Hej Michael,
> > Først, vil jeg lige anbefale dig, at skære lidt i det, du citerer...
> Okey dokey...
Gerne endnu mere!
> > Hvis man reelt kan lukke sikkerhedshuller ved at pege og klikke, ser
jeg
> > ingen problemer i det.
> Det var ikke det jeg skrev. Jeg skrev at man, hvis man overlader
pc'ens
> sikkerhed til antivirus software og en personlig firewall, er man lige
> vidt mht, til at forstå *hvorfor* ens pc er sårbar.
Ja, men du har stadig ikke forklaret:
a) Hvorfor man får "vitale erfaringer" om at lukke sikkerhedshuller ved
at gøre det med peg-og-klik
b) Hvorfor en person som forstår, hvorfor en pc er sårbar, også
"automatisk" opfører sig korrekt?
c) Hvorfor et antivirusprogram på en pc er værre end ikke at have et
antivirus-program, givet at forstår hvorfor en pc er sårbar og hvad et
antivirusprogram kan gøre?
> De fleste alm computerbrugere jeg kender, aner ikke hvad en service
> eller en patch er, og er egentlig også ligeglade, de kører jo en AV +
> personlig FW, så de er jo sikre. Erfaringen viser at dette ikke helt
er
> tilfældet.
Det er jo korrekt. Men du skrev jo ikke blot at deres pc var usikker,
den var også mere usikker end før...
Men hvad skal disse alm. computerbrugere gøre? - altså dem, som ikke har
tid/lyst/kræfter til at finde ud af en service og en patch er, og som så
ikke længere skal køre med antivirus og personlig firewall?
> > Kan det i øvrigt dokumenteres, at Windows er det mest angrebne
> > operativsystem?
> Med angrebne mente jeg ikke server-OS, men desktop OS angreb i form af
> virus, orme osv. Der fører MS rimeligt godt.
Er det noget du kan dokumentere?
Set i forhold til antallet af brugere af Windows og antallet af brugere
af Linux, er der så forholdvis flere angreb per bruger mod Windows end
mod Linux?
> > Her skal man jo så blot være opmærksom på, at dette ikke er
specifikt
> > for Windows. Samme form for integration og sammenkobling af
> > applikationer kan du jo se på Macintosh, i Linux (bare se KDE fx),
osv.
> Det er muligt at KDE + Mac læner sig opad MS i et forsøg på at opnå
> samme integration på deres desktop. Men hvornår hørte du sidst om en
> KDE-desktop ell. en Mac-desktop virus?!
Well, det er nok en 14 dage siden jeg hørte om en Mac-virus, men at jeg
ikke hører om dem tiere skyldes vel primært:
a) Jeg bruger ikke selv Macintosh, så på den måde har jeg ingen direkte
interesse.
b) Der er færre Macintosh brugere end Windows brugere.
Dit forhadte Outlook Express findes jo også til Macintosh...
Det er ikke længe siden, jeg har hørt og set eksempler på orme til
Linux, der naturligvis også kan inficere KDE maskiner. I øvrigt har der
tidligere (flere steder) været huller i KDE's Konqueror browser som
gjorde, at hvis man browsede sig ind på en (meget ond) side, kunne den
side køre valgfri kode under ens brugerkonto. Derfra og så til at opnå
root på maskinen er der typisk slet ikke så langt, da de færreste
hjemmebrugere har opdateret deres kerne fornyligt.
> Forskellen er at MS har så mange
> VBS/JS scriptsprog, ActiveX fortolkere, DCOM API'er, NBT-API osv.
> smækket sammen i deres OS
Nu jævner du jo specifikt en masse Microsoft specifikt. Det er jo næsten
soleklart, at der ikke er så meget ActiveX over KDE, da det jo er en
meget Windows specifik ting.
Hvis du vil sammenligne, så prøv at kig på antallet af installerede
scriptsprog på en typisk desktop Linux-maskine. Jeg tror du vil opdage,
at der er _langt flere_ end på en tilsvarende Windows-maskine.
Tænk også på ting som Gnus i Emacs... hvor integreret med et
programmeringssprog er det ikke lige?
Og hvad adskiller DCOM API'et sikkerhedsmæssigt fra det tilsvarende
objekt API som KDE benytter sig af?
> Problemet med MS' model er netop dette: Ondsindet kode *har* for nemt
> spil på MS platform jvf. OE exemplet.
Du har stadig ikke dokumenteret, at en ny Outlook Express blot udfører
alt det kode, man sender til den.
> Brugervenlighed og sikkerhed er to
> vidt forskellige filosofier at udvikle et OS ud fra, jvf ex. Windows
> kontra OpenBSD.
Vil du ikke give mig ret i, at det er tåbeligt at udvikle et
operativsystem efter kun et af de to kriterier? (jeg vil ikke kalde det
for filosofier)
Efter min mening, farver du diskussionen alt for sort/hvidt.
> Jeg giver min holdning til en problemstilling, der drejer sig om at
> sikre personlige computere. Selvfølgelig er min holdning farvet og
> subjektiv, ellers ville den da være uinteressant.
Det er meget rart, hvis man har nogle gode argumenter for holdningen
også
> Jeg beskylder ikke MS for at være af det onde. Jeg siger at deres
> ultimative fokus på brugervenlighed giver væsentlige
sikkerhedsproblemer
> i deres OS
Men du dokumenterer bare ikke, at de rent faktisk har sådan et
enevældigt og ultimativt fokus på brugervenlighed?
Jeg mener da blandt andet at have læst i tidligere indlæg fra dig, at
Microsoft netop fokuserer på sikkerhed.
Illustrerer dette ikke blot, at sikkerhed er svært?
> > Altså må sikkerhedsfolket (og udviklerne) tage det som en
udfordringen
> > at udvikle teknikker, værktøjer og politikker som kan bevare
> > sikkerheden, når kompleksiteten vokser.
> Det er spørgsmålet om hønen og ægget.
> Hvis udviklerne laver noget slamkode, er det så sikkerhedsfolkenes job
> at forsøge at beskytte det, ell. er det deres job at skifte OS'et ud
med
> et hvor koden er tænkt sikkert fra starten?!
Du drejer diskussionen kraftigt. Kompleks kode er ikke det samme som
slamkode.
> >>OE afvikler lykkeligt alt
> >>der bliver smidt efter den, fordi sådan er den programmeret.
> > Her overdriver du vist mere end godt er.
> Prøv du at sysadme et Windows NT/2000 + Exchange + Outlook/Outlook
> Express baseret netværk, så bliver du også overbevist om at Outlook er
> en alt for villig afvikler af alskens skidt.
Aha? - Men kan du dokumentere at OE bare lykkeligt afvikler alt, eller
var det for bastant sagt?
Jeg synes ikke, at du kan argumentere ud fra at det er nørj så hårdt og
træls at være Windows administrator, og så til at OE bare partout er
usikkert ligemeget, hvem der bruger det.
> > Jeg har bemærket et par gange, at ordet "maliciøs" er blevet brugt
> > herinde. Jeg kan forstå det, hvis det benyttes ved citater af
> > skønlitteratur fra fordums tider... men er det ikke mere passende
blot
> > at skrive "ondsindet" i dagens Danmark?
> Jeg synes "maliciøst" er et glimrende ord. Det lyder grimmere end
> "ondsindet"!
Hvorfor gøre brand af røg?
> > Du skriver som om, at det er "dårligt" af Microsoft at de fokuserer
på
> > sikkerhed, fordi deres operativsystem er svært at sikre. Netop
derfor må
> > det da være vigtigt at fokusere på sikkerhed. Hvis det var nemt at
> > sikre, var der jo ikke behov for fokus.
> Jeg ser tingene fra en Sysadmins vinkel. Min hverdag består i at
spurte
> rundt for at forhindre brugerne i at lave ulykker med MS' software.
Det giver stadig ikke mening for mig. Hvis du er træt af at folk laver
"ulykker", så er det da kun godt for dig, hvis Microsoft vil gøre det
sværere, at lave ulykker.
Du kunne jo overveje at uddanne brugerne, således at de ikke laver disse
ulykker -- eller du kunne udskifte eller udbygge softwaren, så det blev
meget sværere at lave disse ulykker.
Har du ikke mulighed for at gøre dette pga. ledelsen, så er det jo bare
"tough luck". Ikke noget du kan klandre andre Microsoft for.
> Fra et sikkerhedsmæssigt perspektiv, er MS filosofi med deres OS' lidt
> som at give en svært epileptisk person et maskingevær. På et ell.
andet
> tidspunkt går det rigtigt galt.
Igen, jeg synes du farer vældigt hårdt frem mod Microsoft uden at have
nogen form for dokumentation. Du har stadig ikke henvist til noget
officielt fra Microsoft om, hvad deres "filosofi" er. Ej heller har du
godtgjort, at andre udviklere end Microsofts ville være anderledes end
en sådan epilieptisk person med et maskingevær.
Jeg tror det er lidt for naivt, hvis du blot tror at Microsoft har en
bunke inkompetente udviklere ansat, som hverken har begreb om det ene
eller det andet.
> > Har du nogen dokumentation for, at closed-source operativsystemer
> > generelt set er behæftet med flere sikkerhedsfejl end open-source
> > operativsystemer? (dvs. at det er selve open/closed-source
egenskaben
> > som direkte påvirker sikkerheden)
> Open source OS verdenen baserer sig på full-disclosure princippet mht.
> sårbarheder. En alvorlig sårbarhed bliver ofte lukket og en patch
> udsendt indenfor timer.
Det er jo ikke helt det samme. Du skrev jo før, at closed-source
programmer har flere sikkerhedsfejl end open-source programmer.
Nu skriver du, at open-source programmer typisk får udgivet rettelser
som lukker et fundet sikkerhedshul hurtigere end closed-source
programmer gør. Det er for mig ikke indlysende, at de to ting hænger
sammen.
For hvordan sikrer man sig, at det lukkede sikkerhedshul ikke gør, at
der åbner sig et sikkerhedshul et andet sted?
Og hvordan ved man, at der ikke stadig er langt flere sikkerhedshuller i
open-source applikationen end i closed-source applikationen? (selvom
fordi der var langt flere huller, før man begyndte at rette dem)
> MS bestemmer suverænt selv, om de har lyst til at reagere på en
> henvendelse vedr. en bestemt sårbarhed, dette har givet nogen
alvorlige
> huller, der ikke blev rettet i meget lang tid. Og nogen der højst
> sandsynligt ikke er blevet det, for hvordan skal vi checke det hvis
> kildekoden er lukket?!
Det betyder jo stadig ikke, at de har flere huller end alle mulige
andre.
> > Hvordan er det tænkt usikkert?
> MS' fokus er på brugervenlighed og "de mange muligheder", ikke på
> sikkerhed.
Er det noget du kan dokumentere?
> Deres software skal "eftersikres" for at opnå et nogenlunde
acceptabelt
> niveau af sikkerhed. Jvf. andre OS'er (ex. OpenBSD), der er tænkt
sikre
> fra starten.
Og der kommer aldrig rettelser til OpenBSD?
Er det i øvrigt rimeligt at sammenligne et meget lille base system
(OpenBSD) med et operativsystem med hundredevis af standardprogrammer
(internetbrowsere, emailklienter, instantmessagingprogrammer,
tegneprogrammer, etc.).
> > Hvad vil du have lavet om?
> Jeg troede det var klart....Windows.
Du kan ikke være mere specifik?
> >>Det er ikke fordi UNIX/Linux/BSD/ er mindre sårbar end Windows, men
> >>Windows tillader dig at bruge en computer, uden at vide det mindste
om
> >>hvordan den fungerer.
> > Og det er noget skidt?
> Ja.
> Du kan ikke skade andre mennesker ved ikke at vide hvordan ex. din
> brødrister, dit fjernsyn, ell. din elovn virker. Du kan i højeste grad
> skade andre mennesker, hvis du ikke aner det ringeste om hvordan din
> computer virker.
Det synes jeg nu ikke er korrekt.
Hvis du ikke ved at din brødrister blevet meget varm, kan du jo komme
til at lægge din avis oven på brødristeren og lægge brødet oven på
avisen og tænde brødristeren... derefter går du ind i stuen og ser tv.
Nu brænder din lejlighed og naboen ned til grunden.
Er det brødristerens skyld?
> > Hvor meget ved du om, hvordan din bil virker?
> Jeg kører på cykel.
Så alle der ikke ved, hvordan en bil virker, bør cycle istedet?
> > Eller dit oliefyr?
> Jeg har centralvarme.
Så alle der ikke ved, hvordan et oliefyr virker, bør få centralvarme?
> > Og hvordan er en el-sparepære egenligt indrettet?
> Ved du ikke hvordan en lyspære virker?!
Jeg har ingen dyb forståelse af, hvordan en el-sparepære virker, nej.
Jeg kan da hurtigt forestille mig lidt med noget gas og nogle elektroner
og lidt "magic happens here". Men hvad er det for noget gas, hvilken
koncentration, hvad sker der hvis man sætter ild til det, hvad sker der
hvis man lægger det i fryseren, osv. - det aner jeg ingenting om.
Jeg er primært interesseret i, at der kommer lys, når man tænder for
strømmen.
> > Det kan man jo så diskutere til hudløshed, men faktum i dag er jo,
at
> > folk bruger computere uden at de ved alt om, hvordan de fungerer.
Det må
> Det er derimod OS producentens ansvar at deres software er sikkert,
> hvilket er det min post handler om.
Hvad nu, hvis denne opgave er umulig?
Kan du ikke tilsvarende gøre en OpenBSD installation usikker, hvis du
ikke ved, hvad du laver?
Er det så OpenBSD producentens ansvar?
> Det er da også en bilproducents ansvar at deres biler er sikre, selvom
> chaufføren ikke ved det ringeste om hvordan skidtet virker.
Er det også producentens ansvar, hvis en person sætter sig ind i en bil,
og kører direkte ind i et hus? (uden at dette skyldes en egenlig fejl
ved bilens styring, men udelukkende fordi personen ikke aner, hvordan
man kører bil)
> >>Det samme er ikke til tilfældet med *NIX, og mange
> >>*NIX brugere kører desuden deres OS, for at finde ud af hvordan
deres
> >>computer virker, hvilket i sig selv er en god basis for at forstå,
> >>hvordan man sikrer den.
> > Har du nogen dokumentation for, hvor mange "mange" er?
> Næ.
Så giver det jo ikke så meget mening. Hvis mange er 0,0001% af brugerne,
så er det jo ikke overbevisende.
> > Hvad med alle dem som ikke kører deres unix-lignende operativsystem
for
> > at lære om deres computers virkemåde?
> Det sgu' svært at køre UNIX uden at vide bare et minimum om hvordan
din
> computer virker.
Nåh?
Jeg har ellers set diverse
"prop-cd'en-i-drevet-og-du-har-en-grafisk-brugerflade-som-enhver-kan-fin
de-ud-af" ting?
> > Hvad med alle dem som kører Mac OS X?
> Som i nyeste udgave også er UNIX med en fancy skal.
Ved Macintosh-bruger så specielt meget om deres computers virkemåde?
Det bør de jo gøre efter din argumentation.
> > Hvad med alle dem, som har brugt Unix før det blev moderne, og
stadig
> > ikke ved hvordan bitsene bliver flyttet rundt bagved skærmen?
> Dem kender jeg ikke mange af. De fleste af de rigtig gamle
UNIX-rotter,
> har selv skovlet bits'ene *ind* i skærmen.
Også dem som ikke er programmører, system-administratorer og lign.?
Hvad med dem, som bare var sekretærer og benyttede regneark?
Hvad med dem, som bare fik tildelt en konto på deres uddannelsessted så
de kunne følge en manual og sende en email?
> > Dvs. at det ikke er Unix systemet som gør, at folk ved mere om deres
> > computers virkemåde -- men at det istedet er sådan, at dem som ved
meget
> > om deres computers virkemåde vælger et Unix system?
> Jeg vil hælde til den sidste udlægning. Igen modificering til at folk
> som ønsker at vide mere om hvordan deres computer virker, typisk på et
> tidspunkt vælger et UNIX-system. Simpelthen fordi det lader dig
> manipulere det ned til mindste bit (hvis du er god...).
Dette ødelægger netop dit første argument.
Du argumenterer for, at folk ved at bruge UNIX lærer mere om deres
computers virkemåde, og derfor kan de nemmere sikre den.
Men nu skriver du jo netop, at de folk der ved mere om deres computers
virkemåde _skifter_ til Unix af denne grund.
Altså er det ikke Unix der gør, at det er så meget nemmere at sikre --
det er derimod, det faktum at brugerne af Unix er mere bevidste om hvad
der sker inden i deres computer.
(og nej, ovenstående er ikke min holdning... det er blot konsekvensen af
det, du skrev)
> Du har klippet en væsentlig del af min tråd ud her, hvori min pointe
> netop var, at man *ved* at køre en personlig FW + AV finder ud af at,
> man er sårbar alligevel, og forhåbentlig bestemmer sig for at tage sin
> computersikkerhed alvorligt og i egne hænder, istedet for at lægge
sine
> penge hos Norton/Sygat/Zonelabs/whoever.
Du skrev da netop, at alle dine ikke-computer-venner brugte personlige
firewalls og antivirus - hvorimod nørderne ikke gjorde dette.
Hvor lang tid går der så før, at ikke-computer-vennerne finder ud af, at
de var galt på den?
> > Hvorfor bør computer-bladene være en troværdig kilde omkring meget
> > avanceret edb?
> Er det *meget* avanceret edb, selv at ville sikre sin computer,
istedet
> for at installere en antivirus ell. personlig FW?! Det mener jeg ikke.
Du skrev da, at det kun var "dem på bjerget" som vidste, at det eneste
rigtige er, ikke at installere personlige firewalls eller antivirus
programmer. Så må det da være lidt avanceret, siden alle de andre ikke
ved noget om det.
> > Kender du da journalister som er blevet bestukket til at reklamere
for
> > kommerciele sikkerhedspakkeløsninger?
> Ikke personligt, men jeg finder det påfaldende, at computerbladene
> bugner med test af personlige firewalls og antivirus pakker, mens den
> ene mere slemme virus + orm "storm" efter den anden, rammer computere
> verden over gang på gang. Enten er det der står i bladene ikke rigtigt
> eller også følger folk ikke de råd, der står i bladene. Vælg selv.
Jeg kan ikke se, hvordan det skulle gøres journalisterne korrupte. Du
skrev jo selv, at de var upartiske...
--
Jens Kristian Søgaard, Mermaid Consulting ApS,
jens@mermaidconsulting.dk,
http://www.mermaidconsulting.com/