Det der virker for mig som beskytter min computer imod alle de farer som findes på nettet.
Hedder KIS 2010 som jeg næsten kender i alle detaljer,så jeg næsten altid ved hvordan jeg skal forholde hvis programmet popper op og spørger mig hvilken handling jeg vil udføre afhængig af begivenheden som indtræffer.
Så har jeg Vinket flueben af i aktiver hændelses beskeder,hvor det eneste som ikke er vinket af er forældre kontrol.
Så jeg ved næsten hele tiden hvad der foregår på min computer eller omkring den.
Jeg har også Superantispy pro på min computer,men har valgt at deaktivere programmets her og nu beskyttelse,
så den kun bliver brugt som on demand scanner.
Dernæst sørger jeg altid for at mine styresystemer altid holdes opdateret, med de seneste opdateringer fra Microsoft.
Så jeg på den måde sørger for at sikkerhedshuller som bliver fundet i styresytemet ikke kan udnyttes af folk med skumle hensigter.
Altid at holde mine tredje parts programmer opdateret,med de seneste program versioner.Så jeg altid har de seneste version af de programmer,som bliver brugt her på mine computere.
Alle installations filer til programmer jeg bruger eller skal bruge bliver altid scannet inden de bliver kørt.
Jeg opdaterer KIS 2010 med de seneste definitionsfiler.
Jeg opdaterer altid MBAM med de nyeste data base informationer.
Jeg opdaterer altid Min version af Superantispyware pro inden jeg scanner en fil igennem.
Dernæst lukker jeg aldrig emails op hvis det ikke er en afsender jeg kender,men sletter dem.
Hvis jeg får en email med en vedhæftet fil fra en person jeg kender,spørger jeg vedkommende om han eller hun har sendt en fil med vedhæng.Hvis ikke så ryger den ud,hvis ja så åbner jeg den.
Sådan regner jeg også med at jeg vil gøre i fremtiden,så den frygter jeg ikke.
Jeg forstår alt hvad du her siger og det er også rigtigt i teorien.
Min holdning har tidligere været sådan. Jeg har så bare fundet ud af, at det ikke er praktisk muligt.
Når du installerer Windows, har den første account altid lokal administrator rettigheder. Det alene gør, at “principle of least privilege” er gået i glemmebogen og således blevet en tabt sag desværre.
Det skulle Microsoft havde gjort automatisk ved udgivelsen af Windows 7, men her vandt fleksebiliten og brugervenligheden igen, på bekostning af et hærdet OS.
Jeg vil ikke sige, at “principle of least privilege” er gået i glemmebogen. Rigtig mange Windowsbrugere ved ikke, at der findes/de burde have flere forskellige konti. At den første konto har administratorrettigheder er også ret uheldigt. Af samme årsag burde man også gøre mere for at uddanne brugerne. Jeg kan godt mistænke Microsoft for ikke at udvikle en ordentlig model, fordi det er et levn fra Windows 95/98. Og “principle of least privilege” er ikke noget nyt.
jravn - 19.03.2010 22:16:18
Du nævner så lockdown af features og services(http://www.blackviper.com). Du forventer ikke seriøst, at almindelige brugere skal tweake og forstå disse tiltag.
Hvis man i de forskellige råd om sikkerhed anbefaler folk at installere en firewall, anti-programmer, sikkerhedspakker, så jo. Jeg savner måske, at i stedet for at lægge al energi i at lave flotte manualer om den sidste nye super-anti-spyware-virus-malware-terminator-firewall-sikkerhedspakke, at man brugte lidt energi på at fortælle lidt om, hvordan systemet fungerer. Det er også en forudsætning for at kunne anvende den slags programmer korrekt. Jeg savner også, at man ikke gør mere ud af at fortælle folk, hvad deres programmer ikke kan og hvordan de kan snyde brugeren.
Som jeg skrev om Hijackthis. Et program brugeren aktiverer, klikker test og gem logfil, sender til spywarefri. Hvor meget mere katastrofalt kan det blive?
jravn - 19.03.2010 22:16:18
Jeg er i pricippet enig med dig. Jeg har også altid gået ind for simple og effektive sikkerhedstiltag.
Der er fejl i alle software produkter. Men det der er vigtigt at skelne imellem er om disse fejl udnyttes på nettet inden der kommer fejlrettelser.
Noget tyder på, at det sker oftere for visse producenter. Har man nogen viden om, hvordan de forskellige sikkerhedsudviklere gennemlæser og tester deres kode?
jravn - 19.03.2010 22:16:18
Så en forenkelt konklusionen må være, at hvis brugerne ikke kører som “standard bruger” eller hærder deres OS (tweaks/services), ja så kommer der logisk nok behov for andre sikkerhedsløsninger/produkter,som vi kender det i dag.
/Jesper
Teknologiske løsninger vil altid tabe kampen. Og det vil især tabe kampen, hvis det skal rette op på adfærdsmæssige problemer. Hvad nytter det, at du har et award winning antivirus-program, der kan genkende 999 ud af 1000 virusser, hvis den sidste virus ødelægger dit antivirus-program så det ikke er i stand til at genkende de 999 virusser?
Hvad angår teknologiske løsninger så findes der i dag mange produkter, der giver dig en effektiv beskyttelse. Jeg har også tidligere sagt, at personlige firewall’s var noget der skulle forbydes ved lov. Men hvis de kan være med til at forhindre drive-by angreb, så er det helt fint med mig.
Den der med ikke at have behov for en personlig firewall, er jeg ikke helt med på havd du sigter til. Af hvilken grund/årsag skulle man ikke have brug for den?
Er det fordi du mener windows egen er nok og god nok?
At en firewall “taler” ja gudskelov for det, hvad skal man med en vagthund der ikke gø`r og advarer?! Og alt andet lige skærper det opmærksomheden.
Omkring en, dedikeret computer, kan jeg helt følge dig. Det har altid været god latin at sprede sine investeringer. Skulle noget gå galt, mister man ikke det hele.
Og de der har samlet “hele deres liv”, som Jravn var inde på tidligere, på en pc, lever et risikofyldt computerliv.
Du skriver også noget om, at deaktivere visse tjenester man ikke har brug for. Noget jeg selv har “leget” lidt med, for at minimere en risiko, f.eks. tjenesten at dele filer på et netværk, tjenesten fjernskrivebord m.fl. Det synes jeg lyder logisk og rigtigt.
Og jeg er fundamentalt enig i, så langt det er muligt, at gøre tingene enkle, simple, og/men effektive.
Jeg vil så foretrække at afvikle tvivlsomme programmer i en virtuel maskine. Og hvis ikke det er nok, vil jeg bruge en dedikeret computer. Altså en computer, der ikke bruges til håndtering af personfølsomme data. Betaling, bankoverførsel etc. Skulle der komme virus eller noget andet, kan man nemt formatere og geninstallere.
Fuldstændig enig. Det er da også netop sådan, jeg selv gør. Jeg bruger både en dedikeret computer og en virtuel maskine.
NB! Af bekvemmelighedsgrunde erklærede jeg mig enig i det hele, men for en ordens skyld må jeg hellere påpege, at jeg er uenig i dette:
en virtuel maskine. Og hvis ikke det er nok
For en virtuel maskine kan aldrig være nok. Heller ikke en virtuel maskine beskytter 100 % - så jeg vil meget kraftigt fraråde, at man sidder og leger med malware på en personfølsom pc.
Der er ingen tvivl om, at Microsoft har en del af ansvaret eftersom de udvikler styresystemet. Så burde nogen tage fat i dem og holde dem ansvarlig.
Som jeg skrev, virker det til at være et levn fra dos/3.11/95-tiden, hvor der slet ikke var nogen brugermodel. Nu forsøger de med noget der ligner en brugermodel, men at slutbrugerne stadig skal føle at de sidder med Windows 95, hvor man bare trykkede på knappen og havde et skrivebord.
I øvrigt, den sidste version af Windows, jeg brugte, var 2000. Kun meget overfaldisk har jeg brugt XP. Win 7 fik jeg kort “prøvet” for ikke så længe siden. Jeg var ikke specielt imponeret.
Så jeg er ikke helt inde i Windows.
jravn - 21.03.2010 15:03:05
Hvad angår teknologiske løsninger så findes der i dag mange produkter, der giver dig en effektiv beskyttelse. Jeg har også tidligere sagt, at personlige firewall’s var noget der skulle forbydes ved lov. Men hvis de kan være med til at forhindre drive-by angreb, så er det helt fint med mig.
Jeg har heller ikke noget imod værktøjer, hvis de bruges rigtig. Men hvad angår av/firewall, så hænger det jo sammen med sikkerhedsmodellen. Det nytter jo ikke noget, at ens av-program eller firewall startes som normal bruger, hvis et ondt program har flere rettigheder end det program, der skal beskytte mod det.
Men hvad angår av/firewall, så hænger det jo sammen med sikkerhedsmodellen. Det nytter jo ikke noget, at ens av-program eller firewall startes som normal bruger, hvis et ondt program har flere rettigheder end det program, der skal beskytte mod det.
På Vista og Win 7 burde rettighederne vel være de samme, hvilket i sig selv er problematisk nok.
Sjovt nok, så tror mange at sikkerhedsprogrammerne kører som administrator, fordi man installerer den med administrator rettigheder, men det gør de faktisk ikke. Det er kun installationsfilen der får rettigheden, så filer kan installeres, men selv afviklingen af programmet er som almindelig bruger. Så i princippet burde et antivirusprogram ikke kunne slette et program der kører som admin. Skulle et ondsindet program derfor via et sikkerhedshul have tiltvunget sig admin rettigheder, burde antivirus derfor ikke kunne slette det. Jeg har ikke set det være et problem endnu, men det burde teoretisk kunne opstå.
Den der med ikke at have behov for en personlig firewall, er jeg ikke helt med på havd du sigter til. Af hvilken grund/årsag skulle man ikke have brug for den?
Er det fordi du mener windows egen er nok og god nok?
Hvis man spørger de fleste folk, hvorfor de mener at have behov for en firewall, vil de svare: fordi det siger min fætter, som har forstand på computere, eller det har de sagt i tv, på en hjemmeside eller noget helt andet. Jeg har aldrig hørt en begrundelse og slet ikke en, der var teknisk korrekt. Der kommer lidt analogier til biler, at løse sin hoveddør, dørmænd og den slags. Det er bare blevet til en skrue uden ende.
vaf - 21.03.2010 23:34:30
At en firewall “taler” ja gudskelov for det, hvad skal man med en vagthund der ikke gø`r og advarer?! Og alt andet lige skærper det opmærksomheden.
Firewallindustrien minder lidt om TV-shop. Vi manger bare lidt synkroniseret reklame for dem.
Hvis man spørger de fleste folk, hvorfor de mener at have behov for en firewall, vil de svare: fordi det siger min fætter, som har forstand på computere, eller det har de sagt i tv, på en hjemmeside eller noget helt andet. Jeg har aldrig hørt en begrundelse og slet ikke en, der var teknisk korrekt. Der kommer lidt analogier til biler, at løse sin hoveddør, dørmænd og den slags. Det er bare blevet til en skrue uden ende.
Det er en gammel opfattelse, at en firewall skal holde hackere fra at bryde ind igennem portene. I dag er formålet et helt andet, nemlig at forhindre dem i at komme ud. Det gør man ved en effektiv udgående filtrering, og HIPS, som også kan forhindre at ondsindede programmer overhovedet kan installere sig. DET er formålet med en firewall i dag, og den er uhyre vigtigt. I mine øjne faktisk langt vigtigere end et antivirus.
Indgående filtrering er i princippet, stort set underordnet for den almindelige hjemmebruger. Ikke at jeg vil anbefale nogen at gøre det, men jeg påstå at jeg kan lukke fuldstændig for indgående filtrering, og der vil sandsynligvis ikke ske noget som helst ved det. Skulle der ske noget, vil mit HIPS højst sandsynlig fange det.
Men jeg vil da anbefale at man har indgående filtrering, men det er altså ikke det mest kritiske i dag.
Men hvad angår av/firewall, så hænger det jo sammen med sikkerhedsmodellen. Det nytter jo ikke noget, at ens av-program eller firewall startes som normal bruger, hvis et ondt program har flere rettigheder end det program, der skal beskytte mod det.
På Vista og Win 7 burde rettighederne vel være de samme, hvilket i sig selv er problematisk nok.
Sjovt nok, så tror mange at sikkerhedsprogrammerne kører som administrator, fordi man installerer den med administrator rettigheder, men det gør de faktisk ikke. Det er kun installationsfilen der får rettigheden, så filer kan installeres, men selv afviklingen af programmet er som almindelig bruger. Så i princippet burde et antivirusprogram ikke kunne slette et program der kører som admin. Skulle et ondsindet program derfor via et sikkerhedshul have tiltvunget sig admin rettigheder, burde antivirus derfor ikke kunne slette det. Jeg har ikke set det være et problem endnu, men det burde teoretisk kunne opstå.
Jeg er ikke helt sikkert på, jeg forstår, hvad du mener.
Hvis du siger, at din fw/av-sevice kan startes og stoppes af en normal bruger, er det da også forkert.
Det er muligt, at det er The Windows model, men det er da ikke The UNIX model.
Jeg kan lige se koden i en trojaner.
porn.exe
if normal_bruger
do luk_firewall_av_osv && start server && send_money
else
luk_firewall_av_osv && start server && send_money
Hvis man spørger de fleste folk, hvorfor de mener at have behov for en firewall, vil de svare: fordi det siger min fætter, som har forstand på computere, eller det har de sagt i tv, på en hjemmeside eller noget helt andet. Jeg har aldrig hørt en begrundelse og slet ikke en, der var teknisk korrekt. Der kommer lidt analogier til biler, at løse sin hoveddør, dørmænd og den slags. Det er bare blevet til en skrue uden ende.
Det er en gammel opfattelse, at en firewall skal holde hackere fra at bryde ind igennem portene. I dag er formålet et helt andet, nemlig at forhindre dem i at komme ud. Det gør man ved en effektiv udgående filtrering, og HIPS, som også kan forhindre at ondsindede programmer overhovedet kan installere sig. DET er formålet med en firewall i dag, og den er uhyre vigtigt. I mine øjne faktisk langt vigtigere end et antivirus.
Indgående filtrering er i princippet, stort set underordnet for den almindelige hjemmebruger. Ikke at jeg vil anbefale nogen at gøre det, men jeg påstå at jeg kan lukke fuldstændig for indgående filtrering, og der vil sandsynligvis ikke ske noget som helst ved det. Skulle der ske noget, vil mit HIPS højst sandsynlig fange det.
Men jeg vil da anbefale at man har indgående filtrering, men det er altså ikke det mest kritiske i dag.
Jeg har lige et spørgsmål, som også har noget at gøre med det andet svar, jeg gav dig.
Når du eller I andre sidder ved computeren og firewallen popper frem og spørger, om et program må gå på nettet, om det er skadeligt eller ej, er lige meget, kan I så bare klikke ja eller nej?
]
Jeg er ikke helt sikkert på, jeg forstår, hvad du mener.
Hvis du siger, at din fw/av-sevice kan startes og stoppes af en normal bruger, er det da også forkert.
Det er muligt, at det er The Windows model, men det er da ikke The UNIX model.
Jeg kan lige se koden i en trojaner.
porn.exe
if normal_bruger
do luk_firewall_av_osv && start server && send_money
else
luk_firewall_av_osv && start server && send_money
Spørgsmålet er så om jeg selv forstår det
Service og driver install kræver selvfølgelig admin rettigheder, men selve user delen af firewallen kan angribes, f,eks af lignende kode som du viser. Hvis malwaren ikke har admin rettigheder, vil egenbeskyttelsen i servicen selvfølgelig genstarte den. Men HVIS malwaren skulle tiltvinge sig admin rettigheder med egen service og driver, ja så står de to lige, og så er det hvem der er stærkest.
]
Jeg er ikke helt sikkert på, jeg forstår, hvad du mener.
Hvis du siger, at din fw/av-sevice kan startes og stoppes af en normal bruger, er det da også forkert.
Det er muligt, at det er The Windows model, men det er da ikke The UNIX model.
Jeg kan lige se koden i en trojaner.
porn.exe
if normal_bruger
do luk_firewall_av_osv && start server && send_money
else
luk_firewall_av_osv && start server && send_money
Spørgsmålet er så om jeg selv forstår det
Service og driver install kræver selvfølgelig admin rettigheder, men selve user delen af firewallen kan angribes, f,eks af lignende kode som du viser. Hvis malwaren ikke har admin rettigheder, vil egenbeskyttelsen i servicen selvfølgelig genstarte den. Men HVIS malwaren skulle tiltvinge sig admin rettigheder med egen service og driver, ja så står de to lige, og så er det hvem der er stærkest.
Jeg er lidt forvirret.
Hvis vi ser bort fra hele installationsprocessen og kun ser på brugen af firewallen så:
- kan jeg enten være logget ind som root (administrator)
eller
- martin
Som root kan jeg stoppe og starte firewallen, omkonfigurere den, ændre i systemet. Som martin får jeg denne besked, hvis jeg prøver at stoppe min firewall (pf):
$ /etc/init.d/pf stop
* pf: superuser access required
Hvis jeg nu har hentet et skadeligt program, der forsøger at lukke ned for pf eller ændre i konfigurationen, og eksekverer det med min normale bruger, så kan det ikke lade sig gøre (vi ser bort fra sikkerhedshuller ol):
$ ~/porn.sh
* pf: superuser access required
Hvis jeg omvendt er logget ind som root (eller giver martin superbrugerrettigheder) så kan det skadelige program lukke ned for min firewall fordi jeg har eksekveret det med administratorrettigheder.
Sådan skal det også være i Windows. En normal bruger må ikke kunne starte eller stoppe din firewall.
Altså, du tænder for din computer, skriver dit brugernavn og password (som ikke har administratorrettigheder). Når din firewall så spørger dig, om du vil tillade adgang til et program, der vil på nettet, må du ikke kunne klikke ja eller nej (du må heller ikke kunne ændre i firewallens opsætning). Du skal på en eller anden måde indtaste koden til din administrator-konto. Hvis du ikke behøver det, betyder det, at eventuel skadelige kode, som du kommer til at afvikle, har de samme muligheder for at tillade adgang som du selv har.
Hvis jeg forstår det rigtigt, så er de nede i den del af kernen som antiprogrammerne ikke kan beskytte, og som ikke en gang superadmin kan komme til. Det vil betyde at rensning er helt og aldeles umulig
