---

En kammerat så her forleden dag på DR1 et program hvor de snakkede om
Spyware og der skulle en "ekspert" havde sagt at en firewall ikke kan
forhindre et spyware program i at sende data hjem til sin forbandede
ejermand. Hvordan kan spyware'n sende data ud når firewallen har lukket for
al udgående data? Har min kammerat misforstået noget eller er det mig?


/md

---

Den Thu, 11 Mar 2004 19:04:52 +0100 skrev Michael [2800]:
>En kammerat så her forleden dag på DR1 et program hvor de snakkede om
>Spyware og der skulle en "ekspert" havde sagt at en firewall ikke kan
>forhindre et spyware program i at sende data hjem til sin forbandede
>ejermand. Hvordan kan spyware'n sende data ud når firewallen har lukket for
>al udgående data? Har min kammerat misforstået noget eller er det mig?

Hvis firewall'en har lukket for al udgående data, så kan den ikke. Men
så er det nemmere at trække netkablet ud, og billigere at opsige sit
internet-abonnement.

Hvis man stadig kan bruge net-forbindelsen, så er der ikke lukket for
al udgående data.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

> Hvis man stadig kan bruge net-forbindelsen, så er der ikke lukket for
> al udgående data.
Det har du ret i, men hvis man nu åbner op for port 80 og kun til exploren
så skulle andre programmer ikke kunne bruge port 80 eller hva?

I det her tilfælde bruger min kammerat Norton Personal FW og der skal han
(så vidt jeg ved) selv åbne op for de porte og programmer der skal havde
adgang til nettet og han har kun åbnet for exploren og port 80 og så skulle
han vel kunne sove roligt.

/md

---

Michael [2800] wrote:
>
> > Hvis man stadig kan bruge net-forbindelsen, så er der ikke lukket for
> > al udgående data.
> Det har du ret i, men hvis man nu åbner op for port 80 og kun til exploren
> så skulle andre programmer ikke kunne bruge port 80 eller hva?

Det er muligt for andre programmer at "hægte" sig på Internet Explorer
og kommunikere via port 80. Firewallen vil blot tro, det er Internet
Explorer, der forsøger at kommunikere, hvorfor trafikken tillades.

--
Mvh. Kim Ludvigsen

---

Michael [2800] wrote:

>>Hvis man stadig kan bruge net-forbindelsen, så er der ikke lukket for
>>al udgående data.
>
> Det har du ret i, men hvis man nu åbner op for port 80 og kun til exploren
> så skulle andre programmer ikke kunne bruge port 80 eller hva?
>
> I det her tilfælde bruger min kammerat Norton Personal FW og der skal han
> (så vidt jeg ved) selv åbne op for de porte og programmer der skal havde
> adgang til nettet og han har kun åbnet for exploren og port 80 og så skulle
> han vel kunne sove roligt.
>
> /md

Så længe han overlader sin "sikkerhed" til en software firewall burde
han slet ikke sove overhovedet...

Ligesom en applikation kan "snydes" til at afvikle kode, kan en
host-baseret software firewall selvfølgelig også "snydes" til at lade
trafik i begge retninger passere uhindret.

Derudover er personlige firewalls ikke istand til at "kigge ind" i
pakkestrømmen som de større FW. Dvs. mailiciøs traffik der piggybacker
sig på legitim trafik til port 80 kan passere frit igennem, hvis der
ikke finder content filtrering sted.

Der har også været eksempler på at flere af de populære
softwarefirewalls har lukket indgående/udgående trafik igennem, når
bestemte betingelser har været opfyldt. Ex. hvis trafikken er kommet fra
en bestemt source port osv. software firewalls er netop *det*, og som al
anden software er de sårbare.

Prøv at tage et kig på nogle af linksene i OSS siden her og fortæl mig,
om du stadig synes at en personlig firewall har noget med sikkerhed at
gøre?!:

http://a.area51.dk/sikkerhed/personlig-fw-eval

/mvh
michael

---

"Michael [2800]" <michael@mhcdan.dk> wrote in message
news:4050b573$0$27410$edfadb0f@dread16.news.tele.dk...
> I det her tilfælde bruger min kammerat Norton Personal FW og der skal han
> (så vidt jeg ved) selv åbne op for de porte og programmer der skal havde
> adgang til nettet og han har kun åbnet for exploren og port 80 og så
skulle
> han vel kunne sove roligt.

Nej. Der er en del spyware som installerer sig som browserplugsin og hermed
vil det se ud som om det er internet browseren som står for trafikken.

Jeg kan iøvrigt anbefale at fjerne fluebenet i "installation of desktop
items" i IE som gør det muligt automatisk at få installeret spyware når man
besøger en webside...

--
Flemming

---

On Fri, 12 Mar 2004 23:14:06 +0100, "F.Larsen" <n0spam@spamfilter.dk>
wrote:

>Jeg kan iøvrigt anbefale at fjerne fluebenet i "installation of desktop
>items" i IE som gør det muligt automatisk at få installeret spyware når man
>besøger en webside...

Eh, "automatisk" er vel så meget sagt. Default står den jo til
"prompt".

--
- Peter Brodersen

Ugens sprogtip: hoved (og ikke hovede)

---

In article <c2q9v7$ibd$9@sunsite.dk>, Kent Friis wrote:
> Hvis firewall'en har lukket for al udgående data, så kan den ikke. Men

Er du sikker på det?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Den 11 Mar 2004 21:49:07 GMT skrev Christian E. Lysel:
>In article <c2q9v7$ibd$9@sunsite.dk>, Kent Friis wrote:
>> Hvis firewall'en har lukket for al udgående data, så kan den ikke. Men
>
>Er du sikker på det?

Ja.

Forudsat selvfølgelig at du læser det som jeg skriver det. Når jeg
skriver "lukket for al udgående data", så mener jeg ALT, ikke blot
hvad en evt personal "firewall" måtte lukke for når man clicker på
"block all".

Hvis der er lukket for ALT, kan der per definition intet komme igennem.
Hvis der kan komme noget igennem, er der ikke lukket for alt.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

In article <4050aa2d$0$27408$edfadb0f@dread16.news.tele.dk>, Michael [2800] wrote:
> ejermand. Hvordan kan spyware'n sende data ud når firewallen har lukket for
> al udgående data? Har min kammerat misforstået noget eller er det mig?

Hvis du har lukket for alt udgående trafik, er der
ingen mening i at tilslutte den til Internet.

Spyware kan benytte den eksisterne tilladte software på din
maskine til at sende data!

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/