---

Det er vist på tide at nogen tager sig sammen og skrider til handling.
Nu har jeg et par gange set ``ufatteligt dumme'' indlæg fra kandu.dk, så
nu satte jeg mig for at finde ud af hvorfor.

Kandu.dk virker ved et pointsystem. Det at stille spørgsmål koster
point. Point optjenes ved at give gode svar til folk. Pointsystemet er
forklaret fuldt ud på følgende URL:

http://www.kandu.dk/dk/pointrulez.asp

(bemærk det smukke z i navnet).

Problemet er at dette ikke er i tråd med denne nyhedsgruppe. Vi
foretrækker (øjensynligt) debat hvor vi ikke altid er enige. Det er
denne debat der gør, at man nogen gange lærer. Det er et problem fordi
man som bruger af kandu.dk forventer et svar hurtigt. Svaret tildeles
derefter point alt efter hvor godt det nu var. Ethvert svar der
beskriver grundliggende uenighed med spørgeren valg vil naturligvis ikke
blive tildelt point i et sådant system. Ej heller hvis svaret er bedre
end et tilfældigt udslynget svar, der til dels kan være rigtigt.

Desuden opfordrer systemet til at man bliver ved med at stille
spørgsmål. Mange gange kan et svar findes ved et opslag på google og 2
sekunders cut'n'paste. Disse svar gives der selvsagt point for. Desværre
har det også den konsekvens at spørgeren ikke selv lærer at finde
information men fordummes til altid at være ``spørge-Jørgen''.

Så vidt jeg ser det er ovenstående årsagen til deres opførsel, men jeg
kan tage fejl. Pointsystemet i sig selv er lidt uhyggeligt. Man kan låse
gamle svar så de koster point at læse efterfølgende. Hele systemet
bygger øjensynligt på at opbygge en falsk økonomi uden egentlig værdi.
Denne økonomi vil fejle, da alle brugere tilføres 20 point per dag. Med
andre ord har den inflation herfra og til helved^H^H^H^H^H^H lang pokker
i vold. Resultatet er at ens point over tid devalueres langsomt. Det
tjener derimod det ganske gode formål at få folk til at tro at de
optjener en form for kredit i systemet. Man kan muligvis temmeligt
hurtigt lave en ``cornering'' af det givne kreditmarked, bare man har
brugere nok. Desuden vil en pludselig stigning af brugere devaluere ens
kredit så meget at det ikke kan betale sig at give svar i et sådant
system.

Med henhold til personlige firewalls, så har der været en del spændinger
i luften over de holdninger ``vi'' udviser. Vores påstande om
ligegyldigheden af en firewall til personlige computere ser ud til at
anstøde folk en hel del. Jeg vil nu forsøge at beskrive hvorfor jeg har
de holdninger:

- En personlig firewall yder falsk sikkerhed.

En firewall vil sjældent yde den sikkerhed som brugeren ønsker. Det
argument der som regel benyttes er, at man som bruger kan afgøre om et
givent program skal have lov til at forbinde til andre maskiner samt
til lokale porte. Dette er et våbenkapløb, ikke helt ulig det der blev
set under den kolde krig mellem Soviet og Amerika. Det er et spørgsmål
om tid før vi ser spyware der anvender Internet Explorer som
drivmiddel for data, eller programmel der indeholder sin egen TCP/IP-
stak. Begge ting vil være svære for de firewalls vi har nu at
gennemskue. Reelt set kan der allerede nu eksistere programmer af
denne type.

- En firewall kræver viden om TCP/IP.

En firewall virker ved at operere på et niveau mellem en applikation og den
fysiske forbindelse. For at kunne forstå hvorfor den kan separere to netværk
kræves der et indgående kendskab til netværkommunikation.

- Behovet for firewalls er skabt af ``sikkerhedsfirmaer''.

En del virksomheder der sælger firewalls har interesse i at ``male
fanden på væggen'' for derigennem at øge deres salg. Dette inkluderer
en del personlige firewalls. I disse reklamefremstød fremhæves
firewallen som en brændende mur der holder de slemme personligheder
ude. Med andre ord bliver firewallen ophævet til den ``magiske
trylledrik'' der løser samtlige problemer.

- En firewalls logs er ikke til indgående studier.

Firewalls benyttes af og til som portloggere der dokumenterer hvad en
internetforbindelse foretager sig. Specielt tilægges det at kunne se
hvem der forsøgte at forbinde til computeren en stor værdi. De bedre
eksempler vi har her i gruppen er så når folk ikke forstår deres logs
og bange spørger om det er ``farligt'' at deres Internet Explorer
forsøger at tilgå givne sider. Pointen er den, at hvis data er
filtreret fra, så har det fra starten været intentionen. Ergo er der
ikke grund til at bekymre sig om det.

- En firewall kan ikke benyttes til at fange indtrængere med.

Som regel vil en portscanning altid blive foretaget fra en allerede
inficeret maskine. Tricket er at indtrængeren bygger kæde af maskiner,
hvor han så sidder på den sidste. Portscanningen foretages fra den
anden ende af kæden, så det bliver sværere at spore indtrængeren.

Ingen af maskinerne i kæden logger, hvilket gør det temmeligt svært at
finde indtrængeren. Det er heller ikke muligt at finde en begyndende
indtrænger på denne måde, da man kan anvende netcafeer, biblioteker, WLANS
etc til at starte fra.

Det er heller ikke meget vundet ved at se hvem der prober ens
webserver eksempeltvist. En site som netcraft.com virker som en gratis
proxy for indtrængeren så han ubemærket kan teste hvilken type webserver
et givent site kører med. Derved kan han yderst let lave
sårbarhedstest uden at blive logget.

- En personlig firewall hjælper ikke mod programmer der har fejl i.

Hvis et program først har tilladelse til at lave en forbindelse er det
som regel sådan at de data programmet sender og modtager sendes uden
nærmere undersøgelse. Hvis et sådant program har et sikkerhedshul
hjælper en firewall ikke.

- En personlig firewall hjælper ikke mod intelligente trojanske heste.

Der findes i dag trojanske heste der kan finde ud af at slukke for den
personlige firewall.

- En firewall skal være konfigureret korrekt.

Korrekt konfiguration omfatter at udtænke og definere et regelsæt for
hvilken type netværkstrafik der tillades. OSS'en beskriver dette bedre
end jeg kan:

http://a.area51.dk/sikkerhed/ordforklaring#firewalls

Det råd jeg (og en del andre) har er derfor at fjerne firewallen. I
stedet skal energien anvendes til at spise chokolade og påføre ens
operativsystem sikkerhedsopdateringer. Hvis man læser EULA'er (End User
License Agreement) for software før man installerer det, kan spyware som
regel undgås. OSS'en kan hjælpe med at beskrive den brugeropførsel der
skal til for at undgå trojanske heste:

http://a.area51.dk/sikkerhed/brugere

Hvis brugeropførslen ikke ændres og man installerer en firewall, så er
mit postulat at man ikke er specielt sikker. På et eller andet tidspunkt
vil våbenkapløbet udvikle sig og man vil blive ramt. Til gengæld ville
brugeren der havde ændret opførsel ikke blive ramt fordi han havde været
på vagt på det rigtige tidspunkt.

--
Jesper med Arne som renlæser.

---

"Jesper Louis Andersen" <jlouis@tyr.diku.dk> wrote in message
news:slrnasre9e.4up.jlouis@tyr.diku.dk...
>
> Det råd jeg (og en del andre) har er derfor at fjerne firewallen. I
> stedet skal energien anvendes til at spise chokolade og påføre ens
> operativsystem sikkerhedsopdateringer.

Jeg kan altså ikke forstå det med den mørke chokolade, mener du virkelig at
det er det bedste man kan gøre ?
Personligt foretrækker jeg da til enhver tid en dejlig kold "blå cola", dog
ikke hver gang der er en som banker på porten, for så ville jeg blive lidt
snurrens.

Mvh Den tvivlende Mule(måske OT)

---

Ups glemte lige i forbindelse med al den chokolade snak at skrive tak til
Jesper for et kanon indlæg wow... meget oplysende

Mvh Supermulex

---

Hej.

Dette er ikke en response på 'kandu', men den antipati, der hersker mod
personlige firewalls generelt.

Jeg bruger selv tine personal firewall, ..

"Jesper Louis Andersen" <jlouis@tyr.diku.dk> wrote in message
news:slrnasre9e.4up.jlouis@tyr.diku.dk...
> - En personlig firewall yder falsk sikkerhed.
Kun hvis du ikke ved noget om det..

> - En firewall kræver viden om TCP/IP.
Det har jeg i et vist omfang..

> - Behovet for firewalls er skabt af ``sikkerhedsfirmaer''.
Er du helt sikker?

> - En firewalls logs er ikke til indgående studier.
Næh..

> - En firewall kan ikke benyttes til at fange indtrængere med.
Jo, min kan..

> - En personlig firewall hjælper ikke mod programmer der har fejl i.
Nej ikke mod fejl, men min viser, og spørger om lov, når eksempelvis 'Lille
William' ønsker at forbinde til M$.

>
> - En personlig firewall hjælper ikke mod intelligente trojanske heste.
Jo da, se lige ovenfor.

>
> - En firewall skal være konfigureret korrekt.
Eller bare default, så man hindrer ovenstående.

>

Ud over dette, holder den også styr på MD5 checksummer på programmerne.

Jeg er ligeglad hvad I andre synes, men jeg bruger primært Linux, og jeg
gider ikke bruge tid på at holde min Windåse opdateret hvis jeg en gang i
mellem skal på nettet med den.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)

---

Stig Johansen skrev:

>Jeg bruger selv tine personal firewall, ..

Jesper skrev et informativt og velargumenteret indlæg om
uhensigtsmæssigheder ved personlige 'firewalls'. Dit indlæg
indeholder stort set bare nej'er og jo'er der benægter hvad han
skrev.

At du ikke vil lære af hans indlæg er dit eget problem.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Hej.

"Bertel Lund Hansen" <nospam@lundhansen.dk> wrote in message
news:1h3ssusmpvi1ev9utjfcmg73dei4kv49p4@news.stofanet.dk...
> Jesper skrev et informativt og velargumenteret indlæg om
> uhensigtsmæssigheder ved personlige 'firewalls'. Dit indlæg
> indeholder stort set bare nej'er og jo'er der benægter hvad han
> skrev.

Lidt provokativt, indrømmet. Hensigten var, at informere om at eksempelvis
tiny personal firewall indeholder nogle kvaliteter, der, i mine øjne,
supplerer almindelige firewall's. Jeg er enig i, at personal firewalls ikke
er løsningen på alt, men jeg er ikke enig i, at man ikke skal bruge dem.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)

---

Stig Johansen skrev:

>Lidt provokativt, indrømmet.

Det var ikke lige det ord jeg ville have valgt.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Stig Johansen wrote:
>
> "Jesper Louis Andersen" <jlouis@tyr.diku.dk> wrote in message
> news:slrnasre9e.4up.jlouis@tyr.diku.dk...
> > - En personlig firewall yder falsk sikkerhed.
> Kun hvis du ikke ved noget om det..

Hvis du ved hvad din firewall beskytter mod, så er det naturligvis
ikke nogen falsk sikkerhed. Men hvis du tror, en firewall er en
løsning til alle dine problemer, så yder den falsk sikkerhed.

>
> > - En firewall kræver viden om TCP/IP.

Korrekt. Men man skal også vide noget om ICMP, UDP, og nogle af
de overliggende protokoller.

>
> > - Behovet for firewalls er skabt af ``sikkerhedsfirmaer''.
> Er du helt sikker?

Alle problemer som kan løses af en firewall kan løses bedre på en
anden måde. En firewall er for dem der vil gå med både livrem og
seler: Først sikrer du dit system fuldstændigt uden brug af
firewall, derefter tilføjer du en firewall som et ekstra lag af
sikkerhed. (Og til sidst sætter du maskinen på nettet.) Så
firewallen er faktisk slet ikke nødvendig.

>
> > - En firewall kan ikke benyttes til at fange indtrængere med.
> Jo, min kan..

Det kommer vel an på, hvad du forstår ved at fange.

>
> > - En personlig firewall hjælper ikke mod programmer der har fejl i.
> Nej ikke mod fejl, men min viser, og spørger om lov, når eksempelvis 'Lille
> William' ønsker at forbinde til M$.

Hvem spørger firewallen om lov?

>
> >
> > - En personlig firewall hjælper ikke mod intelligente trojanske heste.
> Jo da, se lige ovenfor.

Hvad nu hvis den trojanske hest selv svarer ja, når der bliver
spurgt om lov? Eller hvad nu hvis den trojanske hest undlader
at bruge koden til at spørge om lov og selv finder en anden
vej på nettet? Eller hvad nu hvis den trojanske hest har
adgang til firewall configurationen?

>
> >
> > - En firewall skal være konfigureret korrekt.
> Eller bare default, så man hindrer ovenstående.

Ikke alle firewalls har en default konfiguration. Jeg ved ikke
noget om "tine personal firewall", men f.eks. iptables når den
bliver loadet ingen regler men blot en default policy, der
accepterer alt.

>
> Ud over dette, holder den også styr på MD5 checksummer på programmerne.

OK, men hvad sikkerhed har du for, at den kigger på checksummen
af det rigtige program? Forestil dig en trojan, der kalder et
andet program til at foretage den konkrette kommunikation. Og
hvad med libraries?

>
> Jeg er ligeglad hvad I andre synes, men jeg bruger primært Linux, og jeg
> gider ikke bruge tid på at holde min Windåse opdateret hvis jeg en gang i
> mellem skal på nettet med den.

I sådan et scenarie ville jeg bruge Linux maskinen som firewall
og sætte Windows maskinen bagved.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

> > > - Behovet for firewalls er skabt af ``sikkerhedsfirmaer''.
> > Er du helt sikker?
>
> Alle problemer som kan løses af en firewall kan løses bedre på en
> anden måde. En firewall er for dem der vil gå med både livrem og
> seler: Først sikrer du dit system fuldstændigt uden brug af
> firewall, derefter tilføjer du en firewall som et ekstra lag af
> sikkerhed. (Og til sidst sætter du maskinen på nettet.) Så
> firewallen er faktisk slet ikke nødvendig.

IMHO er personlige firewall's lidt til grin, da den typisk installeres
på en stand alone PC der kunne være sikret ordenligt på andre måder
(bl.a. ved at undersøge hvilke programmer men installere og tillader
kører i baggrunden).

En firewall skal anvendes til at beskytte et netværk hvor man
f.eks. er tvunget til at kører usikre services, f.eks. fildeling via
NFS el. lign. eller hvis man vurderer, at truslen fra brugerne på det
interne net ikke er stor nok til at forsvare en grunddig gennemgang af
alle de installerede klienter.

/jrm

---

"Jesper R. Meyer" <jrm@upthere.dk> writes:

>En firewall skal anvendes til at beskytte et netværk hvor man

....har en sikkerhedspolitik, der gør, at det er nødvendigt.

Det andet er for generelt.

Mvh.
   Klaus.

---

Den Sun, 10 Nov 2002 07:35:32 +0100 skrev Stig Johansen:
>Hej.
>
>Dette er ikke en response på 'kandu', men den antipati, der hersker mod
>personlige firewalls generelt.
>
>Jeg bruger selv tine personal firewall, ..
>
>"Jesper Louis Andersen" <jlouis@tyr.diku.dk> wrote in message
>news:slrnasre9e.4up.jlouis@tyr.diku.dk...
>> - En personlig firewall yder falsk sikkerhed.
>Kun hvis du ikke ved noget om det..

Naturligvis, alle dem der ved nok om det fraråder jo at bruge disse.

>> - En firewall kræver viden om TCP/IP.
>Det har jeg i et vist omfang..
>
>> - Behovet for firewalls er skabt af ``sikkerhedsfirmaer''.
>Er du helt sikker?

Ingen tvivl om det.

>> - En firewalls logs er ikke til indgående studier.
>Næh..
>
>> - En firewall kan ikke benyttes til at fange indtrængere med.
>Jo, min kan..

Du har stadig ikke fattet det.

>> - En personlig firewall hjælper ikke mod programmer der har fejl i.
>Nej ikke mod fejl, men min viser, og spørger om lov, når eksempelvis 'Lille
>William' ønsker at forbinde til M$.
>
>> - En personlig firewall hjælper ikke mod intelligente trojanske heste.
>Jo da, se lige ovenfor.

Windows er ikke en intelligent trojansk hest. Den har ingen form for
workarounds imod de forskellige personal firewalls, den forsøger hverken
at disable dem (hvilket ville være meget nemt for windows, da firewall
programmet er 100% afhængig af windows), eller at gå udenom dem.

>> - En firewall skal være konfigureret korrekt.
>Eller bare default, så man hindrer ovenstående.

Hvis dit mål er at beskytte dig mod Windows, så vil jeg anbefale at
lade være med at installere det program.

Mvh
Kent
--
The revolution has just begun.

---

Jesper Louis Andersen <jlouis@tyr.diku.dk> wrote:
>
> Det er vist på tide at nogen tager sig sammen og skrider til handling.

Betyder ovenstaaende at du kontakter kandu.dk og beder dem stoppe
kommunikationen mellem deres system og dk.edb.sikkerhed?

Ellers tager jeg gerne kontakten.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

On Sun, 10 Nov 2002 12:16:19 +0000, Alex Holst <a@mongers.org> wrote:
> Jesper Louis Andersen <jlouis@tyr.diku.dk> wrote:
>>
>> Det er vist på tide at nogen tager sig sammen og skrider til handling.
>
> Betyder ovenstaaende at du kontakter kandu.dk og beder dem stoppe
> kommunikationen mellem deres system og dk.edb.sikkerhed?
>
> Ellers tager jeg gerne kontakten.

Eftersom du er bedre til at kontakte folk, så lader jeg det være op til
dig. Men jeg står gerne ved din side og slås.

--
Jesper

---

Jesper Louis Andersen skrev:

> http://www.kandu.dk/dk/pointrulez.asp
>
> (bemærk det smukke z i navnet).

Ja, det er godt nok sejt (ironi off).

> Problemet er at dette ikke er i tråd med denne nyhedsgruppe.

Det er vel egentlig ikke i tråd med langt størsteparten af
grupperne på usenettet.

--
Med venlig hilsen
Madsen.

---

Madsen <nospam@madsen.tdcadsl.dk> wrote:

>Jesper Louis Andersen skrev:
>
>> http://www.kandu.dk/dk/pointrulez.asp
>>
>> (bemærk det smukke z i navnet).
>
>Ja, det er godt nok sejt (ironi off).
>
>> Problemet er at dette ikke er i tråd med denne nyhedsgruppe.
>
>Det er vel egentlig ikke i tråd med langt størsteparten af
>grupperne på usenettet.

Det forekommer mig at det er intet mindre end en fuldstændig
vanvittig måde at generere meningsløs trafik på.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).