IP BASERADE ATTACKER:

Examensarbete D, 20 Poäng Telia ProSoft AB IP BASERADE ATTACKER: - Hushållskundens personliga brandvägg och nya problemställningar för fraud. av (dvaape@cs.umu.se) Stockholm, 2001 Handledare: Handledare: Examinator: Dan Olofsson Håkan Gulliksson Per Lindström Tillämpad fysik och elektronik Datavetenskapliga institutioen Vitsandsgatan 9, 12386 Farsta Umeå Universitet 901 87 Umeå Umeå Universiet 90187 Umeå E-mail: Dan.I.Olofsson@telia.se E-mail: hakan.gullikson@tfe.umu.se E-mail: perl@cs.umu.se

Abstract This Master s thesis commences by examining and identifying the threats in the home computer environment. To ensure a secure homecomputing environment a firewall is necessary. Three different firewalls are tested: BlackICE Defender 2.1.1, Norton Internet Security 2001 and ZoneAlarm 2.0. The test is focusing on the usability and security aspects. The test found that all three programs provide good protection for the home environment. However, when making a priority BlackICE Defender 2.1.1 will be the winner closely followed by Norton Internet Security 2001 and finally ZoneAlarm 2.0. The second part focuses on how telecom-operators work with fraud, i.e. how they develop the ability to detect fraudulent behaviour that result in financial losses. Systems to detect this kind of behaviour are called Fraud Management Systems (FMS). This thesis will give an answer to what problems must be solved when starting to use Internet Protocol (IP) as communication protocol for old and new services.

Sammanfattning Detta examensarbete studerar personliga brandväggar och telekomoperatörers problemställningar kring fraud. Beröringspunkten mellan dessa båda ämnen är att de båda kommer att utsättas för IPbaserade attacker som de behöver skyddas emot. För hushållskunden är intrångsattacker en realitet som måste uppmärksammas. Det utökade informationsvärdet som finns på datorerna i hemmen kommer inom kort vara en attraktiv källa för hackers. Ett sätt att hindra intrång är att installera en brandvägg på datorn. Brandväggen måste således kunna skötas av någon som inte är expertanvändare. För att se vilket skydd som erbjuds idag av brandväggar genomförs ett test av tre stycken produkter: BlackICE Defender 2.1.1, Norton Internet Security 2001 samt ZoneAlarm 2.0. Under testningen utvärderas i huvudsak två variabler: användarvänligheten och säkerheten. Testerna visar att samtliga produkter är bra för hemanvändaren att använda och uppfyller de säkerhetskrav man kan ställa på en brandvägg. Resultatet visar att den som sammantaget är bäst är BlackICE Defender 2.1.1. Detta mycket beroende på att informationen och meddelandena var tydligast och mest begripliga. Intrusion detection kan sägas tillhöra både brandväggs delen och fraud delen. Intursion detection är förmågan att upptäcka intrång eller försök till intrång. Fraud management sägas vara en applikationsspecifik del av intrusion detection. Fraud är inriktat på telekomoperatörernas förmåga att upptäcka när de blir bedragna på pengar. De system som övervakar denna typ av fraud kallas Fraud Management Systems, (FMS). Studien visar att nya problemsituationer uppkommer för FMS när IP införs som kommunikationsprotokoll för ett antal nya tjänster. Dessa problem kan sammanfattas i följande punkter: á Affärsmodellerna förändras till att fler aktörer kommer att finnas inblandade i varje transaktion eller överföring av information. Detta kommer att ställa krav på skalbarheten av systemet. Komplexiteten kommer öka varför samarbetet mellan olika företag i affärskedjan måste bli bättre. á Tjänsternas värde kommer att öka i och med att Internet erbjuder väldigt många potentiella kunder. Mer intäkter gör också att riskerna att förlora pengar ökar. á Tjänsternas livstid kommer att minska vilket resulterar i att FMS måste vara enkela att uppgradera och uppdatera. Detta leder till stora krav på generalitet i systemen.

á Antalet tekniska komponenter och därmed antalet potentiella hot ökar då accessteknologierna blir fler till varje tjänst. á Det finns idag ingen standard för hur faktureringsinformationen ska se ut. Denna information har traditionellt sett varit viktig för möjligheterna att upptäcka fraud.

IP baserade attacker Innehållsförteckning 1 Inledning... 1 1.1 Hemmets kommunikation, intrång... 1 1.2 Tjänster på nät, fraud... 2 1.3 Beskrivning av Telia... 3 1.3.1 Telia ProSoft AB...3 2 Fokus och struktur... 5 3 Personlig Brandvägg... 6 3.1 Hotbild mot den enskilde användaren... 6 3.2 Urval... 8 3.2.1 BlackICE Defender...8 3.2.2 ZoneAlarm...9 3.2.3 Norton Internet Security 2001 2,5...10 3.3 Förutsättningar för testet... 11 3.4 Begränsningar i testet... 12 3.5 Genomförandet av test... 12 3.5.1 Installation - konfiguration...12 3.5.2 Dokumentation och instruktioner...16 3.5.3 Användandet...17 3.5.4 Kompabilitet med andra program...19 3.5.5 Säkerhet...20 3.6 Sammanfattning och resultat av test... 22 3.6.1 Installation och konfigurering...22 3.6.2 Dokumentation och instruktioner...22 3.6.3 Användandet...23 3.6.4 Säkerhet...23 3.7 Rekommendation... 24 3.8 Framtiden... 24 4 Intrusion (intrång) och Fraud Detection... 25 4.1 Jämförelse mellan Intrusion och Fraud detection... 25 4.2 Intrusion detection Intrångs upptäckt... 26 4.2.1 Anomaly Intrusion Detection Upptäckt via avvikelse...27 4.2.2 Misuse Intrusion Detection obehörigt användande...29 4.2.3 För och nackdelar med respektive metod...30 4.3 Fraud Detection... 31 4.3.1 Målen med fraud...31 4.3.2 Tekniker för att upptäcka fraud i traditionell telefoni...32 4.3.3 Olika typer av fraud...32 4.4 Fraud i IP... 33 4.4.1 Nya affärsmodeller...33 4.4.2 Tjänstespecifika risker...36 4.4.3 Olika tekniker för att begå fraud...36 4.4.4 Nya Call Detail Records (CDR)...37

4.4.5 Internet Protocol Detail Record (IPDR)... 37 4.4.6 Morgondagens Fraud Management System (FMS)... 38 4.5 Avslutande kommentarer...39 5 Referenser...40 5.1 Artiklar...40 5.2 Rapporter...41 5.3 Böcker...42 5.4 Internetkällor...42 A. Appendix... I B. Allmänt om säkerhet...ii B.1. Översikt... II B.1.1. Förtroende och risk...ii B.1.2. Affärsmässigt... III B.1.3. Administrativt... III B.1.4. Tekniskt... III B.1.5. Erfarenhetsbaserat... IV B.1.6. Förhållandet förtroende risknivå... IV C. Nätverkssäkerhet... V C.1. Begrepp...V C.1.1. Konfidentialitet...V C.1.2. Integritet...V C.1.3. Accesskontroll... VI C.1.4. Begreppet AAA (Autenticering, Authorization, Accounting)... VI C.2. Policys...VII C.2.1. Strategier...VII C.2.2. Host based security...viii C.2.3. Nätverksbaserad säkerhet...viii C.2.4. Brandväggspolicy...VIII C.2.5. Network Service Access Policy (NSAP)... IX C.2.6. FirewallDesign Policy (FDP)... IX C.2.7. Incident hantering... IX C.3. Grundläggande funktionalitet i TCP/IP...X C.4. Attacker relaterade till TCP/IP...X C.4.1. Denial of Service (DOS)...X C.4.2. IP Spoofing... XI C.4.3. Ping of Death... XI C.4.4. Port Scanning... XI C.4.5. TCP Sync Flood... XI D. Säkerhet på PC och lokala nät... XII D.1. Risker och attacker...xii D.1.1. Intrång...XII D.1.2. Typer av attacker...xii D.1.3. Avbrott...XIII D.1.4. Uppsnappande...XIII D.1.5. Modifiering... XIV D.1.6. Fabrikation... XIV

D.2. Internettjänster och säkerhet...xiv D.2.1. Trojanska hästar och bakdörrar...xiv D.2.2. Virus and maskar... XV D.2.3. Brute Force Attack... XV D.2.4. Cookies... XV D.2.5. Attacker mot datorer via Internet... XV E. Brandväggsteori och arkitekturer... XVII E.1.1. Vad är en brandvägg?... XVII E.2. Arkitekturer...XVIII E.2.1. Dual-homed host... XVIII E.2.2. Screened host... XVIII E.2.3. Screened subnet...xix E.2.4. Mer om DMZ... XX F. Testplan...XXI F.1. Installationen...XXI F.2. Användandet...XXI F.3. Kompabilitet med andra program... XXII F.4. Säkerhetstest... XXII G. Intervju med Kaj Höglander... XXIII

1 Inledning Examensarbetet har utförts på Telia ProSoft AB i Farsta. Prosoft var i behov av en utredning och ett test av de personliga brandväggar som idag finns på marknaden främst med inriktning på användarvänligheten. Samtidigt ville de få svar på vilka nya problem som kommer med Internet Protocol (IP) för att upptäcka fraud av telekomoperatören. Mitt intresse för säkerhetsaspekter väcktes under utbildningen då jag läste två kurser som angränsade till ämnet. Dels var det Datakommunikation II och Current Topics in Software Engineering. Under kursen i datakommunikation var en av uppgifterna att bygga en brandvägg, och under den andra kursen skrev jag en artikel om de två säkerhetsprotokollen för elektronisk handel, Secure Electronic Transaction (SET) och Secure Socket Layer (SSL). I och med uppdraget från Telia ProSoft AB gavs möjligheten att kombinera datakommunikation med utvärdering av användarvänlighet. Målgruppen för denna rapport är personer med teknisk bakgrund inom områdena data och/eller telekommunikation. Kunskap om hur Internet fungerar och vad en brandvägg är också är nödvändigt. För att underlätta för dem som inte har kunskap om detta eller behöver repetera, finns kompletterande information i appendix. Först kommer här en introduktion till ämnet sedan följer en mer ingående beskrivning av hur rapporten är uppbyggd. 1.1 Hemmets kommunikation, intrång Ökningen av Internetanvändandet har gått i en rasande fart, och det mesta tyder på en fortsatt ökning. Det ställs allt större krav på snabb uppkoppling och därigenom snabb dataöverföring. Men med den ökande överföringen av data och förbättrade förmågan att använda datorerna kommer också en större risk för oegentligheter. Det har hittills varit främst företag som drabbats av hackers och därigenom har utvecklingen av Internetsäkerhet haft störst betydelse för företag, men även för den enskilde användaren börjar det nu bli alltmer intressant. Tidigare har man inte som privatperson haft tillgång till en bredbandsuppkoppling och möjligheten att vara ständigt online. Tjänsteoch informationsflödet har inte varit sådant att privatpersoner sett fördelarna med att sitta online. Till detta skall läggas att fast uppkoppling tidigare varit kostsamt. I takt med ökad bandbredd och införandet av flat-rate (att användaren betalar ett fast pris oavsett nyttjandegrad) har antalet möjliga bredbandstjänster ökat markant och behovet/möjligheten att sitta 1

ständigt uppkopplad har ökat. Med ökat tjänsteutbud och ökat användande kommer även fler säkerhetsrisker. I takt med att datoranvändandet blir mer frekvent i hemmen, ökar också mängden information av känslig karaktär. Ett steg i utvecklingen av en säkrare hemdatormiljö är den programvara som kallas personlig brandvägg. I denna studie kommer tre olika varianter av denna typ av produkter att testas. Brandväggen ska erbjuda hemanvändaren det skydd som kan anses nödvändigt för att inte råka ut för de vanligaste fallen av intrång eller bedrägerier. En viktig faktor är att total säkerhet aldrig kommer att kunna uppnås. Analysen kommer att bygga på reflektioner kring vad som kan antas lämpligt på en generell nivå. Individuella krav av ovanligare karaktär kommer inte att testas. 1.2 Tjänster på nät, fraud Fraud kommer från engelskan och betyder enligt ordlistan handling som innebär att man lurar någon så att man vinner på det själv; svek. Andledningen till att använda begreppet fraud är att det i arbetet kring säkerhet är ett vedertaget begrepp (på Telia). För Telia som nätoperatör sker en successiv övergång till allt fler tjänster med IP som grund. Telefoni är ett exempel där IP så smått börjat användas. Detta innebär att allt mer kommer att uppfattas som datakommunikation. Tidigare har stora mängder data samlats för att kunna göra korrekta fakturor till kunderna, så som var, när och hur länge ett telefonsamtal har pågått. Denna databas har också kunnat användas för bevisning när fraud skulle bevisas. Eftersom operatörerna kommer att gå över till att ta betalt genom flat-rate uppstår problemet att man inte kan gå tillbaka till liknande loggar. Detta är ett exempel på vad som kan ske när IP tar över som transportprotokoll. En annan viktig faktor som inträffar är att affärsrelationerna påverkas. Tidigare var det korta värdekedjor som återfanns, det var Telia som ansvarade för allt från att erbjuda en telefonitjänst till att vara nätoperatör och ta betalt av kunden. Nu kommer denna kedja att förlängas genom att en specialisering sker. Ta exemplet med media-on-demand, en typisk sådan tjänst är video-ondemand, vilken involverar flera aktörer. För schematisk bild se Figur 13. Det är en content provider (CP) som står för själva filmen, en service provider (SP) som står för tjänsten, en network provider (NP) som tar hand om nättransporten, flera olika accessnätverk kan 2

finnas(gprs/umts, IP över xdsl, IP över Ethernet), olika typer av klienter (pc, mobiltelefoner, hand pc) samt flera olika slutkonsumenter (privat personer, företag). Varje del i denna kedja kan utsättas för fraud. 1.3 Beskrivning av Telia 1853 bildades Svenska Telegrafverket, vilket 100 år senare blev Televerket. Ytterligare 40 år senare, 1993, ombildades statliga affärsdrivande Televerket till aktiebolaget Telia AB. Telia hade länge monopol på den svenska telemarknaden, men när telelagen ändrades 1993 kom ytterligare aktörer in på marknaden. Vid sidan om konkurrensen har även teknikutvecklingen lett till en ny strategisk inriktning för Telia. Telia har i dag främst två mål: á Geografiskt, med fokus på Norden och Östersjöområdet á Produkt-/tjänstesortiment, med koncentration på mobilkommunikation, Internet/IP-baserade tjänster och carrierverksamhet 1.3.1 Telia ProSoft AB Telia ProSoft AB är ett dotterbolag till Telia AB och utvecklar integrerade IT-lösningar inom tele- och datakommunikation, framförallt för Telia-koncernen men även för andra företag. Företaget erbjuder tjänster och produkter inom insourcing, förvaltning, systemintegration, affärsutveckling och produktutveckling. Totalt finns ca 1.000 anställda uppdelade på 13 olika kontor runt om i landet. Prosoft är uppdelat i fem tjänsteområden (Figur 1). Resultatenheten Bredband ingår i tjänsteområde nät. Bredbandsenheten arbetar med affärsutveckling, produktutveckling samt nät-, access- och stödsystemintegration inom bredbandsaffären. Enheten består av ca 50 personer. Nedan följer en bild (Figur 1) av hur Telia koncernen är uppbyggd och var i organisationen jag befunnit mig. Det ska tolkas så att överst finns koncernledningen sedan extraheras bara de delar som slutligen leder fram till resultatenheten Bredband. Av praktiska själ ligger de delarna alltid längst ned. 3

Översikt Telias organisation Koncern Mobil Företag Privat Carrier & nät Enterprises Financial Services Infomedia System & Service Supporttjänster & Handel IT och Innovation: Telia Business Innovation AB Telia Research AB Validation AB Prosoft AB: Consulting Services Företagskommunikation Finans/publik kommunikation Mobil kommunikation Nät: Bredband Figur 1, bild över Telia-koncernen som den ser ut för Bredbandsenheten 4

2 Fokus och struktur Beröringspunkten för områdena personliga brandväggar och fraud är kommunikationsbäraren, Internet Protocol (IP). För den personlige användaren handlar det om att skydda sig från intrång och stöld av viktig data medan hos telekomoperatören gäller det att skydda sig mot förlust av pengar. Fokus för detta examensarbete är således tudelat. I den första delen (Avsnitt 3) behandlas problemen kring att ha en ständigt uppkopplad dator i hemmet. Det är inte bara ett problem för den direkt berör utan kan komma att påverka omgivningen i form av förlorade data och hemligheter. Vidare kan den dator som blivit angripen kanske användas för att begå brott på andra ställen. De aspekter som jag kommer att titta på när det gäller personliga brandväggar är dataintrång, som kan innebära manipulering eller radering av data samt användbarheten. Till grund för arbetet ligger en teorigenomgång av hur brandväggar fungerar och hur man arbetar med säkerhetsbegreppen. Detta arbete ligger i appendix. Appendix ska ses som information för att underlätta läsförståelsen genom att läsa mer om olika begrepp eller om man vill ha en mer detaljerad redogörelse för någon teknisk del. För att kunna avgöra en lämplig nivå för säkerhet hos privat användare krävs en hotbildsanalys (Avsnitt 3.1) där det redogörs för de olika hoten. När väl hoten är kartlagda och viktiga variabler för testningen är framtagna görs en kartläggning och ett urval (Avsnitt 3.2) av brandväggsprodukterna. Produkterna testas och utvärderas (Avsnitt 3.5, 3.6), och slutligen görs en kort blick framåt mot den framtida utvecklingen (Avsnitt 3.8). I den andra delen som är benämnd Intrusion och Fraud detection (Avsnitt 4)kommer fokus att ligga på att försöka belysa de aspekter eller problem som införandet av IP medför när det gäller fraudaspekten. Denna del inleds med en genomgång av de angränsande begreppen och Fraud och Intrusion detection (Avsnitt 4.1). Genomgången av Intrusion detection (Avsnitt 4.2) bidrar till att förklara hur en brandvägg fungerar när det gäller att upptäcka intrång. Genomgång av fraud detection (Avsnitt 4.3) fokuserar på vilka mål och hur analysen av fraud sker idag. Efter detta sker en beskrivning av hur problembilden ser ut för IP (Avsnitt 4.4). Det hela avslutas med en sammanfattning av framtida problem kring fraud och IP (Avsnitt 4.5) 5

3 Personlig Brandvägg Användandet av datorer och Internet kommer fortsatt att öka. Nivån på säkerheten som behövs, står i relation till hur mycket värde som informationen har som finns på en dator. En brandvägg skulle i detta sammanhang kunna liknas vid en försäkring, ju mer värdefull information desto mer borde spenderas på en försäkring. Namnet brandvägg kommer från att det sägs pågå en ständig eld (hotet) på Internet och en brandvägg är en säkerhetsanordning för att skydda en dator eller ett nätverk från obehöriga att få tillträde, eller från att elden ska skada din dator. En brandvägg kan vara en miljö bestående av flera datorer i en slags säkerhetsmiljö (Appendix E.2). Det kan också vara i formen av en logisk brandvägg, vilket är en programvara som installeras i en dator. Skillnaden mellan en brandvägg som ett företag har och en personlig motsvarighet är stor. Företagen har ofta nätverk och flera användare som skall skyddas. Detta blir ofta ganska komplicerade strukturer att konfigurera och underhålla och företagen har ofta tillgång till personella och andra resurser. Värdet av informationen i ett företag är ofta mycket större och därigenom finns det ett större ekonomiskt incitament för att lösa säkerhetsaspekterna, även om det i många fall kan brista även där. Denna studie utgår från några relativt breda antaganden om vem som är användare och hur denne kommer att använda sin dator och därför kan anses vara i behov av en personlig brandvägg. Allmänt kan sägas att kompetensnivån skall betraktas som låg, men sådan att arbete med en dator ter sig naturligt. Detta är en förutsättning för att det skall finnas något att skydda. Således måste den personliga brandväggen vara lätt att förstå och använda. Den är tänkt för hemmabruk där det inte finns några större informationsvärden. För att ge några exempel på vad som kan hända följer nedan en hotbild för hemmaanvändaren. 3.1 Hotbild mot den enskilde användaren En bild som är ganska lätt att ta till sig är att någon tar sig in i en dator utan att användaren upptäcker det och raderar alla filer som finns. Det nyss nämnda exemplet brukar leda till en tankeställare, och är en av de risker som finns med att vara ansluten till Internet. Det är lika snabbt och enkelt för en som vill ta sig in i din dator, som för en användare att surfa. 6

Förutom att uppkopplingen är mycket snabbare, är den största skillnaden med en direktanslutning till bredband att du får en IP-adress som inte ändras förrän du stänger av maskinen. Med bredbandsuppkoppling kommer din adress, vilket är ett nummer som identifierar dig på ett nätverk, alltid att vara den samma så länge som din dator är påslagen [Cha95]. De flesta Internetleverantörer (ISP) använder sig av dynamisk IPadressering, men även om dessa adresser hämtas från en pool ges användaren ofta samma dress [Pac99]. Hackers som vill ta sig in på en dator behöver en IP-adress. Genom att använda enkla spårningsprogram kan de enkelt hitta adresser. När de väl har en adress kan de med olika och återkommande attacker bryta sig in i datorn eller systemet. Sedan kan de exempelvis stjäla informationen som finns om ett användarkonto, och dela ut denna till andra så att flera användare kan använda bandbredden genom att logga in på detta konto. Det mest troliga är dock att kontot utnyttjas i samband med falska beställningar av tjänster. Detta utan att ägaren till kontot vet om att någon obehörig utnyttjar kontot. Senare kanske användaren börjar fundera över varför uppkopplingen är så långsam eller varför det kommer en faktura utan anledning. Under tiden har hackers fullt tillträde och kan även begå nätrelaterade brott med en annan användaridentitet som alias. Andra hot som förekommer är att hackern kan stjäla och förstöra datorfiler genom att använda koder för att komma åt användarens hårddisk. En bedragare som är uppkopplad kan leta efter kreditkortsnummer, bankkonton eller lösenord till webbsidor. Sofistikerade hackers kan till och med plantera en Trojansk häst på datorn, denna kommer att tillåta dem att enkelt ta sig in bakvägen till datorn. Hackern kommer åt lösenorden genom att använda en mängd av de tillgängliga programvaror som finns på Internet. Ett enkelt sätt att göra ett intrång är att försöka lokalisera Windows inställningar för printerdelning, detta för att kunna ta sig in i datorn. Om dessa inställningar är felaktiga är det enkelt för en obehörig att ta sig in. Andra sätt är att skicka bilagor i e-postmeddelanden eller infektera datorn genom interaktiva webbsidor, här är det Java-applets och Active X kod som kan gömma annan kod. Detta är hotfulla program som har till uppgift att förstöra data på datorn eller göra programvaror oanvändbara. Hoten ovan är de främsta skälen till varför en användare av fast uppkoppling måste använda sunt förnuft och grundläggande säkerhetsförberedelser för att skydda sin dator, mjukvaran och den 7

personliga integriteten. Ett led i skyddsarbetet är att installera en brandvägg. 3.2 Urval Det finns idag en mängd produkter som kallas personliga brandväggar. Här har gjorts ett selektivt urval utifrån informationen om programmen på Internet och hos leverantörerna, samt möjligheten till att inom rimlig tid få tag i en testversion. Relativt snart begränsades urvalet till tre stycken. Det kommer en mer noggrann presentation av programmen nedan, inledningsvis kan sägas att ZoneAlarm är en gratisprogramvara (freeware). Nortons Internet Security är vad som kan betecknas som professionellt, med ett uppbyggt varunamn, programvaran ligger nära gränsen för vad som kan anses vara rimligt att betala. BlackIce bygger på en annan teknik än de andra två och är paketfiltrerande. Kostnaden för denna programvara är något lägre än för Norton. Det finns två säkerhetsaspekter som ges extra vikt vid i denna studie, nämligen användbarheten och intrångssäkerhet. När det gäller användbarheten är denna variabel viktigare än vad som ofta görs gällande. För att en normalanvändare inte ovetande ska begå misstag måste applikationen eller lösningen vara foolproof. Många av säkerhetsfrågorna löses med sunt förnuft och kunskap, men eftersom få tänker på intrångsaspekter när de använder datorer ställer det större krav på applikationerna. Vidare ställs här krav på att produkterna ska vara tillgängliga för Windows95,98/NT/2000, så att de inte begränsar antalet potentiella användare. 3.2.1 BlackICE Defender Programmet distribueras av Network ICE, vilket är ett företag som har flera produkter för hemanvändning men också för företag. Företaget är relativt anonymt vilket gör att det är svårt att få grepp om antalet anställda och därigenom utvecklingsmöjligheter och support. Det program som testas i denna studie är BlackICE Defender version 2.1. Programmet är en personlig brandvägg som är uppbyggd kring paketfiltrering. De flesta andra program på marknaden är uppbyggda kring s k mönstermatchning (Avsnitt 4.2.2.1). Istället för att förlita sig på att en attack följer ett givet mönster använder sig BlackIce av metoden att analysera varje paket som skickas till och från datorn. 8

Mjukvaran är uppbyggd kring två huvudkomponenter, själva motorn och ett användargränssnitt. Motorn är den som upptäcker, analyserar och stoppar hackers innan de bryter sig in i datorn. Den övervakar därmed all nätverkstrafik till och från datorn. Om en misstänkt händelse upptäcks analyseras denna och beroende på vilken säkerhetsnivå som är satt, kan motorn också öppna en fil för lagrande av bevis. Vidare har applikationen två typer av skydd, ett som skulle kunna betecknas som standardfilter och ett annat som kallas för dynamisktfilter. Standardfiltret stoppar de vanligaste attackerna innan de ens har startat. Filtret blockerar korrupta, dåligt fragmenterade och andra skadade paket. Programmet är konfigurerbart för huruvida IP-adresser, TCP- samt UDP-portar ska tillåtas eller blockeras. Det dynamiska filtret liknar ett IP-adressfilter som används på routrar och annan nätverksutrustning. När en misstänkt attack upptäcks adderas hackarens IP-adress till en adresstabell dynamiskt. Oavsett vad hackaren gör kommer all trafik från den IP-adressen att stoppas på nätverksnivån (i stackmodellen, OSI). Användargränssnittet till BlackIce kallas Summeringsapplikationen. Det visar alla försök till intrång på datorn. Detaljer om attacken, information om inkräktaren och vilken aktion som vidtagits hjälper användaren att bedöma omfattningen och lokaliseringen av intrånget. Operativsystem: Windows NT 4.0 (Service Packs 4, 5, 6, 6a), Windows 95, Windows 98, and Windows 2000 (Service Pack 1). Processor: minst pentium Minne: 16MB Utrymme på hårdisken: 10 MB ledigt. Nätverksprotokoll: TCP/IP Uppkopplingar: 10/100 Ethernet LAN/WAN, kabel modem, DSL router, ISDN, router, eller vanliga ring-up modem. Pris: Sharware ~$40 Licens: Ett år med support och uppdatering/uppgradering samt teknisk support med början från inköpsdatum. Efter det kan support och uppdatering/uppgradering köpas för ca $20/år. 3.2.2 ZoneAlarm Programmet är tillverkat av Zone labs och också detta företag är förhållandevis återhållsamt när det gäller information om hur stora resurser företaget har i form av antal anställda. Företaget har flera produkter varav en professionell variant av ZoneAlarm, denna är dock belagd med en avgift. Huvudkontoret ligger i San Fransisco och grundades 1997. 9

Programmet är en personlig brandvägg som är uppbyggt kring mönstermatchning, d v s att ett intrång har vissa givna mönster (se avsnitt 4.2.2.1). Liksom alla brandväggar har den funktionalitet i form av att stänga av portar och göra datorn osynlig. Företaget redovisar ingenting om hur programvaran är uppbyggd eller hur den fungerar mer ingående. Operativsystem: Microsoft Windows 95 (original WinSock 2 or OSR2), eller Windows 98 (original, SP1, och SE), eller Windows NT 4.0 (SP3, SP4, SP5 eller SP6), Windows 2000. Processor: 486 rekommenderat Minne: 8 Mb Utrymme på hårdisken: Full installation behöver 3Mb. Pris: Freeware för privatpersoner. Licens: - 3.2.3 Norton Internet Security 2001 2,5 Symantec heter företaget som äger produkten. Det är ett stort företag inom säkerhetslösningar för Internet. Man säger sig ha 50 miljoner kunder, samt finnas i 33 länder med totalt 2500 anställda. Omsatte 1999 ca 633 miljoner dollar. Företaget har ett flertal produkter. Programmet som har testats heter Norton Internet Security 2001 2.5. Det innehåller fler delar än bara själva brandväggen. Det är ett helhetskoncept för att skydda en ständigt uppkopplad användare inte bara mot intrång, utan även hindra information kan lämna datorn utan att användaren är medveten om detta. En del är själva brandväggen som bygger på mönstermatchning. På samma sätt som Zonealarm gömmer programmet datorn från att synas på Internet, men de redovisar inte hur programmet är uppbyggt. Operativsystem: Windows NT/2000/Me: Windows NT 4.0, servicepack 3 eller högre, Windows 2000 Professional: Microsoft Internet Explorer 4.0 eller senare, Netscape Navigator 4.0 eller senare, 48 MB RAM (64 MB rekommenderas) Windows 95, Windows 98, Windows 98 SE:, 32 MB RAM (48 MB rekommenderas)7 Processor: Pentium eller högre. Utrymme på hårdisken: 65MB Pris: ca 450 kr Licens: 10

3.3 Förutsättningar för testet Under testet användes en Pentium 180Mhz processor med 64Kb internminne och operativsystemet var Windows NT 4.0 med service pack 6 installerad. Det kan inte anses vara av avgörande betydelse för den utvärdering som gjorts vilken dator och operativsystem som använts. Viktigt var dock att det skulle finnas motsvarande programvara för Windows 95,98 och 2000. Datorn var kopplad till ett LAN, och intrångstesten gjordes från en annan maskin på samma nätverk. Det var inte möjligt att flytta testdatorn utanför Telias brandvägg, då det inte är tillåtet enligt Telia. En perfekt brandvägg för personlig användning ska i teorin kunna ha följande egenskaper: á Den ska vara billig, lätt att installera och använda. á Den ska erbjuda tydliga och klart förklarade konfigureringsalternativ. á Den ska gömma alla portar för att göra Pc:n osynlig för portskanningar. á Den ska skydda mot alla former av attacker, spåra alla potentiella och faktiska hot. á Den ska larma när någonting allvarligt inträffar, samt garantera att inget eller ingen obehörigt kommer in eller lämnar Pc:n. För att göra en ordentlig utvärdering har en testplan utarbetats. Den består av fyra huvuddelar, varav den första gäller själva installationen samt konfigureringsmöjligheter. Den andra delen är själva användandet, en brandvägg bör ju t ex larma vid hot och beskriva vad som inträffat, - hur ser informationen ut är den lättförstålig och vad får man ut av loggarna. Tredje delen gäller kompabiliteten med andra program, hur det fungerar att använda de vanligaste programmen. Sist gäller det själva intrångssäkerheten där test görs för att se vilken nivå på intrångssäkerheten som gäller. För mer detaljerad information kring testen läs testplanen (Appendix E). Programmen som laddades ned från Internet är fullt fungerande versioner. ZoneAlarm är gratis för hemmabruk. BlackICE är ett s k shareware där det är en 30 dagars provperiod, där man sedan registrerar sig och betalar för att få tillgång till programmet. Nortons program är det enda som är en betalprodukt, men det finns en försöksversion för 11

nedladdning och denna är fullt fungerande i 30 dagar. Inget av fallen krävde någon cd för installationen. 3.4 Begränsningar i testet En variabel som inte testades i denna studie var vilken prestandapåverkan som programmen har. Det kan ju tänkas att dessa program skulle sänka kapaciteten på uppkopplingen eller kräva för mycket processorkraft, då de är en länk mellan datorn och nätet. Testet exkluderades då det ansågs vara alltför omfattande. Testen genomfördes enligt ovan endast på ett LAN, där miljön har simulerats. Det kan tänkas att detta har spelat något spratt under tiden. Programmet har ej heller testats med andra operativsystem och slutsatserna kan således endast dras för detta fall. 3.5 Genomförandet av test 3.5.1 Installation - konfiguration ZoneAlarm Det första programmet som installerades var ZoneAlarm. installationen var kvick och enkel. Det börjar med att användaren ombeds fylla i diverse uppgifter (t ex namn och adress) senare kommer en fråga om notering av uppdatering skall fås via email. I slutet av installationen kommer även en undersökning om användarens syfte med brandväggen. Indikationen för att programmet är igång är en ikon nere i listen (se Figur 2.) bredvid klockan. Nästan omedelbart efter det att programmet startats poppar det upp en fråga om att stänga ute eller godkänna någon kontakt. En påverkansfaktor här var att testet utfördes på en uppkopplad dator vilket ledde till att det var trafik till och från datorn hela tiden. Frågan som kommer kan vara rätt komplicerad och handlar om ren systemfunktonalitet, d v s det är inte något som allmänheten känner till. När man väl betat av dessa första frågor ligger ZoneAlarm i bakgrunden och arbetar. Ikonen visar någon form av aktivitet genom att blinka rött och grönt, det röda är för uppladdning och det gröna nedladdning. Figur 2, visar ikonen för hur ZoneAlarm i "arbetsläge". Det är ikonen mellan blomman och klockan. De första inställningarna som konfigurerats automatiskt vid installationen är något som kallas lokal (Local) och Internet vilket syftar på datorn som brandväggen är installerad på samt Internetanvändningen. 12

Lokalinställningen är definierad som säkerhetsnivå medium, medan Internetinställningen är konfigurerad enligt beteckningen, hög (High) enligt figuren nedan (Figur 3). Figur 3, visar användargränssnittet för ZoneAlarm. Här visar konfigureringsmöjligheterna för säkerhetsinställningarna. I övrigt kan sägas att konfigurationen är något knapphändig, det dröjer inte länge innan handlingsalternativen känns ganska begränsade. För både för den lokala datorn och Internet finns tre olika förslag till konfigurationer. Det är låg (low), medium (medium) och hög (high). När det gäller säkerhetsinställningen lokal åsyftas kommunikationen som en dator har med det lokala nätverket, det kan vara en skrivare eller någon server. Om inställningen är satt till låg godkänns all sådan kommunikation, medan medium innebär större restriktioner främst när det gäller ingående trafik. Hög stoppar i stort sett all inkommande trafik, blockar även vissa windowstjänster och fil/printerdelning. Andra alternativ som kan väljas är huruvida det ska ske en loggning till fil på all trafik till och från datorn. Här kan också specificeras hur stora resurser denna fil får ta i anspråk. Det blir annars snabbt en väldigt stor fil. Under knappen programs kan enskilda inställningar göras för de program som en gång godkänts för kommunikation med datorn. 13

BlackIce Det andra programmet som installerades var BlackIce Defender 2.1. Installationen är självuppackande och sköter i princip sig själv. Det finns inga inställningar att göra och det är inga frågor att svara på, utan direkt efter installationen börjar den arbeta. Likt ZoneAlarm är det en ikon i nedre högra hörnet som visar att programmet är igång. Det är slående hur snabbt installation och konfigurering går. Detta är naturligtvis avhängigt att man inte kan välja grundkonfigurationen utan den bestäms automatiskt. Det finns inget som visar att programmet är aktivt. Endast symbolen i listen markerar att programmet är igång. Detta kan vara lite förvirrande ibland då man inte vet om det är igång eller ens fungerar utan bara arbetar i bakgrunden. Ursprungskonfigureringen är vad som benämns försiktig, vilket är det näst minst försiktiga steget av fyra. De steg som finns är förlitande (Trusting), försiktig (Cautious), nervös (Nervous) samt paranoid (Paranoid) (se Figur 4). Figur 4, bild av BlackIce konfigurering, här ses de fyra konfigureringalternativen samt andra inställningar som kan göras. Paranoid är en väldigt restriktiv inställning, men användbar om datorn utsätts för regelbundna och upprepade attacker. Under denna inställning kommer programmet att blockera all ingående trafik. Denna inställning kan begränsa surfande med interaktivt innehåll. 14

Nervös inställningen är att föredra om användaren har erfarenhet av frekventa intrångsförsök. Här blockas också all ingående trafik utom några interaktiva delar från webbsidor. Det kan vara strömmande media eller andra applikationsspecifika användningsområden. Försiktig är en bra nivå för regelbundet användande av Internet. Denna inställning blockerar endast otillåten trafik som kommer i kontakt med operativsystemet eller nätverkstjänsterna. Detta är också defaultinställningen. På förlitande nivån är alla portar öppna och ingen trafik blockeras. Denna inställning är bra om användaren har ett minimalt intrångshot. Norton Internet Security Installationen för detta program tar längre tid och är mer detaljerat än BlackICE. Till att börja med får användaren välja om kända program, som t ex Netscape, skall tillåtas automatiskt eller manuellt. Vidare frågas om det skall vara s.k. Live-update på programvaran, en tjänst som innebär att programvaran känner av huruvida det finns någon nyare version i en databas. Sedan kommer även här en mängd frågor för marknadsundersökning av programmet. Detta program skiljer sig något från de andra då det mer är inriktat på Internetsäkerhet där brandväggsfunktionen bara är en del. Detta var givetvis det viktigaste för denna studie, men det finns två andra funktioner som är värda att nämnas. Den första är vad som kallas Privacy. Funktionen håller reda på information som användaren inte vill ska lämna datorn under tiden han/hon är aktiv på Internet. Det kan vara bankkontonummer, speciella lösenord eller e-post adresser. Användaren anger själv vilka uppgifter som ska skyddas och sedan lämnar de inte datorn via t ex cookies. Den andra funktionen går under benämningen Adblocker, och denna funktion blockerar de vanligaste typerna av pop-up annonser. Detta är praktiskt då det sparar på brandbredd, samt att du slipper bli störd under ditt surfande. Den funktion som detta test främst avser är den som benämns säkerhet (security), och avser brandväggens funktionalitet. Norton har ingen funktion liknande de andra där man kan välja olika nivåer av säkerhet som ett paket. Om det är något som skall specialkonfigureras så måste det göras genom uppsättandet av nya regler för brandväggen. Det finns dock en funktion som gör det enkelt att komma tillbaka till ursprungskonfigurationen. 15

I likhet med de två tidigare programmen har Norton en ikon som visar att programmet är igång. Det är likt BlackIce inget som visar att någon aktivitet sker, dock med skillnaden att om man dubbelklickar på ikonen kommer bilden (Figur 5.) upp och där visas hur mycket trafik som är genomsläppt respektive blockerad. Figur 5, visar en bild av Norton Internet Securitys användargränssnitt. Under Security kan man välja konfigureringsalternativ. Här finns dels inställningen för brandväggen som är satt till medium, vilket i stort innebär att den blockerar alla okända misstänkta applikationer. Användaren kan även välja vilken säkerhetsnivå som skall finnas på Java-applets. Ursprungskonfigurationen tillåter dessa. Till sist kan användaren avgöra huruvida Active X ska tillåtas, ursprungskonfigurationen tillåter även dessa. Norton har dessutom givit användaren möjligheten att göra mer specificerade konfigurationer under options. Men dessa är bara till för avancerade användare och har således skiljts ifrån standardinställningarna. 3.5.2 Dokumentation och instruktioner Dokumentationen i och kring de program som har testats är kortfattad. BlackIce har emellertid en mix av dokumentationen på Internet med en ingående beskrivning av hur programmet fungerar, en support sida med FAQs samt en avdelning på sin hemsida som behandlar säkerhetsproblem i allmänhet. Vidare finns även en hjälp i själva programmet. Om nu inte detta skulle räcka finns även en online support som man kan ställa frågor till. 16

När det gäller dokumentationen kring ZoneAlarm är den kortfattad och bara Internetbaserad med en FAQ. Det finns även en e-mail support dit användaren kan e-posta för att få svar på frågor. För Norton finns det omfattande dokumentation uppbyggd på ett liknande sätt som b la BlackIce. Det finns en ordentlig hjälp i programmet samt vidare dokumentation på Internet och en ordentlig support för att ställa frågor. 3.5.3 Användandet Vid användandet av grundkonfigurationen för alla program så är det förvånansvärt lite som är synligt efter ett tag, med detta menas att information loggas, registreras och kontroller pågår, men det är inga larm som poppar upp p g a att något otillbörligt sker. Det skall vara väldigt allvarliga saker som sker för att larmet ska utlösas. Det enda som märks tydligt är ZoneAlarm, och alla dess frågor. Programmet bygger på att användaren skall få godkänna vilka program och kommunikationer som tillåts. Visserligen kan detta alternativ också väljas hos Norton, men det gjordes inte då en av förutsättningarna är att den personliga brandväggen skall vara så lättanvänd som möjligt. Ibland blir frågorna lite väl detaljerade och svårbegripliga. Larmen hos Zonealarm, är i hög grad konstaterande till sin natur. Programmet talar om att den har blockerat någon kommunikation via en pop-up dialog. Det finns således ingen beskrivning av vad som skett och samtidigt uppmanas användaren att ta ställning till frågan om hon vill se dessa larm i fortsättningen. Testet utfördes på Telia ProSoft ABs nät där en skrivare och därmed skrivardelning användes. Detta föranleder frågan ska Webdemi.exe tillåtas. Frågan är inte begriplig för den användaren som inte har erfarenhet av systemkonfiguration och tar sannolikt det säkra före det osäkra och svarar nej. Detta innebär att det inte går att skriva ut eller komma åt några resurser på nätverket. ZoneAlarm är lik Norton med avseende på hur programmet presenterar vad som inträffat. I ZoneAlarm kan användare välja huruvida det ska komma ett pop-up meddelande vid larm. Detta leder till att varje gång en attack sker kommer det en liten pop-up ruta där det står vem och vad som hindrats. Men det står inte heller här vilken typ av attack det kan vara frågan om. ZoneAlarm har dock en funktion som gör det möjligt att logga all trafik in och ut från datorn, så att detta senare kan användas som bevis om något inträffat. Denna information är dock något svårtolkad och inte speciellt användbar för den generelle användaren. 17

En brist är att det inte kommer några tydliga larm från Norton och BlackIce applikationerna utan att det endast blinkar i listen för de program som är igångsatta. Om användaren skulle ha inställningen att listen försvinner om den inte vidrörs, så kan det tänkas att denne arbetar i flera timmar utan att upptäcka larmet. Nedan visas larmet hos BlackIce. Figur 6, visar ett larm från BalckICE. Det är delen som är mellan blomman och klockan. Figur 7, visar när Norton Internet Security larmar. Det är figuren mellan blomman och klockan. Nortons larm utgörs endast av en liten ikon nere över den ikonen som visar att det är igång (Se Figur 7.), det samma gäller BlackIce som larmar via en ikon i systemlisten (Se Figur 6.). Dock har BlackIce olika nivåer av allvarlighetsgrad. Gult betyder mindre allvarligt, orange lite allvarligare samt rött när ett intrång skett. Symbolerna visar om någon åtgärd är vidtagen, exempelvis om någon blivit blockerad från kommunikation med datorn. BlackIce anger klart och tydligt vad och vem det är som gjort något i de fall då det är möjligt. Vilken typ av attack det är frågan om står i klartext, t ex tcp portscan från datorn x, Den tar också reda på så mycket som möjligt om den som gör attacken genom vad som kallas backtrace. Informationen som presenteras är vilken IP-adress, MAC adress samt om det går att läsa uppgiften om användaren från NETBIOS. Norton har ett något annorlunda system för att presentera vad som skett när och vilken typ av åtgärd som är vidtagen. Det kan vara antingen en enligt regel som brutits eller någon form av engångsalternativ, d v s användaren har godkänt eller blockerat kommunikation just vid det enstaka tillfället. Det står också när någon regel har initierats eller tagits bort. Det framgår dock inte vilken typ av attack det är utan bara att kommunikationen har stoppats (Se Figur 8.). 18

Figur 8, visar hur en loggning av händelser ser ut i Norton Internet Security. 3.5.4 Kompabilitet med andra program Som redan beskrivet ovan kräver vissa program att användaren godkänner varje applikation för att kommunicera med Internet. BlackIce registrerar inte vilket program som körs, utan har en databas med välkända attackmönster som den kollar paketen gentemot. Norton har en blandning av välkända program som godkänns, medan det behövs manuell konfigurering för andra. Kompabilitetstest är viktiga utifrån aspekten att en dåligt designad brandvägg kan ställa till problem om t ex en vanlig programvara uppfattas som en farlig inkräktare. Andra problem kan vara att brandväggen tror att något suspekt håller på att hända bara för att programmet öppnar några portar för att kommunicera. Alla program klarar med lätthet av att hantera de vanliga programmen så som de två webbläsarna Netscape Communicator 4.73 och Internet Explorer 5.5. Inte heller WS_ftp är det några som helst problem med, det är nästan så att användaren kan börja fråga sig själv om brandväggen fungerar. Det samma gäller för, programmen ICQ och Napster vilka är väldigt vanligt förekommande. Det enda program som skapar problem är PKZip. TSAdbot.exe som är en del av programmet som finns till för att den som inte vill registrera programmet och betala sedvanligt licensavgift, istället kan välja att finansiera programmet genom reklam som laddas ned under användandet av programmet. TSAdbot.exe är ett program som fungerar 19

liknande som en trojansk häst, d v s det öppnar en koppling mot en server som tillåts ladda ned reklam. Både Norton och ZoneAlarm reagerar för detta program och frågar om det skall tillåtas. Detta beror naturligtvis på att det inte finns i variabeln välkända program utan är en liten programvara som teoretiskt skulle kunna ställa till problem. Fildelningen fungerar inte helt tillfredsställande. Visserligen måste det betecknas som fördelaktigt att brandväggarna förhindrar fildelning, men detta måste kunna lösas på ett smidigt sätt. Både Norton och ZoneAlarm har problem här, eftersom fildelning kräver specialinställning. Detta måste betecknas som krångligt. I framtiden blir det allt vanligare att användarna börjar använda fler datorer samt skrivare även hemma. 3.5.5 Säkerhet Testningen av säkerhet gav ett tillfredsställande resultat. Inget av de tester som gjordes avslöjade några avgörande svagheter ifråga om intrångssäkerheten. ZoneAlarm, har som tidigare en pop-up larm funktion som aktiveras första gången något inträffar. När en portscanning genomförs poppar det till med ett meddelande om att programmet har förhindrat kommunikation. Meddelandet specificerar både port och IP-adress. Det står ingenting om att det är en portscanning. Men inget resultat uppnåddes vid en portscanning vilket betyder att brandväggen döljer datorn från andra användare på nätet. Det går alltså inte att få kontakt via ping. Norton har liknande funktionalitet d v s det kommer först ett larm i listen, sedan kan mer information fås via ett klick, men den informationen är inte särdeles bra (se Figur 9). Exempelvis reagerar Norton inte i defaultinställningen på en portscanning. Det måste vara något mer suspekt för att programmet skall reagera. Det reagerar således för försök till infektioner med trojanska hästar. Inte heller med Norton går det att få kontakt via ping. 20

Figur 9, är ett detaljmeddelande från Norton Internet Security. BlackIce har som nämnts ett gränssnitt mot användaren där programmet talar om vad som verkligen händer (se Figur 10). Programmet stänger till exempel inte av pingresponsen utan det är den enda respons som går till inbrytaren. Programmet larmar även för en portscanning. Figur 10, visar BlackICE loggning av händelser som inträffat. 21

3.6 Sammanfattning och resultat av test 3.6.1 Installation och konfigurering Det finns ett par reflektioner som kan göras kring de testade programvarorna. Kring det första avsnittet, beskrivet i 3.5.1 Installation och konfiguration, är det viktigt att användaren får en upplevelse av vad hon gör samtidigt som god säkerhet kan upprätthållas. Det finns ett motsatsförhållande mellan att användaren skall få konfigurera och känna att det är denne som styr, och att det inte skall begås några ödesdigra misstag i grundkonfigureringen. Om det blir en felkonfigurerad brandvägg ger det en falsk känsla av säkerhet. Slutligen är det viktigt att kontinuerligt tänka efter om det finns några skäl till att ändra sitt skydd till följd av ökat säkerhetsbehov. ZoneAlarm och BlackIce har tagit fasta på att det är bättre att det är säkert från början och sedan kan användaren konfigurera enligt egna önskemål. Detta minimerar risken för att den oerfarne användaren gör misstag. Norton har betydligt fler initiala valmöjligheter vad gäller godkännande av program ska ske automatiskt eller manuellt. Oavsett detta så faller ZoneAlarm på en viktig punkt. Installationen går visserligen fort men om man är ansluten till ett nätverk kommer första ställningstagandet fort, om man vill ha mer information kring den frågan, måste det sökas på Zonelabs hemsida vilket föranleder kontakt med nätet och ger upphov till nya frågor. Detta gör att man hamnar i en moment 22 situation. Sammantaget kan sägas att BlackIce har de bästa konfigureringsalternativen utifrån användarvänlighet och möjlighet till individuell konfigurering. Jämfört med t ex ZoneAlarm har BlackIce fyra nivåer istället för tre vilket i detta sammanhang är ett klart plus. Norton har den mest svårförståliga konfigurationen, denna är inte riktigt så intuitiv som de andra två programmens. 3.6.2 Dokumentation och instruktioner Dokumentationen för denna typ av programvaror är onödigt komplicerad. Det saknas en enkel förklaring kring hur programmen är uppbyggda och de viktigaste funktionerna. En del av säkerhetsarbetet måste vara att öka den allmänna kompetensen. Det kan noteras att leverantörerna av programmen sätter upp en mängd hot och påvisar sedan att just deras program oskadliggör dessa hot. Det är föga trovärdigt att säga lita inte på andra men lita på oss, men inte varför. 22

Generellt kan det ses som ett problem att all dokumentation är på engelska, alla kommandon och menyer. När det gäller att förstå funktionaliteten kan det uppstå problem, men även vid användandet kan oklarheter uppkomma för den som inte behärskar det engelska språket. Det skall dock sägas att av Nortons Internet Security kommer det en svensk version så småningom, när är dock oklart. BlackICE klarar sig bäst vad gäller dokumentationen och instruktionerna. Den generella nivån kan dock inte sägas vara särskilt hög. ZoneAlarm får direkt underkänt, en förklarande faktor är troligtvis att eftersom det är en gratisprogramvara finns inte resurser till att utveckla en väl utbyggd dokumentation. 3.6.3 Användandet Det utan tvekan mest svårförståliga och minst intuitiva programmet är ZoneAlarm. I testet som genomfördes i denna studie var det ett flertal gånger som man helt enkelt gissade vilken inställning det skulle vara för att få t ex mail att fungera. Vidare ger programmet svårtolkade felmeddelanden och det finns knapphändiga förklaringar till hur man skall lösa de problem som uppstår. Det program som på något vis känns mest solitt är Norton. Det ger en känsla av att vara välgjort och bra. Det finns godkänd dokumentation och möjligheter till att få en samlad statistisk bild av vilken typ av trafik som blockerats. Dock önskas en lite mer intuitiv känsla kring konfigureringen, och även en bättre larmhantering, gärna med lite förklaringar. BlackIce klarar sig bra även här, den lätthet och känslighet som kombineras är bra. Det som gör det bäst är helt enkelt förklaringarna kring vad som händer, om det pågår en portscanning så står det att det gör det och inte bara att kommunikationen är blockerad. Användningen gentemot andra program är också helt utan anmärkning. 3.6.4 Säkerhet När det gäller säkerhetsnivån innebär alla dessa program en klar förbättring. Testen har inte funnit några skillnader i säkerhetsnivå med avseende på intrångsförsök, utan alla klarar av de viktigaste funktionerna. Men säkerhet är mycket mer än själva intrånget, det är även att förstå vad som händer och känna en säkerhet i hanteringen av programvaran. Både Norton och BlackIce är bättre än ZoneAlarm i avseendet att skapa en trygghet. ZoneAlarm kan i vissa lägen kännas lite naivt och tunt. Dock bör påpekas att det inte alls är ett dåligt program utan erbjuder ett bra skydd och är gratis för hemmaanvändaren. 23