Managed hosting door True

Experts: Wapen je tegen deze virusaanval

 

De gemeenten Borssele, Den Bosch, Venlo en Weert ondervinden hinder van een computervirus dat niet door de virusscanners werd ontdekt. Computable vroeg zijn security-experts hoe systeembeheerders een besmetting moeten aanpakken en wat zij hadden kunnen doen om problemen te voorkomen.

Erik Kruijswijk (Inter Access)
Oplossen:
Om het probleem te tackelen moet je zorgen dat het gebruikte antivirus-programma zo snel mogelijk wordt geüpdatet met de laatste definities en de hele infrastructuur wordt gescand. Om de getroffen Word- en Excel-bestanden terug te halen is een tool uitgebracht door Surfright.
Voorkomen: scan ook op spy- en malware. Gebruik een zogeheten HIPS (Host Based Intrusion Prevention System) om te waarschuwen bij abnormaal gedrag om de impact van een trojan te verkleinen. Voer updates van antivirus en HIPS stipt uit. Denk ook aan updates van andere software op de computer zoals Java, Adobe (denk aan de verspreiding van het Ukash-virus via een brakke Java RTE onlangs). Fox-IT raadt systeembeheerders aan om de ip-adressen 184.82.162.163 en 184.22.103.202 te blokkeren, om te voorkomen dat de malware wordt binnengehaald.

Erik Remmelzwaal (Medusoft)
Oplossen:
Totdat de infectie volledig opgeruimd is een aantal regels instellen om gedrag van de malware te blokkeren en verder infectie voorkomen:
a. Connecties naar ip-adressen 184.82.162.163, 184.22.103.202 en 76.191.104.39 blokkeren en monitoren en elke pc die daarmee verbindt direct van het netwerk halen. Deze is geïnfecteerd met Citadel, een Zbot/Zeus variant.
b. Uitvoeren van .scr bestanden en het aanmaken van nieuwe .exe files voorkomen.
Herstellen van de geïnfecteerde office-documenten door een volledige scan op alle systemen. Bijvoorbeeld de extra.dat van McAfee of anders de tool van Hitmanpro.
Netwerkconnectiviteit monitoren om ander gedrag van Citadel te herkennen. Er waart ook bij sommige gemeentes een component genaamd Sasfis rond en die stuurt e-mails uit. Daarop zou ook moeten worden gemonitord.
Voorkomen: Connectiviteit naar het internet beter reguleren. Zorg dat een applicatie als Citadel niet het internet op kan of niet naar ip-adressen die een slechte reputatie hebben
Gebruikers beter opleiden om bedenkelijke attachments of urls in e-mails te herkennen en te voorkomen dat deze worden gestart.
En in algemene zin: software up-to-date houden, nadenken over de beveiliging van endpoints, want anti-virus alleen is niet meer voldoende.

Set van der Meer (Sophos)
Oplossen:
Het virus maakt gebruik van een botnet dus dat betekent dat diegene die geïnfecteerd zijn al eerder geïnfecteerd zijn met malware. Sophos heeft in 2008 deze malware gedetecteerd. Systeembeheerders die werken met een antivirusfabrikant die nog geen oplossing hebben, kunnen het beste een aantal ip-adressen blokkeren op de firewall om nieuwe besmettingen te voorkomen: 184.82.162.163 en 184.22.103.202.
Voorkomen: Zorg dat je een goede oplossing op je gateway hebt staan die niet alleen fungeert als firewall en intrusion prevention system maar ook het web en de e-mail scant voor de gebruikers. Daarnaast is het belangrijk om de medewerkers op de hoogte te stellen van het gevaar dat internet met zich mee brengt voor een organisatie. Educatie en beleid zijn daarom van essentieel belang naast de juiste beveiligingen oplossingen.

Jeroen van Dongen (LBVD Informatiebeveiligers)
Oplossen:
blokkeer bij voorkeur alle netwerkverkeer tussen Internet en potentieel besmette systemen (werkstations). Als dat niet haalbaar is, blokkeer dan tenminste de adressen 184.82.162.163 en 184.22.103.202. Scan alle systemen met een (zeer) recent bijgewerkte virusscanner (Kapersky, McAfee). Her-installeer besmette systemen vanaf een schone installatiebron. Herstel versleutelde bestanden met de 'dorifel decryptor' van SurfRight. Pas er daarbij voor op dat tijdens de herstel actie geen besmette office bestanden worden geopend, voer de ontsmetting bij voorkeur in de avonduren uit als er geen gebruikers actief zijn.
Voorkomen: Om dergelijke zaken te voorkomen zijn de volgende maatregelen aan te bevelen:
- up-to-date software gebruiken (OS, webbrowser - XP met IE6 kan echt niet meer ...)
- up-to-date houden van systemen ten aanzien van veiligheidsupdates
- gebruik van een up-to-date virusscanner
- gebruik van een goed spam filter (veel 'malware mail' voldoet ook prima aan de criteria voor 'spam')
- flash en java browser plug-ins van systemen verwijderen tenzij ze echt noodzakelijk zijn en dan liefst op een apart systeem (bij 'drive-by' besmettingen wordt veel gebruik gemaakt van lekken in deze plugins en je kunt tegenwoordig vaak goed zonder)
- besteed aandacht aan het kennisniveau van je gebruikers, sommige malware maakt zich bekend in de vorm van pop-ups of raar systeem gedrag. Ook vereisen diverse malware besmettingen een of andere handeling van een gebruiker, bijvoorbeeld het openen van een attachement. Zorg dat je gebruikers de mogelijk symptomen herkennen en aan de bel trekken.
Als het er echt om spant is een radicalere, maar wel effectievere maatregel, om werkstations geen rechtstreekse toegang tot het Internet te geven maar gebruik te maken van virtuele internet pc's.

Frank Mulder (Panda Security Nederland)
Oplossen:
Wat systeembeheerders nu zouden moeten doen is wat inmiddels overal op internet al wordt aangegeven; rechten beperken, systemen opschonen en backups terugzetten of de versleutelde bestanden ontcijferen met de reeds beschikbare tools.

Voorkomen: Men moet leren van deze infectie en kijken hoe deze te voorkomen was. Men moet aanvullende maatregelen nemen en niet alleen vertrouwen op de geinstalleerd antivirus oplossing. Een virusscanner alleen is namelijk niet voldoende.

Ik leg vaak de parallel met een sprinklerinstallatie. Het hebben van een dergelijke installatie alleen voorkomt geen brand. Hier heeft men aanvullende beveiligingen (zoals brandblussers), procedures en een gezond menselijk verstand (je gaat binnen niet met vuur spelen) nodig.
Dit zouden bedrijven ook moeten hebben voor hun computerbeveiliging. Kort gezegd stellen wij dat men 4 procedures nodig heeft; voorkoming van malware, omgaan met malware-meldingen, omgaan met malware infecties en evaluatie van malware infecties. Zo zijn procedures voor omgang met malware-meldingen en malware-infecties een soort van rampenplan, je weet daarmee wat je moet doen op het moment dat er een malware-melding of infectie is. Dergelijke procedures zijn per bedrijf verschillend. Bij kleinere bedrijven kun je bijvoorbeeld makkelijker een netwerk platleggen dan bij grotere bedrijven in geval van een mogelijke netwerk infectie. Hiermee kun je de schade aanzienlijk beperken.

Bastiaan Schoonhoven (Motiv)
Oplossen:
Er is een belangrijke tijdelijke maatregel voor dit specifieke Sasfis-virus. Analisten hebben geconstateerd dat geïnfecteerde personal computers updates verkrijgen via ip-adres 184.82.162.163 via internet. Om de schade van dit specifieke virus te voorkomen kan op de centrale firewall al het verkeer vanaf dit ip-adres worden geblokkeerd. In de logging van een inbraakdetectie- of firewallsysteem kunt u zelf vaststellen of er communicatie is met dit specifieke ip-adres. Zo ja, isoleer de besmette pc's op het intern netwerk en neem dan direct aanvullende maatregelen zoals ook gemeente Weert, Borssele en Den Bosch hebben gedaan.

Voorkomen: Laat periodiek een controle uitvoeren om te valideren of alle antivirus-updates ook daadwerkelijk worden geïnstalleerd in de virusscanners op de personal computer, server en gateway. Gezien de berichtgeving van meerdere gemeentes is vandaag een mooi moment. Deze controles kunnen ook weer wordt geautomatiseerd met behulp van managementsoftware.
• Vertrouw niet op één virusscanner, maar op meerdere viruscanners. Motiv adviseert om de virusscanner op de gateway, voor e-mail en veilig websurfen, van een andere fabrikant in te zetten dan de virusscanner op het interne netwerk.
• Vertrouw niet alleen op een virusscanner voor de bescherming tegen malware zoals het trojaanse paard Sasfis. Zeker op de gateway zijn er moderne filters die niet met traditionele virusscanners werken. Voorbeelden zijn filters op basis van reputatie van de afzender en tijdelijke filters op basis van verdachte karakteristieken. Zo biedt een aanbieder drie filters voor virusprotectie binnen de e-mail: (1) traditionele virusscanner (2) reputatiefilter en (3) virus outbreak filter.
• En last but not least: zorg voor bewustzijn bij medewerkers. Open geen berichten van onbekende afzenders en open zeker geen bijlagen in berichten met verdachte omschrijvingen. Zorg voor continue aandacht door middel van webtrainingen en posters.

Steven Vlastra (Blue Coat Systems Benelux)
Oplossen: Om na te gaan hoe de organisatie getroffen kon worden, is het goed om te beginnen met het uitpluizen van logfiles van proxy en/of firewall systemen. Hierin kan vrij gemakkelijk terug te herleiden zijn welke clients in het netwerk verbonden waren met dit bot-netwerk. De betreffende IP adressen zijn reeds vernoemd in een uitvoerig document opgesteld door de firma Fox-IT. Wat hierin niet vermeld wordt zijn de betreffende URL domeinen die daarop gehost werden, te weten:
- reslove-dns .com
- windows-update-server .com
- wesaf341 .org
- 10ba .com
- wsef32asd1 .org

Voorkomen: het antwoord ligt vaak opgesloten in een meerlaagssecurityarchitectuur aan de internetgateway. Alleen een anti-virusengine is niet meer afdoende en geeft te weinig inzicht. Per slot van rekening zijn anti-virusengines zo goed als hun laatste update en dus per definitie re-actief.
Om ook pro-actief bescherming te bieden is het aan te raden de Internet beveiliging uit te breiden met bijvoorbeeld de WebPulse-techniek. Deze techniek bestaat enerzijds uit een database van url-categorieën waarin url's een desbetreffende rating mee krijgen. In het geval van de Sasfis trojan heeft er al een week eerder dan de aanval een wijziging plaats gevonden in het aanpassen van de categorie van de desbetreffende hosts, te weten: Suspicious and MalwareOutboundData/Botnet. Dit was de eerste waarschuwing om alert te worden.
Het tweede gedeelte van de WebPulse-techniek bevat analyse methoden om de daadwerkelijke payload van de URL te scannen. Zo werd de file 'a.exe' actief gebracht op 7 augustus om 10:40 uur. Deze file werd na afronding van de scan (17 minuten later) aangemerkt als schadelijk en doorgegeven aan de url-database.
Zo gold dit ook voor de file 'hermes.exe' die op een tweede host te vinden was. Ook hier heeft de analyse van WebPulse er voor gezorgd dat in iets minder dan een uur de geïnfecteerde file geblokkeerd werd. Door pro-actieve technieken als WebPulse in te zetten, had dit voor de getroffen organisaties waarschijnlijk een hoop ellende en kosten bespaard.

Jelle Niemantsverdriet (Deloitte)
Wat dit verhaal in het algemeen wat mij betreft wederom duidelijk maakt, is de noodzaak van goede voorbereiding op incidenten. Los van alle technische of 'user awareness' maatregelen, kan een incident als dit nu eenmaal altijd voorkomen. Een goed en getraind incident-response team is essentieel om in dit soort situaties snel en slagvaardig te kunnen optreden. Het is belangrijk om dit niet alleen als een ict- of securityprobleem te benaderen maar juist als een multi-disciplinair probleem; bijvoorbeeld wie heeft de beslissingsbevoegdheid om systemen uit te schakelen of hoe ga je om met communicatie naar klanten of de pers (zoals ook in dit geval duidelijk werd, kan zelfs een ict-storing gelijktijdig met een grote malware-uitbraak direct tot speculaties leiden - dus zelfs als je als bedrijf niet besmet bent, zul je misschien toch hierover moeten communiceren). Ook het opbouwen van goede contacten met bedrijven in dezelfde branche en overheidsdiensten zoals NCSC hoort tot deze voorbereiding, evenals het (contractueel) vastleggen van responstijden met leveranciers of outsourcing-providers.

Oplossen: De malware probeert de geinfecteerde systemen bij een botnet te voegen, onder meer door contact met Command & Control (C&C) servers. Door de communicatie met het internet te beperken en vooral te monitoren kan de malware geblokkeerd en gedetecteerd worden. Zo kunnen nieuw geïnfecteerde systemen geïdentificeerd worden en kunnen de bots niet langer bij het botnet komen (en nieuwe malware ophalen).
- De malware was bij de eerste infecties nog 'nieuw' in de zin van dat deze nog niet door anti-virusoplossingen herkend werd. Inmiddels hebben de meeste leveranciers hun definities aangepast, dus beheerders doen er verstandig aan om hun definities bij te werken. Mochten definities nog niet beschikbaar zijn, dan zou contact met de leverancier opgenomen moeten worden om meer informatie te krijgen over wanneer een nieuwe definitie beschikbaar komt. Eventueel kan de leverancier vragen om een 'sample' van de malware op te sturen, maar ik zou verwachten dat dat op dit moment niet meer nodig is. Een aantal van de leveranciers leveren inmiddels ook software om de versleutelde bestanden weer te ontsleutelen.
- Een ander meer algemeen aspect dat bij dit soort problemen voor het voetlicht komt, is de noodzaak van goede backups - en daarmee ook de capaciteit om daadwerkelijk data te restoren en indien nodig ook het backup proces te onderbreken (immers, in een kleine omgeving met bijvoorbeeld een backup die niet langer dan een paar dagen bewaard wordt, wil je niet het risico lopen dat je na een paar dagen slechts door het virus versleutelde bestanden in je backup hebt staan...). Wat betreft restoren: het gebeurt geregeld dat de restore van een backup nooit getest is, of dat het bijvoorbeeld alleen mogelijk is complete systemen te restoren in plaats van losse bestanden. Dit valt weer samen met het voorbereid zijn op incidenten: het testen van dergelijke situaties zou zeker in zo'n test worden meegenomen.
- Een collega merkte nog op dat de timing van de uitbraak in de vakantieperiode zowel positief als negatief kan uitpakken: aan de ene kant zijn mogelijk minder mensen op de ict- en Security afdelingen aan het werk en kan dit de oplossingstijd beïnvloeden; aan de andere kant zijn natuurlijk ook in het algemeen minder werknemers aanwezig en zal de malware zich daardoor mogelijk iets minder snel verspreiden.

Voorkomen: Wat betreft voorkomen van dergelijke problemen in de toekomst, is er helaas geen magische oplossing die elke malware-uitbraak voorkomt. Een aantal dingen die overwogen kunnen worden, is het toepassen van monitoring van het netwerkverkeer - eventueel in combinatie met 'threat-intelligence'. In zo'n geval zouden de command & controlsystemen bijvoorbeeld al na de eerste detectie geblokkeerd kunnen worden, als de IP-adressen via het delen van intelligence informatie bekend zijn. Ook via andere methoden proberen na te gaan waar afwijkend gedrag plaatsvindt (bijvoorbeeld netwerkverkeer met een land waar geen zaken mee gedaan worden, grote datatransfers of verkeer op een vreemd tijdstip) kunnen indicaties voor nader onderzoek zijn.
Juist in dit geval lijkt het virus verspreid te zijn via een al aanwezige besmetting - betere monitoring en detectiecapaciteiten zouden dit veel eerder aan het licht gebracht kunnen hebben.
Segmentering van het netwerk kan in ieder geval helpen om een eventuele uitbraak in te perken en te zorgen dat niet het hele netwerk getroffen wordt.
Een andere maatregel is uiteraard de 'user awareness' - met name wat betreft zaken als het openen van bijlagen maar ook bijvoorbeeld het melden van 'vreemde' dingen; het zou niet de eerste keer zijn dat een oplettende gebruiker aan de security afdeling meldt dat er iets vreemds aan de hand is. In alle gevallen is het zaak om een passende set maatregelen te nemen en niet zomaar een setje 'best-practices' uit te voeren - elk bedrijf heeft nu eenmaal andere eisen en het domweg opleggen van niet passende maatregelen leidt waarschijnlijk eerder tot verslechtering van de security dan tot verbetering.

Nienke Ryan (SpicyLemon)
Een bedrijf met een correct security beleid kan een uitbraak zoals deze tacklen of vroegtijdig detecteren waardoor de schade beperkt kan blijven. Denk hier bij aan scherpe monitoring van de beveiligingsoplossingen, de daarbij behorende kennis om hier een correcte reactie op uit te voeren. Vaak is een virusscanner op de werkstations alleen niet meer afdoende, en moet er ook gekeken worden naar proactieve gatewayoplossingen en intelligentie firewalls(Unified Threat Management oplossingen). Wanneer een bedreiging de rand van het bedrijfsnetwerk bereikt zal dit kunnen worden tegengehouden voordat er enige schade is aangericht op de achterliggende systemen. Met een goed monitoringssysteem worden de security officers hiervan direct op de hoogte gesteld en tacklen zij de aanval in kwestie.
Voor zover wij hebben kunnen ontdekken, heeft de infectie zich niet alleen bij gemeentes naar binnen gewerkt, maar ook verschillende bedrijven lastig gevallen. De infectie op zichzelf versleuteld documenten waardoor deze niet meer te openen zijn. Dit lijkt te duiden op ransomware, echter lijkt het er op dat de virusbouwer totaal geen pop-up voor het eisen van geld heeft toegevoegd. Mogelijk komt dit door een kapotte module binnen deze infectie. Eset, als een van de eerste virusbestrijders die de infectie kon herkennen en opschonen, heeft ons laten weten dat er zeer spoedig ook een specifieke cleanertool beschikbaar wordt gesteld welke de 'ge-encrypte' bestanden wederom toegankelijk zal maken.

Jan Folkert Bethlehem (Northwave)
Oplossen
: Om de huidige problemen op te lossen zouden systeembeheerders als eerste een goede controle op hun netwerk moeten uitvoeren om te achterhalen hoeveel systemen feitelijk geïnfecteerd zijn. McAfee, Kaspersky en Symantec hebben hun software geüpdatet om de malware te herkennen. Vervolgens zal bij geïnfecteerde systemen de tool van Surfright uitgevoerd moeten worden om de versleutelde bestanden terug te zetten.

Voorkomen: Dit voorkomen is lastig. Vaak zijn bots en malware custom-made waardoor de virusscanners en malwarescanners achter de feiten aan lopen. Echter, gezien in dit geval het botnet bekend was (en daarom waarschijnlijk ook de trojan), was de virusscanner/malwarescanner niet up-to-date. Software zoals Windows, de virusscanner en malwarescanner up-to-date houden is altijd van het grootste belang. Handig hierbij is de website Waarschuwingsdienst.nl en het NCSC. Andere verouderde software kan ook een bron van infectie zijn. Voor dit soort software is de applicatie Secunia PSI ontwikkeld. Deze software controleert een grote lijst software op versies en kan aangeven welke software verouderd is.

Ook is het van groot belang om de gebruikers op te leiden: Open geen bestanden die je niet verwacht te ontvangen en bel of mail even na om te controleren of het bestand door de verstuurder gestuurd is. Open geen uitvoerbare (.exe, .com, .bat, .scr en anderen) bestanden die je per email ontvangt en schakel macro's in Word- en Excel-documenten altijd uit. Door deze handelingen te doen wordt in ieder geval de bulk van de virussen, trojans en botnets tegen gehouden.
Door vervolgens nog in het netwerk een vrij restrictieve policy op te nemen waarbij http-verkeer altijd via een strenge proxy gaat is het mogelijk om na te gaan wat voor informatie naar buiten gaat en is het mogelijk om verkeer naar 'gevaarlijke' landen zoals Rusland, Roemenië, China en dergelijke te blokkeren. Dit kan nog een deel van de botnets tegen houden, maar niet allemaal: Botnet controllers worden, zoals vorig jaar in het nieuws te lezen was, ook regelmatig in Nederland gehost.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4549364). © Jaarbeurs IT Media.

?


Lees meer over


Partnerinformatie
 

Reacties

Computable heeft twee vragen gesteld: Hoe pak je dit aan en hoe voorkom je dat. Iedereen heeft het hier over hoe je dat moet aanpakken maar het probleem met dit soort virus was dat hij door anti-virus systeem niet gezien werd! Hoe ga je dit dan voorkomen? Zou het Nationaal Cyber Security Centrum (NCSC)in dit geval een centrale rol kan spelen? Gemeenten zijn allemaal op Gemnet aangesloten. Zou Gemnet in dit geval (dat tot calamiteiten kan leiden) een centrale rol kan spelen? Het is maar een voorstel maar als dat een vorm krijgt misschien kun je dit soort problemen snel bij andere instellingen voorkomen.

@ Reza,

"Iedereen heeft het hier over hoe je dat moet aanpakken maar het probleem met dit soort virus was dat hij door anti-virus systeem niet gezien werd!" Dit is een aanname die vele media ook doen. Sophos klanten hebben al een oplossing sinds 2008 en zijn dan ook niet besmet met dit virus. Het zijn de grote fabrikanten die hier wederom de nodige steekjes laten vallen!!


Een virusscanner is niet de oplossing, deze komt immers pas in aktie als het kwaad al geschied is.

Zoek eens uit hoe al die virusen hun weg tot je netwerk weten te verschaffen, b.v. via email, websites usb-sticks e.d. en doe daar wat aan, hoe moeilijk kan dat zijn.
Verder is het wellicht een goed idee om er voor te zorgen dat enkel programma's vanaf een vaste repository uitgevoerd kunnen worden. op die manier kun je als systeembeheerder precies bepalen wat er kan gebeuren op je systeem.
Weet je dit niet voor elkaar te krijgen ? wel mischien wordt het dat eens tijd voor een andere systeembeheerder of voor een ander systeem

Het is iig van de zotte dat eenieder gewilt of ongewilt een applicatie van buitenaf kan meebrengen en uitvoeren op een vitaal systeem, waardoor de boel onderuit gaat.
Na 20 jaar MicroSoft elende zou daar toch eens eindelijk een oplossing voor gevonden moeten worden.

citaat uit nu.nl van vandaag....: "Onderzoekers van Kaspersky Lab hebben weer een nieuwe cyberdreiging in het Midden-Oosten ontdekt. Opmerkelijk is dat Gauss zich richt op aanmeldingsgegevens voor internetbankieren."

kennelijk gaat misdaad lonen, bij de gemeentes is het "nog maar" obstructie van het bedrijfsproces.....


kortom de "next step is there"

Kaspersky Lab .. Nou ja nou sorry Dit russiche anti virus programma is nou eenmaal het beste ter wereld.Ligt niet aan de scanner maar aan de mensen erachter die er aan werken .Verder kan je nog microsoft Security Essentials Proberen en dan houd het volgens mij op

Een mooie en goede tool het netwerkverkeer te monitoren op verdacht verkeer en kwetsbaarheden is AlienVault.

http://communities.alienvault.com/community/

Wellicht dat het aan mij ligt, maar ik moet zeggen dat ik niet bijster onder de indruk ben van de adviezen van deze "experts"

Ze komen op mij over als adviezen uit de categorie 13 in een dozijn.
Van een expert had ik wat meer verwacht

@PaVaKe: zou het kunnen zijn dat het volwassenheidsniveau van veel IT afdelingen wat beveiliging betreft nog dusdanig is dat er met relatief eenvoudige maatregelen veel bereikt kan worden?

@Maarten: dat zou kunnen, maar dan nog zou ik van een expert verwachten dat hij met iets meer komt dan een standaardadvies

Maar, zoals al gezegd, misschien is mijn verwachtingspatroon van het begrip "epxert" gewoon te hoog.

Persoonlijk heb ik nooit echt begrepen waarom men massaal Windows als platform is gaan gebruiken.

Zoals Ewout in het andere artikel al in een reactie aangaf, muteert het zo snel en zo vaak dat het een achter de feiten aan rennen situatie wordt.

Men hoort vaak het argument dat het net zou erg zou zijn als een ander besturingssysteem marktleider zou zijn, maar andere systemen hebben elementaire verschillen die virussen het een stuk lastiger zouden maken.

Natuurlijk kan men proberen allerlei maatregelen te implementeren, proxies, firewalls, syteempolicies. Het blijft behelpen als men dingen van thuis blijft meenemen waar men bijna dezelfde software draait.

De bijna 100% homogene omgeving prive/bedrijf maakt het voor dit soort infecties erg makkelijk.

Wat ik mis, vooral bij voorkomen, is de gebruiker. Geen woord over de gebruiker word hier gerept. Terwijl het daar begonnen is.

Maak een simpele set regels en blijf deze regels actief promoten zodat het bewustzijn er in ieder geval is.

Kijk ook naar bijvoorbeeld welke browser gebruikt wordt en maak eventuele upgrade prioriteit.

Dan als laatste; en misschien ligt het aan mij, maar geen van de IT beveiligers heeft een simpele dienst die ik in kan schakelen *voor* er incidenten uit breken. Nadruk ligt op simepl (en dus ook betaalbaar)

Ik zou als MKB bedrijf een beveiliger willen die een snelle inventarisatie maakt, vertelt wat ik aan veiligheid kan doen en dit meteen ook levert.

Of de dienst is duur, of het bedrijf levert, maar zonder echte gedachte erachter (is geen specialist)

Tja,
Mijn eerdere opmerkingen hebben het bij de redactie niet gered.
Het is idd niet zo heel moeilijk om dit soort problemen te voorkomen.
Collega's hiernaast werken ook met Windows en hebben nooit problemen met virussen en aanverwante onzin.

Het geheel uitsluiten van kwaadaardige componenten is mission impossible. Zoals gesteld wordt: virusscanner loopt achter, patches zijn belangrijk maar op moment van release worden ze alweer op lekken onderzocht etc. etc. Het blijft een spelletje tussen virusontwikkelaars en de bestrijders ervan. De beste afscherming is naar mijn mening een goed workspace management platform die de mogelijkheid biedt op basis van file hashes te werken. Nestelt een virus zich in een uitvoerbare module: de hash ervan wijzigt en kan niet meer uitgevoerd worden.

Daarnaast zie je in de praktijk vaak dat gebruikers op de werkplek administrator rechten genieten waardoor kwaadaardige componenten zich erg makkelijk kunnen nestelen en verspreiden. De aanpak voor een betrouwbaar systeem begint bij bewustwording van de gebruiker, dan de werkplek, USB devices en zo de gehele keten verder tot aan de internetontsluiting. Teveel organisaties werken naar mijn mening in de onjuiste volgorde om deze gevaren het hoofd te bieden.

@Pavake: Maarten heeft helaas gelijk in mijn ervaring. En zolang de 'eenvoudige' maatregelen niet genomen worden om wat voor reden dan ook heeft het niet zoveel zin om verder te willen gaan. Je moet eerst de redenen adresseren waarom de 'eenvoudige' maatregelen niet genomen worden.

Ik zet 'eenvoudig' bewust tussen quotes - de beruchte duivel houdt zich zoals altijd weer met de details bezig waardoor iets dat op het eerste gezicht eenvoudig lijkt in de praktijk toch anders uitpakt. Maar dat op al te specifieke zaken kan ik in een forum als dit niet ingaan - dat wordt een boekwerk.

@Henri - helemaal mee eens, zie dan ook mijn op één na laatste punt ;-)

Het blijft een feit dat de meeste bedrijven wel SPam Filters en Antivirus op de E-Mail hebben, maar op de Web Proxy niet tot nagenoeg niet filteren. Dus het instellen van de filter tools kan al ontzettend veel schelen. Vaak echter wordt de tool 'standaard' ingesteld en er op vertrouwd.

En zoals velen zeggen, uit oogpunt van 'gebruikers-bruikbaarheid' wordt vaak de gebruiker 'Admin' rechten gegeven, User Access Control uitgeschakeld, Firewalls disabled, en noem het maar op. Dweilen met de kraan open.

@Technicus
Het antwoord is dat toendertijd ('90-'95) er geen alternatief was.
Er waren technisch goede systemen (DOS+, UNIX+, enz) maar die hadden geen standaard GUI en weining commerciele ondersteuning. Dan was er IBM Warp, ook heel goed, maar IBM gaf bijna geen ondersteuning en heeftuiteindelijk de stekker eruit getrokken. Er was ook Apple/MAC maar die trok zich ook terug uit het algemeen markt. Er blijft dus Windows over.
En nu is het een kwestie van geld. De kosten voor bedrijven om over te stappen zijn zo enorm het is niet te vatten. Er zit zo veel meer aan dan alleen de kosten van Windows en andere software.

Het wordt tijd voor een intrinsiek veilig communicatiesysteem. Dat betekend wel dat we de ontwikkelingen van besturingssystemen sinds de PC moeten opgeven en weer moeten ontwikkelen op basis van wat "we" (de gebruikers van de informatie) willen en niet voor het "snelle geld" moeten gaan.

Ook een oplossing voor de vele gedeeltelijk of geheel mislukte projecten.

Maar vooral: geen spam, geen virus, geen malware; kortom: weer gewone, goede, betrouwbare toepassing van de zo mooie en veelbelovende informatie- en communicatietechnologie.

(Het kan natuurlijk ook via de morele/ethische weg; maar dat is zóóóóó ouderwets . . . )

@Roger James, sorry... een oftopic discussie maar het is echt onzin wat je aandraagt.
Elke bakker elke slager elk flutbedrijf bedient zich van MicroSoft, terwijl juist die bedrijven beter af zouden zijn met een systeem dat minder onderhouds gevoelig, minder ingewikkeld te beheren en een stuk stabieler is.
Het is gewoon de marketingmachiene die ons overal de zelfde troep opdringt.
Ik hoor elke keer weer de zelfde kul reden zoals b.v. ja maar 'OpenOffice versus MS-Office` geblaat... alsof de bruikbaarheid van een OS bepaald wordt door een pakket waarvan de gemiddelde gebruik slechts een fractie van de functies weet toe te passen.
De marketing heeft zo goed uitgepakt dat sommige notoire computerfreaks niet eens weten dat er nog iets anders als MicroSoft bestaat.
Elke paar jaar moet alle software weer vernieuwd worden, we gaan van 95-98-XP-Vista-7-Metro en alle bijhorende meuk moet dan mee vernieuwd worden.
Een willekeurig bedrijf dat op zo'n moment voor een ander platform kiest is bepaald niet duurder uit... het grote probleem is gewoon dat je dan wel mensen met kennis nodig hebt om de boel aan het draaien te krijgen.
Dat heb je voor een MicroSoft omgeving natuurlijk ook maar van een Windowsbak vinden we het normaal dat er virussen op terecht komen en dat een heel kantoor daardoor plat gaat.
Voordeel is dan wel, dat je veertienjarige buurjongen zich op zo'n moment als expert kan uitgeven.
Unix experts van veertien zijn er ook, ik ken er zat maar in aantal toch aanzienlijk minder.

Heren / heren (ik mis de dames in deze),

Waarom noemen we dit een Trojan.
indertijd reed de bevolking van Troje ook juichend een paard binnen de stadsmuren, waarna ook de ellende binnen was gehaald.
Hoe kun je iets op voorhand voorkomen, als je niet eens weet wat / waar / wie.
Als er al een partij is die op voorhand een middel tegen de kwaal heeft dan heb ik daar zo mijn bedenkingen bij.
Over wie is in ieder geval te zeggen dat het criminelen zijn, die keihard aangepakt moeten worden. Waarom kan de mensheid niet eens normaal omgaan met vindingen waar we trots op zouden moeten zijn en het leven zou moeten veraangenamen. Maar ja dat konden we met het buskruit, dynamiet en atoomwetenschap ook niet natuurlijk.
Dus keihard aanpakken van de mensen die zich aan deze criminaliteit bezoldigen, al is het over de grens en al is het met of zonder medewerking van de lokale overheid.
Het is als met onkruid - plukken is uiteindelijk het meest effectief.

Dat je als gemeente gepakt word door een virus is 100% gegarandeerd.
De vraag zou moeten zijn, wat is het plan als dit gebeurd? En hoe snel kun je hier op anticiperen? ;)

De vraag is dus.... what if? en if what? ;-)

K.e.e.p. i.t. s.i.m.p.l.e. !

Security is vooruit denken en anticiperen... niets meer... niets minder, en je kan nog zo'n dure oplossing implementeren als je wilt... als je procedures niet op orde zijn... ben je als de Costa Concordia aan wal... hulpeloos!


De genoemde IP adressen zijn, zoals ik het begrepen heb van de C&C server (Citadel) welke via het SaaS concept aangeboden wordt en welke resp. 89 en 133 dagen actief zijn. - dank @UID - Vergis ik me als ik zeg dat het dus nog lang geduurd heeft voordat besmetting ontdekt werd door de AV-software. En zou het ontdekt zijn als er geen versleuteling van bestanden plaats had gevonden maar er alleen informatie gelekt was? Is er trouwens data gelekt en zo ja, hoeveel en wat?

Een andere vraag die bij me opkomt als ik terug denk aan DigiNotar is of er ook consequenties zijn voor leveranciers van falende AV-software? Want ik begreep dat sommige producten, ongeacht of deze up-to-date waren of niet ook tekort schoten. We zullen de volgende aanbesteding maar afwachten;-)

De genoemde IP adressen zijn, zoals ik het begrepen heb van de C&C server (Citadel) welke via het SaaS concept aangeboden wordt en welke resp. 89 en 133 dagen actief zijn. - dank @UID - Vergis ik me als ik zeg dat het dus nog lang geduurd heeft voordat besmetting ontdekt werd door de AV-software. En zou het ontdekt zijn als er geen versleuteling van bestanden plaats had gevonden maar er alleen informatie gelekt was? Is er trouwens data gelekt en zo ja, hoeveel en wat?

Een andere vraag die bij me opkomt als ik terug denk aan DigiNotar is of er ook consequenties zijn voor leveranciers van falende AV-software? Want ik begreep dat sommige producten, ongeacht of deze up-to-date waren of niet ook tekort schoten. We zullen de volgende aanbesteding maar afwachten;-)

Aanvullend wat meer achtergrond via een expert die wat dieper graaft: http://rickey-g.blogspot.nl/2012/08/more-details-of-dorifel-servers.html?m=1

Ik mis in al deze reakties en in het artikel 1 punt. De gebruiker leren hoe hij moet omgaan met updates / antvirus-programma's / firewalls.
Vooral een firewall is slechts zo goed als de gebruiker die hem bedient.

Dat XP nog steeds veel in gebruik is, is een gegeven. Dat bedrijven als SAP aan verouderde browsers vasthouden kun je als klant niet accepteren. Hier in oostenrijk trof ik IE6 als verplichte browser bij een SAP systeem voor een ziekenhuis, treurig.

Mijns inziens kun je dit soort rampen alleen voorkomen als je je gebruikers opleidt en duidelijk maakt waarom maatregelen die toegang beperken noodzakelijk zijn. Geen enkele gebruiker vindt het aangenaam als hij zijn werk niet meer kan doen of als "zijn" PC door de beheerders onder handen genomen wordt.

Desnoods kun je een eenvoudige PC met linux ter beschikking stellen waarmee men meer mag doen, dat komt goedkoper als een virusprobleem voor je hele organisatie.

@Jan van Leeuwen: Dit is iets dat Microsoft zelf in de hand heeft gewerkt. We denken er eigenlijk niet meer objectief over na, maar de microsoft gebruiker is een veredelde systeembeheerder en de systeembeheerder is een veredelde gebruiker.

Vroeger kon je zelf de lampjes van je auto verwisselen, maar dit werk is zo lastig geworden dat het werk naar de garages vertrokken is. Microsoft doet het omgekeerde. De bestuurder kan best wel even de bougies schoon borstelen, de olie verversen en de kleppen afstellen.
Op zich is dat geen probleem als alle bestuurders dat consequent goed doen en daar gaat het verkeerd.

Van gebruikers wordt dus heel veel verwacht en van systeembeheerders eigenlijk heel weinig. Ander neveneffect hiervan is dat je veel systeembeheerders ziet rondlopen, die totaal niet weten waar ze mee bezig zijn.

@Jan van Leeuwen, De hele securety flawn van MicroSoft is nu net dat de gebruiker verantwoordelijk is voor de integriteit van zijn systeem. Dit zou juist de verantwoordelijkheid van een ter zake deskundige profesional moeten zijn.
Updates, instellingen van programma's e.d. moeten voledig buiten het bereik van de gebruikers van het systeem vallen.
Een firewall is al helemaal niet nodig, dat regelt de systeembeheerder toch immers via zijn router (in welke vorm deze dan ook voor mag komen)
Juist door de gebruiker dat te geven wat hij thuis ook heeft ontstaan al deze problemen.
Bedrijven die al die elende hebben, zijn daar zelf de oorzaak van.

@pascal
nog een voorbeeld. Een klant van mij had een drievoudige firewall, 1 in de router,1 in een squid-proxyserver en 1 in zijn linuxserver.
Daarachter een handvol PC's die nooit een update hadden gekregen, XP zonder SP1, SP2 of SP3 zonder toegang tot internet.
Maar wel met een USB aansluiting die gewoon te gebruiken was.

1 gebruiker die dat leuke (geinfecteerde) filmpje aan een collega laat zien is dan genoeg.

De PC's zijn uptodate gebracht, met antivirus en toegang tot internet, een zucht van verlichting in de organisatie. Wel geleerd dat je systemen uptodate moet houden. Klant en zijn personeel tevreden.
Overigens werd de linuxserver alleen als NAS gebruikt, de backups waren wel in orde, dat was het enige.


Jan, dat zijn de weinige glorie momenten waarop je kunt uitleggen waarom jij een ander tarief rekent dan die handige buurjongen.

Ik kwam laatst een dergelijk verhaal tegen bij een heel groot heel bekend bedrijf waar ook even iets mis ging en men geen adequate backups had.

@Pascal: Kanttekening die ik wel even wil plaatsen, is dat die handige buurjongen bij Generatie X of Y hoort en niet zo snel bij Generatie Einstein of later.

Technicus, ik deel je opmerking.
Ik ken wel wat handige scholieren die heel wat meer in hun mars hebben dan profesionele vakgenoten en die ik gerust om een boodschap durf te sturen.
Maar idd dat zijn dan wel de uitzonderingen.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×