---

Hej
Jeg ved ikke helt om dette er den rigtige gruppe, overskrifterne på diverse
indlæg ser ud til at handle om virus og der er der jo også en anden gruppe
der handler om, men hvis jeg er havnet det forkerte sted flytter jeg gerne.

Det drejer sig om en butik, hvor jeg godt kunne tænke mig at stille en
computer op, hvor kunderne (kvit og frit) kunne komme på nettet for at
tjekke mails og klare andre småting.

Min store skræk er så, at diverse pilfingre vil kunne ændre alt muligt i
diverse indstillinger og lignende. Findes der en (billig) måde at forhindre
dette? Computeren kører med Win 98.

--
Hilsen
Mia_J
www.webmaster-debat.dk

---

On 2005-02-01, Mia J <> wrote:
> Jeg ved ikke helt om dette er den rigtige gruppe, overskrifterne på diverse
> indlæg ser ud til at handle om virus og der er der jo også en anden gruppe
> der handler om, men hvis jeg er havnet det forkerte sted flytter jeg gerne.

Det er ikke helt ved siden af, idét dit spoergsmaal gaar paa hardening
af et operatisystem, men der er nok Windows-grupper, der kender flere
konkrete produkter og procedurer, du kan bruge.

> Det drejer sig om en butik, hvor jeg godt kunne tænke mig at stille en
> computer op, hvor kunderne (kvit og frit) kunne komme på nettet for at
> tjekke mails og klare andre småting.

Du skal nok ogsaa have med i dine overvejelser, at de kan bruge maskinen
til at angribe andre maskiner, og i saa fald vil de vaere dig, der bliver
(forsoegt) draget til ansvar. Det skal du muligvis lige vende med
jura-gruppen:

   news://dk.videnskab.jura

> Min store skræk er så, at diverse pilfingre vil kunne ændre alt muligt i
> diverse indstillinger og lignende. Findes der en (billig) måde at forhindre
> dette? Computeren kører med Win 98.

Windows 98 har ingen sikkerhedsmodel, saa alle brugere af computeren har
fuldstaendig raaderet over den. Der findes nogle vaerktoejer, der kan
goere det mere besvaerligt at lave om paa tingene, og det kan maaske
vaere godt nok til dit formaal. Du kan maaske finde noget ved at soege
efter ``windows 98 hardening'' eller ``windows 98 kiosk'' paa Google.

Jeg ville personligt selv skaffe en licens til Windows XP og saa oprette
en bruger uden privilegier, som kunder kunne bruge. Hvis de piller for
meget, kan du blot slette brugeren og oprette den paa ny. Windows er
naturligvis ikke gratis, men man skal ikke laegge ret mange arbejds-
timer i at rydde op i maskiner, foer det er tjent hjem.

Alternativt kan du lave en installation af Windows, som du vil have det,
og saa laver du en backup eller et `image' af disken og gemmer dette paa
en CD. Naar en kunde saa har splittet maskinen ad, finder du bare din CD
frem og genetablerer maskinen fra denne. Jeg vil tro, at du kan bruge
Ghost til dette, men andre i gruppen kan maaske anbefale nogle bedre
og/eller gratis alternativer.

Min anbefaling er nok at goere begge dele: Brug XP, og lav et image af
din installation, efter du har installeret alle patches til Windows og
andre programmer, du maatte have installeret. XP er svaerere at smadre
for en upriviligeret bruger, men med et image kan du lynhurtigt genetab-
lere maskinen, hvis noget alligevel gaar galt. Jeg ville ikke spilde tid
paa antivirus, firewall og lignende med ovenstaaende konfiguration.

Jeg haaber, at du kan bruge det til noget,
mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Michael Knudsen wrote:

> Jeg ville personligt selv skaffe en licens til Windows XP og saa
> oprette en bruger uden privilegier, som kunder kunne bruge.
>
Skal det ikke være en WinXp Pro når maskinen skal bastes og bindes
så hårdt? Det vil jo være surt at investere i en Xp Home og finde ud af at
den ikke mager opgaven.

mvh
Henning

---

On 2005-02-01, Henning Præstegaard <onkelhenning@not.valid> wrote:
> Skal det ikke være en WinXp Pro når maskinen skal bastes og bindes
> så hårdt? Det vil jo være surt at investere i en Xp Home og finde ud af at
> den ikke mager opgaven.

Uden at kende de konkrete forskelle paa de to produkter formoder jeg, at
begge kan bruges til opgaven med et acceptabelt resultat. Det vigtigste
er at faa differentieret brugerprivilegier.

Hvis maskinen skal staa i en butik, vil jeg umiddelbart gaette paa, at
der ikke er hverken kompetence, penge eller behov for at sikre maskinen
paa alle leder og kanter. Hovedformaalet maa vaere at begraense antallet
af reinstallationer fra optil et par gange om ugen til hoejst en gang om
maaneden. Oprettelse og brug af et diskimage kan reducere omkostningerne
ved reinstallation yderligere.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Mia J wrote:
> Hej
> Jeg ved ikke helt om dette er den rigtige gruppe, overskrifterne på
> diverse indlæg ser ud til at handle om virus og der er der jo også en
> anden gruppe der handler om, men hvis jeg er havnet det forkerte sted
> flytter jeg gerne.
>
> Det drejer sig om en butik, hvor jeg godt kunne tænke mig at stille en
> computer op, hvor kunderne (kvit og frit) kunne komme på nettet for at
> tjekke mails og klare andre småting.
>
> Min store skræk er så, at diverse pilfingre vil kunne ændre alt
> muligt i diverse indstillinger og lignende. Findes der en (billig)
> måde at forhindre dette? Computeren kører med Win 98.

http://www.danbit.dk/produkter/3005.phtml

GENET-HDD tingen...

Virker fint...

--
MVH Jeppe Uhd - NX http://nx.dk
Webhosting for nørder og andet godtfolk

---

Jeppe Uhd wrote:
>
> Mia J wrote:
> > Hej
> > Jeg ved ikke helt om dette er den rigtige gruppe, overskrifterne på
> > diverse indlæg ser ud til at handle om virus og der er der jo også en
> > anden gruppe der handler om, men hvis jeg er havnet det forkerte sted
> > flytter jeg gerne.
> >
> > Det drejer sig om en butik, hvor jeg godt kunne tænke mig at stille en
> > computer op, hvor kunderne (kvit og frit) kunne komme på nettet for at
> > tjekke mails og klare andre småting.
> >
> > Min store skræk er så, at diverse pilfingre vil kunne ændre alt
> > muligt i diverse indstillinger og lignende. Findes der en (billig)
> > måde at forhindre dette? Computeren kører med Win 98.
>
> http://www.danbit.dk/produkter/3005.phtml
>
> GENET-HDD tingen...

Hvor sikker er den?

For mig lyder det som noget, der nemt kunne omgås i software.
Faktisk synes jeg det lyder som om det tingen kan nøjagtigt
svarer til at lave et snapshot med LVM under Linux. Hvis man
kan nøjes med et snapshot med den grad af beskyttelse, som
kan opnås i software, så kan produktet sikkert være udmærket,
men mon ikke man kan finde en ren software løsning som kan
det samme til en lavere pris.

Disk krypterings tingen ser også interessant ud, men når nu
de skriver at der anvendes 64 bits DES kryptering, så bliver
jeg straks betænkelig. Godt nok har DES 64 bits blokke
(hvilket er alt for lidt hvis man vil kryptere en hel disk),
men nøglen er kun 56 bits og kan bruteforces på et par døgn
på hardware som kan fremstilles til under en million kroner.
Selv hvis man havde anvendt en bedre cipher ville det ikke
være nogen garanti, diskkryptering er lidt mere compliceret
end som så.

I øvrigt spekulerer jeg over, om "PCI kortet" udelukkende
bruger PCI slottet som strømforsyning, eller om det faktisk
selv fungerer som IDE controller. Til gengæld ville en
enhed som er placeret på den måde mellem computer og disk
kunne implementere end lidt mere sikker snapshot feature,
men det ser det ikke ud til at den har.

--
Kasper Dupont

---

Kasper Dupont wrote:
> Jeppe Uhd wrote:
>>
>> Mia J wrote:
>>> Hej
>>> Jeg ved ikke helt om dette er den rigtige gruppe, overskrifterne på
>>> diverse indlæg ser ud til at handle om virus og der er der jo også
>>> en anden gruppe der handler om, men hvis jeg er havnet det forkerte
>>> sted flytter jeg gerne.
>>>
>>> Det drejer sig om en butik, hvor jeg godt kunne tænke mig at stille
>>> en computer op, hvor kunderne (kvit og frit) kunne komme på nettet
>>> for at tjekke mails og klare andre småting.
>>>
>>> Min store skræk er så, at diverse pilfingre vil kunne ændre alt
>>> muligt i diverse indstillinger og lignende. Findes der en (billig)
>>> måde at forhindre dette? Computeren kører med Win 98.
>>
>> http://www.danbit.dk/produkter/3005.phtml
>>
>> GENET-HDD tingen...
>
> Hvor sikker er den?

Meget...

Når man booter er maskinen tilbage til den konfiguration man har "låst" den
til.

Så vidt jeg forstår laver den en form for bios-abstraktion så skrivninger
foregår i et temporært område, som cleares ved boot.

> For mig lyder det som noget, der nemt kunne omgås i software.
> Faktisk synes jeg det lyder som om det tingen kan nøjagtigt
> svarer til at lave et snapshot med LVM under Linux. Hvis man
> kan nøjes med et snapshot med den grad af beskyttelse, som
> kan opnås i software, så kan produktet sikkert være udmærket,
> men mon ikke man kan finde en ren software løsning som kan
> det samme til en lavere pris.

Jeg tvivler på du kan omgå det via alm. software, dens boot-bios ligger på
et rimelig højt niveau...

> Disk krypterings tingen ser også interessant ud, men når nu
> de skriver at der anvendes 64 bits DES kryptering, så bliver
> jeg straks betænkelig. Godt nok har DES 64 bits blokke
> (hvilket er alt for lidt hvis man vil kryptere en hel disk),
> men nøglen er kun 56 bits og kan bruteforces på et par døgn
> på hardware som kan fremstilles til under en million kroner.
> Selv hvis man havde anvendt en bedre cipher ville det ikke
> være nogen garanti, diskkryptering er lidt mere compliceret
> end som så.

Det giver kun sikkerhed for at data ikke kan læses uden nøglen, ikke
sikkerhed for ændringer...

> I øvrigt spekulerer jeg over, om "PCI kortet" udelukkende
> bruger PCI slottet som strømforsyning, eller om det faktisk
> selv fungerer som IDE controller. Til gengæld ville en
> enhed som er placeret på den måde mellem computer og disk
> kunne implementere end lidt mere sikker snapshot feature,
> men det ser det ikke ud til at den har.

Hvis det er krypteringstingen har jeg samme teori...

--
MVH Jeppe Uhd - NX http://nx.dk
Webhosting for nørder og andet godtfolk

---

On 2005-02-15, Jeppe Uhd <nnewsnospam@nx.dk> wrote:
>>> GENET-HDD tingen...
>>
>> Hvor sikker er den?
>
> Meget...
>
> Når man booter er maskinen tilbage til den konfiguration man har "låst" den
> til.

Hvad forhindrer et program paa computeren i at aendre den konfiguration,
man har laast maskinen til? Fra hjemmesiden:

   Når GENET-HDD er installeret, skabes en skjult partition for
   hvert beskyttet drev på ca. 2% af originaldrevets datastørrelse.
   Her gemmes en beskrivelse af samtlige programmer og data, inkl.
   CMOS-oplysningerne fra PC´ens bundkort. Ved systemfejl, virus-
   indtrængen og utilsigtede ændringer i de installerede programmer,
   genskabes harddiskens originale indhold på ca. 3 sekunder.
   Genskabningen kan også foregå automatisk ved hver genstart,
   systemfejl eller på forudbestemte tidspunkter.

Under e.g. Windows 98 kan et program blot rette i den skjulte partition,
med mindre kortet selv fungerer som harddisk-controller.

> Så vidt jeg forstår laver den en form for bios-abstraktion så skrivninger
> foregår i et temporært område, som cleares ved boot.

Det der lyder som varm luft.

>> For mig lyder det som noget, der nemt kunne omgås i software.
>> Faktisk synes jeg det lyder som om det tingen kan nøjagtigt
>> svarer til at lave et snapshot med LVM under Linux. Hvis man
>> kan nøjes med et snapshot med den grad af beskyttelse, som
>> kan opnås i software, så kan produktet sikkert være udmærket,
>> men mon ikke man kan finde en ren software løsning som kan
>> det samme til en lavere pris.
>
> Jeg tvivler på du kan omgå det via alm. software, dens boot-bios ligger på
> et rimelig højt niveau...

Hvad mener du? Mener du, at kortet indeholder en PCI-BIOS, der bliver
koert af BIOS under BOOT paa samme maade som e.g. grafikkort har noget
kode, der bliver koert umiddelbart efter power-on? Jeg ved ikke lige,
hvordan det skal garantere sikkerhed.

Jeg holder stadig paa, at til den aktuelle situation (en enkelt PC i en
butik), er en loesning med en CD eller DVD med en installation af XP en
bedre loesning. Saa ved man i det mindste, hvordan det fungerer og kan
vurdere truslerne imod det.

--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Michael Knudsen <e@mongers.org> wrote:

> Det der lyder som varm luft.

Det kan godt implementeres. Jeg har set det gjort med stor success.
Om saa den hardwareimplementation vi snakker om her er i stand til
at goere det, det ved jeg ikke.


--
jlouis

---

Jeppe Uhd wrote:
>
> Når man booter er maskinen tilbage til den konfiguration man har "låst" den
> til.

Med mindre jeg har ændret diskindholdet i mellemtiden.

>
> Så vidt jeg forstår laver den en form for bios-abstraktion så skrivninger
> foregår i et temporært område, som cleares ved boot.

Hvad mener du med en form for bios-abstraktion? Og hvor
ligger det temporære område du snakker om? Computeren
har stadig adgang til disken. Læg mærke til beskrivelsen,
det forudsættes, at der anvendes en speciel driver. Der
kan ikke være nogen tvivl om at en stor del af arbejdet
foregår i denne driver. Hvis man i stedet for at gå via
denne driver går via den originale driver eller bruger
direkte hardware tilgang, så kan software stadig skrive
vilkårlige steder på disken.

>
> Jeg tvivler på du kan omgå det via alm. software, dens boot-bios ligger på
> et rimelig højt niveau...

Hvad i alverden mener du med et rimelig højt niveau?

Det er i øvrigt lige meget. Det de prøver at opnå kan
ikke implementeres med en BIOS alene.

>
> Det giver kun sikkerhed for at data ikke kan læses uden nøglen, ikke
> sikkerhed for ændringer...

Ved du hvad jeg havde i tankerne, da jeg sagde at
diskkryptering er lidt mere compliceret end som
så? Ja formålet med krypteringen er at forhindre
uautoriseret læsning, men selv det er mere
compliceret end hvad mange af de personer som har
implementeret diskkryptering har troet.

Jeg har en begrundet mistanke om, at ingen af de
diskkrypteringsprodukter du kan finde til Windows
eller Linux opnår semantisk sikkerhed.

Jeg tror at det system Poul-Henning Kamp har
implementeret er det sikreste som du i dag kan
få adgang til. Om det faktisk opnår semantisk
sikkerhed tør jeg ikke udtale mig om. Men jeg
håber jeg får lejlighed til at spørge ham i
forbindelse med foredraget i morgen.

Hvad angår sikring mod ændringer, så er det også
af relevans for et diskkrypteringsprodukt. Under
nogle angrebsscenarier er det relevant at
beskytte sig mod uautoriserede ændringer af
diskens indhold, fordi de kunne bruges til at
narre systemet til at dekryptere nogle forkerte
data som derved kan lækkes.

Jeg må hellere huske at annoncere det her i
gruppen, når engang min PhD afhandling bliver
færdig. Der vil blandt andet komme til at stå
noget om diskkryptering.

At jeg nævnte muligheden for at beskytte mod
uautoriserede ændringer af et snapshot i mit
sidste indlæg var i øvrigt blot fordi, en enhed
der som denne diskkrypteringsenhed sidder mellem
computeren og disken, er i en position til at
gøre det på sikker vis. Og det er i øvrigt en
langt simplere opgave at klare end en sikker
kryptering af en harddisk.

>
> > I øvrigt spekulerer jeg over, om "PCI kortet" udelukkende
> > bruger PCI slottet som strømforsyning, eller om det faktisk
> > selv fungerer som IDE controller. Til gengæld ville en
> > enhed som er placeret på den måde mellem computer og disk
> > kunne implementere end lidt mere sikker snapshot feature,
> > men det ser det ikke ud til at den har.
>
> Hvis det er krypteringstingen har jeg samme teori...

Ja, det er krypteringstingen jeg tænker på. Jeg
tænker bare, at når nu den sidder på et PCI kort
kunne den "ligesågodt" indeholde en seperat IDE
controller. Så kunne man spare lidt kabler (eller
vælge at bruge de ekstra kabler til at tilslutte
lidt ekstra IDE enheder).

Men den mulighed eksisterer åbenlyst ikke med 5¼"
tingen. På billedet ser den ud til at have en fire
bens power connector og et ATA stik. Jeg går ud
fra, at den har et stik mere udover det man kan
se på billedet. Så hvis ellers printet i hovedtræk
er det samme, så må PCI udgaven bare mangle en
strømforsyning, hvilket er årsagen til at jeg kom
frem til den teori.

Hvad angår snapshot kortet er min teori (efter i
forbindelse med en tidligere tråd at have set et
billede af dette eller et tilsvarende kort), at
det er blot et realtek netkort med en "netboot"
ROM og et indhold programmeret til formålet.

Hvorfor den bootkode så ikke ligger på harddisken
er lidt af en gåde. Den kan jo beskytte sig selv
lige så godt som den kan beskytte snapshottet.
Og hvis snapshottet skulle gå hen at ryge alligevel,
så tjener koden alligevel ikke noget formål.

--
Kasper Dupont