/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
OSS'en, blandt andet.
Fra : Alex Holst


Dato : 17-10-01 04:15

Selvom jeg ikke har haft meget tid til OSS'en de sidste par uger vil jeg
alligevel dreje folks opmaerksomhed i dens retning endnu en gang. Den har
efterhaanden, blandt andet takket vaere et par af deltagerne her i gruppen,
naaet et omfang som jeg foeler jeg kan vaere bekendt.

Der er stadigt plads til mere i den, men de vigtigste omraader har rimelig
daekning. Hvis der er svar som du mener skulle vaere anderledes, eller
spoergsmaal som mangler er du velkommen til at bidrage med dine meninger
eller artikler.

Det vil nok hjaelpe paa gruppen hvis folk kender til OSS'en og ved
nogenlunde hvad den indeholder. Dette betyder, at istedet for at skrive et
15 liniers svar kan man pege paa et passende svar i OSS'en. Jeg mener dens
eksistensberettigelse ligger i at drive ofte diskuterede og/eller kedelige
emner ud af gruppen saa meget som muligt ved at give et hurtigt og fyldigt
svar paa disse emner.

Noget andet er, at jeg er traet af Steve Gibson's latterlige online
sikkerhedstest og gaar med tanker om et lignende projekt. Fokus boer ligge
paa at uddanne, ikke skraemme brugeren. Jeg orker dog ikke at goere det
alene og klokken er 4am IST saa jeg ved ikke engang om det er en god ide.
Hvis det skal blive til en realitet skal andre end mig se et behov for det,
og et par mennesker skal kunne bidrage med blandt andet programming, viden
om TCP/IP og implementationen af protokollerne.

Hvis Gorm ikke har lyst til at hoste saadan en sikkerhedstest paa area51's
forbindelse og hardware vender jeg tilbage og leder efter hosting.

Godnat.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


 
 
Kim Nielsen (17-10-2001)
Kommentar
Fra : Kim Nielsen


Dato : 17-10-01 07:30

Alex Holst wrote:
>
[SNIP]
> Noget andet er, at jeg er traet af Steve Gibson's latterlige online
> sikkerhedstest og gaar med tanker om et lignende projekt. Fokus boer ligge
> paa at uddanne, ikke skraemme brugeren. Jeg orker dog ikke at goere det
> alene og klokken er 4am IST saa jeg ved ikke engang om det er en god ide.
> Hvis det skal blive til en realitet skal andre end mig se et behov for det,
> og et par mennesker skal kunne bidrage med blandt andet programming, viden
> om TCP/IP og implementationen af protokollerne.

Jeg tror ikke du er den eneste der er træt af grc (Og ikke kun hans
online portscanner). Jeg hjælper gerne til at skrive et exploit
scripting engine eller scripts til portscanning. Dog vil jeg ikke være
med til at lave en service der "bare" scanner for porte+exploits uden
skiftlig bekræftelse.

> Hvis Gorm ikke har lyst til at hoste saadan en sikkerhedstest paa area51's
> forbindelse og hardware vender jeg tilbage og leder efter hosting.
>
Jeg tror heller han må i henhold til den kontrakt han har med wol :(

/Kim

"An organized team is like a strong fist and will smash through stones,
but an unorganized team is like a weak wrist, and will break only
bones."
- Rick Tew

Niels Kristian Jense~ (17-10-2001)
Kommentar
Fra : Niels Kristian Jense~


Dato : 17-10-01 08:28

a@area51.dk (Alex Holst) skrev i <slrn9sptu9.2oo2.a@C-Tower.Area51.DK>:

>Noget andet er, at jeg er traet af Steve Gibson's latterlige online
>sikkerhedstest og gaar med tanker om et lignende projekt. Fokus boer
>ligge paa at uddanne, ikke skraemme brugeren.

Hmm - du (som er ekspert, ikke std-bruger) overser et væsentligt aspekt:
Bruger tror ikke på at han er i fare!

Simpelthen.

Men en dag er der virus og så er bruger pludselig klar over faren. Da er
skaden sket.

Hvis man kan "omvende" nogle brugere med lidt skræmme-argumenter inden
skaden sker, så har man sparet brugerene for meget besvær.

Det kan IMHO godt undskylde et poppet ordvalg som f.eks. Steve Gibsons.

>Jeg orker dog ikke at
>goere det alene og klokken er 4am IST saa jeg ved ikke engang om det er
>en god ide. Hvis det skal blive til en realitet skal andre end mig se et
>behov for det, og et par mennesker skal kunne bidrage med blandt andet
>programming, viden om TCP/IP og implementationen af protokollerne.

Det er jeg ikke kompetent til, men lidt korrekturlæsning kan jeg godt
bidrage med - min private adresse er nkj snabel internetgruppen.dk

<idealistisk tankegang på lysegrønt papir>
Jeg har hørt om noget ved navn Nessus - vistnok en automatisk
sikkerhedstester, der vedligeholdes af frivillige. Kan den bruges af
private f.eks. dial-in brugere som ikke har fast IP-nummer? Måske var det
bedre at støtte det projekt f.eks. ved at gøre brugervenligheden bedre?
</idealistisk tankegang på lysegrønt papir>

Mvh. NKJensen
--
Best regards,
Niels Kristian Jensen
MAN B&W Diesel A/S, Denmark
This a personal message, not an official MAN B&W statement.

Kent Friis (17-10-2001)
Kommentar
Fra : Kent Friis


Dato : 17-10-01 17:40

Den 17 Oct 2001 08:28:18 +0100 skrev Niels Kristian Jensen:
>a@area51.dk (Alex Holst) skrev i <slrn9sptu9.2oo2.a@C-Tower.Area51.DK>:
>
>>Noget andet er, at jeg er traet af Steve Gibson's latterlige online
>>sikkerhedstest og gaar med tanker om et lignende projekt. Fokus boer
>>ligge paa at uddanne, ikke skraemme brugeren.
>
>Hmm - du (som er ekspert, ikke std-bruger) overser et væsentligt aspekt:
>Bruger tror ikke på at han er i fare!
>
>Simpelthen.

Dem vi har problemer med herinde, er folk der tror de er nødt til at
installere en personal firewall, og bagefter tager alle de "advarsler"
den kommer med alvorligt.

>Men en dag er der virus og så er bruger pludselig klar over faren. Da er
>skaden sket.
>
>Hvis man kan "omvende" nogle brugere med lidt skræmme-argumenter inden
>skaden sker, så har man sparet brugerene for meget besvær.
>
>Det kan IMHO godt undskylde et poppet ordvalg som f.eks. Steve Gibsons.

Resultatet er ofte, at folk fylder visse nyhedsgrupper (fx denne) med
tåbelige spørgsmål, og måske endda forstyrrer både udbyderen og politiet
i deres arbejde, fordi "ns.tele.dk forsøger at hacke mig på port 53".

Mvh
Kent
--
War does not determine who is right, only who is left.

Alex Holst (17-10-2001)
Kommentar
Fra : Alex Holst


Dato : 17-10-01 21:39

Niels Kristian Jensen <nkj@manbw.dk> wrote:
> a@area51.dk (Alex Holst) skrev i <slrn9sptu9.2oo2.a@C-Tower.Area51.DK>:
>
>>Noget andet er, at jeg er traet af Steve Gibson's latterlige online
>>sikkerhedstest og gaar med tanker om et lignende projekt. Fokus boer
>>ligge paa at uddanne, ikke skraemme brugeren.
>
> Hmm - du (som er ekspert, ikke std-bruger) overser et væsentligt aspekt:
> Bruger tror ikke på at han er i fare!

Nej, det er jeg skam klar over, og det er grunden til at der skal uddannelse
til. Jeg har ikke planer om at foere en EU valg kampagne og hvis folk ikke
gider bruge tid paa at forstaa vil jeg overlade dem til andre.

Brugere finder det ogsaa spaendende at den "virus" som de hoerer om i TV nu
er paa _deres_ server. Det er beklageligt.

> Men en dag er der virus og så er bruger pludselig klar over faren. Da er
> skaden sket.

De fleste vil glemme det igen, hvis de ikke faar en forstaaelse af hvad der
er god og daarlig opfoersel paa nettet.

> Hvis man kan "omvende" nogle brugere med lidt skræmme-argumenter inden
> skaden sker, så har man sparet brugerene for meget besvær.
>
> Det kan IMHO godt undskylde et poppet ordvalg som f.eks. Steve Gibsons.

Maa jeg vaere fri. Den er den holdning der er skyld i diverse lovforslag om
at forbyde kryptering, og at ISP'er skal logge alt hvad deres brugere
foretager sig.

Vidste du, at terroristerne bruger computere?

http://www.theonion.com/onion3736/freedoms_curtailed.html

><idealistisk tankegang på lysegrønt papir>
> Jeg har hørt om noget ved navn Nessus - vistnok en automatisk
> sikkerhedstester, der vedligeholdes af frivillige. Kan den bruges af
> private f.eks. dial-in brugere som ikke har fast IP-nummer? Måske var det
> bedre at støtte det projekt f.eks. ved at gøre brugervenligheden bedre?
></idealistisk tankegang på lysegrønt papir>

Jeg kender til Nessus og jeg ser ikke hvordan den kan bruges her.

Kort fortalt: Jeg har planer om en start side der forklarer forskellen mellem
"min" test og f.eks. Gibsons. Den vil direkte bede folk som er kommet efter
en hurtig sikkerhedsloesning om at gaa igen. Hvis brugeren vaelger at
forsaette vil en scanning begynde imod den IP adresse han eller hun besoeger
fra. Resultatet vil vaere en korrekt og forstaaelig beskrivelse af hvilke
services der lader til at koere paa den besoegende maskine. Ikke noget med
"hidden Internet servers" eller "stealth capability." -- jeg kaster op.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Kim Petersen (17-10-2001)
Kommentar
Fra : Kim Petersen


Dato : 17-10-01 22:13

Alex Holst <a@area51.dk> writes:
> Niels Kristian Jensen <nkj@manbw.dk> wrote:
> > a@area51.dk (Alex Holst) skrev i <slrn9sptu9.2oo2.a@C-Tower.Area51.DK>:
> >
> De fleste vil glemme det igen, hvis de ikke faar en forstaaelse af hvad der
> er god og daarlig opfoersel paa nettet.
>
> > Hvis man kan "omvende" nogle brugere med lidt skræmme-argumenter inden
> > skaden sker, så har man sparet brugerene for meget besvær.
> >
> > Det kan IMHO godt undskylde et poppet ordvalg som f.eks. Steve Gibsons.
>
> Maa jeg vaere fri. Den er den holdning der er skyld i diverse lovforslag om
> at forbyde kryptering, og at ISP'er skal logge alt hvad deres brugere
> foretager sig.
Hmmm - hvorledes defineres kryptering præcist ? Vil en lov mod krypterede
meddelelser på internettet ikke stoppe udviklinger eller brug af "kunstige"
sprog - som Esperanto og Volapyk.
>
> Vidste du, at terroristerne bruger computere?
>
> http://www.theonion.com/onion3736/freedoms_curtailed.html
>
Selvfølgelig gør de det, og uanset ISP logs og krypterings forbud, vil
de stadig være istand til at sende deres beskeder og data.

--
Mvh. Kim Petersen /| Tlf: +4575831551 |\ Jomfru Ingefreds Vej 18
Software Engineer / | Fax: (none atm.) | \ 7100 Vejle
LSS / | Email: kim@vindinggaard.dk | \ DK - Danmark

Byrial Jensen (19-10-2001)
Kommentar
Fra : Byrial Jensen


Dato : 19-10-01 17:19

Kim Petersen <kim@vindinggaard.dk> skrev:

> Hmmm - hvorledes defineres kryptering præcist ? Vil en lov mod krypterede
> meddelelser på internettet ikke stoppe udviklinger eller brug af "kunstige"
> sprog - som Esperanto og Volapyk.

Hov, hov! Esperanto er anerkendt af den internationale telegrafunion
som "klart sprog". Det må derfor bruges i telegrammer til lande som
ikke tillader kodede telegrammer.

I øvrigt er esperanto på ingen måde at sammenligne med kryptering.
Der er ikke tale om nogen form for indkodning af andre sprog eller
lignende. Esperanto er funktionelt som et ethvert andet sprog. Man
kan udtrykke sine tanker på det, og man kan oversætte til og fra
det.

Kim Petersen (19-10-2001)
Kommentar
Fra : Kim Petersen


Dato : 19-10-01 23:11

Byrial Jensen <bjensen@nospam.dk> writes:

> Kim Petersen <kim@vindinggaard.dk> skrev:
>
> > Hmmm - hvorledes defineres kryptering præcist ? Vil en lov mod krypterede
> > meddelelser på internettet ikke stoppe udviklinger eller brug af "kunstige"
> > sprog - som Esperanto og Volapyk.
>
> Hov, hov! Esperanto er anerkendt af den internationale telegrafunion
> som "klart sprog". Det må derfor bruges i telegrammer til lande som
> ikke tillader kodede telegrammer.
>
> I øvrigt er esperanto på ingen måde at sammenligne med kryptering.
> Der er ikke tale om nogen form for indkodning af andre sprog eller
> lignende. Esperanto er funktionelt som et ethvert andet sprog. Man
> kan udtrykke sine tanker på det, og man kan oversætte til og fra
> det.

Det var ikke lige det jeg mente med ovenstående. Jeg mente at lovgivning
af denne type, kunne virke hæmmende på denne type sprog (som jeg godt er
klar over er fuldgyldige sprog - og ligestillede med andre "rigtige" sprog).

Enhver form for sprog, som ikke kan læses af andre end indforståede, vil
være "kodet". Og for nye udviklinger kan denne type lovgivning være en
stopklods - specielt hvis vi går ud fra at et nyt sprog også indvolverede
udviklingen af et nyt alfabet (eller "tegnsprog" <- kan ikke huske hvad så-
danne hedder rigtigt (hieroglyffer, kinesisk etc.). Samt måske en smart
indkodnings metode til levering over datamedier.

Og ved nærmere eftertanke er dette kodesprog og ikke kryptering (men som
politikere snakker om det - vil det garanteret være en del alligevel).

--
Mvh. Kim Petersen /| Tlf: +4575831551 |\ Jomfru Ingefreds Vej 18
Software Engineer / | Fax: (none atm.) | \ 7100 Vejle
LSS / | Email: kim@vindinggaard.dk | \ DK - Danmark

Allan Olesen (17-10-2001)
Kommentar
Fra : Allan Olesen


Dato : 17-10-01 22:28

Alex Holst <a@area51.dk> wrote:

>Ikke noget med
>"hidden Internet servers" eller "stealth capability." -- jeg kaster op.

....og forhåbentlig heller ikke noget med "Det ser ud til, at der er
åbent for telnet til din maskine, men det betyder ikke noget."


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Niels Kristian Jense~ (18-10-2001)
Kommentar
Fra : Niels Kristian Jense~


Dato : 18-10-01 12:14

a@area51.dk (Alex Holst) skrev i <slrn9srr3h.3h4.a@C-Tower.Area51.DK>:

>Niels Kristian Jensen <nkj@manbw.dk> wrote:
>> a@area51.dk (Alex Holst) skrev i
>> <slrn9sptu9.2oo2.a@C-Tower.Area51.DK>:
>>
>>>Noget andet er, at jeg er traet af Steve Gibson's latterlige online
>>>sikkerhedstest og gaar med tanker om et lignende projekt. Fokus boer
>>>ligge paa at uddanne, ikke skraemme brugeren.
>>
>> Hmm - du (som er ekspert, ikke std-bruger) overser et væsentligt
>> aspekt: Bruger tror ikke på at han er i fare!
>
>Nej, det er jeg skam klar over, og det er grunden til at der skal
>uddannelse til. Jeg har ikke planer om at foere en EU valg kampagne og
>hvis folk ikke gider bruge tid paa at forstaa vil jeg overlade dem til
>andre.

Så har jeg misforstået formålet med den test-funktion. Skulle den ikke
hjælpe folk med mindre teknisk forståelse? Det kræver en eller anden form
for metode til at gøre testeren kendt for at det nytter noget.

>Brugere finder det ogsaa spaendende at den "virus" som de hoerer om i TV
>nu er paa _deres_ server. Det er beklageligt.

Den sammenhæng forstod jeg ikke ?

>> Men en dag er der virus og så er bruger pludselig klar over faren. Da
>> er skaden sket.
>
>De fleste vil glemme det igen, hvis de ikke faar en forstaaelse af hvad
>der er god og daarlig opfoersel paa nettet.
>
>> Hvis man kan "omvende" nogle brugere med lidt skræmme-argumenter inden
>> skaden sker, så har man sparet brugerene for meget besvær.
>>
>> Det kan IMHO godt undskylde et poppet ordvalg som f.eks. Steve
>> Gibsons.
>
>Maa jeg vaere fri. Den er den holdning der er skyld i diverse lovforslag
>om at forbyde kryptering, og at ISP'er skal logge alt hvad deres brugere
>foretager sig.

Den sammenhæng forstår jeg vistnok ikke, men måske mener du at en "poppet"
sikkerhedstest kan gøre folk utrygge og derfor bestorme lovgiverne med krav
om strenge straffe?

Lidt i stil med "mere politi på gaderne" efter en agurketiden hvor BT &
EkstraBladet kun har gadekriminalitet at skrive om?

En sikkerhedstester kan vist kun have den virkning, hvis den gør folk
utrygge. Det var ikke målet.

>Vidste du, at terroristerne bruger computere?

Lad os lige holde os til sagen. De bruger også biler.

>><idealistisk tankegang på lysegrønt papir>
>> Jeg har hørt om noget ved navn Nessus - vistnok en automatisk
>> sikkerhedstester, der vedligeholdes af frivillige. Kan den bruges af
>> private f.eks. dial-in brugere som ikke har fast IP-nummer? Måske var
>> det bedre at støtte det projekt f.eks. ved at gøre brugervenligheden
>> bedre?
>></idealistisk tankegang på lysegrønt papir>
>
>Jeg kender til Nessus og jeg ser ikke hvordan den kan bruges her.
>
>Kort fortalt: Jeg har planer om en start side der forklarer forskellen
>mellem "min" test og f.eks. Gibsons. Den vil direkte bede folk som er
>kommet efter en hurtig sikkerhedsloesning om at gaa igen. Hvis brugeren
>vaelger at forsaette vil en scanning begynde imod den IP adresse han
>eller hun besoeger fra. Resultatet vil vaere en korrekt og forstaaelig
>beskrivelse af hvilke services der lader til at koere paa den besoegende
>maskine. Ikke noget med "hidden Internet servers" eller "stealth
>capability." -- jeg kaster op.

For den ukyndige bruger er det altså noget af en overraskelse at f.eks.
windows som standard har nogle services åbne, som kan misbruges udefra. Der
er ikke noget i brugerens værktøj, der viser disse services. Derfor er
ordet "skjult" måske ikke så tosset endda.

Med hensyn til den test, du skitserer, så lyder den for mig som en dansk
udgave af teksten om Nessus:

http://www.nessus.org/intro.html

Hvorfor er det, du ikke mener at Nessus kan bruges? Kan man ikke tænke sig
en web-udgave af dens funktionalitet?

Mvh. NKJ
P.S: Jeg er medlem af digitalrights.dk som netop går ind for at sikre
brugeres rettigheder på nettet. Vi er nok mere enige på det punkt end du
aner.

--
Best regards,
Niels Kristian Jensen
MAN B&W Diesel A/S, Denmark
This a personal message, not an official MAN B&W statement.

Henrik Lund Kramshøj (18-10-2001)
Kommentar
Fra : Henrik Lund Kramshøj


Dato : 18-10-01 13:39

Niels Kristian Jensen wrote:
>
> Med hensyn til den test, du skitserer, så lyder den for mig som en dansk
> udgave af teksten om Nessus:
>
> http://www.nessus.org/intro.html
>
> Hvorfor er det, du ikke mener at Nessus kan bruges? Kan man ikke tænke sig
> en web-udgave af dens funktionalitet?
Nessus er software, ikke en testfunktion a la Gibson

Jeg ville nok bruge en portscanner (Nmap eller strobe), OG måske
noget i stil med Nessus.

Det vigtigste vi mangler som jeg ser det, er en platform, hos nogle der stoles
på og tilladelse fra ISP'en. Hvis vi kunne finde en ISP til et pilot
projekt tror jeg vi for alvor kunne hjælpe.

Mht. til "skjulte services" mener www.sharesniffer.com ifølge deres hjemmeside
"Right now-this instant-there are tens of thousands of
computers worldwide that are sharing files deliberately with the
Internet-requiring no password and no special software other than the Microsoft
Windows? operating system."

Fordi folk ikke har password på shares er det frivilligt og ALLE må komme
ind ???

--
Mvh
Henrik Lund Kramshøj
hlk@sikkerhedsforum.dk, hlk@kramse.dk, lund@diku.dk
Sikkerhedsforum DK - seriøs debat om IT sikkerhed

Lars Kim Lund (18-10-2001)
Kommentar
Fra : Lars Kim Lund


Dato : 18-10-01 22:16

Hej Henrik Lund Kramshøj <hlk@kramse.dk>

>Jeg ville nok bruge en portscanner (Nmap eller strobe), OG måske
>noget i stil med Nessus.

Lidt uden for kontekst, men jeg vil lige nævne at flere og flere
net-tools bliver portet fra *nix til win32. Ikke nok endnu, men det
bliver bedre.

http://security.oreilly.com/news/securingnt2_1200.html

Personligt er jeg ret glad for både windump og nmapnt.

--
Lars Kim Lund
http://www.net-faq.dk/

Henrik Lund Kramshøj (19-10-2001)
Kommentar
Fra : Henrik Lund Kramshøj


Dato : 19-10-01 00:03

Lars Kim Lund wrote:
>
> Hej Henrik Lund Kramshøj <hlk@kramse.dk>
>
> >Jeg ville nok bruge en portscanner (Nmap eller strobe), OG måske
> >noget i stil med Nessus.
>
> Lidt uden for kontekst, men jeg vil lige nævne at flere og flere
> net-tools bliver portet fra *nix til win32. Ikke nok endnu, men det
> bliver bedre.
>
> http://security.oreilly.com/news/securingnt2_1200.html

Æhh ja, ... iflg. artiklen du referede skete det engang i
år 2000 ... (artiklen siger 5 December 2000) HOT news

>
> Personligt er jeg ret glad for både windump og nmapnt.
Ethereal findes også i en windows version.

Jeg mener at kunne huske at nmapnt har nogle begrænsninger
i forhold til storebror (på Unix) - jeg bruger dog ikke Windows til
portscanning så jeg endeligt kan bekræfte dette.

--
Mvh
Henrik Lund Kramshøj
hlk@sikkerhedsforum.dk, hlk@kramse.dk, lund@diku.dk
Sikkerhedsforum DK - seriøs debat om IT sikkerhed

Lars Kim Lund (19-10-2001)
Kommentar
Fra : Lars Kim Lund


Dato : 19-10-01 07:35

Hej Henrik Lund Kramshøj <hlk@kramse.dk>

>> http://security.oreilly.com/news/securingnt2_1200.html
>
>Æhh ja, ... iflg. artiklen du referede skete det engang i
>år 2000 ... (artiklen siger 5 December 2000) HOT news

Jeg skrev ikke at det var hot news. Det var en service til de folk,
der ikke vidste at de fandtes.

>> Personligt er jeg ret glad for både windump og nmapnt.
>Ethereal findes også i en windows version.

jep.

--
Lars Kim Lund
http://www.net-faq.dk/

Lars Kim Lund (23-10-2001)
Kommentar
Fra : Lars Kim Lund


Dato : 23-10-01 21:37

Hej Lars Kim Lund <larskim@mail.com>

>>> Personligt er jeg ret glad for både windump og nmapnt.
>>Ethereal findes også i en windows version.
>
>jep.

Og hvis jeg må tilføje, så er den [Ethereal] faktisk ganske udmærket.
Derudover er det ingen skade til at den kan læse dumps fra windump (og
formentlig også tcpdump fra linux). Der findes en mere officiel gui
til windump, der hedder Analyzer, men den var ikke så gennemført da
jeg testede den for et års tid siden.

--
Lars Kim Lund
http://www.net-faq.dk/

Alex Holst (19-10-2001)
Kommentar
Fra : Alex Holst


Dato : 19-10-01 00:39

Niels Kristian Jensen <nkj@manbw.dk> wrote:
> Så har jeg misforstået formålet med den test-funktion. Skulle den ikke
> hjælpe folk med mindre teknisk forståelse? Det kræver en eller anden form
> for metode til at gøre testeren kendt for at det nytter noget.

Jo, den skal kunne bruges af folk uden viden om TCP/IP og andet. Men hvis
folk ikke er interesseret i at laere og/eller forstaa kan jeg ikke goere
noget ved det, og det nytter ikke noget at skraemme dem.

>>Maa jeg vaere fri. Den er den holdning der er skyld i diverse lovforslag
>>om at forbyde kryptering, og at ISP'er skal logge alt hvad deres brugere
>>foretager sig.
>
> Den sammenhæng forstår jeg vistnok ikke, men måske mener du at en "poppet"
> sikkerhedstest kan gøre folk utrygge og derfor bestorme lovgiverne med krav
> om strenge straffe?

Jeg mener at fremme mangel paa forstaaelse kan give bagslag f.eks. ved at
dumme lovforslag bliver foert igennem fordi der ikke er forstaaelse for
emnet de paavirker. Folk skal ikke vente paa at en mediefigur udtaler noget
som virker til at vaere korrekt -- de skal vaere i stand til selv at forstaa
hvad der er godt og hvad der er skidt.

>>Vidste du, at terroristerne bruger computere?
>
> Lad os lige holde os til sagen. De bruger også biler.

Det var nu min pointe. Hvorfor kan folk hidses op over at terrorister bruger
computere til kommunikation, men ikke at de samme terrorister koerer i bil,
taler i telefon, etc? Manglende forstaaelse.

> For den ukyndige bruger er det altså noget af en overraskelse at f.eks.
> windows som standard har nogle services åbne, som kan misbruges udefra. Der
> er ikke noget i brugerens værktøj, der viser disse services. Derfor er
> ordet "skjult" måske ikke så tosset endda.
>
> Med hensyn til den test, du skitserer, så lyder den for mig som en dansk
> udgave af teksten om Nessus:
>
> http://www.nessus.org/intro.html
>
> Hvorfor er det, du ikke mener at Nessus kan bruges? Kan man ikke tænke sig
> en web-udgave af dens funktionalitet?

Nessus er rigtig tung at arbejde med og bruger mange resourcer paa den
maskine den bliver kort fra. Et hjemmeskrevet vaerktoej kan derimod tage
meget faa resourcer.

Jeg tror jeg laver en simpel version af hvad jeg har i tankerne. Saa kan
folk se hvad jeg vil, og de som har lyst kan hjaelpe med resten. Giv mig et
par dage.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Henrik Lund Kramshøj (17-10-2001)
Kommentar
Fra : Henrik Lund Kramshøj


Dato : 17-10-01 10:04

Alex Holst wrote:
>
> Selvom jeg ikke har haft meget tid til OSS'en de sidste par uger vil jeg
> alligevel dreje folks opmaerksomhed i dens retning endnu en gang. Den har
> efterhaanden, blandt andet takket vaere et par af deltagerne her i gruppen,
> naaet et omfang som jeg foeler jeg kan vaere bekendt.
>
> Der er stadigt plads til mere i den, men de vigtigste omraader har rimelig
> daekning. Hvis der er svar som du mener skulle vaere anderledes, eller
> spoergsmaal som mangler er du velkommen til at bidrage med dine meninger
> eller artikler.
Den er god, men alt kan forbedres - jeg har ikke tid nu, men har gemt linket.
>
> Det vil nok hjaelpe paa gruppen hvis folk kender til OSS'en og ved
> nogenlunde hvad den indeholder. Dette betyder, at istedet for at skrive et
> 15 liniers svar kan man pege paa et passende svar i OSS'en. Jeg mener dens
> eksistensberettigelse ligger i at drive ofte diskuterede og/eller kedelige
> emner ud af gruppen saa meget som muligt ved at give et hurtigt og fyldigt
> svar paa disse emner.
>
> Noget andet er, at jeg er traet af Steve Gibson's latterlige online
> sikkerhedstest og gaar med tanker om et lignende projekt. Fokus boer ligge
> paa at uddanne, ikke skraemme brugeren. Jeg orker dog ikke at goere det
> alene og klokken er 4am IST saa jeg ved ikke engang om det er en god ide.
> Hvis det skal blive til en realitet skal andre end mig se et behov for det,
> og et par mennesker skal kunne bidrage med blandt andet programming, viden
> om TCP/IP og implementationen af protokollerne.
Jeg pusler også lidt med den tanke, og kunne forestille mig at man i fællesskab
med en eller flere ISP'er kunne lave en indsats for at lukke porte, eller
ihvertfald gøre folk opmærksomme på at de har diverse services åbne med
STORE og ALVORLIGE sikkerhedshuller.

Jeg har som sikkerhedskonsulent set temmmelig mange standard installationer,
der aldrig er blevet opdateret med sikkerhedspatch eller andet.
Et af kendetegnene ved Code Red inficerede maskiner var da også at disse
webservere IKKE indeholdt andet end IIS standard siden - folk var IKKE
klar over at de kørte en webserver (på deres Exchange server, eller hvad
maskinens hovedformål nu var)!

Jeg synes der er for meget FUD i debatten, og hvis vi på en sober måde kunne
gøre folk opmærksomme på problemerne er jeg med. Min målgruppe for et sådant
projekt ville være private, da der findes specialiserede firmaer der
udfører sikkerhedstest, som jeg ikke mener vi kan eller bør konkurrere mod.

>
> Hvis Gorm ikke har lyst til at hoste saadan en sikkerhedstest paa area51's
> forbindelse og hardware vender jeg tilbage og leder efter hosting.

Hvis jeg sad hos en ISP ville jeg nok skrive ind i abonnementsbetingelserne
at der kan tilvælges ugentligt/månedligt portscan af adresserne - jeg håber
en dag at høj sikkerhed bliver en konkurrenceparameter for ISP'erne.
>
> Godnat.
>
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.area51.dk/

--
Mvh
Henrik Lund Kramshøj
hlk@sikkerhedsforum.dk, hlk@kramse.dk, lund@diku.dk
Sikkerhedsforum DK - seriøs debat om IT sikkerhed

Jacob Atzen (20-10-2001)
Kommentar
Fra : Jacob Atzen


Dato : 20-10-01 09:55

Henrik Lund Kramshøj <hlk@kramse.dk> writes:

> Hvis jeg sad hos en ISP ville jeg nok skrive ind i abonnementsbetingelserne
> at der kan tilvælges ugentligt/månedligt portscan af adresserne - jeg håber
> en dag at høj sikkerhed bliver en konkurrenceparameter for ISP'erne.

Det er det tildels allerede - jævnfør (var det get2net?) reklamerne om "sikkert
Internet". Desværre har pigtrådsledninger vist ikke den store effekt på
sikkerhed

Seriøst tror jeg nok at folk er ved at være klar over, at sikkerhed er noget
man skal være opmærksom på i forbindelse med brug af Nettet. Men for den
gennemsnitlige Windows bruger kan det være utrolig svært at finde ud af,
hvad man skal gøre. For mange er deres eneste kilde til information på området
for så vidt ISP'erne. Og ISP'ernes (ialtfald TDC's) idé om sikkerhed på
personlige computere er personlige firewalls. Jævnfør:

http://kundeservice.opasia.dk/norton-firewall/

Min påstand er, at størstedelen af de "almindelige" Internet brugere ikke er i
stand til at finde ind i en nyhedsgrupppe som denne, eller at finde tilsvarende
information på nettet. Så det bedste må vel være, at få ISP'erne til at ændre
deres opfattelse af, hvad sikkerhed er. Jeg er overbevist om, at der hos alle
ISP'er sidder nogen meget kompetente mennesker, så det er nok nærmere ledelsen
der er problemet.

Med venlig hilsen
- Jacob Atzen

ASKF (17-10-2001)
Kommentar
Fra : ASKF


Dato : 17-10-01 18:18

Alex Holst ytrede sig i <slrn9sptu9.2oo2.a@C-Tower.Area51.DK> med dette:

[snip]
>Det vil nok hjaelpe paa gruppen hvis folk kender til OSS'en og ved
>nogenlunde hvad den indeholder. Dette betyder, at istedet for at skrive et
>15 liniers svar kan man pege paa et passende svar i OSS'en. Jeg mener dens
>eksistensberettigelse ligger i at drive ofte diskuterede og/eller kedelige
>emner ud af gruppen saa meget som muligt ved at give et hurtigt og fyldigt
>svar paa disse emner.
[snip]

Det er pt. tydeligt at der er mange som ikke er klar over at gruppen har
en OSS, så det er måske på tide at gøre opmærksom på det andet end i
enkelte svar.
Måske var det en idé at poste enten hele OSS'en eller en oversigt over
hvilke svar man kan finde med link til OSS'en en gang i
ugen/måneden/efter behov.
--
Mvh
Bibliotekar D.B./Stud. Sci. Bibl.
Allan Stig Kiilerich Frederiksen

Lars Kim Lund (17-10-2001)
Kommentar
Fra : Lars Kim Lund


Dato : 17-10-01 19:48

Hej ASKF <askf@_NOSPAM_post.com>

>Det er pt. tydeligt at der er mange som ikke er klar over at gruppen har
>en OSS, så det er måske på tide at gøre opmærksom på det andet end i
>enkelte svar.

Ja, vi skal være meget bedre til at henvise til den, når der spørges
om ting, som er beskrevet i den.

>Måske var det en idé at poste enten hele OSS'en eller en oversigt over
>hvilke svar man kan finde med link til OSS'en en gang i
>ugen/måneden/efter behov.

Jeg er ikke overbevist om at det vil have nogen større effekt. Hvis vi
taler robot-funktioner, så kunne man overveje en velkomst-mail, som
det ses i f.eks. perl-gruppen.

--
Lars Kim Lund
http://www.net-faq.dk/

Christian Laursen (17-10-2001)
Kommentar
Fra : Christian Laursen


Dato : 17-10-01 22:48

Alex Holst <a@area51.dk> writes:

> Noget andet er, at jeg er traet af Steve Gibson's latterlige online
> sikkerhedstest og gaar med tanker om et lignende projekt. Fokus boer ligge
> paa at uddanne, ikke skraemme brugeren. Jeg orker dog ikke at goere det
> alene og klokken er 4am IST saa jeg ved ikke engang om det er en god ide.
> Hvis det skal blive til en realitet skal andre end mig se et behov for det,
> og et par mennesker skal kunne bidrage med blandt andet programming, viden
> om TCP/IP og implementationen af protokollerne.

Jeg kan sikkert godt være behjælpelig med programmeringen. (Jeg antager, det
skal køre på noget BSD-agtigt e.l., som jeg bryder mig om at arbejde med)

--
Med venlig hilsen
Christian Laursen

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste