Sådan beskytter du dig imod 99,8 procent af alle malware-angreb

Dette giver mere net-sikkehed end div. købe-crap-ware.
I Chrome 9 er plug-in fabriks-indbygget og kører i en sandbox. (herunder Adobe)
Chrome 9 patcher automatisk. (altid opdateret)
Chrome 9 er klar vinder i alle seriøse indbrudskonkurrencer.
Chrome 9 virker også på Windows XP. /;-} (Gammel PC får nyt (sikkert)liv)

Installer noget andet end Windows.

Poul-Henning

...ca. 95% af al malware: Holder op med at køre som administrator.

Installér en firewall for udgående trafik. På Mac kan Little Snitch anbefales.

Hej Jesper og andre,

I praksis er det svært at bruge en firewall for udgående trafik. Dels ved de fleste brugere ikke hvilken traffic der er Ok og i praksis bruger det meste malware nu http og http over TLS til udgående traffik. Jeg vil hellere bruge min begrænsede tid på at forhindre at min computer bliver inficeret. Hvis noget malware først har kørt på ens PC er det "Game over" og tid til total geninstallering IMHO.

Mvh
Steen

http://distrowatch.com/

Poul-Henning har vundet den t-shirt, som vi internt på redaktionen udlovede til den første i debatten, som skrev netop den besked! ;-)

Vi er dog lidt overraskede over, at det tog hele 54 minutter.

vh.

Jesper
Version2

Det er bare ærgerligt, at PHK ikke har ret. Mac OS har i flere år fået lappet flere sikkerhedshuller end Windows, og jeg er overbevist om, at man heller ikke er "100% sikker", som påstået, hvis man kører en hvilken som helst anden *nix.

Hej Steen,
En ordentlig udgående firewall kan du ikke bare bestemme hvilke porte der skal være åbne, du kan også bestemme hvilke programmer der skal kunne åbne hvilke porte og hvilke servere de må gå til. Det betyder at et malwareprogram ikke kan "smutte" igennem, HTTP eller HTTPS portene, da de ikke er godkendt af firewallen til at gå på nettet.

Når microsoft patch ting uden der er er en cve , er det jo lidt svært at sige om de faktisk har flere eller færre huller end et andet system, se

http://www.h-online.com/security/news/item/Microsoft-still-using-underco...

@Michael
Nu har de gængse *nix jo et par fordele i forhold til listen ovenfor. For det første har de centraliserede updates, der virker væsentligt bedre end noget som helst til Windows. For det andet kører brugeren normalt ikke som admin, hvilket dog er mindre vigtigt i de her tider hvor det mest er brugerens data man angriber.

Hej igen Jesper,

Hvis malware kører på en computer med fulde privilegier kan det gøre lige hvad det vil. Dvs. det kan rekonfigurere eller deaktivere din lokale udgående firewall eller overtage eksisterende processer. Ofte ser man f.eks. malware som overtager Internet Explorer processen for at derefter være sikker på at kunne kommunikere via HTTP og HTTPS.
Derudover vil langt de fleste mennesker ikke være i stand til at konfigurere en firewall per program hvorefter de ender med at svare automatisk Ja hver gang et program beder om lov til at gå på nettet.
Dermed ikke sagt at en udgående firewall aldrig stopper noget malware, men jeg stiller spørgsmålstegn ved effektiviteten af udgående firewalls på typiske PC'er. Sorry! ;-)

Hej igen Steen,
Nu ved jeg ikke med Windows, men der er intet program der får lov til at køre i admin mode på MacOSX, med mindre det er blevet installeret med admin rettigheder og computeren afkræver admin adgangskode ved installationen. Alternativt skal den køres i SUDO mode fra terminalen af. Derudover er nyinstallerede programmer på Mac sandboxed indtil brugeren giver tilladelse til at de må køre. Eneste undtagelse er digitalt signerede Appleprogrammer eller digitalt signerede programmer installeret fra Mac App Store. Det at køre med fulde admintilladelser gør man kun hvis man køre i root. Og det er der ingen ved deres fulde fem der vil gøre.

Jeg har arbejdet med Mac fra før jeg første gang lærte at skrive www i Netscape. Jeg har aldrig brugt virusbeskyttelse og surfer som enhver anden rundt på nettet og modtager mail. Jeg bruger generelt ikke Microsoft produkter. Jeg erstatter dem helst med andre programmer hvis jeg kan.

For en uge siden hentede jeg under indtryk af det stadige bomardement om at Mac nu er usikker ClamXav ned på min computer og testkørte i nat. No files infected.

Jeg har mine date med fra begyndelsen af 90'erne, hvor jeg skiftede til Mac. Én gang har en kunde sagt, at en af mine filer var inficerede. Det viste sig at beskeden kom fra et af de programmer der levede af at sprede frygt.

Om min Mac er 100% sikker ved jeg ikke, men det må være tæt på. Og så må i godt kalde mig jubelidiot, men helt ærligt har jeg ikke tid til at beskæftige mig med computerproblemer. Jeg lever af at sælge industrimaskiner og ikke af at holde min computer up to date.

Vi er dog lidt overraskede over, at det tog hele 54 minutter.

Jeg er mere overrasket over, at det var Poul-Henning der sank så lavt.

Nævnte programmer, undtaget ie, er ikke lavet af Microsoft.

Gælder sårbarhederne for alle styresystemer?

Nævnte programmer, undtaget ie, er ikke lavet af Microsoft. Gælder sårbarhederne for alle styresystemer?

Ofte findes sårbarhederne på tværs af platformene, ja. Det er så ikke det samme som, at de kan udnyttes af det samme exploit.

Hej Jesper,

Nu ved jeg ikke med Windows, men der er intet program der får lov til at køre i admin mode på MacOSX, med mindre det er blevet installeret med admin rettigheder og computeren afkræver admin adgangskode ved installationen. Alternativt skal den køres i SUDO mode fra terminalen af. Derudover er nyinstallerede programmer på Mac sandboxed indtil brugeren giver tilladelse til at de må køre. Eneste undtagelse er digitalt signerede Appleprogrammer eller digitalt signerede programmer installeret fra Mac App Store. Det at køre med fulde admintilladelser gør man kun hvis man køre i root. Og det er der ingen ved deres fulde fem der vil gøre.

Ja, Mac har mange udmærkede sikkerhedssystemer som man endelig skal anvende. MEN, ligesom du kan komme igennem en låst dør ved at bruge et brækjern istedet for nøglen kan malware ofte få adgang til admin rettigheder uden "sudo" og lignende. Det sker ved at bruge "local privilege escalation" sårbarheder.

Sådanne sårbarheder er også blevet anvendt til at få "root" adgang til iPhone og Android telefoner. Men her er det telefonens ejer der "hacker" sin egen telefon hvilket jo egentlig er ganske morsomt.

En Linux-bruger ville aldrig finde på at:

• Køre "./configure;make install" på en tilfældig *.tar.gz-fil fra SourceForge som root.
• Tilføje et tilfældigt APT/YUM-repository med "alle de fede codecs".
• Copy/Paste en tilfældig snippet fra Nettet, man ikke forstår.
• Installere tilfældige PHP-applikationer og give dem alle rettigheder, de skal have, for at kunne køre.

Nej, det er der ingen Linux-brugere, der kunne finde på.

:-P Thomas

Ingen software- og/eller hardwareløsning kan redde dig fra fejl som opstår 40 - 90 cm fra skærmen.

->Flemming Wyrtz

nu kender jeg ikke en Macs måde at arbejde på, så det kan være at jeg tager fejl.

Men de root kit der blandt andet findes til windows, ligger sig ind før driverne, og styrer derved hvad styresystem må se, og kan derved undgå at de bliver opdaget.

Ved ikke om ovenstående gør sig gældende for Mac.

Poul-Henning har vundet den t-shirt, som vi internt på redaktionen udlovede til den første i debatten, som skrev netop den besked! ;-)

Forslag til t-shirt print:
I started a flamewar on Version2.dk, and all i got was this lousy t-shirt.

Arr nu skal vi lige huske at det tog Charles Miller 2 min og hacke en MacBook Air i 2008 og året efter tog ham under 10 sec. og hacke en MacBook igennem Safari.

»Mac OS X er som at bo på en gård på landet, uden nogen låse, og Windows er som at bo i et hus med gitter for vinduerne i den belastede del af en by,«

taget fra http://www.version2.dk/artikel/14283-hacker-mac-computere-er-som-et-ulaa...

Hej Anders.

Jeg er ikke ekspert som det fremgår, men jeg har dog aldrig haft problemer med sikkerheden. Det er ikke det samme som at jeg ikke kan få det. Fra 2002 og frem har Mac OSX været bygget op om Unix og det giver så vidt jeg kan se nogle alvorlige fordele. Ethvert program som skal ud at køre skal have tilladelse fra mig. Og det giver jeg selvfølgelig ikke bare.

Jeg har i mit firma 2 ansatte som ikke er genier til computere og de surfer såmænd også rundt i cyberspace.

Vi har ingen virus beskyttelse og hvordan kan det være, at min bankkonto ikke er tom? Min hjemmeside ikke er hacket? Min e-mail konto ikke bruges til Spam? Min harddisk ikke er udraderet?

Er jeg dum?

Min ven mekaniker-Brian er helt overbevist om, at min bil kører dårligt fordi jeg ikke har haft stemplerne ude i denne uge. Er det dét vi taler om?

Og iøvrigt lever jeg godt på landet. Jeg bruger min computer til mit arbejde og ikke til at lege med. Det er ligesom med min bil. Jeg kører i den.

Mac OS X er som at bo på en gård på landet, uden nogen låse, og Windows er som at bo i et hus med gitter for vinduerne i den belastede del af en by

T-shirt print:

"My malware solution:
Everybody move to the Countryside"

"Mac OS X er som at bo på en gård på landet, uden nogen låse, og Windows er som at bo i et hus med gitter for vinduerne i den belastede del af en by"

En gård på landet ligger langt fra alt, så det er besværligt at komme frem og tilbage.
I byen er der hurtig og nem adgang til ting.

:)

"Mac OS X er som at bo på en gård på landet, uden nogen låse, og Windows er som at bo i et hus med gitter for vinduerne i den belastede del af en by"

En gård på landet ligger langt fra alt, så det er besværligt at komme frem og tilbage.
I byen er der hurtig og nem adgang til ting.

:)

Hvor fedt, en flamewar med analogier der ikke har med biler at gøre ;-)

Wow, jeg er ret forundret over at Winzip er med på listen. Er det efterhånden ikke ved at være lang tid siden Windows 98 og ME forsvandt fra computerne?

Mac OS har i flere år fået lappet flere sikkerhedshuller end Windows,

Og derfor er Mac OS X det første der knækkes ved Pwn2own - hver gang?

OS X er en si. Sikkerhed findes ikke. Pwn2own har bevist det igen og igen.

Sådanne sårbarheder er også blevet anvendt til at få "root" adgang til iPhone og Android telefoner. Men her er det telefonens ejer der "hacker" sin egen telefon hvilket jo egentlig er ganske morsomt.

Hvilken Android-bruger er så dum at rode med cracking af telefonen, når Android selv tilbyder alternativ adgang?

Wow, jeg er ret forundret over at Winzip er med på listen. Er det efterhånden ikke ved at være lang tid siden Windows 98 og ME forsvandt fra computerne?

WinZip kan ting som Microsofts elendige indbyggede Zip-support ikke kan.

Hvis du står med en lettere beskadiget Zip-fil i en moderne Windows så er du f*cked hvis du ikke har WinZip. Står du med en z-fil (pakket-fil.z), så kommer du heller ikke uden om WinZip.

Hvilken Android-bruger er så dum at rode med cracking af telefonen, når Android selv tilbyder alternativ adgang?

Android tilbyder alternativ adgang til at installere sofware udenom Android Market. Men dette er ikke det samme som at have linux "root" privilegier. Se
http://smarterware.org/3189/why-and-how-to-root-your-android-phone
eller Google anroid root.

Android tilbyder alternativ adgang til at installere sofware udenom Android Market.

Og derigennem kan man installere software der giver adgang til root access. Det er ikke et crack af telefonen. Jailbreak af iPhone er et decideret crack på lige fod med Linux på Xbox.

Og derigennem kan man installere software der giver adgang til root access. Det er ikke et crack af telefonen.

Dette software bruger et "local privilege exploit" til at blive "root". De fleste Android telefoner har ikke nogen officiel adgang til "root" privilegier. Så det vil jeg kalde en slags "crack" selvom brugeren ikke ved at et exploit bliver brugt - men folk har selvfolgelig forskellige definitioner af ordet "crack".

iPhone jailbreak og Linux på Xbox er også cracks IMHO, men med et andet primart formål: at kunne køre noget ikke-godkendt software på ens eget "device". Android brugere har heldigvis lov til at installere "uofficielt" software uden Googles tilladelse.

Og derfor er Mac OS X det første der knækkes ved Pwn2own - hver gang?

Var det ikke som den ene ud af to - og den anden, Windows 7, "overlevede" heller ikke ...

Som almindelig dødelig kan jeg holde mig til 'hackerens' eget råd: "For now, I'd still recommend Macs for typical users ..." (http://www.tomshardware.com/reviews/pwn2own-mac-hack,2254-6.html)
og nyde stilheden på landet.

Var det ikke som den ene ud af to - og den anden, Windows 7, "overlevede" heller ikke ...

Mac'en røg først. Hver gang. Og ganske hurtigt, faktisk. Windows holder stand længere.

Som almindelig dødelig kan jeg holde mig til 'hackerens' eget råd: "For now, I'd still recommend Macs for typical users

Security by obscurity. Hvad med at vælge et system der ikke har åbenlyse sårbarheder i stedet for bare at vælge et system der er mindre kendt/brugt?
Kig evt. på SELinux.

Security by obscurity: Kompilér din egen Linux eller *BSD. Eller endnu bedre: Skriv dit eget OS. Bare sørg for at det er Posix-kompatibelt, eller er der ikke meget software til det!

... Windows holder stand længere.

Ikke for at træde i det, men nu havde de jo forberedt sig dage (uger?) i forvejen. Anyway, ... "Security by obscurity" - ikke den bedste model, men den har nu i praksis været meget effektiv!

Tak for tippet med SELinux. Desværre, Linux er sjovt, men som OS generelt ikke for "almindelige dødelige".

Jeg sætter dog min lid til, at sikkerhedsmodeller som anvendt i SELinux finder hurtigere vej til OS X end til Windows, specielt givet OS X ophav (nemmere at impementere?).

Ikke for at træde i det, men nu havde de jo forberedt sig dage (uger?) i forvejen.

Og?

Det eneste de har forberedt er hvilken exploit de skulle bruge og hvilke værktøjer de skulle udnytte den med. De har ikke haft hardwaren på forhånd.

Desværre, Linux er sjovt, men som OS generelt ikke for "almindelige dødelige".

Sikke noget vrøvl. Det er hurtigere og lettere at få en moderne desktop-distro up-and-running end det er at få et ditto gængs GUI-baseret closed source OS igang.

Jeg har lige smidt Ubuntu 10.04 på en maskine. Den fandt printeren og grafikkortet (stod klar med en lukket driver, hvis jeg var interesseret). Skærmen havde den korrekte opløsning. Netkort fundet og IP-adresse tildelt (DHCP). Out-of-the-box.

Det eneste der er lettere er en maskine hvor man får software og hardware fra samme leverandør (Apple).