inzyr

...

Også hvis noen har en oversikt over hvor man kan koble seg opp via trådløst internet i de forskjellige plassene i norge gratis så hadde det også vært utrolig kjekt =)

Nå vet jeg ikke om det var noe slikt du så etter men et fint sted folk kan finne og legge til åpne trådløse nettverk i Norge er http://no.freewlan.org/ det eneste som mangler her er et kart av noe slag hvor de forskjellige sidene nettverkene er listet.

Alternativt finnes jo også http://www.sharemywifi.com/ men denne tar for seg hele verden og har relativt få trådløse nettverk fra Norge. Til gjengjeld har denne tjenesten et kart og et fint konsept som jeg håper blir tatt i bruk av andre sider som lister trådløse nettverk, nemlig "Ønsket Trådløst Nettverk" listen. Denne listen tillater folk å sette opp ønsker for trådløse nettverk i et område i håp om at noen med et lukket nettverk i det området ser ønsket og åpner opp sitt nettverk.

Håper dette er til hjelp. Ønsker også å oppfordre alle til å hjelpe til med å holde slike lister oppdatert eller enda bedre åpne nettverket deres (for de av dere som har mulighet) da jeg er sikker på at mange ville verdsatt muligheten for internett mens de er ute og reiser.

Ønsker bare å legge litt til ang. sikkerheten på WPA og andre lignende systemer, med mindre du ikke har utrolig mektige fiender (og finnes det nesten ingen løsninger som gir god sikkerhet) som for en eller annen grunn finner ut at det å knekke WPA-nøkkelen din er et bedre valg for å få tak i informasjon enn andre mer utprøvde metoder, så er det lite å frykte når det kommer til sikkerheten på WPA beskyttede nettverk. Nå skal det sies at om du har informasjon som er kan være en fare for nasjonens sikkerhet eller for den saks skyld verdens sikkerhet så er det nok ikke en lur ide å basere seg på WPA, da burde en heller vurdere noen av de bedre VPN løsningene tilgjengelige i dag, men for de fleste er WPA sikkert nok. Grunnen til det er at WPA nøkkelen saltes med SSIDen på nettverket hvilket innebærer at et suksessfull angrep på ditt nettverk er bare virkende så lenge alle verdier forblir like. Skulle du bytte et tegn i nøkkelen eller SSIDen så må angriperen startet helt fra nytt av og hvis du i tillegg har en ganske lang nøkkel og SSID så vil det ta lang tid før angriperen kan kompromisser nettverket ditt. Videre så betyr dette at time-memory tradeoff metoder ikke kan brukes så et angrep på ditt nettverk vil bare være myntet på ditt nettverk og ubrukelig på andre nettverk med mindre de ikke kjører nøyaktig samme SSID og WPA-nøkkel. Derfor kan vi konkludere med at en angriper må ha tilgang til ressurser slik som maskinvare med god ytelse, være i området for å fange opp SSIDen du bruker (skjult SSID gjør det litt vanskeligere men ikke mye) og til sist så må vedkommende ha tid til å vente siden et slikt angrep vil ta tid. Dette er neppe noe verdt å gjøre med mindre ikke viktig informasjon kan hentes ut (også må en huske at informasjonen må være gyldig på det tidspunktet en har greid å komme seg inn) og har angriperen slike ressurser så har vedkommende nok andre ressurser også som gjør at informasjonen kan hentes ut på andre mindre tidskrevende metoder. Skulle i tillegg eieren av nettverket være av den typen som endrer nettverksnøkkelen eller SSIDen ofte så vil angriperen ha en enda større utfordring foran seg. Nå sier jeg ikke at WPA er veldig sikker, men sikker nok for de fleste om visse forhåndsregler tas, slik som lang SSID og WPA-nøkkel, regelmessig endring av nøkkelen eller SSIDen og til sist (og dette er kanskje den vanligste feilen som gjøres i dag) er det viktig å huske å endre nøkkelen og SSIDen som kommer ferdig konfigurert med visse enheter, selv om de skulle være unike for vær enhet så er algoritmen brukt for å generere dem som oftest kjent noe som gjør jobben til en angriper mye lettere og øker sannsynligheten for et suksessfullt angrep betydelig (i visse tilfeller kan en angriper "gjette" seg fram til bare ca 100 sannsynlig nøkler og det er fort gjort å finne ut hvilken av dem er riktig). Selv bruker jeg WPA og VPN over det trådløse nettverket hjemme

Når det gjelder online vs offline angrep så har Lanbein rett, online angrep er både lettere å oppdage og lettere å stoppe, men dette innebærer ikke at offline angrep da ikke har begrensinger også, det hele kommer an på hvordan sikkerheten er implementert, key strengthening som vi kan finne brukt både i implementeringen av kryptering i RAR filer og i 7z filer forhindrer at hastigheten blir for høy under brute force angrep. Det er slike ting som gjør sikkerheten bedre i RAR og 7z enn i andre lignende formater. Istedenfor å forklare mer om key strengthening så kan en lese en enkel forklaring her http://en.wikipedia.org/wiki/Key_strengthening

Sist når det gjelder å "knekke" en enveis-sjekksum slik som MD5 eller lignende så fungerer det på den måten at du genererer alle mulige kombinasjoner av tall, tegn og små og store bokstaver i lengre og lengre lengder inntil du finner en kombinasjon som genererer nøyaktig samme sjekksum som den du har tilgjengelig, på den måten har du funnet tilbake til det som genererte den sjekksummen noe som da ikke egentlig ikke skal være meningen da enveis-sjekksum funksjoner brukes til å autentisere en person eller gjenstand. Men nå skal det sies at å bruke et program slik som det i artikkelen til å "knekke" en slik sjekksum ville vært dumt da det er bortkastet tid, tar lang tid selv ved bruk av GPU og du må startet på nytt hver gang. En bedre løsning er å bruke en time-memory tradeoff metode slik som en rainbow-tabell som da er en database med ferdig genererte kombinasjoner og de tilsvarende sjekksummene, da trenger du å bruke minimalt av datakraft for å finne fram til kombinasjonen som tilsvarer sjekksummen og har du sjekksummen i databasen tar det bare et par min før du finner hva den tilsvarer. Den eneste ulempen er at en slik database tar utrolig mye plass opptil flere terabytes selv om du ikke har alle mulige kombinasjoner (noe som er lite sannsynlig). Men om valget ligger mellom å vente en del før du finner sjekksummen, å måtte ha flere GPUer som må samkjøres samtidig som du må starte fra nytt for hver sjekksum eller å bare ha en database som kan brukes av en eller flere PCer samtidig, gir svar ganske så fort uansett hvor mange sjekksummer du prøver deg på, men krever at du har mye tilgjengelig plass så tror jeg svaret er enkelt Den beste løsningen blir jo da å bruke programmet i artikkelen til å generere en slik database da det vanligvis tar lang tid å generere noe slikt, men der igjen kan slike databaser kjøpes eller lastes ned noe som er enda raskere så det spørs om ikke det også er litt bortkastet. Videre så kan nesten alle enveis-sjekksummer saltes og da kan ikke denne metoden brukes lenger, da kommer du i en lignende situasjon som den som for tiden er med WPA.

Sist vil jeg legge til at jeg er klar over at jeg har forenklet visse ting men det er fordi jeg prøvde å begrense lengden av denne posten, om du merker dette så burde du forstå at denne posten ikke er myntet på deg Videre så tar jeg gjerne i mot alt tilbakemelding om noe her er feil, forhåpentligvis er jeg ikke helt på jorde nå men mye du vet aldri, ting forandrer seg så fort i dataverden.

En sikker løsning som også er relativt lett å bruke (men kostbar) ville være å sende dataen over 2 uavhengige nett, slik at det blir vanskeligere å få tak i nettbank-kodene og å koble den opp mot kunden. Ved f.eks. å ha en kodebrikken som ikke viser kodene til kunden men istedenfor når den aktiveres så sender den kodene over GSM nettverket til banken mens kunden vil da bare ha behov for å skrive in passord og brukernavn for å logge inn. På denne måten så vil kunden bare kunne logge seg inn mens kodebrikken er aktiv og videre så slipper kunden å hele tiden bruke kodebrikken for å signere, det gjøres automatisk. Dette kan ikke bli fanget opp da selv om passordet og brukernavnet er fanget opp av en svindler så vil ikke svindleren kunne gjøre noe som helst så lenge kodebrikken er deaktivert (og det er bare kunden som vet når kodebrikken er aktivert). Om dette ble til en standard så kunne jo noe slikt integreres i mobiltelefonene. Ellers er det mye billigere (og sikrere enn BankID) å bare basere seg på en challenge-respond løsning, selv om det vil være mer til besvær for kunden enn det BankID er i dag.

Så... Helt "cleartext":

 

Du vil ha en graf med en eller annen funksjon på når ca. du sovnet, og når du våknet... (Muligens om du våknet opp innimellom der også)

Ja noe slikt, blir lignende en cosinus graf, hvor start toppen er det øyeblikket du la deg, hver topp i grafen etter det er da du var i REM søvn og så er siste top det øyeblikket du våknet.

Gleder meg til versjonen som kommer neste millenium, har du gjort noe progress på den eller tidlige screenshots?

Ser ut som om HDSoftware har forstått det og kom med et godt forslag og. Brukeren må selv legge inn tidspunktene han eller henne var i REM søvn, akkurat som tidspunktet man sovnet og tidspunktet man våknet. Videre så trenger du ikke koble hodet til en maskin, du trenger bare ha noe som måler fra avstand. Igjen så blir dette for spesielt interesserte og jeg kan forstå om det ikke blir implementert av den grunn, men hadde forsatt vært morsomt å ha denne funksjonen for de som vil komme litt dypere inn på drømmer.

Det jeg tenkte på var å kunne legge inn ca tidspunktet du sovnet, tidspunktet du stod opp og i mellom dem alle tidspunktene du var i REM. Så kunne du bruke en funksjon i mellom hvert punkt for å skape en graf på søvnrytmen den natta, noe lignende dette bare uten å måtte forminske grafen utover natta da du ikke har data på dette (du kunne så klart ha prøvd å regnet deg ut til dette og ved å se på hyppigheten av REM søvn mot slutten av natta da jo hyppigere det forekommer jo mindre tid har du for å komme ned til dyp søvn, men det blir litt for komplisert når vi skal prøve å holde det simpelt). Grafen vil ikke være nøyaktig og vil være for spesielt interesserte, men funksjonen kan brukes som en indikasjon på søvnrytmen og forhåpetligvis vise sammenhengen mellom søvnrytmen og drømmer.

Dette var supert, du implementerte 3 av de 4 forslagene jeg kom med (og jeg har forsatt et håp om at den siste kommer en gang i fremtiden), bedre enn mange betal-programmer. Har brukt dette programmet flittig og har også anbefalt det til mange, kanskje på tide det får sin egen hjemmeside. Forsett med det gode arbeidet.

Det hadde vært supert det Wubbable.

Du er god hvis du ser på klokka "NÅH går jeg i REM-søvn"

9292447[/snapback]

Nå er du litt fantasiløs Manfred Men jeg hadde vært veldig interessert i å se fine grafer av søvnrytmen og hvordan den forandres avhengig av stress på jobb eller tidspunktene man legger seg. Selv tror jeg den mest interessante tingen ville vært å se sammenhenger mellom søvnrytmen og de beste drømmene eller marerittene. Eller se sammenhengen mellom lucid drømmer og søvnrytmen, kanskje det også kan være til hjelp når folk ville lære seg å kontrollere drømmene, se en sammenheng med når de blir lucid og når de ikke blir det.

Synes dette er et interessant program men har et par forslag som jeg gjerne skulle sett implementert om du så hadde lyst.

1. Skulle gjerne sett at programmet husket siste størrelsen på programvinduet neste gang den startet. Det hadde også vært fint med en knapp som kunne re-sette størrelsen til den som er standard når programmet blir kjørt for første gang.

2. Så vidt jeg har forstått så brukes ikke programmet en SQL database, det hadde vært foretrukket om programmet kunne bruke SQLite som database format da dette tillater større databaser med god ytelse.

3. Jeg ville også likt å ha muligheten til å importere eller eksportere hele eller deler av databasen til et XML basert format. Dette så det skal bli lettere å ta meg seg informasjon ut fra DreamJournal.

4. Siste forslaget mitt og sannsynligvis også den største utfordringen, ville vært fint å ha muligheten å legge inn tidspunktene når personen var i REM søvn. Det personen ville trengt å skrive inn ville vært ca når han eller hun faktisk sovnet, når personen våknet og så alle de tidspunktene han eller hun var i REM søvn den natta i mellom de 2 tidspunktene. Deretter kunne personen få en fin graf på søvnrytmen sin basert på gjennomsnittlig tid det tar å gå til hvilken fase av søvnrytmen. Videre så kunne også gjennomsnittet den natta regnes ut slik at personen kan sammenligne den med andre netter. Dette ville vært veldig interessant da en kan lettere se hvordan søvnrytmen påvirker drømmene og på hvilken måte.

Ellers så virker programmet ganske så bra og er veldig nyttig for de av oss som er interessert i hva som forgår utenfor vår bevissthet.

Etter mye diskusjon rundt denne problemstillingen så har jeg funnet ut at veldig mye kommer til å bli annerledes i Vista, e.g. har jeg forstått det slik at i motsetning til andre Windows versjon så vil Administrator kontoen på pcen være mer privilegert enn systemet selv. Om dette viser seg å stemme så vil det tillatte for noen spesielle løsninger og samtidig med at jeg har lest veldig mye om hvor mange som faktisk greide med relativ enkelhet å komme seg rundt PatchGuard så er kanskje ikke dette problemet så stor som først antatt. Derfor har jeg bestemt meg for å ikke ta sorgen på forhånd og se hva som kommer ut av dette.

Det er da ingen som lanserer en prototype, bare fordi sikkerheten i HDDen dens var for svak betyr det ikke at de kan kalle dem prototyper og komme seg unna med det. Håper virkelig at de har fikset de forrige design feilene dens når det gjelder kryptering fordi om de ikke har det så kommer HDDen til å bare gi falsk sikkerhet. Så klart om HDDen kobles opp til en TPM brikke så vil dataen på HDDen virkelig være sikker, men få selskaper har TPM brikker i bærbare pcene dems, e.g. thinkpad er en av de bærbare med TPM brikke. Nå har jeg ikke fått sjansen til å studere TPM brikker så veldig nære, men tror ikke at det vil være veldig enkelt å ta ut en HDD som er kryptert og koblet opp til TPM fra en maskin til en annen. Og for å slippe negativ tilbakemelding fordi jeg ikke forklarte hva jeg mente med falsk sikkerhet, så skal jeg forklare det kort her. Det er mulig å få HDDen når den ikke er koblet opp mot TPM til å lage en derivativ nøkkel av krypteringsnøkkelen. Den derivativet nøkkelen er svak og kan brukes til å finne ut krypteringsnøkkelen. Skal ikke gå inn nærmere på dette, men det finnes informasjon om dette på nettet, er bare å søke på google. Det som jeg lurer litt på er om de har byttet merkenavnet, da jeg har alltid hørt "Trusted Drive" bli brukt om HDDen, men nå er "DriveTrust" brukt?

Dette var jo en veldig god nyhet. Å kunne slå av bestemte deler av sikkerhetssentralen er jo alltids fint om man vil kjøre en 3rd parts løsning, men det beste ved denne nyheten er at de skal forandre på måten PatchGuard kjører på. Forhåpentligvis vil det være mulig å tillate visse programmer til å få tilgang til kernelen, eller kanskje mulighet for å slå av PatchGuard helt (ikke anbefalt for folk som ikke vet hva de driver med). På denne måten kan en besteme selv hvordan en vil bli beskyttet.

Og jeg forstår meg ikke på alle som klager over dette, eller kommer til å kjøpe den Amerikanske version av Vista bare for å protestere. Det er ingen som er i mot forbedret sikkerhet i Vista (tror ikke Symantec er i mot det heller), men det de fleste som klager over sikkerheten i Vista er i mot nettopp at denne sikkerheten de tilbyr tar fra friheten til hvordan Vista kan brukes. For de fleste er nok dette noe som ikke berører dem, men for mer avanserte brukere så begrenses de med hva de kan gjøre. Derfor blir dette en ganske fin løsning nå, jeg er ikke sikker på hvilke endringer MS skal gjøre, men håper at de legger til friheten til for å velge om en vil bli beskyttet av MS eller om de vil ha full tilgang til systemet og beskytte seg selv (tror de fleste som har bruk for full tilgang kan det å beskytte seg selv). Dessuten så vil det være vanskligere for MS å missbruke sikkerhetstiltakene som DRM og lock-in.

Og ja jeg har kontroll over mye av kernelen på min XP installasjon i dag, mer en nok kontroll og den sikkerheten jeg har tror jeg er bedre enn hva Vista kan noen gang tilby meg ved å holde meg ute av kernelen. Om noen kan bevise meg feil så er det stor sjanse for at jeg bytter mening, men akkurat nå har jeg ikke hørt mye som argumenterer mot akkurat det jeg tar opp her.

7061924[/snapback]

 

Hva bruker du denne kontrollen til i dag? Personlig ser jeg ikke helt den store problemet med å hindre programmer å akksesere kjernen.

 

AtW

7062180[/snapback]

Dette var kanskje mest ment for å provosere meg da enkel logikk svarer på spørsmålet ditt (og at jeg skrev dette allerede i tråden jeg lagde her), men jeg har tenkt å gi etter for deg. Skal vi se hva jeg bruker denne kontrollen til.

1. Jeg har full kontroll over hva som skrives til registeret og hva som leses fra det, hvilken prosess har tilgang til registeret med skrive rettigheter, hvilken ikke har tilgang til registeret i det hele tatt (dette før de når registeret, ikke etter), etc...

2. Jeg har full kontroll over alle skrive og lese operasjoner til og fra HDD. Mye samme som med registeret.

3. Jeg ser og kontrollere hvilke prosesser har lov til å starte andre prosesser, innsprøyte filer i andre prosesser, lese eller skrive til andre programmers minne område, etc...

4. Få tilgang til filer som er låst av andre prosesser

Videre kan jeg lage en pseudo-sandboks ved å omdirigere skrive og lese operasjonene fra registeret til en fil på HDD, det samme gjelder skrive og lese operasjoner på HDD. Faktisk så kan jeg gjøre dette med alle lese og skrive operasjoner en prosess (og alle prosesser som blir startet av denne prosessen) gjør og på denne måte lages den pseudo-sandboksen uten ytelses tap for akkurat disse prosessene. Når jeg er ferdig er det bare å slette mappen hvor alle lese og skrive operasjoner ble omdirigert til og så ligger det ikke et eneste spor igjen på pcen min fra prosessen som ble kjørt. Det beste er jo at prosessene ikke er klare over dette, de tror forsatt at de skriver til registeret og Programfiler mappen (eller Windows mappene, etc...). På denne måten kan jeg egentlig installere et virus og ved å slette 1 mappe så har jeg slette hele viruset fra mitt system. Mer en dette har jeg ikke tid til å forklare, men det er egentlig for det meste alt logiske en tenker på som er mulig med kontroll over kernelen. Videre så slipper jeg å bry meg om ganske mange sikkerhetshull som blir rapporter, spesielt buffer-overflow, fordi de ikke kan misbrukes med mindre ikke jeg tillater det. Nå vet jeg det finnes alternative metoder for å få til noen av disse tingene uten bruk av direkte tilgang til kernelen (det er også disse som blir mest brukt i dag da det er lettere enn å bruke kernelen) og jeg har diskutert noen av løsningene i min andre tråd, men du vil fort forstå at dette er ikke gode løsninger og har ganske store ulemper. Mener noen å si at den sikkerheten jeg får fra PatchGuard er bedre en det jeg har nå? Etter min mening er ikke restriksjoner løsningen, snarere er det en snarvei, den enkleste veien ut av problemene, en midlertidig løsning som gir en falsk følelse av trygghet, en løsning som bare oss forbrukere vil ende med å tape på.

Og Langbein er i samme tankegang som meg, tror mye er egentlig mer lock-in under forkledning som sikkerhetstiltak. Akkurat som i USA blir flere og flere friheter tatt bort fra mennesker med sikkerhet som unnskyldning. Det burde være andre måter å beskytte OSet på (dette har blitt bevist med andre OSer) enn restriksjoner og når et firma har nesten monopol på OS så burde de prøve å gjøre det som er i brukerens beste, nettopp beholde friheten til å bruke pcen. Forsetter dette på samme måte i fremtiden kommer pcen å slutte å være et verktøy og vil enda opp som et medium lik en interaktiv TV, du kjøper selve utstyret, men innholdet (inkludert reklamer) blir bestemt av leverandøren uten at du kan beste over dette mer en hva som er tillatt (den interaktive delen).

Jeg vil nå heller sammenligne det med å kjøpe en bil og så kreve full tilgang til hele datasystemet i bilen (alle biler har elektronisk datastyring i dag) slik at du kan fikle, justere og overvåke alt som skjer. M.a.o. du stoler ikke på jobben bilfabrikken har gjort med datasystemet.

 

Jeg synes det er flott at MS nå får skikkelig beskyttelse av kernel så ikke alle og hvermansen kan sitte og lage små kode snutter som sikkert kan være bra, men det finnes alikevel endel som ikke alltid har gode hensikter med det de lager.

 

Kjør WinXP eller Linux hvis du ikke liker det. Du er jo ikke nødt til å oppgradere.

7064279[/snapback]

Vel det er jo nettopp det mange bil entusiaster gjør, får tilgang til systemet og konfigurerer det for bedre ytelse og i de tilfeller hvor det ikke er mulig å få tilgang til systemet så byttes systemet ut med et mer åpent system som tillater "tweaking". Dette er ikke mulig å bytte kernel i Windows så det blir ikke helt den samme tingen her. Når det gjelder å bare forsette å bruke Windows XP eller Linux så kan jeg fortelle deg at at jeg bruker Linux allerede og kommer sikkert til å bruke XP en stund videre også, men på grunn av omstendighetene så kommer jeg mest sannsynlig også til å være en av de første med Vista. Hadde alle bare byttet til Linux så ville mitt liv vært mye enklere, men dessverre så lenge Windows dominerer og Vista kommer til å ta over for XP så er jeg nødt til å måtte migrere over til Vista også enten jeg liker det eller ei (ikke alle som har et enkelt liv hvor de bare kan gjøre slik som de vil). Synes denne kommentaren din var litt tullete og useriøs da å holde seg til en plattform som har sine dager talte ikke er en løsning, det er å ignorere problemene.

Det var jo forventet, PatchGuard gir bare en falsk sikkerhetsfølelse og begrenser friheten og kontrollen til brukeren. De snille menneskene vil ikke kunne komme rundt den, mens de slemme vil. Nå har jeg egentlig ikke så mye erfaring med PatchGuard på Vista men diskuterte dette litt nærmere her. For min del så kan aldri PatchGuard erstatte den sikkerheten jeg har når jeg selv har kontroll over alt som skjer i kernelen.

7060481[/snapback]

 

Har du kontroll over alt som skjer i kjernen i windows i dag? Og hvorfor vil ikke de snille komme seg rundt dette om de slemme vil?

 

Ellers synes jeg det er litt tidlig å rope "falsk sikkerhet" bare fordi en tilfeldig fyr sier "patchguard kommer til å bli knekt".

 

AtW

7060601[/snapback]

Når det gjelder de "snille" firmaene så vil ikke de med respekt for seg selv bruke metoder for å komme rundt PatchGuard da MS kan når som helst tette at hullet og alt arbeidet de har lagt inn vil da være kastet bort. Dessuten så vil mange anse disse metodene som "hackish" og ikke stabile eller troverdige løsninger, derfor vil de unngå alt som ikke er en offisiell MS løsning på problemet.

Og ja jeg har kontroll over mye av kernelen på min XP installasjon i dag, mer en nok kontroll og den sikkerheten jeg har tror jeg er bedre enn hva Vista kan noen gang tilby meg ved å holde meg ute av kernelen. Om noen kan bevise meg feil så er det stor sjanse for at jeg bytter mening, men akkurat nå har jeg ikke hørt mye som argumenterer mot akkurat det jeg tar opp her.

Post #2

7011247[/snapback]

Jeg er enig med deg på noen punkter, men du har noen argumenter som jeg ikke helt kan se. Ja, jeg forstår veldig godt argumentet med rotverktøy og å stoppe en større spredningen av dette, men det er jo nettopp dette antivirus skal gjøre, å filtrere skadelige filer fra nyttige filer. Dette på en måte som ikke begrenser brukerens frihet og kontroll. Det blir som det var på flyplassen, vanligvis blir alle mobiltelefoner, mp3-spillere, etc... skannet for at ingen skal kunne gjemme noe ulovlig i dem og ta det med ombord i flyet, men nå plutselig skulle det ikke være lov å ta meg enkel elektronikk ombord i flyene av fare for å bruke dem som detonatorer. Sikkerheten blir minimalt bedre da detonatorer kan smugles inn på så mange måter, men friheten er fjernet og folk føler et viss ubehag under turen (ingen musikk, spill, etc...).

Det du gjør med PatchGuard er å overlate kontrollen over hva som skjer i OS til MS, nå hvis vi ikke skal gå innpå at MS ikke er mest kjent for sitt brukervennlige strategi (tenk WGA), så vet vi at PatchGuard aldri kan erstatte et menneske. Jeg stoler mye mer på at jeg selv vet hva som skal skje i kjernen og hva som ikke burde skje enn at PatchGuard skal blokkere alt tilgang forutom MS sin. Dette er ikke til brukerens beste, dette er den enkleste veie å gå for øke sikkerheten i Vista. Det eksisterer nok restriksjoner i dag, trenger ikke å ha OS mitt også restriktere at jeg ser og kontrollerer hva det gjør og ikke gjør. Jeg synes forsatt at mitt oppsett i XP gir meg mer sikkerhet en Vista noen gang vil og det er nettopp på grunn av kontroll av OS jeg har det. Når det gjelder drivere som forårsaker kjernefeil så forstår jeg dette argumentet, men det samme kan sies om mange programmer og er et problem du ikke kommer deg unna, selv med PatchGuard.

Antivirus er og mest sannsynlig alltid vil være en del av det du må ha i tillegg til et OS for å ha god nok sikkerhet. Nå er jeg ikke veldig begeistret for Symantec og McAfee da jeg mener at de lager bloatware og har selv erfart dette, men jeg forstår dem når det snakker om at tilgang til kjernen er blokkert. Argumentene der er de samme som jeg har snakket om i min første post så jeg skal ikke repetere meg her, men skal du kunne beskytte et OS så burde du kunne ha tilgang til alt som skjer på det. Når det gjelder sikkerhetssenteret i Vista, så er det ikke noe som interesserer meg mye og vet ikke så mye om dette, men igjen forstår jeg argumentene dems hvis MS sitt antivirus skal få tilgang, men ingen andres. Det blir som om du kjøper en Lexus og med den kan du kjøpe en radio. Kjøper du en radio fra Lexus så passer den fint inn i dashbordet og du får enkel og grei tilgang til den, men kjøper du en radio fra e.g. Panasonic så må denne installeres under sete til sjåføren og du må alltid bøye deg for å få tilgang til radioen. Hvem ville da folk flest ha kjøpt? Selv om Panasonic sin radio ville vært overlegen Lexus sin, så ville folk forsatt ha kjøpt Lexus sin. Så her igjen er jeg enig at om ikke andre antivirus selskaper får tilgang til sikkerhetssenteret så burde ikke MS sitt antivirus heller få tilgang, rett skal være rett. Når det gjelder de andre argumentene hvor Symantec, McAfee, etc... tar overbetalt og slikt så er jeg enig, selv om jeg håper på at Symantec får noe resultat i saken med MS her.

PatchGuard er ikke til brukerens beste, det er bare den enkleste vei for MS å gå for å øke sikkerheten (som bare økes minimalt) og det er en restriksjon som kommer mest sannsynlig til å bli misbrukt senere. Jeg vil heller ha min frihet en påtvunget sikkerhet.

Det var jo forventet, PatchGuard gir bare en falsk sikkerhetsfølelse og begrenser friheten og kontrollen til brukeren. De snille menneskene vil ikke kunne komme rundt den, mens de slemme vil. Nå har jeg egentlig ikke så mye erfaring med PatchGuard på Vista men diskuterte dette litt nærmere her. For min del så kan aldri PatchGuard erstatte den sikkerheten jeg har når jeg selv har kontroll over alt som skjer i kernelen.

Nå har jeg lest litt om Microsofts idé om å legge inn PatchGuard i Vista uten muligheten å slå den av og har begynt å lure litt på hvorfor ikke flere folk reagerer på dette. Nå vet jeg ikke om dette vil være slik når den endelige versjonen av Vista lanseres og for å være ærlig er jeg ikke sikker at jeg har forstått meg helt på PatchGuard, så vær så god og rett på meg om jeg har missforstått noe. Den eneste erfaringen jeg har med PatchGuard er den som er på Windows XP Pro 64bit og der har jeg av erfaring sett at PatchGuard hjelper med å holde gode mjukvarar uten, mens de som virkelig vil skape skade kommer seg inn uansett. Det finnes flere dokumenter som forklarer hvordan en kan slå av PatchGuard eksternt i XP64, noe som mange skadelige mjukvarar har benyttet seg av, mens de som lager respektfulle mjukvarar vegrer seg fra å bruke slike metoder for å få mjukvaran sin til å fungere. Nå så kan det sies at PatchGuard ble lagt til XP64 med en oppdatering, mens Vista har blitt bygget opp rundt selve PatchGuard som et sikkerhetstiltak og er sikkert mye vanskeligere å slå av.

Jeg forstår veldig godt at for folk flest er PatchGuard et godt sikkerhets tiltak som vil bedre sikkerheten generelt sett og det vil eliminere ting som rotverktøy, etc... Problemet ligger i om vi burde miste friheten bare for å få litt bedre sikkerhet? Nå er jeg ikke en gjennomsnittlig person, men jeg er en aktiv bruker av kernel drivere (kernel patching) og føler ikke for å måtte gi opp dette. Jeg bruker kernel drivere til mange ting slik som når kernelen spør om noe så svarer driveren de svarene jeg vil istedenfor det som faktisk er slik at jeg har full kontroll på hva kernelen vet og gjør. Videre kan jeg se alle skrive og lese operasjonene som skjer i registeret og kan blokkere eller tillate dem før de når registeret, det samme gjelder HDD skrive og lese operasjoner, tilgang til minne adresser, etc... Spesielt liker jeg å ha en sandboks kjørende som tillater meg å prøve ut filer uten å frykte at jeg kan bli smittet, det er bare å tilbakestille sandboksen. Dette og mange andre ting blir egentlig gjort gjennom kernel drivere. Mener faktisk også et av mjukvaran jeg bruker til å slette filer som er i bruk uten å måtte restarte pcen (heter Unlocker om jeg ikke tar feil) også bruker kernel drivere for å få gjort jobben sin. Nå vet jeg ikke om Microsoft vil tillate slike drivere å kjøre gjennom PatchGuard om de er sertifiserte, men tror nok at sertifiseringen kommer til å koste en del og betyr derfor slutten på gratis mjukvara som bruker slike metoder.

Sant nok finnes det andre metoder å få til akkurat den funksjonaliteten som jeg snakker om, e.g. kan sikkert det å emulere en hel pc (VMWare) brukes som sandboks, men det er mye vanskeligere å konfigurere, tar mer plass, har mye mindre ytelse og krever en egen lisens (om du da har tenkt å være lovlig). Ellers så kan det nevnes at å spørre registeret etter forandringer hvert sekund kan også brukes som en alternativ metode for å se lese eller skrive operasjoner til registeret og selv om dette er metoden de fleste mjukvarar bruker i dag så har denne metoden også ulemper slik som skaden kan allerede være gjort på det øyeblikket det tar å spørre etter forandringer, det bruker mye mer av prosessoren og kan skape korrupsjon om du prøver å stenge tilgang til en nøkkel mens et annet mjukvara prøver å skrive til det.

Det jeg prøver å si er at jeg nå har full kontroll over operativt systemet mitt, hva det gjør, hva det vet, hvordan forskjellige mjukvarar har lov til å behandle hverandre, etc... Dette gir meg en stor trygghet, jeg frykter som regel ikke sikkerhetshull fordi de fleste sider eller mjukvarar som prøver seg på dem blir logget og stoppet inntill jeg tillater dem å oppføre seg på en slik måte (gjelder ikke alle sikkerhetshull), det samme gjelder virus og spion mjukvarar. Slik jeg ser det er den beste sikkerheten en bruker som kjenner operativtsystemet sitt veldig godt, vet alt som foregår og kan kontrollere alt i det. Tror aldri Microsoft kunne erstatte den sikkerheten jeg har nå, selv om jeg skulle overgi all kontroll til dem, noe som er akkurat det jeg må gjøre med PatchGuard. Hva er deres meninger om dette?

Vel det finnes rykter slik som denne, men ingen vet noe sikkert på dette tidspunktet.

Men så må en også tenke på at i 64bit Vista vil nesten alle eldre mjukvarar og utstyr ikke fungere, spesielt siden 64bits versjonen vil være mer restriktert enn 32bits versjonen når det gjelder ting som tvunget sertifisering av drivere, etc...

Er man virkelig nødt til å ha en like gammel telefon som dette:

6837297[/snapback]

Jeg vil si det er en eldre Ericsson (før ekteskapet med Sony), men om noen kunne opplyse meg med riktig eller nærmere informasjon så ville jeg vært takknemlig.

*snip*

Nå sier han "routere med brannmur" ikke "thomson speedtouch med NAT". NAT oversettes ikke til brannmur i min ordbok, nærmeste du kommer er IP-maskering.

 

Edit:

Og dette er vel heller ikke begrenset til visse porter:

Brannmur i router osv. stopper bare visse porter

6512142[/snapback]

Må si at det kan hende det var jeg som missforstod, når vedkommende sa "Brannmur i router osv. stopper bare visse porter, og er veldig enkel å komme forbi for de som ønsker det" så tenkte jeg på vanlige routere. Dette er fordi måten utsagnet var formulert på så virket det slik som om det var dette vedkommende siktet til. For det første så passer ikke utsagnet til hardware brannmurer da de fleste er bedre enn vanlige software brannmurer (selv om dette kan debatteres), for det andre så sa han at de bare beskytter visse porter, noe som ikke stemmer med hardware brannmurer (ingen ville kjøpe en hardware brannmur som bare beskytter deg på visse porter når du kan få en som beskytter deg på alle porter), men det stemmer med visse routere som har filtrering på portene 1-1024, og det er disse jeg tenkte vedkommende siktet til. Derfor tenkte jeg mer på at det var routere med NAT og SPI vedkommende snakket om. Videre så er jeg enig at en router med NAT ikke er en brannmur, men en vanlig router med IP-maskering (forutom SPI som så klart er brannmur funksjonalitet, men bare en liten del av det), desverre så er det mange som kaller det for brannmur.

Jeg tror nok ikke folk forstår seg nettopp på hvor mye bedre Rustock.A var laget i forhold til andre rotverktøy. Selv om mange rotverktøy er ganske enkle å fjerne om du har litt kunnskap så er denne mye vanskeligere. Altså det er forsatt mulig ved å starte opp fra et annet rent medium eller ta HDD til en annen maskin, men å gjøre det fra windows er for vanskelig med tilgjengelige verktøy i dag.

 

Rustock.A er en enkel kernel mode driver (jo enklere, desto mindre ledd å angripe den på) som legger seg in i ADS (Alternate Data Streams) på NTFS filsystemet. Den legger seg in i mappen system32 (noe få vet er at mapper også kan inneholde ADS informasjon). Svært få verktøy kan håndtere ADS informasjon idag og derfor er dette veldig effektivt, men i tillegg til dette bruker Rustock.A vanlige rotverktøy metoder for å gjemme seg, noe som gjør det extra vanskelig å finne og å fjerne den. Siden den også kjenner igjen de mest kjente anti-rotverktøyene på markede så kan den tilpasse seg for å unngå å bli funnet (så klart så har noen av anti-rotverktøyene blitt oppdatert slik at de unngås å bli oppdaget av Rustock.A). Som om det ikke er vanskelig nok å slette informasjon fra ADS med verktøy tilgjengelig i dag så er den er aktiv i de fleste windows sesjoner inkludert sikkerhets modus, så man kan ikke fjerne den der heller. Det letteste er nok å å starte opp en windows version fra cd og slette den der med et ADS verktøy eller bruke Windows Recovery Console (starte opp fra windows xp installasjon cden) eller ta HDD til en ren pc og slette ADS informasjonen mens du kjører et rent OS på den andre maskinen.

 

Men til slutt vil jeg legge til dette, det er mulig å fjerne denne rotverktøyen mens den kjører (uten å ty til de overnevnte metodene), men det er ikke tilgjengelig for allmenheten enda. Trolig vil det komme i form av oppdateringer til antiviruser som har egne anti-rotverktøy motorer (slik som F-secure, KAV 6, NOD32, BitDefender, etc...) om det kan stabiliseres nok.

6506554[/snapback]

 

Først sjekk ut http://www.symantec.com/security_response/...5747-99&tabid=2

 

Iht Symantec sin beskrivelse av hvordan verktøyet virker så lager den en service som kjører i tillegg som hooker seg på kernelnivå og filterer ut bl.a ZwEnumerateKey. Dvs hvis du åpner en registry-editor som benytter standard API-calls får du kun fram det kittet vil vise deg.

 

Jeg lurer på hvorfor du mener at dette virus også er aktiv i sikkerhetsmodus? Ingenting indikerer at den skal være det.

Det er kun en service som er oppstarten for kittet. Derfor er hovedmålet å fjerne servicen. At dette kittet benytter ADS er jo bare en alternative måte å gjemme filer. (Det er jo ikke rocket-science det her http://support.microsoft.com/kb/105763/) Siden kittet ikke hooker seg på filsystemet så kan man jo bare benytte LADS (http://www.heysoft.de/Frames/f_sw_la_en.htm). Da får du en fin liste over alle filer som måtte være der. Alternativ kan du sjekke denne http://www.codeproject.com/csharp/CsADSDetectorArticle.asp

 

Hvis dette kittet skulle vært det ultimate må den:

1. Være på drivernivå, dvs erstatte kbdclass.sys f.eks

2. Ha en service som kbdclass.sys sørget for alltid kjørte (uansett sikkerhetsmodus eller ei)

3. Servicen skal sette en hook på det meste av enum funksjoner for å skjule at den er der

4. Gjøre noe så genialt som Rustock.B å forandre tcpip.sys, wanarp.sys og ndis.sys slik at windows firewall (og andre) kan gå å legge seg

5. Når dette er på plass kan man sette inn de funksjonene man ønsker, ftp, smtp, disable virusprogram osv...

5. Her er noen som alle kits burde gjøre. Overvåke prosessor/minne-bruk slik at brukeren ikke mistenker at det er noe på maskinen. På den måten vil infeksjonen vare lenger.

 

I fremtiden tror jeg vi kommer til å se enda mer utspekulerte varianter.

6510913[/snapback]

Vel det virker som om vi snakker om den samme tingen her. Både når det gjelder kernel mode driveren og rotverktøy metodene for å gjemme seg. Når det gjelder ADS så er det nok med verktøy som takler dette, men det er forsatt veldig få i det store bildet og de er ikke kjente blant allmenn folk. Du må forstå at jeg tenker på et virus som bruker denne teknikken med e.g. et sikkerthetshull i windows til å ta over pcer i verden og bruke dem til å spamme. Det hjelper lite om du og jeg fjerner viruset fra ADS eller om det er 1000 forskjellig verktøy som kan fjerne informasjon fra ADS, men mindre et verktøy ikke blir kjent gjennom media, eller gjennom antivirus firmaene, eller at selve antivirus programmene kan både lese og skrive til ADS (ikke alle kan dette per dags dato), så vil du og jeg forsatt oppleve mye spamming fra alle som ikke vet at de har virus (pga. rotverktøy metodene for å gjemme seg) eller hvordan fjerne viruset fra ADS om de finner det. Den beste løsningen er å ha et verktøy some er tilgjengelig på de fleste pcer, noe alle har hørt om er antivirus, og derfor om antivirus kunne håndtere ADS på en god måte så ville jeg ikke kalt problemet med viruser i ADS et problem. Og jeg er enig, det er ikke noe som indikerer at Rustock.A er aktiv i sikkerhetsmodus, men slik jeg har forstått det så er den det. Videre har jeg forstått det slik at akkurat nå er det umulig å skrive over ADS eller slette den mens Rustock.A kjører, da den faktisk beskytter seg selv mot det. Jeg er også enig i at Rustock.B er mye bedre fra en virus skrivers perspektiv da den også forandrer tcpip.sys, wanarp.sys og ndis.sys slikt at brannmurer får problemer, men det finnes måter for brannmuerer til å beskytte seg mot det der også, det er andre teknikker som er bedre om du vil lure en brannmur.

Brannmur i router osv. stopper bare visse porter, og er veldig enkel å komme forbi for de som ønsker det.

6507074[/snapback]

Kan du forklare litt nærmare kvifor hardware baserte brannmurer er så dårlege.

6507392[/snapback]

Jeg lurer også på hva du mener med dette. HW brannmurer er da såvisst ikke begrenset til enkelte porter, så på hvilken måte mener du den bare stopper visse porter?

6507820[/snapback]

Som du ser så snakker de om brannmurer i routere, som i seg selv er ikke fullverdige brannmurer, men routere med NAT, og NAT er et system for å dele en ekstern ip addresse mellom mange pcer i et nettverk hvor hver pc bruker en intern ip address. Dette gir fordelen med at du ikke trenger en ip addresse for hver pc i verden (det er ikke nok IPv4 addresser for alle) og fordelen med at siden alle pcene virker som 1 på internet er det vanskeligere å angripe da du ikke vet hva som ligger bak ipen, hvilken maskin hvilken port går til, etc... Dette er da en forenklet version av hva NAT er. Desverre skaper også dette problemer med programmer som trenger åpne porter ut mot internet, men det har blitt så vanlig at folk har blitt flinke til å åpne porter og igjen skape sikkerhetsriskoer. Nyere routere har også SPI (Stateful Packet Inspection) som er en ekstra beskyttelse. Skal ikke bruke tid på å forklare det her da min post allerede begynner å bli lang, men dette er bare en enkel beskyttelses måte hvor routeren studere pakkene. NAT og SPI i en router pleier å være nok for vanlige allmenn folk som er flinke å oppdatere windows og kjører en eller annen form for antivirus eller outgående brannmur (da routere ikke kan kontrollere utgående tilkoblinger på program basis).

Ellers så kan jeg nevne at software brannmurer på vanlige pcer ikke kan måle seg med rene dedikerte hardware brannmurer (ihvertfall gode), fordi de bruker avanserte algorithmer og kjører dem på spesielle prosessor arkitekturer som er optimalisert for denne typen arbeid. Slike algorithmer på en vanlig pc ville ikke kunne ha kjørt i real-time og derfor vært ubrukelig.

Jeg tror nok ikke folk forstår seg nettopp på hvor mye bedre Rustock.A var laget i forhold til andre rotverktøy. Selv om mange rotverktøy er ganske enkle å fjerne om du har litt kunnskap så er denne mye vanskeligere. Altså det er forsatt mulig ved å starte opp fra et annet rent medium eller ta HDD til en annen maskin, men å gjøre det fra windows er for vanskelig med tilgjengelige verktøy i dag.

Rustock.A er en enkel kernel mode driver (jo enklere, desto mindre ledd å angripe den på) som legger seg in i ADS (Alternate Data Streams) på NTFS filsystemet. Den legger seg in i mappen system32 (noe få vet er at mapper også kan inneholde ADS informasjon). Svært få verktøy kan håndtere ADS informasjon idag og derfor er dette veldig effektivt, men i tillegg til dette bruker Rustock.A vanlige rotverktøy metoder for å gjemme seg, noe som gjør det extra vanskelig å finne og å fjerne den. Siden den også kjenner igjen de mest kjente anti-rotverktøyene på markede så kan den tilpasse seg for å unngå å bli funnet (så klart så har noen av anti-rotverktøyene blitt oppdatert slik at de unngås å bli oppdaget av Rustock.A). Som om det ikke er vanskelig nok å slette informasjon fra ADS med verktøy tilgjengelig i dag så er den er aktiv i de fleste windows sesjoner inkludert sikkerhets modus, så man kan ikke fjerne den der heller. Det letteste er nok å å starte opp en windows version fra cd og slette den der med et ADS verktøy eller bruke Windows Recovery Console (starte opp fra windows xp installasjon cden) eller ta HDD til en ren pc og slette ADS informasjonen mens du kjører et rent OS på den andre maskinen.

Men til slutt vil jeg legge til dette, det er mulig å fjerne denne rotverktøyen mens den kjører (uten å ty til de overnevnte metodene), men det er ikke tilgjengelig for allmenheten enda. Trolig vil det komme i form av oppdateringer til antiviruser som har egne anti-rotverktøy motorer (slik som F-secure, KAV 6, NOD32, BitDefender, etc...) om det kan stabiliseres nok.

Fint med kopier som bare er inspirerte av andre merker og ikke direkte rene kopier. Uansett må jeg si at utseende er ikke så viktig, hvis de kunne kopiere det beste fra hvert merke når det gjelder software og så lage en mobil så ville denne blitt solgt uansett om den så stygg ut eller ikke (spesielt om den var linux basert, noe som kineseren kan).

Bare for å forklare hva de mener med "Wolfson audio codec (same as iPod)", iPod (ikke nyeste generasjon, men nano og nedover) bruker Wolfson Microprocessor (WM8975G) for å spille av musikken. Altså de vil si at de bruker samme prosessor får å spille av musikk som iPod gjør, så ytelsen vil være den samme (avhengig av de andre komponentene).