Derfor var WannaCrypt særlig farlig - og sådan blev den slået ihjel

Danmark slap forholdsvis nådigt fra det ransomwareangreb, som fredag ramte computere over hele verden. Men WannaCrypt gav ransomware et nyt ondsindet twist.

Det var store bededag i Danmark, da ransomware-programmet WannaCrypt ramte tusindvis af Windows-computere over hele verden, og det var nok grunden til, at der har været forholdsvis få rapporter om danske systemer, der er ramt.

Men der kan også været noget i selve WannaCrypts anatomi, som har medvirket til den begrænsede spredning.

Mens angrebet stod på fredag og lørdag, var der tvivl om, hvordan WannaCrypt spredte sig. WannaCrypt er ransomware, og det var således oplagt, at den første angrebsvektor var en phishing-mail, hvor brugeren skulle lokkes til at klikke på et link eller en vedhæftet fil.

Det skyldtes blandt andet en formulering i Microsofts beskrivelse af WannaCrypt, som dog refererede generelt til ransomware-angreb og ikke specifikt til WannaCrypt.

Læs også: Alvorlig ransomware-orm: Microsoft lukker sikkerhedshul i Windows XP

WannaCrypt spredte sig automatisk

Der har ikke været fremlagt eksempler på e-mails, som er sat direkte i forbindelse med WannaCrypt. Der var forlydender om, at den spredte sig via Word-dokumenter eller som en HTML-applikation til Windows.

Men efter støvet har lagt sig, så tyder alt på, at meldingerne om spredning via phishing skyldes forveksling med andre ransomware-angreb.

Derimod ser det ud til, at WannaCrypt kun har spredt sig via et sikkerhedshul i SMB-protokollen. Det er en protokol, som bruges til fildeling på lokalnetværk, og det konkrete sikkerhedshul findes i Windows-implementeringen af SMBv1, altså version 1 af protokollen.

Mange Windows-computere på et netværk vil være sat op til at lytte på port 445, som SMB benytter - også selvom computeren ikke selv deler nogen filer eller mapper eller har opsat netværksdrev. SMB findes også til andre styresystemer via eksempelvis Samba til Linux, men sikkerhedshullet vedrører Windows-implementeringen.

Til gengæld er alle versioner af Windows ramt. Det gælder mindst fra Windows XP og frem til Windows 10. Forskellen er dog, at Microsoft i marts udsendte en sikkerhedsopdatering, som lukkede sikkerhedshullet i Windows Vista og frem. Det var i øvrigt den næstsidste omgang af opdateringer til Windows Vista, hvor supporten udløb i april.

Sårbare systemer inficeret

Derfor var blandt andet Windows XP og Windows Server 2003 stadig sårbare, fordi disse styresystemer kun opdateres gennem særlige supportaftaler, fordi det er mere end 10 år siden, Microsoft frigav den sidste version (Service Pack) af de to styresystemer. Microsoft lagde ekstraordinært opdateringer til disse styresystemer ud som følge af fredagens angreb.

Men det skal understreges, at også nyere systemer, som fredag stadig ikke havde fået installeret opdateringen, var lige så sårbare som Windows XP-systemerne.

Det afgørende var, om en Windows-maskine med adgang til internettet var åben for angreb via SMB-protokollen. Det kunne eksempelvis være en server, men også en firewall, som tillod forbindelser via SMB.

WannaCrypt er i modsætning til de fleste andre ransomware-programmer ikke en centralt koordineret kampagne, som angriber ved at spamme eller målrette mails rettet mod brugerne. Derimod er WannaCrypt snarere en orm, som kan sprede sig af sig selv, men som også krypterer filer og opkræver løsesum.

Orme er en mindre hyppig type malware i dag, men de er karakteriseret ved at kunne sprede sig automatisk.

For WannaCrypt gælder det, at når den har inficeret en maskine, så forsøger den at sprede sig til andre maskiner, der lytter på SMB-portene. Det gælder både andre Windows-maskiner på lokalnetværket og andre sårbare computere på internettet.

Angriber tilfældige IP-adresser

På en Windows-maskine, som ikke har installeret sikkerhedsopdateringen, sker infektionen automatisk, medmindre en firewall har blokeret for port 445, enten lokalt på maskinen eller på netværket.

IP-adresserne, som WannaCrypt forsøger at angribe, genereres tilfældigt ifølge Microsoft, så der er ikke noget der tyder på, at ormen går efter bestemte systemer eller specifikt efter at angribe lokalnetværk. Men det er værd at bemærke, at hvis man først har én Windows-maskine, som er inficeret, så vil ormen forsøge at sprede sig hurtigt til alle andre sårbare Windows-maskiner på netværket.

Selve ransomware-komponenten af WannaCrypt krypterer filer på systemet og omdøber dem til en ny filendelse '.wncry'. Samtidig ændres baggrundsbilledet på skrivebordet og en boks med kravet om løsesum vil blive forsøgt åbnet. Baggrundsbilledet indeholder instruktioner i tilfælde af, at programmet ikke kan åbne boksen.

Kravet lyder på 300 dollars betalt i Bitcoin, men det er på nuværende tidspunkt ifølge it-sikkerhedsorganisationen SANS tvivlsomt, om bagmændene stadig kan kontaktes for at få en kode til at dekryptere filerne. Det er meget muligt, at bagmændene har trukket sig tilbage på grund af den store opmærksomhed, angrebet har fået.

Generelt er den bedste anbefaling i tilfælde af ransomware-angreb, at man ikke betaler, men derimod genskaber sine filer fra backup, hvilket forudsætter en dækkende backup-procedure.

I WannaCrypts tilfælde er det desuden vigtigt at være opmærksom på, at WannaCrypt også indeholder en bagdør, som gør det muligt at tilgå den inficerede maskine.

Læs også: Microsoft efter international ransomwarebølge: Stater skal stoppe med at hamstre sikkerhedsbrister

Sikkerhedshullet, som WannaCrypt udnytter, var blandt flere, som organisationen Shadow Brokers valgte at lække for en måned siden, og som oprindeligt var stjålet fra den amerikanske efterretningstjeneste NSA.

Læs også: Microsoft holder kilde til alvorlige sårbarheder i Windows tæt til kroppen

Der var altså tale om et sikkerhedshul, som lige akkurat var blevet lukket i de supporterede udgaver af Windows, og som var egnet til at skabe en orm.

Microsoft valgte på grund af angrebets omfang at frigive versioner af sikkerhedsopdateringen til alle brugere, som stadig benytter Windows XP, Windows 8 (ikke Windows 8.1, som stadig supporteres) og Windows Server 2003. Denne opdatering er også tilgængelig for de kunder, som ikke har indgået en særlig forlænget supportaftale med Microsoft.

DNS-opslag slog WannaCrypt ihjel

Den første udgave af WannaCrypt indeholdt en særlig funktion, som viste sig at være effektiv til at stoppe det første udbrud. Det forlyder dog, at der er fundet nye varianter eller efterligninger, som ikke indeholder den samme funktion.

WannaCrypt forsøgte nemlig at tilgå to domænenavne, som ikke var registreret i DNS. Det vil sige, at malwaren var designet til at modtage en DNS-fejl, fordi domænerne ikke fandtes.

Formålet var formentlig at undgå malware-analyse i sandkasser, hvor det var en virtuel proxy og ikke en DNS-server, som svarede på forespørgslen, for hvis programmet fik et positivt svar på forespørgslen på de to domæner, så stoppede det uden at gøre mere.

En britisk sikkerhedsekspert fik ved et tilfælde stoppet spredningen ved at registrere domænerne.

Det er ikke ualmindeligt, at man benytter uregistrerede domænenavne til botnets, fordi man således kan gøre forskellige kontrolservere klar uden at afsløre aktivitet på domænerne. Bagmændene kan så registrere de ubrugte domæner for at bevare kontrollen over botnettet, hvis nogle af kontrolserverne lukkes ned.

Den pågældende sikkerhedsekspert havde til opgave at analysere ny malware, og hvis der var uregistrerede domæner, skulle de registreres og peges på et 'sinkhole', der bruges til at gøre botnet inaktive. I dette tilfælde var selve registreringen af domænerne imidlertid nok til at stoppe angrebet.

Sikret mod malware-analyse

Ifølge sikkerhedseksperten førte det til lidt forvirring, fordi det efter registreringen ikke længere var muligt at få de opsnappede kopier af malwaren til at opføre sig som den burde. Det skyldtes altså den særlige mekanisme.

En sandsynlig forklaring på mekanismen er, at bagmændene ville gøre det sværere at analysere malwaren og derfor byggede mekanismen ind for at fortælle programmet, at det befandt sig i et miljø, hvor det ikke var det rigtige DNS-system, som blev kontaktet, og der derfor sandsynligvis var eksperter, som forsøgte at analysere, hvordan programmet virkede.

Der er ifølge flere sikkerhedsfirmaer observeret varianter af ransomware, som ser ud til at være i familie med WannaCrypt, men som ikke indeholder den samme mekanisme eller benytter andre domæner.

I det WannaCrypt angreb sårbare Windows-computere, så er de vigtigste foranstaltninger mod angrebet at opdatere de sårbare systemer, hvis muligt. Alternativt kan man blokere for SMBv1-trafik på netværket og i firewalls.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (55)
Peter Hansen

Malwarebytes har en udmærket analyse med breakdown af kildekoden, der viser, at WannaCry spreder sig som en orm på det åbne internet ved at scanne efter åbne porte (445 og 139) på tilfældigt genererede IP-adresser:

https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spre...

Det er ufatteligt inkompetent, at så mange britiske hospitaler har haft servere med usikrede port 445 og 139 vendt mod internettet.

Bente Hansen

Som der står i artiklen, nye version florere, og ikke alle PC'er er patchet. Og vi har ikke set det sidste sikkerhedshul, i det meget usikkert software som Microsoft Windows er.

Verden blev bare redet for den første ragnarok. Men der er mere på vej. Og selv om versioner, sover på grund af denne domain validering, så er der stadig inficeret enheder.

Som ikke nogle, som jeg forstår det, har styr på hvad der potentielt ligger og sover.

Så det har givet mere tid, til at få lukket dette specifikke hul. Men der er sikkert meget mere i den pakke, som NSA frigav.

Peter Hansen

Noget tyder på, at WannaCry spreder sig både som en orm (via portscanning på 139 og 445) og via phishing jfr. nedenstående nyhed fra Region Sjælland:

http://sn.dk/Sjaelland/Hackerangreb-Region-blev-forsoegt-hacket/artikel/...

I løbet af det første døgn af angrebet modtog Region Sjælland cirka 60.000 mails, der hver indeholder et link. Hvis modtageren trykker på linket, bliver der installeret såkaldt ransomware på computeren, der så er hacket.

Martin Jensen

Det kan være de ikke eksponerer udad mod internet, men at en medarbejder havde den med hjemme fra, eller kørte den attachment bårne mail, eller det kom ind via site-site vpn/mpls fra en leverandør, eller meget andet.

Det er kun det, at der ikke er opdateret/patchet, der er direkte kritisabelt, argumenterne ligegyldige. Metoden den endte der kunne man nok dæmme op imod, men der er sikkert fuldt opdaterede steder, hvor den samme opbygning er at finde, og en 0-day kunne have samme resultat.

Jørgen Henningsen

Windows er såbar ja, men er en upatchet Windows mere sårbar end en upatchet Linux?


Mange af problemerne skyldes faktisk at Windows PC'er er same shit overalt. Det er ufatteligt sårbart. Smart TV / router og andre Linux drevet dimser er mange forskellige systemer på mange forskellige HW platforme. Det kan være at der er en sårbarhed i et smart TV af et bestemt mærke og model, men det er ikke profitabelt kun at hacke den type apparater.
Uanset så sætter denne hændelse igen fingeren på et ømt punkt ved vores IT infrastruktur ligesom Melissa virus gjorde for ca. 17 år siden. Det er for tyndt.

Christian Nobel

Windows er såbar ja, men er en upatchet Windows mere sårbar end en upatchet Linux?

Som udgangspunkt ja, da der er meget større risiko for at Windows kører som admin end Linux kører som root.

Men det har så sandelig også noget at gøre med det omkringliggende økosystem, så skal man pege fingre, så er det nok mere Outlook der er den helt store synder.

Bente Hansen

Læste lige at nogle regioner på sjælland, vil lukke for adgang til Hotmail og Google. De administrator fatter da en pap. Og er nok blevet valgt via Peter princippet, da man var superbruger når man kunne formatere en floppy disk.

Hvis der er nogen som får lukket og sorteret virus fra først. Så er det da netop google og microsoft.

Interne Outlook og Exchange server er langt farligere.

Det er deres standard procedure påstår de. Hvis der er "virus i luften", så lukker vi for mail, så brugerne ikke klikker. Og vi er sikkert ?

hvad med at lukke helt for adgang fra nettet, smide webserver og andet helt ud af Intranettet. Lukke for trafik på port 445, og måske 137-139. Eller kun om noget i det hele taget, kun tillade port 80 og 443. Jeg vil personlig lukke for Internet.
Adgang til externe server køre vel via VPN, så det skal bare åbnes for det,
Også have nogen enkelt Vlan adskilte PC som kunne bruges til det der, lige nu meget farlige Internet.

Er det mig som er for meget ude med riven. eller fatter de paphat ?

http://www.dr.dk/nyheder/regionale/trekanten/region-lukker-adgang-til-an...

Bente Hansen

Windows er såbar ja, men er en upatchet Windows mere sårbar end en upatchet Linux?


Ja, selv om det er sjældent at Linux som man personligt bruger til surfe på nettet er upatche. Det sker næsten helt automatisk, enkelt, uden tvang. Samt normalt også uden genstart, ved at klikke på det lille symbol som fortæller dig at der er nye version. Du skal så taste dit root password.

Udover at du bare arbejder videre, normalt selv om det drejer sig om en helt ny version, og pc sjældent skal genstartes for at blive opdateret, så er det ikke kun dit OS som bliver opdateret på denne måde. Det er sikkerhedspakker og opdateringer til de fleste programmer som du bruger.

Så på den front er Linux også markant bedre, nemmere og sikrere. Når man først har prøvet at bruge pakke systemet, så vil man ikke undvære det.
Pakker er også "sikker" på den måde at du aktiv skal vælge et andet sted at hente fra, så du får ikke malware og virus med, fordi du får fat i en forkert pakke eller hjemmeside. Du kan også med 1 til 2 comando linjer vælge andet GUI og en helt masse andet. Som er meget besværligt på windows.

Men hvorfor prøver du ikke bare selv, vil anbefale dig Mint, det er baseret på Ubuntu, og du kan installere det sideordnet med Windows. Det er også godt at have hvis du bliver ramt af en windows Virus, du kan så tilgå din windows partitioner, med et sikkert og ikke inficerede system.

Igen, har ikke selv oplevet nogensinde, af hvad jeg ved af, at blive ramt af noget virus på en Linux. Mens jeg gentagne gange, når jeg har brugt windows, har været glad for at Flash, Java ikke får lov til at køre automatisk, og jeg bruger en chrome og ikke en Explore eller Edge. Men selv med det i mente, er jeg som selv ved af. Blevet ramt af virus 4 gange på Windows, ved mig selv, over de sidste 25 år.

Men synes du skal prøve, det er ikke svært., og de siger at det at lære nyt, og bruge sin hjerne, modvirke demens. Om ikke andet så virker man meget dum og professionelt, hvis man ikke kan finde ud af at tilgå en browser (fdisk og en prompt) på de fleste OS, hvis man vil kalde sig et eller andet med professionelt og EDB/Computer/programmør. Hint på Apple heder browseren safari. På mint chromium, firefox eller hvad du vælger at installere.

http://www.it-blogger.dk/linux-mint-verdens-mest-populaere-linux-distrib...

Henrik Madsen

Er det korrekt forstået, at denne type tilfældige angreb ikke angår almindelige mennesker med en bredbåndsforbindelse. Kun hvis en server er installeret på ip adressen og maskinen ikke er sikkerhedsopdateret er der fare?

De fleste har vel nu om dage en router / firewall mellem deres hjemmecomputer og så det store farlige internet.

I så fald vil router / firewall æde kald på port 445, med mindre der specifikt er opsat en NAT rute mellem internet og en specifik maskine.

Det handler mere om hvilke porte som kan nå's på en computer, fra internettet, end det handler om det er en server eller en klient pc.

Frank Allan Rasmussen

@Bente Hansen

Jeg vil mene du er for meget ude med riven.

Jeg har oplevet et meget professionelt IT firma blive ramt af ransomware fra en privat Gmail konto. Problemet blev løst med restore af backup og var løst i løbet af timer.

Men angrebsvektoren var stadig Gmail. Google, Microsoft og diverse anti virus kan kun scanne efter kendte trusler. Nye trusler vil normalt slippe igennem.

Og wannacrypt er jo allerede begyndt at mutere..

Så at lukke for diverse ikke- arbejdesrelate webmails giver mening.

Henrik Madsen

Ja men hvad hvis man bliver "smittet" via et link i en email?

Det sker vel kun hvis man ikke har modtaget sikkehedsopdateringer siden marts 2017 og da de fleste hjemme-pc'er vel er sat til automatisk at hente og installere opdateringer så bør det vel være ganske få.

Undtagelsen er brugere af XP, der er først frigivet en opdatering for nyligt så den er måske ikke nået ud til alle, men hvis man kører XP, så er man jo lidt bagude på point i forvejen.

Bo Simonsen

Windows er såbar ja, men er en upatchet Windows mere sårbar end en upatchet Linux?

Hvis du kører en netstat på de fleste Linux maskiner efter install ser du formentlig ingen services (eller få) der lytter på 0.0.0.0, hvor jeg mener med Windows ser du en del flere. Derved nemmere attach-vectorer specielt hvis det bliver standarden at vira spreder sig på lokalnetværk. På Linux kan det jo være ligeså farligt i teorien at installere en deb pakke eller rpm pakke fra en ukendt kilde (selv med en opdateret maskine). I fremtiden vil vi nok se flatpak filer som alm. apps man henter fra nettet og de kører sandboxet så det gør ransomware umuligt så vidt jeg har forstået (de burde køre i deres eget chroot). Ingen silverbullet men jeg håber og tror flatpak kommer meget tæt på en ideel løsning.

Christian Nobel

Linux, eller især tilhørende programmer har også haft nogle grimme huller i tidens løb.

Javel ja, og det kan du selvfølgelig underbygge med praktiske eksempler, og ikke bare teori?

Man kan sagtens tiltvinge sig adgang til et Linux system, hvor der eksempelvis er svage passwords, og hvis man selv installerer et dubiøst program kan det gøre skade, men vær venlig at vise mig et eneste praktisk eksempel på noget der har opført sig som en orm eller en virus - bare et!

Tobias Volfing

Javel ja, og det kan du selvfølgelig underbygge med praktiske eksempler, og ikke bare teori?

Jeg husker en af slagsen for ca. 10 år siden. Jeg kan ikke huske detaljerne, men det var en 'virus' eller lignende som lå gemt i deb pakker til at installere Gnome Screensavers, uploaded på en stor hjemmeside med screensavers.

Jeg kan desværre ikke finde nogle henvisninger til det, men angrebsvinklen var at man selv tastede sit password fordi man stoler blindt på deb filer fra en 'kendt' kilde.

Derudover har vi da lige haft Heartbleed og Shellshock, hvad er der til hindring for at lave en orm der angriber et af de huller? Og havde vi ikke også en 3. stor en efter de to?

Edit: Det var muligvis ikke screensavers, men hele temaer til gnome.

Mikkel Bundgaard

@Christian Nobel:
Nedenstående links er nogle grelle tilfælde som kunne udnyttes.

https://arstechnica.com/security/2016/10/most-serious-linux-privilege-es...

Søg på apache shellshock.

Samba exploits: https://www.exploit-db.com/exploits/10/

Herudover eksisterer exploits på buffer overflows og setuid bit.

Prøv også at sætte en LAMP server på nettet og læs i dine logfiler. Vurder selv om hackere forsøger at adgang til dine systemer ved brug af diverse hacks.

Jeg er Linux bruger men jeg er ikke blind for at Sårbarheder kan udnyttes og bliver det. Windows rammes primært fordi det er populært og anvendt bredt, samt det faktum at Windows xp, win2003 mv. forsat kører mange steder. Patchede Windows systemer var ikke ramt.

Tobias Volfing

@Christian Nobel
http://www.omgubuntu.co.uk/2009/12/malware-found-in-screensaver-for-ubuntu
http://www.omgubuntu.co.uk/2009/12/yet-more-malware-found-on-gnome-look

The .deb file installs a script with elevated privileges designed to perform a DDoS attack as well as keep itself updated via downloads.

Det er lige godt 7 et halvt år siden og ikke 10 som jeg huskede. Det var et meget simpelt angreb der potentielt kunne ramme rigtig mange brugere.

Jeg er godt klar over det ikke var en orm, men det beviser at Linux bliver angrebet, selv for 7 år siden. Vi har inden for de sidste 5 år hørt om flere store huller der sagtens kunne misbruges af orme. Hvorfor skulle det ikke være sket?

Jeg kan ikke finde et medie der har rapporteret om at det er sket, men betyder det at det ikke sker? Det er naivt at tro at Linux kan modstå alt.

Christian Nobel

Samba exploits: https://www.exploit-db.com/exploits/10/

Fra 2003, uden det var noget der rigtig bredte sig ....

Herudover eksisterer exploits på buffer overflows og setuid bit.

Jeg har på ingen måde sagt at der ikke er sikkerhedshuller i Linux, men vi har stadig tilgode at se at der sker angreb på samme måde som i Windows verdenen - og argumentet med udbredelse går altså ikke, al den stund Linux er meget udbredt på server siden, men når infotavler bliver ramt af WannaCrypt, så er det fordi de bagvedliggende servere er blevet ramt.

Prøv også at sætte en LAMP server på nettet og læs i dine logfiler. Vurder selv om hackere forsøger at adgang til dine systemer ved brug af diverse hacks.

Nu er PHP et notorisk sikkerhedshul.

Og ja, man skal heller ikke have port 22 åben direkte ud mod nettet, for de banker løs på den.

Bente Hansen

bla. det at en normal bruger aldrig kører som root, hvorimod det er meget normalt at en Windows bruger kører som admin.


Ja eller omskrevet, det er nødvendigt at køre som admin i Windows, hvis alle dine programmer og ting skal virke. Eller det er yderst besværligt ikke at gøre det.

I Linux er det omvendt,

At pakker og programmer har været forsøgt inficeret er ikke nyt, sikkerheden i nogen krypteringsnøgler fælles for hele internettet, er blevet ødelagt af HOST: samme slæng som skabte WannaCrypt.

Men som basis og desktop bruger er Linux og andre nix* langt det mest sikkert. Og hele alen fra Windows. Igen, har brugt begge dele flittigt, og aldrig haft -antydningen af virus på Linux. ( 7-9-13) Men selvfølge findes nok huller, men de er ikke fundet. Ligesom Google C, som ikke er blevet hacket, de sidste par år. Det tog vis kun 8 sec før Edge Windows var lagt ned.

Som bevis, der findes ingen virus scanner til beskyttelse mod virus på Linux.
Det er ikke nødvendigt.. Det løses ved at lappe huller og fejl i kerne og programmer.

Men alle som synes at deres søde windows er så sikkert, prøv da at installere en Mint. Også surfe på nogen russiske sider, med xxx og andet snavs.
Og sammenligne med Windows.
Så skifter i også mening, og flytter jeres primære brug til Linux.

Igen som jeg har skrevet over for, det er uprofessionelt ikke have fingeren på flere OS. Og have minimum kendskab, samt kunne installere og bruge dem alle. Hvis man ser en GRUB bootloader, og ikke ved hvad der er, og hvad den laver, Så er man ikke rigtigt EDB mand.. synes jeg, et kendskab til andre systemer er et must, eller så er man mere fagidiot end tilladt. Det virker også direkte fordummende, hvis man ser hvordan ting kan løses, på en måde.

Michael Cederberg

hvorimod det er meget normalt at en Windows bruger kører som admin.

Ja eller omskrevet, det er nødvendigt at køre som admin i Windows, hvis alle dine programmer og ting skal virke. Eller det er yderst besværligt ikke at gøre det.

Ovenstående var korrekt dengang Windows XP blev lavet. Det er ganske simpelt ikke korrekt i dag.

Ydermere er det værd at huske på at der findes et væld af Linux baserede devices derude (fx routere, webcams), hvor alting kører som root. Devices som aldrig bliver updateret og som blot venter på at et sikkerhedshul bliver fundet.

Jeg synes Linux er et fantastisk OS, men jeg er temmelig træt af at høre på Linux-dyrkerne fortælle om hvor uovertruffen sikkerheden er. Faktum er den traditionelle Unix sikkerhedsmodel er latterlig (den er binær, root eller non-root). Og ja, der er forskellige add-ons til Linux kernen der hæver sikkerhedsniveauet og giver mere granuleret sikkerhed men det er ikke i brug alle steder.

I praksis fungerer sikkerheden i Linux fint og det gør den også i Windows. Der er ingen grund til at nedgøre "de andre" og der er specielt ingen grund til at gøre det pga. en 16 år gammel version.

Hans Schou

det kan du selvfølgelig underbygge med praktiske eksempler


Heartbleed og Shellshock var slemme nok.

Men det vigtige er ikke om der har været bugs; mere vigtigt er det:
* Hvor hurtigt kommer der en rettelse?
* Hvordan bliver sagen håndteret?

Så når NSA opdager WannaCry-buggen:
* Hvor hurtigt kom der en rettelse? Efter 3 måneder eller mere.
* Hvordan blev sagen håndteret? Spørg Microsoft, som nok er noget gnavne.

Christian Nobel

Det er ganske simpelt ikke korrekt i dag.

Den sang har vi hørt siden W2000.

I praksis fungerer sikkerheden i Linux fint og det gør den også i Windows.

Det er jo så lige præcis i praksis vi ser forskellen!

der er specielt ingen grund til at gøre det pga. en 16 år gammel version.

Måske det burde give anledning til lidt selvransagelse fra MS' side, når rigtig mange af deres kunder bliver hængende ved en gammel version.

Men som sagt tidligere, den rigtig store synder er mere MS's økosystem, her især Outlook

Michael Cederberg

Det er ganske simpelt ikke korrekt i dag.

Den sang har vi hørt siden W2000.

Og til begrænsede formål kunne man fint bruge både XP og Windows 2000 uden admin adgang. Mere avancerede brugere havde altid brug for admin adgang. I praksis er det sådan i dag at rigtigt mange virksomheder ikke giver admin rights til deres Windows 7 og nyere maskiner. Og at de fleste private brugere kun ser UAC dialogen når de installerer nye ting (på samme måde som på Linux).

I praksis fungerer sikkerheden i Linux fint og det gør den også i Windows.
Det er jo så lige præcis i praksis vi ser forskellen!

Nej det er ikke det vi ser. Det vi ser, er at det mest udbredte desktop OS i praksis er det eneste der rammes af ransomware. Det er ren kapitalisme - det er der pengene er. Hvem gider skrive en orm hvor potentialet kun er de ganske få Linux desktop brugere? Der er ingen penge i det. Det er ikke spor anderledes end at ingen gider skrive apps til Windows Mobile fordi der ikke er nogen der bruger det.

Når du på den måde snyder med argumentationen, så er du med til at forplumre debatten. Det forhindrer at vi kan have en fornuftig diskussion. Hvorfor ikke bringe ting ind som operating system virtualization som Linux og FreeBSD fik længe før windows havde noget der lignede. Det er i mine øjne en af de største landvindinger indenfor serverside sikkerhed vi har set i mange år.

Måske det burde give anledning til lidt selvransagelse fra MS' side, når rigtig mange af deres kunder bliver hængende ved en gammel version.

Hvad for dig til at tro at der ikke står hardware derude med oldgamle versioner af Linux? Der kan være gode grunde til at ikke at opgradere OS på systemer. Det kan være at leverandøren af systemet ikke findes mere (ikke OS leverandøren, men hardware leverandøren), det vil typisk være en del testning involveret, at der kræves at man køber en ny version af applikationen der kører ovenpå OS, det kan være man slet ikke ved at device X indeholder et gammelt OS, etc.

Når folk ikke opgraderer XP så er det fordi det fungerer rigtigt godt og at folk ikke forstår hvorfor noget der tidligere ingen problemer har haft lige pludseligt skal opfattes som usikkert. Jeg har tidligere skrevet om alle de devices der findes derude med Linux. Vi vil opleve de samme problemer med smart TVs, routere, DVD afspillere, security cams, etc. I mine øjne vil disse i de kommende år blive det største sikkerhedsproblem med en temmelig stor margin. Ovenstående skal i øvrigt ikke opfattes som en fejl ved Linux.

Men som sagt tidligere, den rigtig store synder er mere MS's økosystem, her især Outlook

Jeg mener ikke Outlook er mere usikkert end andre programmer af same type. Snarere modsat. Men Microsoft Office er den suverænt mest brugte suite af ”office programmer”. Derfor går alle angreb mod Outlook & Co.

[Microsoft har tidligere lavet mange sikkerhedsmæssigt gale ting; at man spredte COM/DCOM/ActiveX ud over det hele grænser til idioti]

Ivo Santos

Alt det her med at windows er mere usikkert end Linux er fint nok at diskutere men når det kommer til ransomware software så er det egentlig ligegyldigt hvilket operativ system man kører med.
Så længe man har læse / skrive adgang til egne dokumenter så vil ransomware altid virke også på Linux, Mac, og selv også på en gammel Amiga 500 vil det virke.

Skal man sikre sig mod email problemer så burde man udlukke html emails og kun åbne den som ren tekst. Skal man åbne et vedhæftet dokument så skal det gøre således at scripts altid er deaktiveret.

Nu benytter jeg selv webmail så jeg ved at det er umuligt at åbne og læse en mail uden at have javascript slået fra så bare det at man læser en email i en browser er man i realiteten sårbar for diverse typer at skadelige ting.

Så der er vel ingen tvivl om at det egentlig er alle som er sårbare for ransomware og lign. skadelige ting med mindre man benytter et email program i dos eller 16 bit windows da sandsynligheden for skadelige 16 bit virus er ikke eksisterende nu om dage.

Blot en tanke!

Bo Simonsen

Alt det her med at windows er mere usikkert end Linux er fint nok at diskutere men når det kommer til ransomware software så er det egentlig ligegyldigt hvilket operativ system man kører med.
Så længe man har læse / skrive adgang til egne dokumenter så vil ransomware altid virke også på Linux, Mac, og selv også på en gammel Amiga 500 vil det virke.

Ja, det er det mange overser i de diskussioner der er om OS'er. Som jeg tidligere skrev er sandboxing en del af opskriften på et mere sikkert OS, evt. kombineret med snapshots (hvis man f.eks. benytter btrfs). SUSE bruger btrfs i forbindelse med opdateringer hvor man tager et snapshot før denne påbegyndes, man kunne jo gøre det samme før en sandboxet app afvikles, så der altid kunne rulles tilbage. Så vidt jeg ved er Linux nok det der er tættest på at kunne implementere bedre sikkerhed i den forbindelse, men pt. er det ikke eksisterende.

Bente Hansen

Så længe man har læse / skrive adgang til egne dokumenter


Det er lige netup pointen, i et nix* system, er det kun din egen private filer som bliver ramt. Ikke OS, ikke din nabo, og ikke hele firmaet.
Hvis der har været så meget omtanke i firmaet til at vælge, et sikkert, gratis system, med langt den bedst track record. - Der findes ikke virus til Linux., kun sikkerhedshuller og fejl, som hurtigt bliver lukket på desktop version.
Så er der nok også styr på backup og rettigheder på nettet.

Det er her kæden hopper af for Windows, som normal bruger kan man blive ramt af virus, bare ved at besøge en hjemmeside, med inficeret bandereklamer.
Det sker ikke for en Linux bruger.

Men igen, der er åbenbart nogen her i diskussion, som slet ikke ved hvad der tales om. Som med Win3.0 og Linux er der sket lidt siden 90'erne.
Netop opdateringer på Linux er årtier foran Windows. Man kan sige at den nye RT version, Windows S som er en amputeret Windows uden mulighed for at køre rigtige programmer, er det som ligner mest.

Forskellen er at de aller fleste, programmer findes i "butikken" og de alle sammen bliver opdateret og patchet. Samt at man ikke hijackers til genstart og opdateringer. Men næsten altid bare arbejder videre. Det må være noget gennemtænkt og robust i det underliggende OS.

Men igen vil da, især for dem som køre en ældre version af Windows, og gere vil have en PC som ikke bare vælter, og som altid bliver tungere og tungere over tid. Prøv MINT, det ligner Win7 mere end Win10. Igen man kan køre det som sideordnet. og får dermed den sikkerhed, at der er et alternativ robust OS, hvis noget går galt.
Man man også prøve de forskellige GUI på samme, bare ved at taste et par kommandoer. Så der er noget for alles smag. Om det skal lige, Mac, Win10, XP eller noget andet.

Linux virker på det meste hardware, ud af kassen, langt nemmere og bedre end Windows hvor der efterfølgende skal installeres software og driver. Men ældre Printer, enkelte netkort og AMD GPU kan være et problem.

Kom frisk, prøv da noget nyt, i stedet for at vente i spænding på hvad NSA ellers har mistet af virtuel masseødelæggelsesvåben.

Om ikke andet så er flere platforme herunder producenter. en beskyttelse mod angreb, som lægger alt ned. Det er stor forskel på at alle PC i firmaet er ned, end at næsten alle er nede. I dag betyder det underliggende OS, med lidt omtanke ikke ret meget, når det meste alligevel er i skyen. Og nytænkning, og ny viden og evner, gavner ud over ens integritet, også ens jobmuligheder på længere sigt.
At tror at Windows/Outlook/Exchaes er vejen til et sikkert job, gennem hele livet. Må bunde i en stor pensionsopsparing. Når Microsoft rigtigt mærker presset, så vil de uden tøven kannibalisere på deres salgsnet. Som de allerede har gjort det med Office365.

Tobias Volfing

Linux virker på det meste hardware, ud af kassen, langt nemmere og bedre end Windows hvor der efterfølgende skal installeres software og driver. Men ældre Printer, enkelte netkort og AMD GPU kan være et problem.

Her er det altså dig der sidder fast i 90'erne. Der har siden Windows 7 (Vista?) fulgt ganske habile drivere med til det meste, inklusiv netværksdrivere. Jeg har købt Windows 10 for et år eller to siden, og jeg mindes kun at have installeret et driver til mit nvidia grafikkort, som jeg i øvrigt også gør når jeg bruger Linux.

Det er rigtigt at man i XP og før, sad og kørte en hel række CDer igennem efter man havde installeret operativsystemet før al hardware var understøttet.

Men igen vil da, især for dem som køre en ældre version af Windows, og gere vil have en PC som ikke bare vælter, og som altid bliver tungere og tungere over tid. Prøv MINT, det ligner Win7 mere end Win10. Igen man kan køre det som sideordnet. og får dermed den sikkerhed, at der er et alternativ robust OS, hvis noget går galt.
Man man også prøve de forskellige GUI på samme, bare ved at taste et par kommandoer. Så der er noget for alles smag. Om det skal lige, Mac, Win10, XP eller noget andet.

Jeg kan også godt lide Linux, men hvis du er vant til Windows og har opbygget afhængigheder af diverse Windows programmer, kan du altså ikke bare lige sådan skifte. Dit argument svarer til at sige at vi alle skal cykle på arbejde fordi det er sikrere end at tage bilen. Ja det er sikrere, og det duer for mange af os, men det er altså ikke noget alle bare kan gøre.

Michael Cederberg

Her er så endnu et indlæg der ukritisk og uvidende proklamerer Linux som løsningen på alle problemer:

Det er lige netup pointen, i et nix* system, er det kun din egen private filer som bliver ramt. Ikke OS, ikke din nabo, og ikke hele firmaet.

Sådan er det såmænd også på Windows. Men hvis der er fejl i kernen eller visse programmer så kan en program komme udenom den slags.

Der findes ikke virus til Linux., kun sikkerhedshuller og fejl, som hurtigt bliver lukket på desktop version.

Famous … last … words …

Prøv at slå Mirai malware op. Jeg skal ikke kunne sige hvorvidt der findes virus til Desktop Linux, men jeg er ganske sikker på at såfremt der var flere brugere på desktop Linux så ville der også være mere virus. At forestille sig at fejl fikses hurtigere end på Windows er også nonsens. Linux udviklere er hverken dummere eller klogere end dem der arbejder på Windows. Hvis man vil have ordentlig kvalitet så tager det tid.

Sidst så er det temmelig simpelt naivt at tro at kun folk som sidder med viden om sikkerhedshuller i Windows vil udnytte denne viden kriminelt, mens dem der kender noget til Linux huller vil opføre sig altruistisk mens de fodrer græssende lyserøde enhjørninger.

Det er her kæden hopper af for Windows, som normal bruger kan man blive ramt af virus, bare ved at besøge en hjemmeside, med inficeret bandereklamer.
Det sker ikke for en Linux bruger.

Den eneste grund til at det ikke sker, er at der ikke er så mange Linux desktop maskiner. Der er ikke noget magisk ved Linux arkitekturen som gør Linux mindre modtageligt. Så hvis dit ønske om at alle bruger Linux bliver til virkelighed, så vil du være ligeså udsat som alle andre er i dag. Med mindre du tror på en form for Linux magi.

Linux virker på det meste hardware, ud af kassen, langt nemmere og bedre end Windows hvor der efterfølgende skal installeres software og driver.

Det er simpelthen ingen sammenhæng med virkeligheden og det du skriver. Både Windows og Linux bruger drivere. Linux downloader sine drivere og Windows gør det samme. De gør begge deres bedste for at detektere hvilke drivere der skal bruges, og de har samme mulighed for at ramme rigtigt.

Men igen, der er åbenbart nogen her i diskussion, som slet ikke ved hvad der tales om. Som med Win3.0 og Linux er der sket lidt siden 90'erne.

Skriv lidt mere præcist hvad det er du ikke forstår folk taler om. Jeg er sikker på at der er nogen der gerne vil forklare det.

Jeg vil afslutte med at gentage nedenstående citat. Det viser hvor meget nonsens der er i diskussionen om det udmærkede OS der hedder Linux og det udmærkede OS der hedder Windows.

Der findes ikke virus til Linux., kun sikkerhedshuller og fejl, som hurtigt bliver lukket på desktop version.

Henrik Madsen

en jeg vil til hver en tid hævde at Linux stadig er en sjat mere sikker end Windows

Denne ekstra sikkerhed ligger nok mest i at der er færre der gider angribe et styresystem som vil give adgang til at lave ransomware, et botnet eller lignende på et ret begrænset antal maskiner, når det er muligt at ramme langt de fleste maskiner med et hack til en windows maskine.

Det er min påstand at lå der linux på 90% af alle de pc'er der var koblet på nettet, så ville der være markant flere ressourcer allokeret til at finde fejl og huller i linux.

Christian Nobel

Det er min påstand at lå der linux på 90% af alle de pc'er der var koblet på nettet, så ville der være markant flere ressourcer allokeret til at finde fejl og huller i linux.

Der ville selvfølgelig være et større marked for især trojanere, da intet OS kan laves sikkert mod "klik her", eller vær-så-dum-at-installere-dubiøs-software.

MEN vi ville stadig ikke se spredning ske på samme måde, og egentlig er Apple et meget godt eksempel, for der er efterhånden rigtig mange iOS og macOS enheder på nettet, så hvorfor florerer noget tilsvarende ikke der - især da det er her pengene er?

Btw, langt over 50% af alle de computere der er tilsluttet nettet, er ikke baseret på Windows.

Bente Hansen

Glemt det, de lever helt i deres egen efterhånden mindre og mindre verden.
Hvor det eneste som de kan finde ud af, er det som de fik i hånden første gang.

Argumenterne mod f.eks Windows Phone/RT/CE, om hvordan det sandsynligvis ikke ville få succes, eller det vil få det meget svært, overhørte de.
Og der var/er sandsynligvis stadig fanboi som venter på lovet opdateringer og rettelser til de helt døde OS.

Det sjove er at jeg slet ikke er mod Windows, kunne især godt lide XP/Win7 , og har stadig mange installationer ude ved kunder og hjemme.
Men jeg har noget imod MS forretnings moral og etik, selv om det har hjulpet meget med en ny topledelse, men det tager nogen tid inden sådan ting siver ned til bunden. At de laver store blunder og fejltagsler var også også hvis det kun var aktionærerne der betalte for dem. Men det er jo ikke. Mange sider med "ubrugelige" telefoner, OS og hardware, på grund af MS tåbelige valg, og efterfølgende normale rutine, med at efterlade deres bruger.
Det er en del af det jeg har imod Microsoft.

Det som jeg har imod windows, kommer også af dårlige valg, og er en af de store grunde til at Windows ER mere usikkert over for virus. At de patu, skal lave et nyt OS, hver 3-4 år..
Det betyder at når deres tidligere versioner er blevet så moden, jeg siger normalt lille år, til første SP, så går der kun 2 år til næste version.
Og nyt OS betyder fejl i kode per definition, og dermed også nye angrebsvinkler for Virus.

Her kan man sige at nix* er baseret på erfaringer og systemer på over 50 år gammel systemer, ligesom Mac også er. Og opdateringer og nye tiltag kommer lige så stille, uden de store spring. Det betyder efter min mening, at systemerne bliver mere robuste. Noget som er vigtigt for sikkerheden. Så hvis man har nogen ting som bare skal virker. Så foretrækker man Linux/Unix/Mac/ og PHP's darling. Dette er grunden er grundlaget for nettet og skyen.

Min pointe var, at når ting så forsvinder der "op" Så bør man for sin egen og sin kunders skyld udvide sin horisont. Om ikke andet, så bliver man måske lidt mere glad for at vende tilbage til sin Windows. Men man opdager også andre måder at lave ting på, samt man skal bruge sin hjerne, altsammen noge som betyder at ens liv kvalitet formentlig bliver øget.

Som Linux/Mac mand siger jeg heller ikke føj, eller idioter til den som køber Mac, men har da en gang rynket på næsen. Men jeg kan selv bruge det, og synes det er solid og dejligt hardware, Men alt for dyrt. Men efterhånden må jeg også indrømme, at i forhold til dem som vælger Windows, så har de lagt færre problemer med det grundlægende OS og hardware, især med sikkerhed. Mens de har de samme problemer med hensyn til software, mangle på nogen ting, især spil, som på Linux.

Windows er idag heldig, at de har en stor software base, her tænker jeg især på Spil og bruger applikationer til dimser. Men hvis ikke det var tilfælde, så tror jeg Windows var dødt. Og det er da noget at tænke over for MS.

At Android var meget usikker, og vel stadig er lidt på grund af manglede opdateringer fra producenter, er korekt. Men det er stadig aldrig blevet inficeret og lagt ned i hobetal. Selv om det er det mest brugt system på nettet overhovedet. Baseret på antal enheder. Det må vel også være et bevis på at Linux kernen er mere solid bygget fra start.

Desuden er Android Ung. men er netop fordi det ikke lavet alt om fra version til version. Lige så stillet modnet og blevet mere og mere sikkert.

IoT med default Password ud til nettet, taler vi ikke om :-)

Men jeg synes igen at inkarnere Windows mennesker skulle prøve en eller anden Linux version, som Live Boot, eller som en livslinje med dual boot.

Der er sket meget, især de sidste 5 år, efter nogle dårlige år, med hensyn til GUI i 2010'erne , hvor ALLE troede at det kun var telefoner og tablet det gjaldt.

Michael Cederberg

MEN vi ville stadig ikke se spredning ske på samme måde, og egentlig er Apple et meget godt eksempel, for der er efterhånden rigtig mange iOS og macOS enheder på nettet, så hvorfor florerer noget tilsvarende ikke der - især da det er her pengene er?

Når vi ikke ser ransomware på iOS så er det i mine øjne fordi folk ikke har store mængder af data på deres telefoner. For langt de fleste vil en wipe af telefonen være at foretrække frem for at betale afpressere. Det samme gælder i øvrigt Android. Dog er netbank et spændende mål begge steder - jeg skal ikke kunne sige hvorfor vi ikke ser flere angreb mod disse på mobile devices. Der er dog klare indikationer på at efterretningstjenester har exploits på specielt iOS, så måske er angrebene derude ... vi hører bare ikke om dem.

macOS har en markedsandel på ca. 10% af desktop markedet. Windows er stadigvæk klart det mest interessante mål.

Btw, langt over 50% af alle de computere der er tilsluttet nettet, er ikke baseret på Windows.

Men det siger ikke særligt meget om det her.

Michael Cederberg

Glemt det, de lever helt i deres egen efterhånden mindre og mindre verden.
Hvor det eneste som de kan finde ud af, er det som de fik i hånden første gang.

Måske skulle du bare læse hvad folk skriver. Der er ingen der har sagt noget negativt om Linux. Alle der har skrevet her har prøvet Linux og synes det fungerer godt. Personligt bryder jeg mig ikke om de nye licenskrav der er introduceret i Windows 10. Alternativet for mig vil (desværre) være macOS fordi jeg har en række programmer som ikke kører Linux.

Det som er trættende er når enhver der nævner Windows skal belæres om Linux fortræffeligheder, samtidigt med at det vælter ud med mere eller mindre korrekte historier om Windows. Hver evig eneste gang.

Ja det er ingen tvivl om at f.eks NSA, har en eller flere bagdøre ind i f.eks IOS hvilket jo blev klart da de dekrypterede en telefon som tilhørte en afdød terrorist.

Man skal lige lægge mærke til at det ikke er nogen stor kunst at kunne komme ind i en iPhone hvis man står med den i hånden og kan splitte den ad i atomer. Alt snak om 128 bit kryptering er ligegyldig hvis ejeren kan komme ind i telefonen med en 4 cifret pinkode.

Men der er en række indikationer på at NSA og andre kan inficere en IOS telefon uden at have den i hånden.

Bente Hansen

"Man skal lige lægge mærke til at det ikke er nogen stor kunst at kunne komme ind i en iPhone hvis man står med den i hånden og kan splitte den ad i atomer."

Du ved da lige så meget om IPhone, som Linux.

Du kan selvfølgelige splitte en telefon ad, men kan du få adgang til data ?

Du skal også have i mente, at den telefon som FBI købte sig adgang til, var en ældre model.

Michael Cederberg

Du kan selvfølgelige splitte en telefon ad, men kan du få adgang til data ?

  1. Intet er "tamperproof" (wiki).

  2. Fordi intet er tamperproof, så kan man såfremt man har nok ressourcer, få fat i alt data der findes i telefonen.

  3. Data kan være krypteret, men hvis brugeren skal kunne bruge telefonen må nøglen forefindes et sted i telefonen eller i brugerens hoved. Nøglen kan evt. også være krypteret, men enten er det med en anden nøgle der findes i telefonen eller den pinkode som brugeren indtaster.

  4. I sidste ende er det eneste man ikke kender pincoden og der er ikke så mange at man ikke bare kan prøve dem alle. Ikke ved at taste dem ind på telefonen, men ved at køre softwaren i fx. en simulator som blot kan resettes efter hvert forsøg.

Derfor vil en tilstrækkelig dygtig og rig angriber få adgang til alt hvad der ligger på telefonen.

Metoden afhænger selvfølgeligt af telefonen. Det starter givetvis med at angriberen indkøber en palle telefoner for derefter at skille nogen af dem ad. Fremskaffe dokumentation på de chips hvor det er muligt. Skille de vigtigste enkelte chips ad - lag for lag. Prøve at udlæse data fra flashram på forskellige måder. Den her artikel er gammel, men fortæller en smule.

Til sidst har man en metode og så går man i gang med den rigtige telefon. Hvis NSA er deres penge værd, så har de metoder til de mest solgte telefoner i forvejen.

Du skal også have i mente, at den telefon som FBI købte sig adgang til, var en ældre model.

Det vil også være muligt med iPhone model 15s ... såfremt Apple når så langt før de opgiver smartphones.

Bente Hansen

"Derfor vil en tilstrækkelig dygtig og rig angriber få adgang til alt hvad der ligger på telefonen."

Der er mange ting der halter i din forklaring,
Som hvis jeg har noget meget vigtigt på min telefone, at jeg så kun vil bruge en kort Pin kode. Det vil da virkeligt virke tåbeligt.
For det første, jeg ville slet ikke have PIN kode på SIM kortet, så telefonen kontakt nettet, hvis den blev tændt, for at ringe hjem.
Måske vil jeg bruge fingeraftryk, eller gnideren på skærmen, for at låse telefonen op for at ringe.
Men for at få adgang til det krypteret, her vil jeg bruge lidt mere end 4 ciffer. Hvis jeg synes det var vigtigt, måske endda yderligere krypteret i en container, hvis jeg ikke stoler på Appel.
Alt andet vil da virke lidt tåbeligt og amatøragtigt ikke ?

4 cifret pincode til SIM kort ?
Bruger du stadig en Nokia 3310, du kan få en ny, hvis din gamle virker virker lidt slidt ?

Michael Cederberg

Men for at få adgang til det krypteret, her vil jeg bruge lidt mere end 4 ciffer. Hvis jeg synes det var vigtigt, måske endda yderligere krypteret i en container, hvis jeg ikke stoler på Appel.
Alt andet vil da virke lidt tåbeligt og amatøragtigt ikke ?

Det er alt sammen meget fint. Men for at få fornuftig sikkerhed, så skal du have en kode med mindst 128 bits entropi. Held og lykke med at huske den og glæd dig til hver eneste gang du skal indtaste den på din telefon. Det kommer til at tage noget tid.

Og lad nu være med at komme med en sætning eller andet latterligt i den retning. Med en intelligent password cracker så falder den slags også hurtigt. Det er ikke nemt at huske så meget semi-random information.

Selv hvis du kan huske så meget information, så skal du bede til at der ikke ligger en kopi af nøglen i RAM på telefonen fra sidste gang du indtastede den. Har du styr på hvordan memory manageren i telefonen opfører sig?

Der er mange muligheder. Jeg tror nu det smarteste er at lade være med at gøre ting der får store landes efterretningstjenester til at komme efter dig. I så fald er iPhone, diverse Android telefoner sikre nok. Men i relation til denne tråd, så er jeg sikker på at NSA og deres ligemænd både har mulighed for at komme ind på en telefon de rent fysisk har i hænderne, samt telefoner der er koblet på nettet. Beviser har jeg ingen af ...

Og som Christian skriver: Det gælder iPhone, Android, FreeBSD, Linux, Windows, MichaelOS, etc.

Bente Hansen

så skal du have en kode med mindst 128 bits entropi.


Det er kun 16 ciffer, som at huske 2 telefoner nummer. eller navnet på en person.
Det kan du godt huske, det kunne man i gamle dage, inden mobiltelefonen.
Hvis du synes det ikke bliver helt tilfældigt, så smider du bare et par nummer/ navne/sætninger mere på..

Hvis vi taler kryptering og sikkerhed, sådan rigtigt. Så vil jeg give jer begge ret i at en telefon, nok ikke er den bedste enhed til det. Men igen, dem som skulle have informationer ud af en telephone, ved jo aldrig om de har fundet det hele, eller det rigtige.
Og man skal i princippet ikke tage sin mobil, computer, tablet med sociale profiler med sig ud af EU, mest for egen skyld. Med nye regeringer, regler og tiltag i lande som USA, Tyrkiet, Rusland, israel .. Så skal man tænke , om man vil besøg landet i det hele taget..

Man at kryptering virker, og ikke er brudt, eller er meget besværligt for for de 3 stjernede, som åbenbart får røde pletter, bare af https . Som betyder at de ikke kan læse med, ude på nettet mere. Og inden at kvantecomputeren kommer, hvor nogle af krypterings logaritmerne ikke holder, så smider man bare flere bit på, hvis de opnår evner til at læse med.
1 bit giver jo omkring 18 måneder, længer ulæselighed.

Men igen. lad da bare myndigheder forsøge, og få held til at bryde sikkerheden i telefoner. Resultatet fra producenten og forbrugerne, er jo at vil have en bedre sikkerhed. Så denne opsamling af vores ALLE sammes data, betyder på sigt at de 3 stjernet har skudt sig i foden. Da de risikere, at de ikke kan læse noget som helst.

Michael Cederberg

Det er kun 16 ciffer, som at huske 2 telefoner nummer.

Er du en computer der opfatter et ciffer som 8 bits? 128 bit nøgler kræver 39 decimalcifre, 32 hex cifre eller 25 case-insensitive alphanumeriske tegn.

Et problem i dag er at computere kan knække koder længere end de fleste er i stand til at huske. Af samme grund foreslog Bruce Schneier at man valgte et langt password og skrev det på et stykke papir; fordi der var større chance for at en modstander gik i gang med at knække dit password end at han fik fat i dit stykke papir. Det virker selvfølgeligt ikke hvis man er hemmelig spion med NSA åndende i nakken.

Så vil jeg give jer begge ret i at en telefon, nok ikke er den bedste enhed til det. Men igen, dem som skulle have informationer ud af en telephone, ved jo aldrig om de har fundet det hele, eller det rigtige.

Men det er fuldstændigt ligegyldigt om det er en telefon, en computer eller en brødrister. Den eneste sikkerhed kryptering giver er den der ikke er gemt i enheden. Derfor er alverdens kryptering af harddiske heller ikke noget match for en modstander med store ressourcer, med mindre man skal indtaste hele nøglen hver gang man skal låse harddisken op. Alle 128 bits ...

Man at kryptering virker, og ikke er brudt, eller er meget besværligt for for de 3 stjernede, som åbenbart får røde pletter, bare af https .

Selvfølgeligt virker kryptering. Problemet er at holde nøglerne hemmelige og samtidigt kunne få fat i dem når de skal bruges. Og ingen forventer at kvantecomputere kan bryde symmetrisk kryptering (anderledes med nogen former for asymmetrisk kryptering).

Bente Hansen

Her mener jeg stadig at Linux er et godt valg, hvis ikke det bedste, hvis vi taler om sikkerhed på Desktoppen. Det er desuden gratis, mindre ressourcekrævende, samt mange programmer/funktioner som man ellers skal købe ved siden af i Windows, findes i gratis version og opdateres, sikkerhedspatches og installeres gratis sammen med OS. Desuden kan windows programmer afvikles Virtual, eller i Wine. Så man har kun brug for windows, hvis man afvikler tunge spil.

Men selvfølgelig findes der huller, eller tåbelige administrator alle vegne. Men jeg mener ikke at man skal have muligheden for "dårlige valg" på desktop, til normale forbruger.

Et OS til forbruger, skal være robust nok til at være på Internet, også uden at befinde sig bag en firewall.

Brug 2 min her..

https://www.youtube.com/watch?v=TErrIvyj_lU#

Og WannaCry kan køres under Linux, og kryptere dit home. Hvorfor se kommentare.

https://www.youtube.com/watch?v=7cUL1HKfTK0

Og hvis du vil prøve Linux, som jeg kan forstå af din kommentare at du ikke har prøvet. så brug 7 min her. Men vil anbefale en Mint eller (x)buntu version.

https://www.youtube.com/watch?v=jQKC_1efdXs

Michael Cederberg

Og hvis du vil prøve Linux, som jeg kan forstå af din kommentare at du ikke har prøvet. så brug 7 min her. Men vil anbefale en Mint eller (x)buntu version

Kære Bente, jeg sad allerede i 1993 og downloaded Linux - tror det var kernel version 0.98. En fuld distribution fyldte mere end 50 disketter. Jeg har også et eller andet sted en bunke Slackware CD-ROM’er fra årene derefter. Så jeg har prøvet og brugt Linux mange gange og jeg synes det er strålende (som jeg har skrevet mange gange før). Men som jeg også tidligere har skrevet, så er der en række programmer som jeg ikke kan køre på Linux så derfor fungerer det ikke for mig.

Men som jeg også tidligere skrev så er jeg træt af at høre IT-religiøse folk – inklusive dig – afslutte hvert eneste indlæg der omhandler Windows med den ene anprisning efter den anden af Linux. Og nu er jeg træt af denne diskussion. Du bringer ikke noget nyt ind i den.

PS: Du svarede aldrig på om et ciffer for dig var 8 bits.

Bente Hansen

PS: Du svarede aldrig på om et ciffer for dig var 8 bits.


Jo tænker mest på ANSI standard, eller lovlige karakter på nettet og mail når jeg tænker på en karakter, bogstav om det så er binært, 10 tal, eller HEX.

Når jeg tænker på et Ciffer, så tænker jeg normalt på et Tal, fra 0 til 9 :-)

Så når jeg selv sammenligner kryptering og data størrelser, så benytter jeg helst bit ikke byte, da det jo er det datalogisk grundtal. Hvis du kun bruger ANSI standard tabel, er det jo lige meget om du udtrykker dig i Hex, eller Oktale, informationen er den samme. Hvis du så salter, så skulle din egen manglede brug af alle informationer, jo gerne skjules.

Så en 128 bits nøgle, kan klares med 16 standard 8 bytes karakter. 2 telefonnummer.

Desuden ser det ud til at det er meget langt tid siden at du har prøvet Linux. Disketter og optiske media, det er meget langt tid siden jeg har kunne putte dem i nogle nye bærbare. Du må heller opdatere, din nu forældet viden om andre OS, hvis vi altså skal diskutere GUI og sikkerhed på nogen sådanne.

Kan også husk da man kunne overtage root, via TTY og modem, det er mange år siden. Og var nok mere ment som en feature end et sikkerhedshul, hvis vi holder os til MS termer. Men stadig ikke særligt relevant i et nyt årtusind.

Michael Cederberg

Så en 128 bits nøgle, kan klares med 16 standard 8 bytes karakter. 2 telefonnummer.

Vi snakkede om hvad du eller andre mennesker kunne huske. 2 telefonnumre svarer til ca. 53 bits information. Hvor vil du gøre af den resterende information (ca. 75 bits)? Med mindre de telefonnumre du kan huske tillader alle 256 forskellige tegn.

Held og lykke med din Linux Desktop.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017