfejl end open-source
> > operativsystemer? (dvs. at det er selve open/closed-source
egenskaben
> > som direkte påvirker sikkerheden)

> Open source OS verdenen baserer sig på full-disclosure princippet mht.
> sårbarheder. En alvorlig sårbarhed bliver ofte lukket og en patch
> udsendt indenfor timer.

Det er jo ikke helt det samme. Du skrev jo før, at closed-source
programmer har flere sikkerhedsfejl end open-source programmer.

Nu skriver du, at open-source programmer typisk får udgivet rettelser
som lukker et fundet sikkerhedshul hurtigere end closed-source
programmer gør. Det er for mig ikke indlysende, at de to ting hænger
sammen.

For hvordan sikrer man sig, at det lukkede sikkerhedshul ikke gør, at
der åbner sig et sikkerhedshul et andet sted?

Og hvordan ved man, at der ikke stadig er langt flere sikkerhedshuller i
open-source applikationen end i closed-source applikationen? (selvom
fordi der var langt flere huller, før man begyndte at rette dem)

> MS bestemmer suverænt selv, om de har lyst til at reagere på en
> henvendelse vedr. en bestemt sårbarhed, dette har givet nogen
alvorlige
> huller, der ikke blev rettet i meget lang tid. Og nogen der højst
> sandsynligt ikke er blevet det, for hvordan skal vi checke det hvis
> kildekoden er lukket?!

Det betyder jo stadig ikke, at de har flere huller end alle mulige
andre.

> > Hvordan er det tænkt usikkert?

> MS' fokus er på brugervenlighed og "de mange muligheder", ikke på
> sikkerhed.

Er det noget du kan dokumentere?

> Deres software skal "eftersikres" for at opnå et nogenlunde
acceptabelt
> niveau af sikkerhed. Jvf. andre OS'er (ex. OpenBSD), der er tænkt
sikre
> fra starten.

Og der kommer aldrig rettelser til OpenBSD?

Er det i øvrigt rimeligt at sammenligne et meget lille base system
(OpenBSD) med et operativsystem med hundredevis af standardprogrammer
(internetbrowsere, emailklienter, instantmessagingprogrammer,
tegneprogrammer, etc.).

> > Hvad vil du have lavet om?
> Jeg troede det var klart....Windows.

Du kan ikke være mere specifik?

> >>Det er ikke fordi UNIX/Linux/BSD/ er mindre sårbar end Windows, men
> >>Windows tillader dig at bruge en computer, uden at vide det mindste
om
> >>hvordan den fungerer.

> > Og det er noget skidt?

> Ja.

> Du kan ikke skade andre mennesker ved ikke at vide hvordan ex. din
> brødrister, dit fjernsyn, ell. din elovn virker. Du kan i højeste grad
> skade andre mennesker, hvis du ikke aner det ringeste om hvordan din
> computer virker.

Det synes jeg nu ikke er korrekt.

Hvis du ikke ved at din brødrister blevet meget varm, kan du jo komme
til at lægge din avis oven på brødristeren og lægge brødet oven på
avisen og tænde brødristeren... derefter går du ind i stuen og ser tv.
Nu brænder din lejlighed og naboen ned til grunden.

Er det brødristerens skyld?

> > Hvor meget ved du om, hvordan din bil virker?
> Jeg kører på cykel.

Så alle der ikke ved, hvordan en bil virker, bør cycle istedet?

> > Eller dit oliefyr?
> Jeg har centralvarme.

Så alle der ikke ved, hvordan et oliefyr virker, bør få centralvarme?

> > Og hvordan er en el-sparepære egenligt indrettet?
> Ved du ikke hvordan en lyspære virker?!

Jeg har ingen dyb forståelse af, hvordan en el-sparepære virker, nej.
Jeg kan da hurtigt forestille mig lidt med noget gas og nogle elektroner
og lidt "magic happens here". Men hvad er det for noget gas, hvilken
koncentration, hvad sker der hvis man sætter ild til det, hvad sker der
hvis man lægger det i fryseren, osv. - det aner jeg ingenting om.

Jeg er primært interesseret i, at der kommer lys, når man tænder for
strømmen.

> > Det kan man jo så diskutere til hudløshed, men faktum i dag er jo,
at
> > folk bruger computere uden at de ved alt om, hvordan de fungerer.
Det må

> Det er derimod OS producentens ansvar at deres software er sikkert,
> hvilket er det min post handler om.

Hvad nu, hvis denne opgave er umulig?

Kan du ikke tilsvarende gøre en OpenBSD installation usikker, hvis du
ikke ved, hvad du laver?
Er det så OpenBSD producentens ansvar?

> Det er da også en bilproducents ansvar at deres biler er sikre, selvom
> chaufføren ikke ved det ringeste om hvordan skidtet virker.

Er det også producentens ansvar, hvis en person sætter sig ind i en bil,
og kører direkte ind i et hus? (uden at dette skyldes en egenlig fejl
ved bilens styring, men udelukkende fordi personen ikke aner, hvordan
man kører bil)

> >>Det samme er ikke til tilfældet med *NIX, og mange
> >>*NIX brugere kører desuden deres OS, for at finde ud af hvordan
deres
> >>computer virker, hvilket i sig selv er en god basis for at forstå,
> >>hvordan man sikrer den.

> > Har du nogen dokumentation for, hvor mange "mange" er?
> Næ.

Så giver det jo ikke så meget mening. Hvis mange er 0,0001% af brugerne,
så er det jo ikke overbevisende.

> > Hvad med alle dem som ikke kører deres unix-lignende operativsystem
for
> > at lære om deres computers virkemåde?

> Det sgu' svært at køre UNIX uden at vide bare et minimum om hvordan
din
> computer virker.

Nåh?

Jeg har ellers set diverse
"prop-cd'en-i-drevet-og-du-har-en-grafisk-brugerflade-som-enhver-kan-fin
de-ud-af" ting?

> > Hvad med alle dem som kører Mac OS X?

> Som i nyeste udgave også er UNIX med en fancy skal.

Ved Macintosh-bruger så specielt meget om deres computers virkemåde?
Det bør de jo gøre efter din argumentation.

> > Hvad med alle dem, som har brugt Unix før det blev moderne, og
stadig
> > ikke ved hvordan bitsene bliver flyttet rundt bagved skærmen?

> Dem kender jeg ikke mange af. De fleste af de rigtig gamle
UNIX-rotter,
> har selv skovlet bits'ene *ind* i skærmen.

Også dem som ikke er programmører, system-administratorer og lign.?
Hvad med dem, som bare var sekretærer og benyttede regneark?
Hvad med dem, som bare fik tildelt en konto på deres uddannelsessted så
de kunne følge en manual og sende en email?

> > Dvs. at det ikke er Unix systemet som gør, at folk ved mere om deres
> > computers virkemåde -- men at det istedet er sådan, at dem som ved
meget
> > om deres computers virkemåde vælger et Unix system?

> Jeg vil hælde til den sidste udlægning. Igen modificering til at folk
> som ønsker at vide mere om hvordan deres computer virker, typisk på et
> tidspunkt vælger et UNIX-system. Simpelthen fordi det lader dig
> manipulere det ned til mindste bit (hvis du er god...).

Dette ødelægger netop dit første argument.

Du argumenterer for, at folk ved at bruge UNIX lærer mere om deres
computers virkemåde, og derfor kan de nemmere sikre den.

Men nu skriver du jo netop, at de folk der ved mere om deres computers
virkemåde _skifter_ til Unix af denne grund.

Altså er det ikke Unix der gør, at det er så meget nemmere at sikre --
det er derimod, det faktum at brugerne af Unix er mere bevidste om hvad
der sker inden i deres computer.

(og nej, ovenstående er ikke min holdning... det er blot konsekvensen af
det, du skrev)

> Du har klippet en væsentlig del af min tråd ud her, hvori min pointe
> netop var, at man *ved* at køre en personlig FW + AV finder ud af at,
> man er sårbar alligevel, og forhåbentlig bestemmer sig for at tage sin
> computersikkerhed alvorligt og i egne hænder, istedet for at lægge
sine
> penge hos Norton/Sygat/Zonelabs/whoever.

Du skrev da netop, at alle dine ikke-computer-venner brugte personlige
firewalls og antivirus - hvorimod nørderne ikke gjorde dette.

Hvor lang tid går der så før, at ikke-computer-vennerne finder ud af, at
de var galt på den?

> > Hvorfor bør computer-bladene være en troværdig kilde omkring meget
> > avanceret edb?

> Er det *meget* avanceret edb, selv at ville sikre sin computer,
istedet
> for at installere en antivirus ell. personlig FW?! Det mener jeg ikke.

Du skrev da, at det kun var "dem på bjerget" som vidste, at det eneste
rigtige er, ikke at installere personlige firewalls eller antivirus
programmer. Så må det da være lidt avanceret, siden alle de andre ikke
ved noget om det.

> > Kender du da journalister som er blevet bestukket til at reklamere
for
> > kommerciele sikkerhedspakkeløsninger?

> Ikke personligt, men jeg finder det påfaldende, at computerbladene
> bugner med test af personlige firewalls og antivirus pakker, mens den
> ene mere slemme virus + orm "storm" efter den anden, rammer computere
> verden over gang på gang. Enten er det der står i bladene ikke rigtigt
> eller også følger folk ikke de råd, der står i bladene. Vælg selv.

Jeg kan ikke se, hvordan det skulle gøres journalisterne korrupte. Du
skrev jo selv, at de var upartiske...

--
Jens Kristian Søgaard, Mermaid Consulting ApS,
jens@mermaidconsulting.dk,
http://www.mermaidconsulting.com/




Jesper Louis Anderse~ (13-03-2004)
Kommentar
Fra : Jesper Louis Anderse~


Dato : 13-03-04 20:01

In article <40533c38$0$299$edfadb0f@dread12.news.tele.dk>,
Jens Kristian Søgaard wrote:

> Vil du ikke give mig ret i, at det er tåbeligt at udvikle et
> operativsystem efter kun et af de to kriterier? (jeg vil ikke kalde det
> for filosofier)

Det synes jeg nu ikke det er. Kriteriet eller filosofien bag OpenBSD er
netop at foretage designvalg der goer det svaerere for en ondsindet
person at tiltvinge sig magt over maskinen. Der er ikke resourcer til
ogsaa at varetage brugervenligheden i en saadan grad som eksempeltvist
Microsoft eller Apple goer. De 2 ting er ikke gensidigt eksklusive
(disjunkte), men for OpenBSDs tilfaelde jagter man ikke den gaengse
peg-og-klik loesning.

Omvendt har microsoft foerst for nyligt taget sikkerheden til sig som
et meget alvorligt emne. Fokus har i aarevis vaeret paa at skabe et
operativsystem som alle kunne anvende. Jeg tror nu ikke sikkerhed har
vaeret totalt ignoreret, men det har ikke haft en primaer rolle, saadan
som eksempeltvist OpenBSD har gjort.

Man kan selvfoelgelig konstruere hybrider, der opfylder begge kriterier,
men jeg synes nu nok vi mangler at se det i praksis.

> Illustrerer dette ikke blot, at sikkerhed er svært?

Sikkerhed er forbandet svaert. Der findes ikke rigtigt nogen fornuftige
metoder ud over at have dygtige programmoerer til at gennemlaese koden
og finde fejlene. Det koster resourcer. Mange resourcer. Jeg mener det
er noedvendigt at bruge den tid det tager paa at loese problemerne, men
paa den anden side handler det ogsaa om at virksomheden skal levere et
produkt til tiden.

Der findes metoder til automatisk sikring af programmel. Proof-Carry-
ing-Code (PCC) er en af dem. Men der mangler at nogen tager sig sammen
og placerer et saadant system i en kerne og samtidig skriver dele af
programmellet om til at kunne opfoere sig korrekt i Verification
condition checkeren. (George C. Necula er et godt navn hvis det lyder
interessant).

> Du drejer diskussionen kraftigt. Kompleks kode er ikke det samme som
> slamkode.

Tese: Al kode over en hvis stoerrelse indeholder fejl. Nogle af disse
fejl er sikkerhedsfejl.

Antag tesen holder. Store programmer indeholder saa fejl af sikkerheds-
maessig karakter. For passende definition af stor. Problemet med
kompleks kode er at det som regel er svaert at overskue og derved
leder til flere fejl. Saadan vil dem der tror paa at kompleks kode er
af det onde gerne have os andre til at forstaa.

>> Jeg synes "maliciøst" er et glimrende ord. Det lyder grimmere end
>> "ondsindet"!
>
> Hvorfor gøre brand af røg?

Jeg tror det er en oversaettelse af malicious. Englaenderne udmaerker
sig ved at have et sprog der indeholder mange flere (praecise) termer
i visse sammenhaenge.

> Du skrev da, at det kun var "dem på bjerget" som vidste, at det eneste
> rigtige er, ikke at installere personlige firewalls eller antivirus
> programmer. Så må det da være lidt avanceret, siden alle de andre ikke
> ved noget om det.

Du glemmer de vigtige faktorer for at folk installerer antivirus-
antispyware- samt firewall-programmel.

"Jeg vil partout koere shareware program X" og X indeholder spyware.
Metoden der anvendes her er at installere programmet og fjerne spy-
waren. Vores, det vil sige de erfarnes, argumenter falder til jorden
hos den private bruger med ovenstaaende, fordi folk ikke gider at
betale for noget. Mere praecist vaelger de at spille med producenten
af programmet.

"Jeg vil proeve nyeste spil fra Kazaa". Ja, det er ulovligt, men det
er folk jo ligeglade med. Ergo ryger der muligvis virus ind paa ens
computer, hvis man ikke lige har et antivirusprogram paa den. Af frygt
for at programmet kontakter producenten kan firewallen beskytte. Det
sidste er tvivlsomt, for et program der anvender Internet Explorer
til at sende data med accepteres nok af firewallen som vaerende Internet
explorer.

"Min ven er edbguru(.dk), og han siger at jeg skal koere med det". Der
er mange mennesker der gerne vil vaere behjaelpelige. Og der er opstaaet
et helt lille miljoe omkring det at bekaempe virus, spyware og beskytte
sig mod hackere. Miljoets redskaber og regler er netop de programmer
der paastaar at de kan fjerne truslen. Det skriger vaabenkaploeb uden
ende, men det er der ikke nogen der overvejer.

"Der er masser af god(!??) information paa nettet. Se bare grc.com".
I samme stil findes der masser af eksempler paa daarlig information paa
nettet omkring sikkerhedsaspektet. Steve Gibson er en dygtig PR-mand,
men jeg vil saette stort spoergsmaalstegn ved hans programmel, hans
valg af termer (der strider mod hvad de fleste andre benytter) og hans
reelle kompetance paa omraadet.

"Zonelabs sagde jeg skulle koebe Zonealarm". Firmaer, der lever af at
saelge sikkerhedsprodukter, vil gerne have os til at tro at deres
produkt kan redde os fra alskens farlige ting. Det handler jo i bund
og grund om marketing, om at maksimere salget af deres produkt i forhold
til konkurrenten. Hvis man fortaeller folk at de kan opnaa sikkerhed
ved at koebe et magisk vaerktoej og faa folk til at tro paa det, ja,
saa tjener man penge. Man kan i nogle tilfaelde endda tage mange penge
for et saadant produkt.

"En (hvidkitlet) sikkerhedsekspert fortalte at jeg skulle installere
program X". Samme dur, samme problem. Sikkerhedseksperten er i virke-
ligheden partner med et par af selskaberne der producerer sikkerheds-
programmel og kan derfor paa ingen maade fremstaa som uafhaengig. Det
naevnes bare sjaeldent.

---

Problemet er altsaa at der findes en branche med en oekonomisk interesse
for at tjene penge paa det her. Vi er et par stykker der har ret svaert
ved at komme igennem med budskabet der er "Taenk dig om!!". Til dels
fordi man ikke tror paa os (man er fejlinformeret/hjernevasket), til
dels fordi man ikke er villig til _ikke_ at spille med paa de prae-
misser der stilles (installation af programmer med spyware; download
af programmel fra p2p tjenester).

Der er 2 vaaben: Viden og sund fornuft. Det ene vaaben kan vi give ved
at belyse vores synspunkter offentligt (som her). Det andet maa folk
selv ligge og rode med. Forhaabentligt kommer den sunde fornuft med
tiden.

Konklusionen er at jeg nu nok tror at folk ved noget om det. Men jeg
tror ikke de er villige til at acceptere de konsekvenser der foerer med
sig. Paa den maade befinder de sig midt i krigen mellem virus, spyware,
copyrighted software, trojanske heste og det der er vaerre. Hvis en
given person ikke _vil_ skifte fra Outlook express til noget andet, saa
_vil_ han foer eller siden blive ramt af problemer med programmets
noget kedelige track record for fejl. Det skal saa behnandles. Enten
ved at installere en patch (godt), eller ved at installere et anti-
virus produkt (skidt).

Maaske er udsigten flot oppe paa bjerget. Men vi er ikke naive
perfektionister, bare fordi der mangler ilt i denne her hoejde.

--
j.

Jens Kristian Søgaar~ (13-03-2004)
Kommentar
Fra : Jens Kristian Søgaar~


Dato : 13-03-04 20:55

Hej Jesper,

> > Vil du ikke give mig ret i, at det er tåbeligt at udvikle et
> > operativsystem efter kun et af de to kriterier? (jeg vil ikke kalde
det
> > for filosofier)

> Det synes jeg nu ikke det er. Kriteriet eller filosofien bag OpenBSD
er
> netop at foretage designvalg der goer det svaerere for en ondsindet
> person at tiltvinge sig magt over maskinen. Der er ikke resourcer til
> ogsaa at varetage brugervenligheden i en saadan grad som eksempeltvist
> Microsoft eller Apple goer.

Nemlig.

> De 2 ting er ikke gensidigt eksklusive
> (disjunkte),

Nemlig. Det var jo lige præcis det jeg skrev.

Det er tåbeligt at kun at overveje det ene af de to kriterier. Der er
tale om en afvejning mellem de to ting.

> Der findes metoder til automatisk sikring af programmel. Proof-Carry-
> ing-Code (PCC) er en af dem. Men der mangler at nogen tager sig sammen
> og placerer et saadant system i en kerne og samtidig skriver dele af
> programmellet om til at kunne opfoere sig korrekt i Verification
> condition checkeren. (George C. Necula er et godt navn hvis det lyder
> interessant).

Uha, hvis man skulle kræve PCC over alt i et større miljø som Windows,
vil man da nok skrue kompleksitetsniveauet adskillige grader op.

> Tese: Al kode over en hvis stoerrelse indeholder fejl. Nogle af disse
> fejl er sikkerhedsfejl.

> Antag tesen holder. Store programmer indeholder saa fejl af
sikkerheds-
> maessig karakter. For passende definition af stor. Problemet med
> kompleks kode er at det som regel er svaert at overskue og derved
> leder til flere fejl. Saadan vil dem der tror paa at kompleks kode er
> af det onde gerne have os andre til at forstaa.

Vi er vist enige om at kompleksitet er noget, man ikke kan komme udenom
i dag.
Samtidigt er vi sikkert også enige om, at det er nemmere at lave fejl i
et komplekst system.

Desuden ser det ud til, at vi er enige om at formelle metoder som f.eks.
proof-carrying-codes, formel verifikation af protokoller, osv. er
metoder til at arbejde med komplekse ting på en fornuftig måde.

Jeg tror de fleste er uenige med Michael U. Hove, når han ønsker at vi
skal gå tilbage til den simple computer med de begrænsede
interaktionsmuligheder, de begrænsede applikationsområder, osv.

> Jeg tror det er en oversaettelse af malicious. Englaenderne udmaerker
> sig ved at have et sprog der indeholder mange flere (praecise) termer
> i visse sammenhaenge.

malicious har vel noget at gøre med malice. Jeg kan ikke se, hvorfor
"ondsindet" skulle være en dårlig oversættelse af det på dette område.
(læs: jeg kan ikke se, hvorfor der skulle være grund til at bruge ordet
maliciøs her).

> Konklusionen er at jeg nu nok tror at folk ved noget om det. Men jeg
> tror ikke de er villige til at acceptere de konsekvenser der foerer
med
> sig.

Det er ca. det samme, jeg er nået frem til.

Eks. Jeg "burde vide bedre", men bruger alligevel Outlook Express.

--
Jens Kristian Søgaard, Mermaid Consulting ApS,
jens@mermaidconsulting.dk,
http://www.mermaidconsulting.com/




Michael U. Hove (13-03-2004)
Kommentar
Fra : Michael U. Hove


Dato : 13-03-04 22:26

Jens Kristian Søgaard wrote:

[snip]

> Jeg tror de fleste er uenige med Michael U. Hove, når han ønsker at vi
> skal gå tilbage til den simple computer med de begrænsede
> interaktionsmuligheder, de begrænsede applikationsområder, osv.

Hov hov, hvornår har jeg sagt at jeg ønskede det...

>>Jeg tror det er en oversaettelse af malicious. Englaenderne udmaerker
>>sig ved at have et sprog der indeholder mange flere (praecise) termer
>>i visse sammenhaenge.
>
>
> malicious har vel noget at gøre med malice. Jeg kan ikke se, hvorfor
> "ondsindet" skulle være en dårlig oversættelse af det på dette område.
> (læs: jeg kan ikke se, hvorfor der skulle være grund til at bruge ordet
> maliciøs her).

Irriterer det dig da at jeg bruger ordet?!

> Eks. Jeg "burde vide bedre", men bruger alligevel Outlook Express.

Jeg opgav at svare på den enorme tråd der var sat gang i, da jeg syntes
der var mere mudder end substans i den efterhånden.

Jeg kan kun for mit eget vedkommende sige, at jeg ikke holder MS op som
et eksempel på dårlig software ell. kodning.

Min post udtrykte bare min holdning til at mange mennesker starter et
forkert sted, når de forsøger at sikre deres maskine med brug af
"sikkerhedssoftware" som AV + personlige firewalls.

Mit synspunkt er, at man bør starte med minimering/hærdning af det OS
inkl brugersoftware, man forsøger at sikre, før man overhovedet
overvejer at kigge på en firewall ell. AV programmer.

Jeg mener også, at MS går galt i byen, når de faciliterer den store
brugervenlighed fremfor sikkerhed. Den enorme udbredelse af deres OS
betyder at sårbarheder i deres software, får global betydning for alle
computerbrugeres sikkerhed, uanset om de så bruger MS ell. ej.

Igen er det min personlige holdning, jeg er "nørd", og mit syn på hvad
god software og et godt OS er, er meget anderledes end de fleste
computerbrugere jeg kender.

BTW: mht.dok for antal virus på Win kontra andre platforme:

http://www.securityfocus.com/columnists/188

/mvh
Michael


Jens Kristian Søgaar~ (13-03-2004)
Kommentar
Fra : Jens Kristian Søgaar~


Dato : 13-03-04 22:07

Hej Michael,

> > Jeg tror de fleste er uenige med Michael U. Hove, når han ønsker at
vi
> > skal gå tilbage til den simple computer med de begrænsede
> > interaktionsmuligheder, de begrænsede applikationsområder, osv.

> Hov hov, hvornår har jeg sagt at jeg ønskede det...

Jeg læste det da, som om du syntes alt det her kompleksitet var noget
farligt noget, som vi skulle af med?

> > malicious har vel noget at gøre med malice. Jeg kan ikke se, hvorfor

> Irriterer det dig da at jeg bruger ordet?!

Ja

> Jeg kan kun for mit eget vedkommende sige, at jeg ikke holder MS op
som
> et eksempel på dårlig software ell. kodning.

Eneste grund til at jeg svarede var blot, at et simpelt lille indlæg med
spørgsmålet "er porte der vises åbne ved netstat -a virkeligt åbne?"
resulterede i et kæmpe indlæg fra dig, som jeg udelukkende læste som om,
at du frarådede manden at røre ved ting, der stod Microsoft på.

> BTW: mht.dok for antal virus på Win kontra andre platforme:
> http://www.securityfocus.com/columnists/188

Vira er noget andet end angreb.

--
Jens Kristian Søgaard, Mermaid Consulting ApS,
jens@mermaidconsulting.dk,
http://www.mermaidconsulting.com/




Jesper Louis Anderse~ (13-03-2004)
Kommentar
Fra : Jesper Louis Anderse~


Dato : 13-03-04 22:41

In article <40536686$0$306$edfadb0f@dread12.news.tele.dk>,
Jens Kristian Søgaard wrote:

> Desuden ser det ud til, at vi er enige om at formelle metoder som f.eks.
> proof-carrying-codes, formel verifikation af protokoller, osv. er
> metoder til at arbejde med komplekse ting på en fornuftig måde.

Microsoft Research har gang i et projekt om behavioural type systems
i pi-kalkylen. Det er planen at det skal ind i C#. Overvej engang hvad
det goer for software at du kan typechecke enhver kommunikations-
protokol. Mit bud er at de faar et meget staerkt overtag her i forhold
til Java.

PCC ville ikke vaere saa dyrt igen at indfoere, hvis man noejedes med
at kigge paa et par af problemboernene i forbindelse med operativ-
systemer. Det er netop pointen at store dele af beviset kan auto-
konstrueres.


Mere generelt er diskussionen spaendende. Hvad sker der, naar man med
formelle metoder begynder at verificere programmer (dem af dem vi
_kan_ verificere).

--
j.

Jens Kristian Søgaar~ (13-03-2004)
Kommentar
Fra : Jens Kristian Søgaar~


Dato : 13-03-04 22:55

Hej Jesper,

> Microsoft Research har gang i et projekt om behavioural type systems
> i pi-kalkylen.

Mener du Cryptyc som bygger på Spi-kalkylen?

Eller er det noget helt andet? (i så fald, send meget gerne link)

> Det er planen at det skal ind i C#. Overvej engang hvad
> det goer for software at du kan typechecke enhver kommunikations-
> protokol. Mit bud er at de faar et meget staerkt overtag her i forhold
> til Java.

Der findes jo også lignende værktøjer til Java på prototype stadiet (dog
med andre formalismer).

--
Jens Kristian Søgaard, Mermaid Consulting ApS,
jens@mermaidconsulting.dk,
http://www.mermaidconsulting.com/




Peder Vendelbo Mikke~ (13-03-2004)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 13-03-04 21:07

Michael U. Hove skrev:

> Det var ikke det jeg skrev. Jeg skrev at man, hvis man overlader pc'ens
> sikkerhed til antivirus software og en personlig firewall, er man
> lige vidt mht, til at forstå *hvorfor* ens pc er sårbar.

Jeg tror aldrig Karen Normal Bruger kommer til at forstå hendes pc, det
gjorde jeg engang, hun har sikkert lige så lidt lyst til det som til at
forstå hendes vaskemaskine, køleskab eller anden teknisk installation
(uanset om køleskabet en dag går på nettet og bestiller mælk til hende i
en mangelsituation).

Jeg aner ikke hvad løsningen på problemet er pt., men den kommer sikkert
til at tage form som en tillægsydelse til hendes internetforbindelse hvor
opdatering og opsætning af hendes pc bliver udført af andre end hende
selv. Internetudbyderen AOL tilbyder at gøre dette i USA idag:

http://news.com.com/2100-7355_3-5096882.html

> Men hvornår hørte du sidst om en KDE-desktop ell. en Mac-desktop virus?!

Nu følger jeg ikke ret meget med indenfor den slags operativsystemer, men
bemærkede en sikkerhedfejl i Apple-software i går.

Kan en remote exploit i Quicktime kvalificere som en Mac-desktop risiko?

http://www.eeye.com/html/Research/Upcoming/20040218.html

Jeg har ikke kunnet finde detaljer om fejlen, men har heller ikke brugt
ret meget tid på at Google efter den.

> Problemet med MS' model er netop dette: Ondsindet kode *har* for
> nemt spil på MS platform jvf. OE exemplet.

Hvilket OE-eksempel?

Du skrev en påstand som blev afvist.

> Brugervenlighed og sikkerhed er to vidt forskellige filosofier at
> udvikle et OS ud fra, jvf ex. Windows kontra OpenBSD.

Tjah, hvis en slutbruger slippes løs med OpenBSD og bruger det, varer det
sikkert ikke længe førend OSet er opsat hullet som en si (med mindre bru-
geren opgiver at anvende OpenBSD inden da).

> Prøv du at sysadme et Windows NT/2000 + Exchange + Outlook/Outlook
> Express baseret netværk, så bliver du også overbevist om at Outlook
> er en alt for villig afvikler af alskens skidt.

Kan sysadm ikke bare sætte OS og programmer ordentlig op fra starten?
(i stedet for at køre med standardinstallation fra hardware-leverandøren.
Microsoft har gratis værktøjer til rådighed der tillader en grundig om-
konfigurering så det stort set kan komme til at passe ethvert behov)

> Jeg ser tingene fra en Sysadmins vinkel. Min hverdag består i at
> spurte rundt for at forhindre brugerne i at lave ulykker med MS'
> software.

Overvej at læse op på hvilke muligheder du har med Group Policies. Hvis
du indfører det, får du godt nok ikke så meget kondi, men dine brugeres
maskiner vil køre bedre.

http://microsoft.com/technet/ har masser af udmærket information.

http://www.microsoft.dk/events/ har en mængde gode gratis seminarer om-
kring sikkerhed i den kommende tid (de plejer at være udmærkede, jeg har
ingen grund til at tro at de kommende seminarer bliver værre).

Hvis du er i Århus i næste uge, kunne disse seminarer nok være relevante:

http://msevents-eu.microsoft.com/cui/EventDetail.aspx?culture=da-DK&EventID=118744472

http://msevents-eu.microsoft.com/cui/EventDetail.aspx?culture=da-DK&EventID=118744477

>> Hvad vil du have lavet om?

> Jeg troede det var klart....Windows.

Men, hvad vil du have lavet om i Windows?
(du kan bruge Windows Server 2003 eller Windows XP som eksempel)

>> Hvad med alle dem, som har brugt Unix før det blev moderne, og stadig
>> ikke ved hvordan bitsene bliver flyttet rundt bagved skærmen?

> Dem kender jeg ikke mange af. De fleste af de rigtig gamle UNIX-rotter,
> har selv skovlet bits'ene *ind* i skærmen.

Det gør jeg, der er omkring 1000 af dem som af og til henvender sig til
mig på arbejdet, de forstår ikke det mindste af hvad der foregår bagved
skærmen, sålænge systemet virker er de såmænd også ligeglad med hvad der
er og sker bagved skærmen.


Alex Holst (14-03-2004)
Kommentar
Fra : Alex Holst


Dato : 14-03-04 02:04

Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
> Kan sysadm ikke bare sætte OS og programmer ordentlig op fra starten?
> (i stedet for at køre med standardinstallation fra hardware-leverandøren.
> Microsoft har gratis værktøjer til rådighed der tillader en grundig om-
> konfigurering så det stort set kan komme til at passe ethvert behov)

Der kan desvaerre vaere politiske grunde til at man ikke aendrer
standardinstallationen.

Jeg kender til et sted hvor ledelsen naegter at udlevere nogle former
for krav til funktionalitet, brugervenlighed eller sikkerhed, saa de
teknisk ansvarlige for desktop systemerne toer ikke andet end at lade
dem vaere praecist som de kommer fra Microsoft, med meget smaa
undtagelser.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Peder Vendelbo Mikke~ (14-03-2004)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 14-03-04 04:25

Alex Holst skrev:

> Peder Vendelbo Mikkelsen wrote:
>> Kan sysadm ikke bare sætte OS og programmer ordentlig op fra starten?
>> (i stedet for at køre med standardinstallation fra hardwareleveran-
>> døren. Microsoft har gratis værktøjer til rådighed der tillader en
>> grundig omkonfigurering så det stort set kan komme til at passe ethvert
>> behov)

> Der kan desvaerre vaere politiske grunde til at man ikke aendrer
> standardinstallationen.

Det kender jeg godt, det er ret frustrerende, især når man ved at man vil
få problemer efterfølgende på grund af det (support og bøvl med vedlige-
holdelse), når man skal tage hensyn til forskellige opsætninger.

> Jeg kender til et sted hvor ledelsen naegter at udlevere nogle former
> for krav til funktionalitet, brugervenlighed eller sikkerhed, saa de
> teknisk ansvarlige for desktop systemerne toer ikke andet end at lade
> dem vaere praecist som de kommer fra Microsoft, med meget smaa und-
> tagelser.

Det tror jeg er meget udbredt. Det kan godt være temmeligt trættende at
blive udsat for.

Heldigvis har jeg kunnet smide lig på bordet og bevise problemet [1], så
nu er mit næste problem at forsøge at være på forkant ved indkøb af nye
maskiner (det er meget sværere at få lov til at pille ved et kørende sys-
tem end et som ikke er opsat endnu).

Jeg har med held fået sendt et par cheftyper til nogle af Microsoft
Executive Circle møderne omkring management og sikkerhed, selvom de skal
bevæge sig fra Århus til kunstmuseet Arken i Ishøj.

Jeg er ved at forsøge at snige servicedeklarationer ind, som skal beskrive
under hvilke omstændigheder der kan ydes support, hvad der kan ydes sup-
port til og på hvilken måde der kan ydes support (jeg bruger et andet
projekt som løftestang for det, i det andet projekt skal vi levere en
netværksservice (drift af Active Directory servere) til andre uafhængige
afdelinger og de har nogle krav til tilgengælighed etc.)

[1] bl.a. ved at en af modstanderne fik en ny pc, jeg bad ham om at sætte
den op selv og jeg satte derefter hans maskine direkte på internettet. Han
var meget overrasket over ikke at kunne nå at besøge
windowsupdate.microsoft.com førend Blaster tog fat i maskinen og gerne
ville genstarte den. Efter den oplevelse er han blevet mere interesseret i
at høre om præventiv systemvedligeholdelse.

Han kunne også se forskellen i RAM-forbrug og hvor hurtig maskinen afvik-
lede ting, fra han satte maskinen op som standard, til jeg stoppede
diverse services og afinstallerede diverse leverandørleverede utilities
(RAM-forbruget faldt til ca. det halve og maskinen var meget hurtigere om
at starte op). Maskinen var en IBM Thinkcentre med en rå WXP på, uden hot-
fixes eller SP1.
--
Udmærket mailingliste om emnet på www.patchmanagement.org. Microsoft-an-
satte løfter af og til en flig af sløret om kommende løsninger.


Michael U. Hove (14-03-2004)
Kommentar
Fra : Michael U. Hove


Dato : 14-03-04 13:18

Peder Vendelbo Mikkelsen wrote:
> Michael U. Hove skrev:
>
>
>>Det var ikke det jeg skrev. Jeg skrev at man, hvis man overlader pc'ens
>>sikkerhed til antivirus software og en personlig firewall, er man
>>lige vidt mht, til at forstå *hvorfor* ens pc er sårbar.
>
>
> Jeg tror aldrig Karen Normal Bruger kommer til at forstå hendes pc, det
> gjorde jeg engang, hun har sikkert lige så lidt lyst til det som til at
> forstå hendes vaskemaskine, køleskab eller anden teknisk installation
> (uanset om køleskabet en dag går på nettet og bestiller mælk til hende i
> en mangelsituation).
>
> Jeg aner ikke hvad løsningen på problemet er pt., men den kommer sikkert
> til at tage form som en tillægsydelse til hendes internetforbindelse hvor
> opdatering og opsætning af hendes pc bliver udført af andre end hende
> selv. Internetudbyderen AOL tilbyder at gøre dette i USA idag:
>
> http://news.com.com/2100-7355_3-5096882.html

Det kunne godt gå hen og blive konsekvensen. ISP styret sikkerhed er
måske heller ikke så skidt endda, hvis den gængse slutbruger er totalt
uforstående overfor sikkerhed. Er der nogen der ved om ISP'ere herhjemme
tilbyder noget lign.?!

>>Men hvornår hørte du sidst om en KDE-desktop ell. en Mac-desktop virus?!
>
>
> Nu følger jeg ikke ret meget med indenfor den slags operativsystemer, men
> bemærkede en sikkerhedfejl i Apple-software i går.
>
> Kan en remote exploit i Quicktime kvalificere som en Mac-desktop risiko?
>
> http://www.eeye.com/html/Research/Upcoming/20040218.html

Det kunne den da godt, men jeg tænkte mere på en direkte exploit til ex.
KDE's DCOP, der kunne minde lidt om MS' COM integration med desktoppen.

En sådan exploit er jeg ikke stødt på endnu, dermed ikke sagt at den
ikke findes og kan udnyttes.

> Jeg har ikke kunnet finde detaljer om fejlen, men har heller ikke brugt
> ret meget tid på at Google efter den.
>
>
>>Problemet med MS' model er netop dette: Ondsindet kode *har* for
>>nemt spil på MS platform jvf. OE exemplet.
>
>
> Hvilket OE-eksempel?
>
> Du skrev en påstand som blev afvist.
>

Nogle klassiske OE/IE sårbarheder, som dog er blevet patchet nu:

http://www.microsoft.com/technet/security/bulletin/MS00-043.mspx
http://www.microsoft.com/technet/security/bulletin/MS01-015.mspx
http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx
http://www.microsoft.com/technet/security/bulletin/MS03-023.mspx

>>Brugervenlighed og sikkerhed er to vidt forskellige filosofier at
>>udvikle et OS ud fra, jvf ex. Windows kontra OpenBSD.
>
>
> Tjah, hvis en slutbruger slippes løs med OpenBSD og bruger det, varer det
> sikkert ikke længe førend OSet er opsat hullet som en si (med mindre bru-
> geren opgiver at anvende OpenBSD inden da).

Med tilstrækkelig inkompetence kan alting vel gøres usikkert.

Men vi er vel enige om at OpenBSD, selvom det er en smal distro, har et
bedre udgangspunkt end MS, rent sikkerhedsmæssigt?!

Om jeg kunne have lyst til at have OpenBSD kørende som OS på brugernes
desktop, er så en helt anden sag.

>>Prøv du at sysadme et Windows NT/2000 + Exchange + Outlook/Outlook
>>Express baseret netværk, så bliver du også overbevist om at Outlook
>>er en alt for villig afvikler af alskens skidt.
>
>
> Kan sysadm ikke bare sætte OS og programmer ordentlig op fra starten?
> (i stedet for at køre med standardinstallation fra hardware-leverandøren.
> Microsoft har gratis værktøjer til rådighed der tillader en grundig om-
> konfigurering så det stort set kan komme til at passe ethvert behov)
>

Selvfølgelig.

Mit pointe gik dog også mere på, at MS også har et ansvar for at deres
software selv i default opsætning er mere sikkert, end det er tilfældet nu.

>>Jeg ser tingene fra en Sysadmins vinkel. Min hverdag består i at
>>spurte rundt for at forhindre brugerne i at lave ulykker med MS'
>>software.
>
>
> Overvej at læse op på hvilke muligheder du har med Group Policies. Hvis
> du indfører det, får du godt nok ikke så meget kondi, men dine brugeres
> maskiner vil køre bedre.
>
> http://microsoft.com/technet/ har masser af udmærket information.
>
> http://www.microsoft.dk/events/ har en mængde gode gratis seminarer om-
> kring sikkerhed i den kommende tid (de plejer at være udmærkede, jeg har
> ingen grund til at tro at de kommende seminarer bliver værre).
>
> Hvis du er i Århus i næste uge, kunne disse seminarer nok være relevante:
>
> http://msevents-eu.microsoft.com/cui/EventDetail.aspx?culture=da-DK&EventID=118744472
>
> http://msevents-eu.microsoft.com/cui/EventDetail.aspx?culture=da-DK&EventID=118744477
>

Tak for tipsene og linksene, jeg har faktisk forsømt Group Policies
lidt, ved det er et stærkt værktøj.

>>>Hvad vil du have lavet om?
>
>
>>Jeg troede det var klart....Windows.
>
>
> Men, hvad vil du have lavet om i Windows?
> (du kan bruge Windows Server 2003 eller Windows XP som eksempel)

Okay:

Jeg kunne godt tænke mig at den 'black magic' roden rundt i
services.msc, regedit, secpol.msc, dcomcnfg, NBT indstill, osv, som folk
idag skal ud og finde info på nettet om, og derefter gøre manuelt, var
lagt ind som mulighed i en alm. Win desktop install.

Altså at MS selv lavede et desktop integreret værktøj ,der kunne gøre en
default MS install mere sikker, og samtidig via en nydelig grafik/menu
kunne gøre folk klogere i processen.

Det kunne være et simpelt WSH script, der via spørgsmål fandt ud af
hvilken rolle desktop maskinen skulle have, og derefter tilpassede
ovennævnte services, NBT, reg-base, DCOM, ActiveX, WSH osv til et
'passende' sikkert niveau.

Tilsvarende kunne man forestille sig at der fandtes lockdown scripts til
OE + IE, der ex. disablede ell. promptede for ActiveX, Java, VBS
afvikling osv.

Der er selvfølgelig gråzoner, men grundlæggende synes jeg at en default
MS install er for hullet, og kræver megen tuning, før jeg er nogenlunde
tilfreds med sikkerhedsniveauet. MS må jo have firsthand expertisen til
at lave sådant et tool, og integrere det med deres OS.

Selvfølgelig findes der tilsvarende værktøjer idag fra MS, men de er
primært møntet på fagfolk, der godt kan forventes at vide hvad de laver,
også uden et automatiseret sårbarhedsscannings-værktøj ala. ex MBSA og
ISS Lockdown.

Værktøj skulle både kunne producere mærkbart bedre sikkerhed og samtidig
kunne betjenes af ikke-fagfolk. Ikke et lille krav, men får vi indført
sådant et integreret værktøj direkte på MS desktoppen, tror jeg seriøst,
at nogle af de allermest gabende huller kunne undgåes, til gavn for
alles sikkerhed.

(Ovenstående er baseret på mine egne erfaringer med Windows 2000/XP Pro,
jeg har ikke arbejdet med 2003/.NET Server endnu, men kan forstå at den
ikke enabler alle services/komponenter som default, hvilket jo absolut
er et skridt i den rigtige retning.)

>>>Hvad med alle dem, som har brugt Unix før det blev moderne, og stadig
>>>ikke ved hvordan bitsene bliver flyttet rundt bagved skærmen?
>
>
>>Dem kender jeg ikke mange af. De fleste af de rigtig gamle UNIX-rotter,
>>har selv skovlet bits'ene *ind* i skærmen.
>
>
> Det gør jeg, der er omkring 1000 af dem som af og til henvender sig til
> mig på arbejdet, de forstår ikke det mindste af hvad der foregår bagved
> skærmen, sålænge systemet virker er de såmænd også ligeglad med hvad der
> er og sker bagved skærmen.

He he...det lyder ikke så godt...personligt er jeg ikke stødt på den
type UNIX-bruger endnu, men så har jeg da noget at se frem til .

/Mvh
Michael.


Kasper Dupont (14-03-2004)
Kommentar
Fra : Kasper Dupont


Dato : 14-03-04 17:47

"Michael U. Hove" wrote:
>
> Det kunne godt gå hen og blive konsekvensen. ISP styret sikkerhed er
> måske heller ikke så skidt endda, hvis den gængse slutbruger er totalt
> uforstående overfor sikkerhed.

Det ville være et glimrende tilbud for en lang række
brugere. Desværre frygter jeg, at hvis det kommer, så
bliver det påtvunget alle brugere, hvad enten de vil
have det eller ej.

> Er der nogen der ved om ISP'ere herhjemme
> tilbyder noget lign.?!

Jeg har ikke hørt om nogen. Det eneste jeg har hørt
om er internetudbydere, der tilbyder en antivirus+
firewall pakke enten gratis eller med en god rabat.
Det vil jeg ikke kalde ISP styret sikkerhed. Jeg vil
faktisk ikke engang kalde det sikkerhed.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Peder Vendelbo Mikke~ (20-03-2004)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 20-03-04 14:15

Kasper Dupont skrev:

> "Michael U. Hove" wrote:
>> Det kunne godt gå hen og blive konsekvensen. ISP styret sikkerhed er
>> måske heller ikke så skidt endda, hvis den gængse slutbruger er totalt
>> uforstående overfor sikkerhed.

> Det ville være et glimrende tilbud for en lang række brugere. Desværre
> frygter jeg, at hvis det kommer, så bliver det påtvunget alle brugere,
> hvad enten de vil have det eller ej.

Man kan vel godt påstå at det er startet så småt, ved at TDC har blokeret
for nogle porte for deres privat-kunder (port 25 ud og ind), men ikke har
gjort det for erhvervs-kunder (Bredbånd Pro-forbindelser).

TDC er med i GIAIS-samarbejdet (Global Infrastructure Alliance for Internet
Safety):

http://www.computerworld.dk/default.asp?Mode=2&ArticleID=22810
http://www.microsoft.com/serviceproviders/giais/


Jens Kristian Søgaar~ (14-03-2004)
Kommentar
Fra : Jens Kristian Søgaar~


Dato : 14-03-04 19:01

Hej Michael,

> Det kunne den da godt, men jeg tænkte mere på en direkte exploit til
ex.
> KDE's DCOP, der kunne minde lidt om MS' COM integration med
desktoppen.

Er der da fundet ekstremt mange sikkerhedsfejl i MS COM?

> > Hvilket OE-eksempel?
> > Du skrev en påstand som blev afvist.

> Nogle klassiske OE/IE sårbarheder, som dog er blevet patchet nu:
> http://www.microsoft.com/technet/security/bulletin/MS00-043.mspx
> http://www.microsoft.com/technet/security/bulletin/MS01-015.mspx
> http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx
> http://www.microsoft.com/technet/security/bulletin/MS03-023.mspx

De tre første links henviser til svagheder som er 3-4 år gamle; dem vil
jeg ikke medregne når man skal vurdere en Outlook Express i dag.

Den sidste henviser til en fejl fra sidste år, hvor der blev fundet og
rettet en buffer-overflow fejl i HTML-fortolkeren. Der er dog så vidt
jeg kan se, hverken exploits til det, eller endog gjort sikkert at man
kan udnytte hullet.

Der findes jo buffer overflow fejl i utallige programmer nu til dags,
både Windows-baserede og Unix-baserede programmer. Jeg kan bestemt ikke
se, hvordan man heraf kan udlede at "Outlook Express udfører alt det man
smider efter den".

> > Tjah, hvis en slutbruger slippes løs med OpenBSD og bruger det,
varer det
> > sikkert ikke længe førend OSet er opsat hullet som en si (med mindre
bru-
> > geren opgiver at anvende OpenBSD inden da).

> Med tilstrækkelig inkompetence kan alting vel gøres usikkert.

Aha. Hvorfor er det hele så operativsystemsproducentens skyld?

> Men vi er vel enige om at OpenBSD, selvom det er en smal distro, har
et
> bedre udgangspunkt end MS, rent sikkerhedsmæssigt?!

Det kommer an på, hvad du mener med udgangspunkt.

Hvis du forestiller dig en typisk "jeg kan finde ud af at åbne Word og
skrive dokumenter"-bruger, som får stillet henholdvis en rå Windows og
en rå OpenBSD til rådighed... ja, han vil helt sikkert opgive at få
OpenBSD til at virke. Måske vil det lykkedes ham at få installeret Word
på sin Windows, måske ikke.

Det er jo naturligvis ganske sikkert, når computeren bare står ubenyttet
og slukket hen. Men giver det mening?

Hvis man derimod tager en bruger som ved lidt om tingene, og giver dem
henholdvis en Windows og en OpenBSD... ja så er jeg ikke ikke 100%
overbevist om, at det sikreste er OpenBSD. Jeg kan fint forestille mig
sådan en bruger være i stand til at pille lidt ved Windows så den bliver
lidt mere sikker. - Han vil dog så også være i stand til at installere
alt verdens skrammel på OpenBSD kassen, så den ikke længere er sikker.
Han kan givet ikke finde ud af opgradere systemet når der kommer
patches, ligesom han kan ved Windows Update, osv.

For en professionel IT-medarbejder vil det sikkert være nemmere for ham
at bruge og holde OpenBSD sikker, end det vil være for Windows. Men hvor
mange af den type mennesker findes der i forhold til dem, som blot
bruger en computer til tekstbehandling, regneark og email?

OpenBSD har en helt anden målgruppe end Windows.

> Altså at MS selv lavede et desktop integreret værktøj ,der kunne gøre
en
> default MS install mere sikker, og samtidig via en nydelig grafik/menu
> kunne gøre folk klogere i processen.

Har de ikke allerede gjort det?

Det du bruger regedit til, er jo bare alt det, som du ikke kan gøre
fordi det nydelige grafik begrænser.

Jeg tror blot det er spørgsmål om tid, før Microsoft udvider de
"grafiske muligheder" til også at omfatte de ting, som pt. er lidt mere
besværlige at bruge.

> Det kunne være et simpelt WSH script, der via spørgsmål fandt ud af
> hvilken rolle desktop maskinen skulle have, og derefter tilpassede
> ovennævnte services, NBT, reg-base, DCOM, ActiveX, WSH osv til et
> 'passende' sikkert niveau.

Det kan du jo selv lave?

> Tilsvarende kunne man forestille sig at der fandtes lockdown scripts
til
> OE + IE, der ex. disablede ell. promptede for ActiveX, Java, VBS
> afvikling osv.

Det kan du jo selv lave?

> Værktøj skulle både kunne producere mærkbart bedre sikkerhed og
samtidig
> kunne betjenes af ikke-fagfolk. Ikke et lille krav, men får vi indført
> sådant et integreret værktøj direkte på MS desktoppen, tror jeg
seriøst,
> at nogle af de allermest gabende huller kunne undgåes, til gavn for
> alles sikkerhed.

Hvad så når disse værktøjer går noget som forhindrer brugeren i at
udføre deres arbejde som de plejer?

> > Det gør jeg, der er omkring 1000 af dem som af og til henvender sig
til
> > mig på arbejdet, de forstår ikke det mindste af hvad der foregår
bagved
> > skærmen, sålænge systemet virker er de såmænd også ligeglad med hvad
der
> > er og sker bagved skærmen.

> He he...det lyder ikke så godt...personligt er jeg ikke stødt på den
> type UNIX-bruger endnu, men så har jeg da noget at se frem til .

Det tyder lidt på, at de eneste Unix-brugere du kender, er folk du møder
ved "sammenkomster" mellem IT-professionelle (systemadministratorer,
osv.). Derfor får du en falsk forestilling om, at alle Unix-brugere ved
en masse.

Der findes mange UNIX-brugere, som blot er netop det - brugere. På samme
måde som der findes mange Windows brugere. Tidligere var der givet flere
UNIX-brugere (af den type) end der er i dag, men de findes da stadig.

--
Jens Kristian Søgaard, Mermaid Consulting ApS,
jens@mermaidconsulting.dk,
http://www.mermaidconsulting.com/




Martin Schultz (15-03-2004)
Kommentar
Fra : Martin Schultz


Dato : 15-03-04 09:36

On Sun, 14 Mar 2004 13:18:10 +0100, Michael U. Hove wrote:

> Peder Vendelbo Mikkelsen wrote:
>> Michael U. Hove skrev:

>> Jeg aner ikke hvad løsningen på problemet er pt., men den kommer sikkert
>> til at tage form som en tillægsydelse til hendes internetforbindelse hvor
>> opdatering og opsætning af hendes pc bliver udført af andre end hende
>> selv. Internetudbyderen AOL tilbyder at gøre dette i USA idag:
>>
>> http://news.com.com/2100-7355_3-5096882.html
>
> Det kunne godt gå hen og blive konsekvensen. ISP styret sikkerhed er
> måske heller ikke så skidt endda, hvis den gængse slutbruger er totalt
> uforstående overfor sikkerhed. Er der nogen der ved om ISP'ere herhjemme
> tilbyder noget lign.?!

Delvist. Se http://www.cybercity.dk/privat/produkter/sikkerhed/

--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel routere.

Kasper Dupont (15-03-2004)
Kommentar
Fra : Kasper Dupont


Dato : 15-03-04 09:58

Martin Schultz wrote:
>
> Delvist. Se http://www.cybercity.dk/privat/produkter/sikkerhed/

Det lyder ikke særligt overbevisende.

- virusscanning af emails
Fint, det er da en start.

- virusscanning af hjemmesider
Det lyder lidt underligt, hvad dækker det helt
præcist over? Og hvilke problemer fører det med sig?

- beskyttelse mod hackerangreb
Ligger der andet i det end blot et pakkefilter i en
router? Jeg tvivler.

Det var tilsyneladende det hele. Ingen sikring af
computerens opsætning eller installering af
sikkerhedsopdateringer.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Christian E. Lysel (15-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 15-03-04 10:43

In article <40557018.DEB05283@daimi.au.dk>, Kasper Dupont wrote:
> - virusscanning af emails
> Fint, det er da en start.
>
> - virusscanning af hjemmesider
> Det lyder lidt underligt, hvad dækker det helt
> præcist over? Og hvilke problemer fører det med sig?

TrendMicro VirusWall, som er en SMTP/HTTP/FTP (og
i nyere versioner POP3) virus scanner. Dette
er så installeret på nogle FreeBSD maskiner.

> - beskyttelse mod hackerangreb
> Ligger der andet i det end blot et pakkefilter i en
> router? Jeg tvivler.

Jeg gætter på det er et pakkefilter evt. kombineret
med lidt adresse oversættelse.

> Det var tilsyneladende det hele. Ingen sikring af
> computerens opsætning eller installering af
> sikkerhedsopdateringer.

Det er nok rigtigt.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste