er det mere sikkert på Dansk?

Et af de mest almindelige bruteforce angrebs teknikker er et smide ordbogen efter dem ie istedet for at gætte på tilfældige kodeord bruger man en ordbog med en masse almindelige ord/sætninger og fordi folk ikke er for kreative reducere det ofte indbrudstiden.



Hvad der er i deres lister er ikke længere bare OED* men OED er stadigvæk en del af fundamentet.



På en dansk side vil en andgriber nok andvende en dansk ordbog så det er ikke altid sikkert.



Husk at vi her taler om brute force andgreb hvor en andgriber forsøger at gætte dit kodeord, ikke systematiske programfejl.



Når det gælder "systematiske" kodefejl er der snæverhed ikke en real beskyttelse over en bestemt tærskel og linux er for længst over den tærskel hvor sikkerhed kun kommer via korrekt design.



*Oxford English Dictionary.

#0: EI er den browser med flest brugere; hvilket er årsagen til at de fleste 'ondsindet' programmer er rettet mod windows og EI, fordi det er et større mål.



Lidt der ikke handler direkte om dit spørgsmål, men for at rette et par misforståelser.



IE er ikke længere den mest benyttede browser, overhalet af både Firefox og Chrome, selv i den ud af de tre statistiker MS selv hævder er den korrekte.



#0: Jeg har ladet mig overbevise om, at en af grundene til at Linux OS er mere sikkeret på bruger siden end windows OS, er fordi at Linux er et lille mål; og derfor er udbyttet ved at skrive 'ondsindet' kode rettet mod Linux så ringe, at det ikke er besværet værd.



Ja det er en af grundene, men ikke den væsentligste. Omkring 95 % Windows privat brugere har den vane, at de bruger en administrativ konto som primær, der efterlader systemet sårbar for exploits. Linux en standard konto, automatisk oprettet under install, der kun efterlader kontoen sårbar.



Almindeligvis installeres apps fra Linux repos, langt mere sikker end install fra sites på internettet, hvilket er den store hurdle i Windows. Derfor har MS efterlignet Linux med App-Store i Win 8, men den er allerede exploited, og ligeledes er UAC, Skype, og alt andet internetbaseret som MS rører,



Linux har ikke det hav af exekverbare filer (pif, scr, paf, reg osv ...) som udnyttes malicious i Windows, og ingen registreringsdatabase, og ingen ActiveX,, der er andre af MS fejldispos., og fordi Linux er Open Source opdages sikkerhedsrisici hurtigere.



http://pcsupport.about.com/od/tipstricks/a/execfileext.htm



Som Dudsen nævner:



På en dansk side vil en andgriber nok andvende en dansk ordbog så det er ikke altid sikkert.



... så har du nok lagt mærke til at angreb på danske netbanker nærmest er lig med samme som før talkortet blev indført (statistik på finansrådets hjemmeside), og så meget større end indbrud i Norge, Tyskland og Sverige med flere. Disse stammer ofte fra Kina og Rusland. Dansk er på ingen måde mere sikker selvom der kun er 6 mill. dansktalende.



http://www.finansraadet.dk/tal--fakta/statistik-og-tal/netbankindbrud--…



Det er derimod afgørende, at du bruger stærke passwords man ikke finder i scriptkiddies ordbøger. Reglen er; Mindst 6 tegn, tal, store og små bogstaver og specialtegn (#,&, m.f.).



Mig bekendt er der kun to aktive vira til Linux, begge fra serveren 212.7.208.65. Udeluk denne IP i routeren for at forhindre malware i at installeres.



http://www.google.dk/webhp?source=search_app#hl=da&sugexp=ernk_timedisc…

#0:



Som flere har nævnt er dansk som udgangspunkt ikke mere sikkert mod et målrettet angreb. Men bemærk jeg skriver målrettet. Hvis det er nogle tilfældige hackere fx i det fjerne østen som sender bots ud i verden på vilkårlige angreb, så vil de formentligt ikke benytte sig af danske ordbøger og som sådan vil du nok være lidt bedre beskyttet.



Men langt bedre end blot at bruge danske ord og vendinger, så vil jeg foreslå min strategi: bevidst fejlstavede sætninger. Når jeg skal vælge passwords, så kigger jeg mig omkring og finder på noget. Fx står ligger der lige nu nogle hovedpinepiler på skrivebordet, så kunne jeg finde på at kalde kodeordet "hovedpinnepiler". Jeg kan sagtens selv huske fejlstavningen, men det står med garanti ikke i en ordliste som hackerne er udstyret med.



En taktik er at udskifte bogstaver med tal som ligner, fx "hovedp1nep1ller", men det synes jeg ikke er så sikkert igen, idet det er meget let for hackere at teste systematisk for den slags. Det er simpelthen for almindeligt. Det er fint nok kombineret med andre teknikker.



Endelig har jeg en selvopfundet teknik til at danne et kodeord ud fra det site som det skal anvendes med, plus en fast kodefrase jeg benytter mange steder. Lidt i stil med det som kaldes hash+salt i kryptografi. Denne teknik gør at jeg altid kan huske kodeordet selv om det ikke er ens kodeord. Hvad jeg præcist gør er selvklart hemmeligt :)

Jeg har ladet mig overbevise om, at en af grundene til at Linux OS er mere sikkeret på bruger siden end windows OS, er fordi at Linux er et lille mål; og derfor er udbyttet ved at skrive 'ondsindet' kode rettet mod Linux så ringe, at det ikke er besværet værd.



Mod argument: Linux kører på væsentlig kraftigere maskiner end desktop pc'er. Hvis du som hacker eksempelvis fandt et exploit på en ubuntu webserver, vil du have adgang til pænt mange cpu-timer på Amazon EC2.

Oven i købet maskiner, med konfigureret mailserver og andet lækkert.

Endvidere maskiner med god netværksforbindelse til ddos angreb.

Slettet fordi jeg fik blandet det sammen med en anden tråd



Noget andet er, at på server siden er Linux langt det største OS

#5: Noget andet er, at på server siden er Linux langt det største OS



Og der er masser af exploitkit og botnets der specifikt forsøger at ramme linux, enten via specifikke fejl i applikationer(web frameworks som rails eller wordpress er hårdt ramt) eller ved at lave dictionary attach på ssh serveren(så pas på med at acceptere password auth på en offentligt tilgængelig ssh server).



Hvor dominerende linux er på server siden er lidt et spøgsmål om hvad du måler på, big iron er stadigvæk en factor når det kommer til tunge transaktionelle database systemer, og der er en frygteligt masse exchange og sharepoint servere rundt omkring pga MS office integrationen. IDC har rapporteret windows som større på serversiden end linux* men der er ingen der har gode tal for andet end webserver markedet og linux er af gode grunde underapporteret hvis man tæller OEM licenser.



http://en.wikipedia.org/wiki/Usage_share_of_operating_systems#Servers

Min tanke er, at det at havde et sprog med en relativ begrænset bruger demografi, tilføjer et lag af sikkerhed via utydelighed, som en heldig bivirkning. Men som alle her er klar over, er sikkehed via utydelighed slet ikke sikkerhed - burde måske havde nævnt det i mit oprindelige indlæg.



Jeg har selv to kodesætninger som jeg skal huske, plus et root password som er relativt svagt, fordi login som root ikke er muligt på mit system.



Jeg har en password maneger som kræver en stærk kodesætning - jeg plejer at konstruere dette som et digt plus 'hemmelig sovs' (ofte mere end 60 tegn ialt), og fragmenter herfra som login til mit system og fragment fra dette som root password.



Det hele bliver skiftet efter 30 dage, og hvis jeg ikke har nået at blive træt af mit digt, skriver jeg det ned - der er ingen der bør huske vittigeheder som ikke får folk til at grine og digte som ikke får folk til at tænke.



Tak til alle for jeres tanker og viden :-)

#6: Hvor dominerende linux er på server siden er lidt et spøgsmål om hvad du måler på, big iron er stadigvæk en factor når det kommer til tunge transaktionelle database systemer, og der er en frygteligt masse exchange og sharepoint servere rundt omkring pga MS office integrationen.



Jo enig. Det er netop mine primære arbejdsopgaver på virksomheders Win AD DC, men hvis vi ser på det samlede antal servere worldwide, inklusiv web, ftp, mail m.f., så udgør Windows kun en brøkdel. Hvis man så regner supercomputere, routere, fjernsyn, biler, etc. med, så kan man dårligt få øje på Windows.



Også enig i at der er masser af exploits på Linux serverside. Nu slettede jeg kommentarene i mit forrige indlæg, men måske er der grund til at skrive nogle af dem igen, ikke for din skyld. Jeg har forlængest forstået at det ikke er nødvendigt, men for generel informations skyld.



På en server, uanset OS, er det uansvarligt at browse internettet, ikke at aktive iptables eller anden firewall, eventuelt SELinux og installere antivirus.



For nogle år siden havde jeg en mægtig dygtig Linux kollega der styrede Linux mailserverne. Jeg prøvede at fortælle ham, at han burde se at få installeret noget AV, men det ville han ikke. Det er ikke nødvendigt med AV på Linux. Næh nej Linux blev ikke smittet, men hans servere stod og distribuerede tonsvis af malware til Windows klienterne. Det mente han skulle fanges at klienternes AV, iøvrigt for det mest dette elendige Norton AV. Jeg skulle så rende rundt og fjerne alt lortet på brugernes Windows.



Det gode ved denne security harassment var, at jeg fandt ud af alternative metoder til at beskytte Windows maskinerne for at spare tid, og det gavnede også andre af mine mere personlige interesser.



#7: Jeg har selv to kodesætninger som jeg skal huske, plus et root password som er relativt svagt, fordi login som root ikke er muligt på mit system.



Næh du kan ikke logge ind med root på desktoppen, men du kan fra en terminal og principielt også over nettet. Det er derfor misforstået at du ikke har et stærkt root-pass, hvilket der er blandt første prioriteter.



#7: (ofte mere end 60 tegn ialt)



Okay man kan også overdrive ;) Det er rigeligt med 8-10 tegn så længe du overholder god latin:



Store og små bogstaver, specialtegn og tal ... Jeg har som Marlar også en metode at huske dem på, men den vil jeg heller ikke ud med ;)

#8: Næh du kan ikke logge ind med root på desktoppen, men du kan fra en terminal og principielt også over nettet.



Det er et spørgsmål om konfiguration og man kan ikke logge ind som root på mit system, jeg har testet over ssh telnet og i en tty.

#9: Det er et spørgsmål om konfiguration og man kan ikke logge ind som root på mit system, jeg har testet over ssh telnet og i en tty.



Ja det er det da. Hvad med en teoretisk trojaner. Med et svagt root-pass, har den pass i sin ordbog, eller forbindelse til flere ordbøger på en server, keylogger, screendump? Har du password i nøgleringen?



Det er selvfølgelig teoretisk, og det hjælper hvis ikke du skal bruge netlogon. Under alle omstændigheder er kæden aldrig stærkere end det svageste led.

Det er sandt at en kæde ikke er stærkere end det svageste led, og så svagt er mit root pas da heller ikke, det er bare svagere end mit master pas og bruger pas.



Ja jeg har password til online servicer i en nøglering, men den ligger ikke på mit eget system. Jeg kan umuligt huske ti forskellige unikke password, der består af 32 tilfældige tegn hvori alle tegn indegår - de kodeord har gerne 60 dages levetid.



Jeg kan godt logge ind i mit system over ssh, men ikke som root, jeg kan logge ind som bruger og derfra opnå sudo rettigheder.



Hvis en eller anden nu får fysisk adgang til mit system og booter det op med ex Parted Magic er det i og for sig ikke et problem, fordi mine data er krypteret, "puplic key" er på et flashkort, som jeg er meget omhyggelig med at passe på, så kun privat key findes på selve systemet - plus en backup kopi der er godt skjult som steganografi i et foto album - og nej, det billede poster jeg ikke til facebook eller andre steder :-P



#8: Okay man kan også overdrive ;) Det er rigeligt med 8-10 tegn så længe du overholder god latin:



Et lagt sammenhængende master password gør det nemmere for mig, fordi jeg kan bygge et narrativ forløb der giver mening plus garnering med hemmelig sovs uden de forskellige kontekster bliver forvirrende (det er bare sådan min hjerne arbejder), et langt master pas giver også mulighed for at fragmentere det og på den måde bruge det samme password flere steder, uden at kompromittere sikkerheden.