Hjemme PC

Er ADSL eller kabelmodem usikkert?

Nej.

Sikkerhedsmæssigt bliver din sikkerhed ikke påvirket ved at have en ADSL eller anden højhastighedsforbindelse. Din maskine kan dog bruges til forskellige ubehagelige formål, da den råder over en betragtelig båndbredde. Ofte har din maskine dog den samme adresse i lang tid af gangen hvilket gør den let at finde igen. Disse to ting gør den til et attraktivt mål for visse halvhjerner og andet snask.

Det er dine vaner, brugsmønstre og PC opsætning der bestemmer, om du er sårbar overfor forskellige typer angreb, ikke hvilken type forbindelse der forbinder dig til nettet. Du bør tage de samme foranstaltninger mht. sikkerhed uanset hvilken type Internet forbindelse du er i besiddelse af.

Hvorfor er port X åben når jeg portscanner min PC udefra?

Fordi din internetudbyder har brug for at kontrollere det netværksudstyr (router, DSL modem, etc) der følger med din forbindelse. Typisk er det port 23 (telnet) der bruges.

Hvad betyder 'stealth' ifm. firewalls og eksterne portscannere?

Det er et marketingsbegreb der betyder noget i retning af, at din PC ikke sender svar tilbage på forbindelsesforsøg.

Det er ikke noget som forbedrer din sikkerhed. Grundet den upræcise betydning, er det normalt ikke et begreb der benyttes i gruppen. Det anbefales at du ikke bruger det, medmindre du ved hvert brug forklarer præcist hvordan din PC's TCP/IP implementation bliver påvirket, og hvordan denne ændring i opførsel skulle forbedre din sikkerhed.

Hvordan angriber virus, orme og trojanske heste?

Disse typer programmer kan virke mystiske men er i virkeligheden ganske almindelige computerprogrammer, skrevet af mennesker ligesom alt andet. Virus og lignende har blot et andet formål end de programmer du er vant til at bruge.

Den samlede betegnelse for denne kategori af programmer er "malware" af det engelske "malice" som betyder ondskabsfuld.

Virus spredes ved at hæfte sig på andre programmer, og da virus var udbredte var det ikke usædvanligt at se en maskine med virus hvor samtlige programmer var inficerede. I "gamle dage" var det normen at PC brugere delte disketter og på den måde spredte virus sig mellem brugere.

Nye virus ses ikke ret ofte længere da verden har ændret sig. Der benyttes email til at sende informationer rundt i stedet for at benytte disketter, og kun ganske sjældent sender brugere (med vilje) installerede programmer fra deres harddisk til andre.

Yderligere diskussion om virus bør ikke finde sted i dk.edb.sikkerhed, men derimod i dk.edb.sikkerhed.virus som har en OSS om emnet.

Orme virker på en lidt anden måde. I stedet for at sprede sig til alle programmer på een maskine, spreder en orm sig fra maskine til maskine. Enten forstår den selv at skabe en udgående forbindelse på nettet, eller så benyttes et installeret program (f.eks. Outlook og dennes adressebog) som en kanal til andre ofre. Orme kan i høj grad inficere og sprede sig uden menneskelig hjælp. Se også Hvad er en orm?

Trojanske heste virker ved at udgive sig for een ting (f.eks. et sødt lille spil) men i virkeligheden gør noget andet. Trojanen Happy99 viste et sødt vindue med fyrværkeri, mens den i baggrunden aktiverede sit 'payload' (last) der automatisk forsøgte at sprede sig til andre PC'ere.

Hvordan kan jeg beskytte mine filer?

(Fuld forståelse af dette afsnit afhænger til dels af forståelse af emnerne som er berørte i svaret til Hvad er kryptering?)

Det kommer an på hvilken betydning du lægger i ordet "beskytte" og i hvilket omfang du ønsker at beskytte information. Hvis du vil forhindre adgang til information skal du bruge et krypteringsprogram.

Hvis du blot skal beskytte et lille antal filer eller filerne skal kunne sendes f.eks. via email kan PGP være acceptabelt. Hvis du har behov for at beskytte et større antal filer findes der drev-krypteringsværktøjer der virker ved at skabe falske harddiske på dit system. Alt indholdet af dem bliver krypteret og beskyttet af din adgangskode. Sålænge du vælger en stærk adgangskode og ikke fortæller den til nogen, er dine oplysninger beskyttet.

PGPdisk er beregnet til drev-kryptering og var indtil version 6.0.2i en del af PGP Freeware. Nu findes den kun i den kommercielle udgave af PGP Personal, som virker til at være pengene værd.

Scramdisk er også blevet nævnt i gruppen i forbindelse med drev-kryptering. Det er gratis, og selvom det tilsyneladende ikke har gennemgået og modstået analyser i samme grad som PGPdisk har, virker Scramdisk som et ærligt og lovende produkt.

Cryptographic File System (CFS) af Matt Blaze kan bruges under BSD UNIX systemer til at opnå drevkryptering. Det installeres nemt gennem ports-systemet. Det består af en dæmon, cfsd, der on-the-fly krypterer og dekrypterer data igennem et NFS loopback mount.

Transparent Cryptographic File System (TCFS) er en forbedring af Matt Blazes CFS der i tillæg til at det virker lokalt også kan deles over et netværk uden de problemer som f.eks. NFS lider af. TCFS virker på Linux og BSD.

Til Linux og Windows systemer findes BestCrypt, som også giver adgang til let og enkel drevkryptering.

Hvis du ønsker at opdage uautoriserede ændringer skal du bruge en digital underskrift eller et message digest. PGP og GnuPG kan lave digitale signaturer som beviser at en fil stammer fra dig og at der ikke er blevet ændret i den. Dette bruges blandt andet i Open Source miljøet: en forfatter lægger sit software til download sammen med en digital signatur og gør således brugeren i stand til at opdage hvis filen er blevet ændret efter den forlod forfatteren. En digital signatur kan også bruges til at opdage hvis email er blevet ændret efter afsendelsen.

Et message digest er et "fingeraftryk" af en tekst. Givet en tekst (fil), kan man anvende en message digest algoritme på denne og derved skabe dette unikke fingeraftryk. Algoritmen er konstrueret således, at det matematisk set er meget svært at producere en tekst med et givet fingeraftryk, eller producere to forskellige tekster med samme fingeraftryk.

Der findes en række algoritmer til skabelse af disse fingeraftryk. Nogle af de mest kendte er MD5 og SHA160. Fælles for disse algoritmer er, at de for vilkårligt store input skaber et unikt fingeraftryk på en fast længde. Længden af dette nummer er afhængig af algoritme, men måles normalt i bit. Fingeraftrykket kaldes det også en 'hash'.

Matematisk set er det næsten umuligt at producere to forskellige tekster med den samme hash eller at producere en tekst der har en bestemt hash. Det engelske fagudtryk for dette er "infeasible" der nærmest kan oversættes med "ugørligt". Virkeligheden er dog, at algoritmerne er opfundet af mennesker og der vil løbende blive fundet svagheder i dem. Som almindelig PC bruger er det ikke noget man behøver tænke over. Du kan højst sikre dig, at de programmer du benytter, ikke gør brug af algoritmer med kendte svagheder.

Et lille eksempel:

 
 Input		Den lille brune ræv.
 MD5-hash	e039d911a354b1a1828addd53943f7e0
 
 Input		Den lille brune røv.
 MD5-hash	4468b62e48a2a1757869ccc6b85c0efa

Som det ses gør selv en lille ændring i input en stor forskel i hashen.

Se RFC1321 for mere information.

En betingelse som gælder for alt slags teknologi er, at det skal bruges korrekt. Hvis der opnås fysisk adgang til maskinen hvor du arbejder er det svært/umuligt at forhindre at der bliver installeret programmer som opsnapper alle tastetryk. Fysiske 'keystroke loggers' som sættes på kablet mellem dit tastatur og maskinen er billige og tilgængelige for de som er motiverede nok.

Hvis du har brug for at beskytte information som uvedkommende har fysisk adgang til skal du kigge på "Permissive Action Link" og "Strong link/weak link" systemerne som bruges på atombomber.

Hvordan kan jeg forhindre at andre benytter min computer?

Sjovt nok vil jeg begynde dette afsnit med at tale lidt om hvordan du ikke kan forhindre at andre benytter din computer.

Til Windows 95, Windows 98 og Windows ME findes der masser af programmer som i forskellig grad kan påvirke hvordan Windows opfører sig -- indtil den korrekte adgangskode er blevet indtastet. Disse programmer kan være passende at bruge hvis man vil begrænse hvor 4-årige Per trykker med sine nuttede lille fingre, men pga. en total mangel på sikkerhedsmodel er de ikke egnet til andet. Enhver med kendskab til Windows kan trivielt omgå disse programmer.

Kryptering af systemfiler hjælper heller ikke, da disse filer blot skal fjernes og erstattes med fungerende udgaver.

Brug af adgangskode til BIOS, som gør at maskinen ikke vil starte, kan forsinke en ubuden bruger indtil vedkommende får lyst til at åbne maskinen og fjerne adgangskoden med den dertil indrettede kontakt (jumper) på bundkortet. Afhængig af hvem 'andre' er, kan dette være tilstrækkeligt. Som omtalt i afsnittet om beskytning af filer findes der fysiske 'keystroke loggers' som kan opsnappe denne slags adgangskoder.

Hvis du bruger et operativsystem med en sikkerhedsmodel, f.eks. UNIX, Windows NT, Windows 2000 eller Windows XP kan dette også sinke en ubuden gæst. Hvis der kan skaffes fysisk adgang til maskinen er det bedste du kan håbe på at spilde vedkommendes tid nok til, at du er vendt hjem fra f.eks. tennistræning. Beskyttelsen som opnås ved at bruge et operativsystem med en sikkerhedsmodel forsvinder i det harddisken sættes i et andet system som sekundær disk. Angriberen kan læse og skrive til disken, inklusive at oprette legal brugeradgang til sig selv.

I mange sådanne tilfælde er en laptop som du enten altid kan se, eller låser forsvarligt inde den eneste løsning. Lad være med at koble den til dockingstations hvor det fremmede tastatur kan bruges til at opsnappe hvad du taster.

Hvornår er der ikke behov for en personlig firewall?

Jeg er glad for du spurgte! Med den holdning er du på vej mod langt sikrere Internet brug end de fleste.

Det korte svar: Kan du redegøre for hvorfor du skal have en personlig firewall, hvordan en personlig firewall virker, og på hvilke områder den ikke kan beskytte dig? Hvis svaret til blot eet af disse spørgsmål er "Nej," bør du ikke bruge tid på personlige firewalls.

Det lange svar: En firewall virker som beskrevet i Hvad er en firewall? ved at tillade eller forbyde forskellige former for netværkstrafik. Sandsynligheden for, at du rent faktisk har brug for denne funktionalitet på din hjemme PC, er fantastisk lille. (Det samme gælder anti-virus programmer, men den snak kan vi tage på et senere tidspunkt). Desværre bruger producenterne af disse produkter så mange penge på reklamer, at mange forbrugere, ganske forståeligt, let bliver forvirrede. Hvem kan dog forestille sig et firma som vil sælge produkter til personer der ikke helt ved hvad de køber, men gladeligt vil give penge for tilsyneladende at beskytte sig mod "de onde hackere"? En chokerende tanke.

En personlig firewall virker ved at opfange forbindelsesforsøg fra andre computere på Internettet rettet mod din PC. Derefter skriger den gerne højt om det, for hvorfor skulle du ellers opgradere fra den gratis udgave til betalingsudgaven, hvis du ikke ser at din firewall virkeligt "beskytter" dig? Uden en firewall ville dit OS i de fleste tilfælde afvise forbindelsesforsøget.

Hvis din PC fungerer som server (f.eks. web server, mail server, dele filer via "Andre computere", ftp-server, etc.) vil dit OS sende forbindelsen videre til det pågældende serverprogram. Der er risiko for at det pågældende serverprogram indeholder sikkerhedsfejl eller er sat forkert op. Ideen er derfor, at din PC ikke kører sådanne serverprogrammer. Windows og andre OS bliver leveret i uheldige opsætninger, som gør dem til en øjeblikkelig risiko når maskinen kobles på nettet. Det kræver lidt energi at ændre denne opsætning, men når der ikke er nogle aktive serverprogrammer at beskytte, har du ikke brug for en personlig firewall.

"En personlig firewall stopper trojanske heste og spyware fra at ringe hjem!" råber firewall-producenterne. Gid det var sandt. Hvis en angriber kan lokke brugeren til at udføre et program kan en personlig firewall ikke hjælpe, da der er adskillige måder at et installeret program kan omgå en personlig firewall. Blandt andet kører disse firewalls som almindelige programmer og kan derfor lukkes af hvilke som helst andre programmer. På nogle OS (Windows 95, 98 og ME) kan et program installere sin egen tcpstack (netværkskomponent) som din firewall ikke har kontrol over.

Oven i alt dette, skal du huske at ligesom alle andre slags programmer, har personlige firewalls også fejl af forskellige arter, blandt andet kan de forhindre at din computer virker korrekt, og der har endda været tilfælde hvor der har været sikkerhedsfejl i ZoneAlarm og de fleste andre lignende produkter på markedet. Ja, det er rigtigt at de fejl er rettede nu, men først og fremmest siger det lidt om kvaliteten af disse programmer. Jo færre programmer, og jo mindre disse programmer er, jo mindre risiko er der for at der er en fejl i koden. (Industristandarden er mellem 5 og 15 fejl per 1000 linier kode).

Hvis din PC kun bruges som arbejdsplads, altså ikke deler nogle af sine drev eller printere, og heller ikke kører serverfunktioner som du ønsker at begrænse adgangen til, er der ingen grund til at bruge tid eller energi på en personlig firewall. Alle forbindelsesforsøg vil blive afvist af dit operativsystem og at tilføje en firewall er blot at introducere en mulighed for fejl.

Udfordringen ligger så i at man ved hvordan ens maskine er sat op, og hvordan man ændrer opsætningen så man har grund til at stole på systemet.

Windows 2000 og XP kører mange, ofte unødvendige, serverfunktioner som du kan slå fra uden en firewall. Windows 9x er meget bedre på lige det punkt, men Internet Explorer, Outlook og andre giver rig mulighed for at introducere fejl på dit system. Se afsnittet Sikkerhed gennem brugeropførsel for hjælp til at beskytte dig mod disse risici.

Se den omfattende evaluering af personlige firewalls.

OSS'en har tidligere påstået at NAT enheder stopper mange angreb. Det har vist sig at være en sandhed med modifikationer. Der er nemlig stor forskel på NAT implementationer: nogle oversætter og forwarder blindt samtlige pakker uden at tage hensyn til hvilket interface trafikken kommer fra. Andre implementationer forstår idéen om en inderside og en yderside og lader ikke umiddelbart uopfordrede pakker ind på det bagvedliggende netværk.

Det betyder, at hvis din NAT enhed ikke har en filterfunktion, der kun tillader indgående trafik fra IP adresser og porte som tidligere er blevet kontaktet af en maskine inde i NAT området, kan det være muligt for en angriber at sende vilkårlige pakker ind på dit netværk. Sørg for at din NAT enhed stopper pakker der kommer udefra, medmindre opsætningen specifikt dikterer at pakker skal forwardes internt.

Hvornår kan der være behov for en personlig firewall?

I situationer hvor man ønsker at en given service (f.eks. netværksdrev eller Quake 3) kun skal være tilgængelig for bestemte andre maskiner, kan man med fordel benytte sig af et stykke firewall software på klienten, der afviser pakker sendt fra uvedkommende netværk til den port hvorpå den ønskeværdige service er aktiv.

Hvis man ønsker at ingen andre maskiner skal tilgå en bestemt service, bør servicen lukkes ned i stedet for at man spilder tid og energi på at installere en personlig firewall.

Se også spørgsmålet Er der forskel på netværksfirewalls og personlige firewalls?

Kan en personlig firewall beskytte mig hvis malware er aktivt på min PC?

Nej.

Hvis du bevidst eller ubevidst har installeret et program som f.eks. er udviklet til at sende dine personlige oplysninger ud over internettet er det i de fleste almindelige brugssituationer ikke teknisk muligt at forhindre dette.

Det skyldes, at et program startet af dig, kan gøre de samme ting som du kan, inklusiv at slukke for din personlige firewall eller ændre regelsættet for hvad der er tilladt og ikke tilladt.

Selv diverse personlige firewalls der installerer sig som DLL filer og derfor påstår at være mere sikre end almindelige programmer kan trivielt omgås hvis man har administratorrettigheder på en PC.

Hvis du vil have nogen chance for at stoppe aktivt malware, skal det køres i en konto der hverken har administratorrettigheder (f.eks. installere og fjerne software, redigere indholdet i Windows registry eller påvirke den måde programmer bliver udført på) eller rettigheder til at påvirke firewall regelsættet -- men virker det så ikke lettere at slet ikke køre ukendte programmer?

Hvornår er der ikke behov for anti-virus programmer?

Hvis dit anti-virus program er korrekt installeret, benytter nyeste datafil og andre programmer ikke har haft mulighed for at manipulere med installationen, kan det muligvis genkende og stoppe malware der er så udbredt og så "gammelt", at leverandøren af anti-virus har modtaget en kopi, haft tid til at analysere den og sende en ny datafil ud.

Man er reelt uden beskyttelse fra anti-virus software i de første 12-48 timer. Anti-virus virksomheden F-Secure har analyseret hastigheden hvorved de forskellige producenter formår at udsende en opdatering af deres datafil. (F-Secure Speed of Response). Fordelen i at benytte brugeropførsel og omtanke, ikke anti-virus programmer, som beskyttelse burde være tydelige.

Derfor, hvis brugeren er i stand til at benytte Windows Update og bruge lidt tid på at ændre vanen med at klikke på alt der modtages via email, så har man reelt ikke bruge for et anti-virus program.

Hvornår kan der være behov for anti-virus programmer?

Når man ved hvordan anti-virus programmer virker og når man ved hvad man har at miste er man i stand til at definere i hvilke situationer en sådan beskyttelse kan give mening. Hvis du ikke ved hvordan dit anti-virus programm virker og hvad dets begræsninger er, vil vi råde dig til at afinstallere det.

Situationen hvor brug af anti-virus program kan give mening, kræver at brugeren ikke har værdifulde oplysninger af nogen art på sin PC. Yderligere bør der være mulighed for at genetablere fra en ren sikkerhedskopi i tilfælde af infektion. Det vil være en fordel hvis genetablering kan finde sted uden at det kræver meget tid eller resourcer. Grunden til at der ikke bør opbevares værdier på PCen skyldes naturligvis den begrænsede beskyttelse som ligger i anti-virus programmer.

Man kunne forstille sig at et anti-virus program kunne holde de mest kendte og udbredte stykker snavs væk fra en PC udelukkende beregnet til spil og andre former for sjov. Hvis man får mistanke om at noget er sluppet igennem, kobler man PCen fra netværket og fortsætter med at spille ikke-netværksspil til man har tid til at fortage en genetablering.

Hvordan kan jeg tage en sikkerhedskopi af mine data?

At tage en sikkerhedskopi er lettere sagt end gjort. Den skal først og fremmest indeholde alle vigtige filer. Det er meget normalt at det tager 3-4 forsøg før man har en komplet kopi af sine data. Samtidigt skal kopien ofte beskyttes mod fysisk ødelæggelse og tyveri - naturligvis samtidigt med at den er tilgængelig når vigtige data er gået tabt og skal genskabes fra kopien.

Man tager i øvrigt aldrig en sikkerhedskopi. Man tager én om dagen, om ugen eller om måneden afhængigt af ens behov. Den skal hver gang være komplet, testes så man ved den virker samt opbevares både forsvarligt og tilgængeligt. Du må selv finde ud af hvilke intervaller af sikkerhedskopiering, hvilke former for tests og hvilke typer af opbevaring der passer til dit behov.

I Windows medfølger et program til sikkerhedskopiering. Vi anbefaler at du benytter det til løbende at opbygge et 'selection set' således du på et tidspunkt tager kopi af alle dine vigtige filer. Dette gøres lettest ved at opbevare alle sine data i en folder, som f.eks. Mine Dokumenter er beregnet til.

Afhængigt af mængden af data kan de gemmes på en CD eller DVD, en USB memory stick som ofte kan rumme mellem 256MB og 1GB, eller man kan simpelthen købe en ekstern harddisk som kobles til computeren via USB og på den måde kan man gemme store mængder familiebilleder og videofilm så de ikke forsvinder.

Alternativt kan der købes online diskplads så man rimeligt smertefrit kan opbevare ikke-følsomme oplysninger uden for huset. Vi kender til følgende udbydere af online backup service:

Hvordan kan jeg tage en sikkerhedskopi af mine krypteringsnøgler?

Sikkerhedskopiering af krypteringsnøgler har samme problemer som sikkerhedskopiering af data, plus lidt ekstra. Dine krypteringsnøgler kan f.eks. være den Digitale Signatur, adgangsnøglen til webbank, PGP nøgle, osv.

Det er vigtigt at du, selv i ekstreme tilfælde som indbrud, brand og andre fysiske ødelæggelser har velbevarede kopier af dine krypteringsnøgler da du ellers kan være i en situation hvor du ikke kan tilgå nogle meget vigtige dokumenter.