arne22

Nei, det blir jo et tema egentlig litt på siden. Første arbeidsredskap det blir jo en trafikkmonitor, som gjerne er "koblet opp" mot operativsystemet, slik at man kan få en oversikt over hvilken prosess eller hvilket program det er som setter opp hvilken trafikk. Da kan det faktisk holde med å vite "at det går kryptert trafikk". Hva som er den krypterte trafikkens eksakte innhold, det vil ikke nødvendigvis være så viktig. Hvis man har identifisert prosess eller program så vil man kunne "kontrollere ved å stenge ned" de programmene eller de prosessene som gir "den trafikken som man uansett ikke ønsker". (For eksempel værmelding, nyheter, tilbud om oppgaderinger og nye programmer, automatisk utførelse av AI funsjoner og alle mulig ting som ikke jeg lønsker meg.) Når man har stengt ned "alt det ekstra som kommer i fra bloatware", så vil man også lettere kunne observere "det som har viktighet". Typisk for malware, det vil jo være at denne prosessen ser "unormal" ut, ut i fra gitte kriteria, når man ser litt næremere på den som prosess i operativsystemet. TCPView er jo et slikt program som gir veldig god info om den enkelte prosess og hvordan den enkelte prosess kommuniserer ut i mot lokalnett og internett. Dette programmet er jo også forholdvis enkelt i bruk. Når man kjører "capture" så vil jo dette bare gi info om hva man kan lese ut i fra data-pakkene, uten at det finnes noen referanse til hva som skjer i operativsystemet, slik at man på mange måter mister "det viktigste". Man kan jo bruke forskjellige capture varianter også, men det blir liksom ikke det viktigste (i denne sammenhengen.) Det er i alle fall mitt syn på saken. Det ble nevnt over at man ikke kunne se forskjell på trafikken til/fra VG og Dagladet, men jeg ser nå, ved litt testing, at de bruker helt forskjellige root sertifikater for kryptering, slik at der har vi jo en forskjell. Dette er jo "kjempeinteressant", kanskje spesielt sett i forbindelse med proxy funsjoner som kan dekryptere og inspisere trafikk som i utgangspunktet er kryptert. Dette er vel en problemstilling som kanskje først og fremst er aktuelt for bedriftsnettverk, men den vil også kunne være aktuell for den som bruker en bedrifts- eller skole-PC hjemmefra. Den kan også være aktuell for en kompromittert PC, der man har fått installert malware. Mener vi med fordel kan opprette en ny tråd for dette temaet. Teorien rundt dette kan jovære litt komplisert, men den praktiske framgangsmåten for å sjekke om "noen kan lese den krypterte trafikken ut i fra min PC" den behøver jo ikke å være så veldig komplisert. Dette temaet bør jo også ha "allmenn interesse". "Kan all trafikk dekrypteres, via proxy, eller er dette bare mulig for visse typer kryptert trafikk", det er jo også en interessant problemstilling.

Hvis man ønsker å redusere eller kontrolere mengden av ukjent nettverkstrafikk, så behøver man ikke å dekryptere innholdet for å få til det. Det som ofte vil være mer interessant det er hvilke prosesser eller programmer det er som er årsak til trafikken, slik at man i alle enkelhet kan stenge ned disse prosessene/programmene. For å finne hvike programmer som er årsak til nettverkstrafikken, så kan man jo finne en del info om det allerede ved å bruke Windows tool "resource monitor". Hvis man laster ned og installerer de to Windows utilties TCPView og Process Explorer, så kan man hente ut litt mer data om de programmene eller prosessene som er årsak til trafikken. Malware kan også ofte identifiseres ved at de kjører i fra en filadresse på hd som faller utenfor "det normale". Jeg testet litt og undersøkte litt omkring den metoden fordekryptering som er nevnt av @nyansattnr5 over. Det viser seg vel at denne metoden bare fungerer for programmer som støtter miljøvariabelen SSLKEYLOGFILE, og det vil vel neppe være aktuelt for den trafikken som det eventuelt ville være aktuelt å dekryptere. (Men det vil jo heller ikke være nødvendig, hvis man fukuserer mer på de prosessene som setter opp trafikken, og heller stenger ned dem.) Kommandoene som er lagt ut over av @nyansattnr5 er jo ellers i utgangspunktet for Linux og ikke for Windows, men det går da faktisk an å installere et Linux kjøremiljø i Windows, Litt styr med det, men når man har gjort det, så kjører de faktisk på Windows også. Brukte selv Windows WSL for å teste ut under Windows. Mener at dette blir unødvendig komplisert, uten å gi nødvendige data. Mener også at Windows "resourse monitor" og "TCPView" er forholdvis enkle programmer i bruk, som henter ut det viktigste man behøver av informasjon, for å vurdere hva man kan stenge ned av "uønsket trafikk".

Her er også en skjemdump i fra Windows 11 Task Manger. Når man tar bort de aktivitetene som skjer i regi av bloatware og diverse funsjoner som jeg ikke ønsker å ha på min PC, så sitter man tilbake med en PC som har RAM og prosessor krefter til overs. Hvis man så har en god oversikt over hva som "kjører i normal tilstand, så vil man jo straks kunne ha mulighet til å legge merke til det hvis det kommer inn en malware eller noe slikt, som belaster prosessor, skriver til disk og setter opp trasfikk ut til internett, når aktivitetsnivået i utgangspunktet er så lite som dette.

Så var det trådens tema omkring å "kontrollere" trafikken til og fra egen PC. Jeg har nå en "debloated" installasjon av Windows 11 der alle de funksjonene som jeg har lagt merke til, og som jeg ikke vil ha er tatt vekk. Det betyr jo at prosessorbelastning, RAM forbruk, nettverkstrafikk og skriving til disk har gått ganske mye ned. Jeg vedlegger en skjemdump i fra Windows 11 sin innebygde "Resourse Monitor" (resmon.exe) som viser hvordan trafikken ser ut når PC kjører i idle og ikke gjør noen ting. Men hvis jeg hadde hatt en PC med en standard Windows 11 installasjon, hvordan ville da dette "trafikkbildet" sett ut? (Har ikke muligheten for å sjekke selv pga at jeg ikke har noen PC med en standard Windows 11 installasjon.) Jeg har ellers disablet IPv6 slik at PC bare kjører IPv4 for å gjøre tingene litt mer oversiktlig. (Dette kan eventuelt forklares separat, hvis det er noen som har ønske om det.)

Det er beskrevet i "digitale verdenshistorien", men bare som "gjenomført i labforsøk", men ikke av det som jeg kan huske som "gjennomført i praksis". Jeg mener at når man skal vurdere risiko, så bør man også ta med i betraktningen: "Hva er det som faktisk pleier å skje i den virkelige verden?" Før 2008, så prøvde jeg å følge med "alle mulige steder", og det tok ganske mye tid. Men i 2008, så kom "Telenor Security Operations Center" med en blogg, der de sammenfattet det de fant av hendelser og observasjoner, nasjonalt og internasjonalt. Jeg bestemte meg da for å rasjonalisere tingene litt ved å følge denne bloggen fast, og så la Telenor SOC gjøre grovarbeidet med å hente inn data. Alt det som de har publisert fra 2008 og fram til nå ligger der fortsatt, og innholdet er søkbart, slik at man kan hente inn eksempler på ulike hendelser som faktisk har skjedd, og litt omkring hvordan det skjedde. https://telenorsoc.blogspot.com/

Er ikke det da ser et optisk fenomen som skjedde for 11 millioner år siden? Hvordan er dette knyttet opp mot sannsynligheten for å finne liv i verdensrommet? Man kan nok skylde mye på hr Støre og Arbeiderpartiet, men ikke at vi mottar 11 million år gammelt lys i fra verdensrommet. Men jordkloden skal jo være ca 4.5 milliarder år gammel, så for 11 millioner år siden, det blir jo egentlig ganske nylig. Og "samfunnet", det var vel noe som oppsto sånn omtrent "i går", eller kanskje "akkurat nå"?

Den kommentaren tror jeg dreier seg om en rent teknisk/praktisk problemstilling. Hvis man er pålogget Windows 11 via en Microsoft konto, og har kryptert C-drive vha Bitlocker, så kan man under visse forhold riskikere å stenge seg selv ute i fra den krypterte harrdisken, hvis man ikke sørger for å disable krypteringen via Bitlocker. Tror den inskutte kommentaren var formidelingen om å være forsiktig med å bruke en lokal brukerkonto før krypteringen har blitt tatt vekk. Det var i hvert fall slik jeg tolket dette innholdet.

Å ja den veien ja. Hadde nesten glemt at Ventoy kan brukes som "vanlig instalasjonsmedium". Den kan jo så mye annet. Har alltid hatt et ønske om å kunne ha "en reserve windowsinstallasjon" som kan kjøre fra en USB SSD. Fikk Ventoy til å lage akkurat det. Da jeg hadde "tweeket" "hoved-windows" så mye at den sluttet å fungere, så kunne jeg da boote via "reserve-windows" og så få reparert.

Ventoy Plugsom er jo et program som brukes til å endre funsjonalitet/virkemåte i fra "standard" til "noe spesielt". Her er jo spørsmålet: På hvilken måte ønsker du å endre Ventoy programmet (Ved å ta i bruk en plugin.) Er det du forsøker å få til å kjøre Windows 11 ut i fra en ekstern MinnePinne/SSD? Har det faktisk kjørende og har vel noen notater på framgangsmåten ett eller annet sted. Det fungerer elelrs ikke med en USB MinnePinne. Da ble det hele så tregt at de hele "kjørte fast". Med Windows kjørt i fra ekstern SSD, så fungerer det helt fint.

Jeg antar at videoen beskriver praktiske løsninger, som ser ut til å fungere meget bra for meg. Har ikke tenkt noe stort ut over det å få en PC som fungerer slik som den fungerer akkurat nå. Hvis du opplyser litt eksakt hvor på vidoen dette utsagnet kommer, altså tidspunktet, så skal jeg forsøke å kikke litt nærmere på det.

Nå har vi nok sporet en hel del av i forhold til trådens målgruppe. At forutsetningen for at traffik monotoring eller packet sniffing ikke har noen verdi uten at man leser innholdet i krypterte datapakker, det kan jeg vel ikke helt si meg enig i. Hvis man kan lese header, se på megde og karakater av dataflow, pluss at man kan identifisere prosess/program som står for trafikken pluss eventuelle avvik i fra "det normale". Problemstillingen rundt Man In the Middle Attack (MitM) er jo en ganske kjent problemstilling som har vært diskutert gjennom mange år, som også har sine begrensinger. Jeg har aldri hørt om noe eksempel på at en vanlig hjemmebuker som har fått sin session/pålogging for eksempel til nettbanken, komprimitert gjennom et MitM angrep. Kjenner du til et eksempel på noe slikt? Hva er eventuelt grunnen til at dette ikke skjer? Ellers interessant med opplysningene om Suricata, og Zeek, men det er nok ikke eksempler på utstyr og programmer som er i bruk innenfor de mange tusen hjem? Dette så meget interessant ut. Vil forsøke å teste ut både i Windows og Linux og se hva som kommer ut av det. Hvis man skal få til en presentasjon av problemstillingen "hvilken trafikk som går inn og ut av egen pc" så nytter det nok ikke å starte opp med den mer sofistikerte bruken av Wireshark packetsniffer, før man har gjennomgått det helt grunnleggende mht trafikkmonitoring og protokoller. Jeg menrer at et passe faglig nivå for et innhold som kan bli forstått og brukt av flertallet brukere på diskusjon.no det bør man kunne få ved å ta utgangspunkt i læreplaner og faginnhold for VG1, VG2 og VG3 IKT Driftsfag. Da er man inne på et fagnivå som bør kunne fungere i en slik sammeheng. Man kan selvfølgelig ikke hente ut hele innholdet, men utvalgte deler. https://www.vilbli.no/nb/no/strukturkart/V.IM/it-driftsfaget-fag-og-timefordeling?kurs=v.imikm1----_v.imitk2----_V.IMITD3----_ Klarer vi å få til det?

Tja. Jeg har vel brukt Windows og Linux gjennom alle generasjoner siden de først utgaver av begge to, og tradisjonen er jo at man har full kontroll over engen PC. Rent praktisk så er det jo slik at den reise PC'en som jeg bruker nå har 8 GB RAM. Når jeg startet den opp så brukte den ca 5.5 GB RAM på å gjøre ingen ting. Når jeg kjørte i gang Nettbrowser og litt andre ting så var den fort opp i 100% belastning, pluss at det var veldig mye forstyrrelse og unødvendig prosessor og nettverksaktivitet, som forstyrret meg ganske mye og som jeg ikke ville ha. Da jeg hadde fått full kontroll over PC gjennom å opprette lokal administrativ bruker og ingen ting annet, så kunne jeg uten større problemer avinstallere all uønsket bloatware, og få fram en PC som fungerte akkurat slik som jeg ønsket. Ram forbruket var da redusert til det halve, alle uanskede funksjoner er nå borte, og prosessorbelastning, netverkstrafikk, og skriving til disk er redusert til en brøkdel av det som fantes i fra før. Det som før var en "litt for liten maskin" har nå blit til "krefter nok". For meg så handler jo dette med å ha en godt fungerende PC, som ikke inneholder forstyrrende funkskjoner som jeg absolutt ikke vil ha. Hadde jeg vært veldig bekymret for innsamling av data og slike ting så hadde jeg vel ikke brukt Google sine tjenester, men det gjør jeg gladelig på mobiltelefonen, under Windows og under Linux. Forskjellen på Google og Microsoft, det er at Google gjør tingene på en så elegant måte at tjenestene er til stor positiv nytte for brukerne. Når Microsoft forsøker å få til noe av det samme så installerer man bloatware som reduserer PC'ens funsjonalitet og som oppleves mer eller mindre som en pest og en plage. Men "I wouldn't advise you to sign in to a local account .." det må vel bero på en eller annen feil, for det er jo det motsatte av det videoen handler om? Jeg vil bare ha en PC som kjører effektivt og bra, og som jeg har full kontroll over. Ser at det er andre som interesserer seg for den mer politiske siden av saken. https://www.dagbladet.no/nyheter/trump-kan-skru-av-norge/84528583 https://www.aftenposten.no/norge/politikk/i/2p3nw4/danmark-tester-utfasing-av-microsoft-naa-vil-sv-gjoere-det-samme-her For min del så bruker jeg gjerne Windows 11, så lenge det finnes en praktisk mulighet for å kjøre med en lokal administratorkonto og ha full kontroll over maskinen, slik at man kan få Windows til å fungere akkurat slik som man ønsker. Min varient av Windows 11, er vel bruksmessig en slags mellomting mellom Windows XP og Windows 7 (etter installasjon av Classic Shell), det går minimalt med ukjent eller uønsket trafikk ut til Internett, og i den utgaven så synes jeg at Windows 11 er et helt all right operativsystem. Bruker Windows 11 Debloat og Linux MInt om hverandre, og jeg synes de er ganske like på "klasisk windowsopplevelse". Linux Mint kjører nok en del mer effektivt, men PC klarer fint å trekke begge deler. Jeg har også disablet TPM i fra Bios, og det var også en stor fornøyelse å få vekk alt som har med Windows Hello å gjøre, slik at påloggingen nå er ganske lik med Windows XP og 7. (Men da må man jo også ta høyde for at man har disablet noen sikkerhetsmessige funksjoner, slik at man også tar dette med i beregningen.)

Når det gjelder Windows Tiny 11, som jeg selv har nevnt over, så er det vel helt sant, som andre har nevnt at man bør være forsikrig med å laste ned og bruke en Windows ISO som er "remixet" av andre, med mindre det dreier seg om et laboppsett eller lignende der sikkerheten ikke spiller noen stor rolle. Det burte jeg nok ha nevnt litt tydelig i tråden over. Når det gjelder problemstillingen "lokal konto" eller "microsoft konto", så ser jeg at det akkurat har kommet en ny video omkring denne problemstillingen som bør fange opp noe av det sentrale i denne problemstillingen: Hvis det er noen av brukerne av diskusjon.no som legger merke til noen IT-faglige feil i innholdet, så kan de jo godt kommentere det.

Fagdidaktikken fungerer nok ikke helt slik. Mange i målgruppen vet jo for eksempel ikke forskjell på IPV4 og IPV6, slik at her kreves det nok litt fintenking, for hvordan man får presentert dette materialet på en slik måte at dette blir forstått av målgruppen. En muliughet som jeg tenker på det er jo først å disable IPv6 og så bare kjøre IPv4, slik at stoffet blir enklere å forstå for de som ikke har vært borte i trafikkmonitoring eller packetsniffing før. Du sier jo selv at dette kan være litt vanskelig å forstå. Tenker at det kanskje kan være fornufig å starte opp bare med IPV4 og så, og så finne en kanskje finne en video som forklarer litt om oppbyggingen av datapakker i IPv4. Synes du det høres fornuftig ut? Eller mener du at vi først kjøre noen øvelser i trafikkmontoring, og så ta teorien rundt IPv4 og IPv6 etterpå? Vi må også på en eller annen måte få "blandet inn" teorien rundt ulike protokoller, slik at dette passer inn i forhold til praksisoppgaver og helhet, slik at vi får en læringssti for målgruppen som kan fungere bra, uten at det blir for teoretisk og omfattende. Edit: Her fant jeg faktisk noe faginnhold som jeg mener kan brukes som referanse og støtte for prosjektet vårt: https://ndla.no/e/driftsstotte-im-itk-vg2/nettverkstjenester-og-protokoller/d4b104e3ab https://ndla.no/e/teknologiforstaelse-im-ikm-vg1/digital-kommunikasjon/adb190b9dd https://ndla.no/e/teknologiforstaelse-im-ikm-vg1/datasikkerhet/6f3070fa20

Ja, nå er vi nesten i gang!