mboost-dp1
Flickr - Elbpresse.de
kblood (1) skrev:Troede allerede der kom denne type sikkerhed i Windows 7? Nu er det at det dækker flere typer mapper og sådan, eller?
Du må kende til at feature i Windows 7 som jeg ikke kender til. Hvordan kan du styre inden for f.eks. dit userspace hvilke programmer må skrive hvor, hvis de kører med lokal bruger rettigheder? Altså f.eks. gøre at nyapplikationfranettet.exe ikke må skrive/ændre i filer på dit skrivebord?
#2 Altså jeg tænker bare på det som jeg mener kaldes UAC. Der er beskyttelse af system mapper og sådan, og er et program ikke kørt som admin vil system mapper ikke kunne skrives til. Gælder det alle de mapper en bruger har? Sikkert ikke, men jeg undrer mig jo netop også over hvad forskellen her lige er? Jeg havde ikke en opfattelse af at programmer bare havde fri adgang til ens skrivebord og sådan f.eks.
#3
Du har ret UAC er der for at beskytte system mapper m.m. til et vist niveau. Så vidt jeg ved, så findes der nogle metoder at lave privilege escalation hvis du kører med en administrator bruger og UAC - så du vil omgå UAC. En måde at beskytte mod den svaghed er at køre med en standard bruger som ikke har administrator rettigheder.
Forskellen med UAC og dette er at UAC kun beskytter mod ting som kræver administrator rettigheder og her kan du give specifikke applikationer adgang til områder i dit bruger område.
Normalt når programmer kører med din bruger profil, så har programmet adgang til alle filer din bruger profil har adgang til. Dvs. åbner du en EXE-fil som bruger, så har programmet adgang til alt i C:\Users\<dit brugernavn>\
Dvs. starter du tilfældigtprogram.exe fra din bruger, ja, så har den fuld adgang til alle filer på både skrivebord, i dine dokumenter osv.
Det er hvad ransomware udnytter. Det er sværere at bryde system sikkerheden i operativ systemer i dag, men via spam er det statistisk sandsynligt at personer vil åbne dit ransomware - bare du sender nok ud.
Det rammer også ofte hårdere ved brugerne at du kryptere deres filer end hvis du f.eks. ødelægger deres systemer. Det er også lettere at få brugerne til at betale dig, hvis du kan give dem noget tilbage som er uerstattelig for dem som samtidig har stor værdi, end det er at fange deres adgang til f.eks. netbank eller kreditkort.
Jeg vil antage at du kunne mimic denne form for funktionalitet ved at oprette en række bruger profiler på din computer og så sørge for at starte applikationer med de specifikke bruger profiler som tilhører applikationen og samtidig tilføje access control lists til dine mapper som giver de specifikke bruger profiler adgang til specifikke mapper i din bruger profil.
Du har ret UAC er der for at beskytte system mapper m.m. til et vist niveau. Så vidt jeg ved, så findes der nogle metoder at lave privilege escalation hvis du kører med en administrator bruger og UAC - så du vil omgå UAC. En måde at beskytte mod den svaghed er at køre med en standard bruger som ikke har administrator rettigheder.
Forskellen med UAC og dette er at UAC kun beskytter mod ting som kræver administrator rettigheder og her kan du give specifikke applikationer adgang til områder i dit bruger område.
Normalt når programmer kører med din bruger profil, så har programmet adgang til alle filer din bruger profil har adgang til. Dvs. åbner du en EXE-fil som bruger, så har programmet adgang til alt i C:\Users\<dit brugernavn>\
Dvs. starter du tilfældigtprogram.exe fra din bruger, ja, så har den fuld adgang til alle filer på både skrivebord, i dine dokumenter osv.
Det er hvad ransomware udnytter. Det er sværere at bryde system sikkerheden i operativ systemer i dag, men via spam er det statistisk sandsynligt at personer vil åbne dit ransomware - bare du sender nok ud.
Det rammer også ofte hårdere ved brugerne at du kryptere deres filer end hvis du f.eks. ødelægger deres systemer. Det er også lettere at få brugerne til at betale dig, hvis du kan give dem noget tilbage som er uerstattelig for dem som samtidig har stor værdi, end det er at fange deres adgang til f.eks. netbank eller kreditkort.
Jeg vil antage at du kunne mimic denne form for funktionalitet ved at oprette en række bruger profiler på din computer og så sørge for at starte applikationer med de specifikke bruger profiler som tilhører applikationen og samtidig tilføje access control lists til dine mapper som giver de specifikke bruger profiler adgang til specifikke mapper i din bruger profil.
#4 Altså selvom man kører som administrator på sin Windows computer, betyder det da ikke at alle programmer man kører automatisk får administrator adgang, medmindre man går ind i programmet og giver det den adgang. Et program som har admin adgang har det så med at komme og spørge om du er sikker på at du vil kører dette program da det kan ændre filer på din computer.
Det kan jo så hurtigt blive lidt en vane at acceptere det, og det er nok der den største svaghed er ved UAC, at lige så snart man skal installerer noget, så ville denne advarsel jo komme, og allerede her giver man adgangen, og hvis denne installations fil så gør mere end at installere det man forventer, så har man et problem.
Det kan jo så hurtigt blive lidt en vane at acceptere det, og det er nok der den største svaghed er ved UAC, at lige så snart man skal installerer noget, så ville denne advarsel jo komme, og allerede her giver man adgangen, og hvis denne installations fil så gør mere end at installere det man forventer, så har man et problem.
Læser du overhovedet hvad der bliver skrevet? :)kblood (5) skrev:#4 Altså selvom man kører som administrator på sin Windows computer, betyder det da ikke at alle programmer man kører automatisk får administrator adgang, medmindre man går ind i programmet og giver det den adgang.
Der er masser af filer på din computer som kan modificeres uden at det kræver administratorrettigheder. Alle dine feriebilleder, de fakturas du skriver i forbindelse med driften af dit firma, dine database- og websidefiler hvis du kører en hjemmeside, indholdet af din Dropbox etc. etc. Alt dette kan modificeres af et program uden at det kræver at UAC popper op. Disse filer er på ingen måde beskyttede.
UAC er slet ikke en faktor når det kommer til Ransomware.
#6 Læste du hvad jeg skrev? Jeg var netop opmærksom på dette. Jeg skrev om UAC, og ville vide præcis hvad forskel der var i forhold til det.
Det lyder da smart, men syntes ikke detaljerne om hvordan det ville fungere lyder specielt detaljerede.
#4 forklarede det nu ret godt, og det var egentlig også sådan jeg forventede det ville fungere. Tænkte bare at man kunne få UAC til at gøre det samme med lidt Reg Edit, hvis der da bare er et sted hvor man kan indstille hvad Windows skal se som værende system mapper.. det ville nok bare ikke være helt så brugbart og medføre andre problemer.
Det lyder da smart, men syntes ikke detaljerne om hvordan det ville fungere lyder specielt detaljerede.
#4 forklarede det nu ret godt, og det var egentlig også sådan jeg forventede det ville fungere. Tænkte bare at man kunne få UAC til at gøre det samme med lidt Reg Edit, hvis der da bare er et sted hvor man kan indstille hvad Windows skal se som værende system mapper.. det ville nok bare ikke være helt så brugbart og medføre andre problemer.
kblood (7) skrev:#4 forklarede det nu ret godt, og det var egentlig også sådan jeg forventede det ville fungere. Tænkte bare at man kunne få UAC til at gøre det samme med lidt Reg Edit, hvis der da bare er et sted hvor man kan indstille hvad Windows skal se som værende system mapper.. det ville nok bare ikke være helt så brugbart og medføre andre problemer.
Det ville gøre hele systemet stort set komplet ubrugeligt hvis alle programmer skulle have administratoradgang for overhovedet at kunne tilgå helt basale filer. Men det er skam en mulighed, og du behøves ikke engang regeditor til at få det til at fungere. Selve Windows har indbyggede værktøjer til at administrere mapperettigheder.
En bedre løsning er regulære backups af dine filer, enten via. Cloud-tjenester (Dropbox), eller andre metoder. Især FTP-backups er gode, da Ransomware ikke som udgangspunkt kan få adgang til filer der kun er tilgængelige over FTP, og dermed ikke også kan kryptere dine backups.
Athinira (8) skrev:En bedre løsning er regulære backups af dine filer, enten via. Cloud-tjenester (Dropbox), eller andre metoder. Især FTP-backups er gode,
Jeg vil nu sige det er en dårlig løsning da der er gode chancer for at ende op med et backup af de ransomware krypteret filer.
CBM (10) skrev:SKAL det være FTP, så BØR det vel være SFTP?
Vel lidt som at sige at "SKAL være FTP, så BØR det vel være WebDAV?"
FTP og SFTP er vel to vidt forskellige protokoller. SFTP er ikke FTP, og omvendt. Det er bare to netværksprotokoller som kan overføre filer.
Så hvis det BØR være SFTP, så er det ikke FTP.
Og hvis backup filerne er krypteret før overførsel og der intet andet er på destinationen som er af værdi, så er det værste der kan ske ved at køre rå FTP i denne situation vel at nogen kan opfange credentials og slette backup filerne.
dub (9) skrev:Jeg vil nu sige det er en dårlig løsning da der er gode chancer for at ende op med et backup af de ransomware krypteret filer.
Så længe backup er versioneret, så er det vel ikke et større problem så længe backup lageret ikke er tilgængeligt permanent via filsystemet på enheden og det ikke kører på en protokol som ransomwaren kan tilgå (FTP som eksempel).
Jeg mindes faktisk Dropbox holder versioner af dine filer i 30 dage, så hvis de skulle blive krypteret, så kan de gendannes fra Dropbox.
#8 Jaja, jeg skrev heller ikke det ville være en god eller holdbar løsning. Android og iOS har vidst haft dette niveau af sikkerhed i noget tid, hvor det kræver tilladelse stort set per mappe en program skal have lov at skrive til eller læse fra, og det giver da helt sikkert god mening. Så skal de fleste programmer bare kunne få en standard adgang som f.eks. at få adgang til alle de mapper som programmet selv opretter... hvis de ikke allerede findes i forvejen.
dub (9) skrev:Jeg vil nu sige det er en dårlig løsning da der er gode chancer for at ende op med et backup af de ransomware krypteret filer.
Stort set alle synkroniseringsprogrammer til backups har en arkiveringsfunktion, som arkiverer slettede eller modificerede udgaver af filer når der tages backup. Med andre ord: journaling.
Eller sagt på en anden måde: konfigurer dit backup-program korrekt :-)
CBM (10) skrev:SKAL det være FTP, så BØR det vel være SFTP?
Kommer an på hvor din backup er lokaliseret. Hvis du har en NAS på dit eget lokale LAN det ligegyldigt om det er ukrypteret FTP.
Derudover vil jeg lige påpege at der er forskel på SFTP (SSH-FTP) og FTPS (FTP med SSL/TLS). Sidstenævnte er lidt mere udbredt og understøttet.
Ok FTPS, det var FTP med SSL/TLS jeg tænkte på ifm at sende data over nettet... På LAN, kan FTP være ok ja, forudsat det LAN er tilstrækkeligt beskyttet.
#14 Ja, nogle LANs på kollegier og sådan er jo ret store og har mange brugere... og nu er jeg ikke helt inde i hvordan WiFi sniffing fungere, men hvis man kan komme på WiFi på det netværk som ens LAN også er en del af, så kunne det da vidst være relevant med ekstra sikkerhed? Men jeg mener nu det er noget anderledes hvilken sikkerhed der så skal bruges sammenlignet med WLAN hvor man jo hvis direkte kan opsnappe hvad der bliver sent til at fra routeren.
kblood (15) skrev:#14 Ja, nogle LANs på kollegier og sådan er jo ret store og har mange brugere... og nu er jeg ikke helt inde i hvordan WiFi sniffing fungere, men hvis man kan komme på WiFi på det netværk som ens LAN også er en del af, så kunne det da vidst være relevant med ekstra sikkerhed? Men jeg mener nu det er noget anderledes hvilken sikkerhed der så skal bruges sammenlignet med WLAN hvor man jo hvis direkte kan opsnappe hvad der bliver sent til at fra routeren.
Wi-Fi sniffing er ganske let, bare du er på samme netværk (Google 'Wireshark'). I kontekst til truslen mod Ransomware er det dog ikke relevant, medmindre nogen udvikler en ransomware som samtidigt er en form for spion af internettraffik, og som kan kombinere de to og derfra tilgå en FTP. Ret usandsynligt.
Har du dit eget Wi-Fi og eget LAN, så tvivler jeg på at dine venner som får lov at låne det gider sniffe din Wi-Fi traffik. I så fald skal du da have nye venner ;-)
kblood (17) skrev:#16 Mjaa, nu er det ikke umuligt at hacke et WiFi netværk. Ikke hvis ens kode er nogenlunde simpel i hvert fald.
Det er heller ikke umuligt at hacke et Wi-Fi netværk hvis jeg har hvis jeg får fysisk adgang til din router. Men lad os nu antage at sådanne simple sikkerhedsforanstaltninger er givet på forhånd, ikke? :-)
Som min kære mor altid sagde det: "Hvis og hvis, min røv er spids"
#18 Det ville så bare være forkert at antage, siden det virker til at i det fleste tilfælde er sådan en sikkerhed ikke specielt god og de kan derfor oftest hackes... også uden fysisk adgang, så det kan godt være at man ikke skal antage at det kan gøres, men man skal heller ikke antage at det ikke kan gøres.
kblood (19) skrev:#18 Det ville så bare være forkert at antage
Hvorfor skulle det være forkert? Nu er vi på Newz, og jeg antager at folk der udtaler sig her har en minimal ide om hvad de laver og udtaler sig om.
Hvis vi begynder at antage sikkerhedshuller overalt, så er der intet der er sikkert, og så kunne man lige så godt opgive diskussionen fra starten. En god angriber ville også sagtens kunne angribe en FTP-server der benytter FTPS eller SFTP, specielt på LAN backup hvor der ikke er nogen autentikation af sikkerhedscertifikater, og man kan lave MITM angreb eller lign. Hvis det er udgangspunktet er der jo intet der er sikkert alligevel.
Så, nej, jeg antager ikke nødvendigvis at en person som fx din mormor har konfigureret sin router sikkert - men jeg antager omvendt heller ikke at hun kan finde ud af at opsætte en løsning til FTP-backup, og derfor holder jeg hende ude af diskussionen. Jeg antager derimod at DU kan finde ud af det, især når du selv bringer sikkerhed på banen :-)
#20 Jeg kan godt finde ud af det, men jeg går bare ikke op i sikkerhed, det er vigtigere for mig med en kode jeg hurtigt kan huske, der er alt for mange enheder jeg logger på dette netværk til jeg gider en kompliceret kode. Så mit netværk ville kunne hackes indenfor 15 min hvis personen vidste hvordan.
Igen, jeg sagde at ingen af delene skulle antages, men man skal antage at sikkerheden måske kan brydes. I mit tilfælde vil det bare ikke være en antagelse, for den kan brydes. Det er WPA2, men koden gør at det nemt kan hackes alligevel.
Igen, jeg sagde at ingen af delene skulle antages, men man skal antage at sikkerheden måske kan brydes. I mit tilfælde vil det bare ikke være en antagelse, for den kan brydes. Det er WPA2, men koden gør at det nemt kan hackes alligevel.
#20: der er også dem, der som mig er for dovne (og/eller mangler tid og interesse) og hverken har brugt tid på at sætte backup eller router op på fornuftig vis og som samtidig har en masse upatchede enheder på det "indre" netværk :)
men har da tænkt på at man skulle smide et pihole image på en gammel pi og bruge den til at holde øje med netværket
kører wpa2 men har dog en meget lang passphrase til wifi på det "indre" netværk som gør brug af alle 4 tegngrupper
det "ydre" wifi / router / modem er alligevel primært kontrolleret af yousee ... så skulle jeg sætte routeren op til kun at være modem og så placere en ekstra router til at køre det netværk knægten bruger (nemmeste måde at give hans tablets net på uden at give mulighed for at styre de chromecasts der er på det "indre" wifi
før knægten skulle bruge wifi og før vi fik ny router, konfigurerede og brugte jeg kun yousee udstyr som modem og brugte min egen router til at snakke med kabel modemet
har dog aldrig gidet andet backup end en usb harddisk som jeg kobler til efter behov, den er så "offline" når den ikke er i brug
den gamle IBM server er bare til skæg og ballade og nostalgi, selv om den sikkert stadig ville være en fin backup løsning
men har da tænkt på at man skulle smide et pihole image på en gammel pi og bruge den til at holde øje med netværket
kører wpa2 men har dog en meget lang passphrase til wifi på det "indre" netværk som gør brug af alle 4 tegngrupper
det "ydre" wifi / router / modem er alligevel primært kontrolleret af yousee ... så skulle jeg sætte routeren op til kun at være modem og så placere en ekstra router til at køre det netværk knægten bruger (nemmeste måde at give hans tablets net på uden at give mulighed for at styre de chromecasts der er på det "indre" wifi
før knægten skulle bruge wifi og før vi fik ny router, konfigurerede og brugte jeg kun yousee udstyr som modem og brugte min egen router til at snakke med kabel modemet
har dog aldrig gidet andet backup end en usb harddisk som jeg kobler til efter behov, den er så "offline" når den ikke er i brug
den gamle IBM server er bare til skæg og ballade og nostalgi, selv om den sikkert stadig ville være en fin backup løsning
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund