In totaal betaalden 236 slachtoffers en verdienden de cybercriminelen in een maand 135.9 Bitcoins (bijna zeventigduizend euro). Met behulp van de speciaal door Kaspersky Lab en Intel Security ontwikkelde decryptietools kunnen slachtoffers hun geïnfecteerde bestanden nu ontgrendelen zonder losgeld te betalen. Naar verwachting zullen er binnenkort nog meer sleutels aan de tools worden toegevoegd.
WildFire
De ransomware WildFire lijkt vooralsnog vooral op Nederland en België te zijn gericht, aangezien de afgelopen weken zeker 50 procent van de infecties in Nederland is geregistreerd en 36 procent in België. WildFire’s infection vector vertoont overeenkomsten met Zyklon en GNLocker: vanaf gehackte servers wordt namens een transportbedrijf een spam e-email gestuurd met de mededeling dat een levering niet is nagekomen en het verzoek om, middels een te downloaden Word-bestand, een nieuwe afspraak te maken. Zodra de ontvanger het Word-bestand opent en de macro-functionaliteit is ingeschakeld, wordt de malware gedownload en geïnstalleerd, waarna WildFire de bestanden op de computer versleutelt. Het gevraagde losgeld bedraagt zo’n driehonderd euro per slachtoffer, maar als dit niet binnen acht dagen betaald is, wordt dit bedrag verdrievoudigd.
Offline
De Nederlandse politie en het OM hebben er inmiddels voor gezorgd dat de WildFire-server offline is, waardoor geen nieuwe slachtoffers meer kunnen worden gemaakt. Daarna zijn computers die besmet zijn met WildFire niet langer in staat om verbinding te maken met de servers van de criminelen. In plaats daarvan wordt het slachtoffer gewaarschuwd met de boodschap dat het kwaadaardige domein in beslag is genomen door de Nederlandse politie en ze NoMoreRansom.org kunnen bezoeken om de decryptietool te downloaden en hun bestanden te ontgrendelen zonder losgeld te betalen.
Samenwerking
John Fokker, digital team coördinator van de National High Tech Crime Unit (NHTCU) van de Nederlandse politie: ‘De bemachtiging van WildFire decryptiesleutels bewijst nogmaals dat cybercrime, en met name ransomware, succesvoller bestreden kan worden door nauw met andere partijen samen te werken. De Nederlands politie streeft ernaar om slachtoffers van ransomware te helpen door malwaregerelateerde zaken te onderzoeken, criminele infrastructuren plat te leggen en decryptiesleutels beschikbaar te stellen. Het regelmatig back-uppen van persoonlijke bestanden blijft echter de beste strategie tegen ransomware.’
Jorn van der Wiel van Kaspersky Lab sluit zich hierbij aan. ‘Het is van groot belang dat er meer partners uit zo veel mogelijk verschillende disciplines aansluiten om deze vorm van ransomware nóg voortvarender tegen te gaan. We maken goede vorderingen, maar dit is slechts het begin en met een hechte samenwerking kunnen we zoveel meer bereiken.’
Reacties
Ik vind het echt ongelooflijk: "Het regelmatig back-uppen van persoonlijke bestanden blijft echter de beste strategie tegen ransomware."???
Wanneer je je ramen en deuren openzet - en daar ook nog eens melding van maakt - en er wordt ingebroken, wat zeggen de politie en de verzekering toch ook niet, dat je de beste strategie tegen dit soort inbraken is om een kopie van je spulletjes aan te schaffen?
Iedereen is het er toch over eens, dat je ALLES zou moeten doen om dit soort zaken te voorkomen?
Ransomware kan ALLEEN zonder waarschuwing geïnstalleerd worden op Windows-systemen.
Je zou dan toch verwachten, dat daar eindelijk eens in alle openheid over gesproken wordt??
Dat door ICT-leveranciers gekeken wordt naar alternatieven en dat justitie eens een praatje gaat maken met de firma, die Windows op de markt brengt?
We hebben onlangs op deze site een hele discussie gevoerd over het thema beveiliging. Ik heb daarbij toen gewezen op dit issue. (https://www.computable.nl/artikel/nieuws/security/5810840/250449/bedrijfsleven-ontbeert-beveiligingskennis.html#comments)
Beveiligingsexperts weten dit ook allang, maar waarom zou je ergens iets aan doen, zolang je eraan kan verdienen?
Hoe is het mogelijk, dat ook de redactie zelf opnieuw geen enkele kanttekening maakt? Is dat misschien uit angst voor het mislopen van Microsoft advertenties?
@ Willem Massier. Zeroday blijft zeer lastig maar er bestaat wel degelijk al een endpoint protection platform waarmee ransomware na besmetting verwijderd kan worden. Op dit moment alleen beschikbaar voor de zakelijke markt. Maar dat gaat wellicht in de toekomst veranderen.
Zie ook: www.cyberinsecurity.nl
@Ben en @Jean Mijn 'ongeloof' heeft betrekking op het feit, dat niemand het blijkbaar aandurft om Microsoft te noemen als de leverancier van Windows, het enige werkstation, waarop het sinds jaar en dag mogelijk is om ransomsoftware zonder enige waarschuwing te installeren.
Het is prachtig, dat er een 'endpoint protection platform waarmee ransomware na besmetting verwijderd kan worden' en het is nog veel mooier, dat 'antivirusbedrijf AVG in zijn particuliere portfolio (de winkelpakketten) van de betalende versies een nieuwe module, genaamd anti-ransomware gaat aanbieden ..., waarmee ... enkel toegestane programma's toe (wordt gestaan) om bestanden aan te passen'.
Ik vind, dat dit laatste de verantwoordelijkheid zou hebben moeten zijn van Microsoft zelf.
Daarnaast en tevens hiermee verband houdend vrees ik, dat
1. lang niet alle ICT-leveranciers AVG gaan aanbieden, omdat ze nu eenmaal leverancier zijn van een concurrerend product
2. leken moeilijk in staat zullen zijn om adequaat met deze add-on om te gaan
3. het nog maar de vraag is of AVG in staat zal zijn alle Windows updates steeds bij te houden
Ik heb de moed allang opgegeven, dat Microsoft zelf haar verantwoordelijkheid hierin neemt. Waarschijnlijk omdat het inziet, dat het een onmogelijke opgaaf is. En dat doet meteen het ergste vrezen voor third party producten.
Ik adviseer bedrijven en particulieren inmiddels om Windows te beschouwen als een gepasseerd station en na te gaan denken over de mogelijkheid om volledig in de Cloud te gaan werken met leveranciers, die via ISO 27001 garantie geven aan hun gebruikers op het gebied van veiligheid, beschikbaarheid en integriteit.
Als dat namelijk kan, is een simpel Chromebook voldoende als werkstation. Een computer die altijd werkt en ... waarop de gebruiker zelf helemaal niets KAN installeren.
Niet leuk voor de nerds natuurlijk, maar voor wie graag efficiënt wil kunnen werken ....
Werken met windows standaard account ipv windows Administrator account zal al veel problemen oplossen, in windows standaard account kan geen programma geinstalleerd worden zonder administrator rechten. Dit zal al veel problemen en virussen voorkomen, maar blijkbaar werken weinig mensen op deze manier.
Nog geen winkel ontdekt die de klant vertelt dat er nog een Windows standaard account bestaat. Laat staan een guest account. Ze geven de computer mee en zoek het maar uit. Degene die er geen verstand van heeft, loopt de meeste kans het haasje te worden. Komt ook op de meeste computercursussen (waar meestal Windows onderwezen wordt) NIET aan bod. De meeste gebruikers interesseert dat ook niet; het systeem moet het gewoon doen. Dus aan de slag ..... onwetend als Admin.
@Johan
Voor kantoorautomatisering gaat jouw redenatie wel op, maar ga je kijken naar software ontwikkeling / R&D / productontwikkeling etc. dan hebben de gebruikers doorgaans zelf Admin rechten nodig om hun werk goed te kunnen doen.
o.a. hierdoor kunnen er dus kwetsbare groepen ontstaan.
Maar ook admin's kunnen getroffen worden door ransomware, waarmee het ook weer verder verspreid kan worden onder de kantoorgebruikers zonder admin rechten.
Ofwel, het wereldje zit denk ik iets complexer in elkaar.
Ransomeware komt meestal binnen per E-Mail.
Ook in Windows kun je uitschakelen dat een aanhang uitgevoerd wordt of kan worden.
In internet vindt je hoe dat in de diverse mail-clients gaat.
@Willem, het is (inmiddels) te kort door de bocht om te stellen dat het probleem bij Windows ligt. Windows 7, 8 en 10 hebben wel degelijk een goede beveiliging in huis maar helaas wordt veel software geleverd die niet zonder admin-rechten funktioneert.
@Jan
Ransomware komt al lang niet meer binnen via e-mail, het aanklikken van een link op een website is de nieuwe toegang. Voordat je weer eens uit de bocht vliegt aangaande oplossingen die in de jaren 80 al geadresseerd waren lijkt het me handig als je serieus kijkt naar realiteit van de 'elevated rights' binnen de gebruikers community met SSO op fileshares. Ransomware is gewoon een virus met een verdienmodel dat gebaseerd is op de naïviteit van de gebruiker.
P.S.
Kan redactie enige duidelijkheid geven over het feit dat slachtoffers 'redirected' worden naar de tool die voor decryptie zorgt en hoe de politie aan de sleutel komt om dit mogelijk te maken?
@Jan
Waarom is het volgens jou ' (inmiddels) te kort door de bocht om te stellen dat het probleem bij Windows ligt'? Alleen gebruikers van Windows (ook de door jou genoemde versies) kunnen hierdoor toch zonder waarschuwing worden getroffen? Dan zou je toch van de leverancier moeten kunnen EISEN, dat hij daar iets aan doet?
Stel je eens voor, dat een auto standaard geleverd zou worden door een garage met de rem los of half los gekoppeld? Helaas gaat de vergelijking niet goed op, want daar merk je het waarschijnlijk al snel, waardoor je meteen kan ingrijpen.
@willem het is en blijft de verantwoording van de eindgebruiker een bestand te downloaden (en te openen). Je kan van een fabrikant eisen wat je wil, voldoen aan alle voorwaarden maar dan nog......
@Peter
Het gaat niet om downloaden en openen. Het gaat er in de eerste plaats om, dat je op een Windows systeem iets kan installeren zonder dat je het als gebruiker weet en zelfs zonder dat het systeem je waarschuwt.
Je KAN niet van elke niet door wie dan ook geïnformeerde gebruiker verwachten, dat hij begrijpt, wat hij aan het doen is, als hij niets vermoedend op een link in een mail klikt, waarvan hij denkt, dat die afkomstig is van een bekende relatie.
Ik vind het dus veel te gemakkelijk om de WINDOWS-klant verantwoordelijk te maken voor iets, wat Microsoft zou moeten zien te voorkomen.
Vind jij het ook niet raar, dat magnetron-fabrikanten aangesproken en veroordeeld kunnen worden, wanneer je je hond erin stopt en die overlijdt en de leverancier van software, die miljarden schade aanricht niet?
Ooit als assistent begeleider aan een landelijke computercursus voor senioren deelgenomen. Er werd niet uitgelegd wat algemeen een browser is, een tekstverwerker, mailprogramma, enz. Het was een cursus puur gericht op Windows (XP). IE, Word, Outlook, Skype, .... Een Mac-gebruiker (cursist) kon meteen inpakken omdat het cursusmateriaal puur op Windows gericht was. Niks over beveiliging (accounts), virusscanners, firewalls, enz. Veel te ingewikkeld voor die categorie. Tevreden cursisten, dus. Klaar voor het werk (als Admin). Geen idee welk risico ze lopen. Hoe ga je al de theorieën in deze discussie aan die categorie gebruikers uitleggen? DE doelgroep voor de hackers, malware en andere rotzooi! Ze zijn al blij na zo'n basiscursus aan de slag te kunnen. Een ander systeem? Geen idee! En als men het al weet stapt men niet over; weg investering en weer veranderen. Dat laatste is bij elke windows versie sowieso het geval, maar dat weet die gebruiker vaak niet. Ik geef ze gelijk. Computer starten en gaan, zonder eerst allerlei software-updates te moeten downloaden, scannen en noem maar op. De oplossing moet niet primair bij de gebruiker liggen, maar onderdeel zijn van het OS.
@Willem
Complete nonsens dat alleen Windows vatbaar zou zijn voor ransomware en andere zaken die je als user onbewust installeert. Lees maar:
https://blogs.sophos.com/2015/03/26/dont-believe-these-four-myths-about-linux-security/
Je hoeft geen Windows te kopen om er een bedrijfsadministratie op te draaien. Je hebt altijd nog de keuze om er een papieren archief op na te houden of wat simpele maatregelen te nemen en je users op te voeden.
@Willem
Een auto wordt geleverd met gordels, als je die niet gebruikt loop je risiko's.
Al die Windowsversies hebben een rechtensysteem aan boord om bestanden tegen onbevoegde toegang te beschermen, je moet eens de moeite nemen dat in detail te bekijken dan begrijp je mijn punt.
Het is namelijk de gebruiker en de software leverancier die uit pure gemakzucht het gebruik van administratorenrechten bijna verplichten om de gegeven software te kunnen gebruiken.
@KJ
de sophos-pagina behoort onder het kopje reklame.
Kijk eens na hoeveel walware "in the wild" voor desktop-linux bestaat, dat is heel erg weinig.
@Jan
Dacht het niet:
https://web.nvd.nist.gov/view/vuln/search-results?query=Linux&search_type=all&cves=on
Waarom wordt hier aangenomen dat hacks altijd via een user-desktop verlopen? Er bestaat vele applicatie en server hacks die gewoon remote te exploiteren zijn.
Er is geen enkele reden om aan te nemen dat een platform intrinsiek veiliger is dan andere. Het gaat uitsluitend om de kans dat een vulnerability met een hoge CVSS waarde daadwerkelijk wordt ge-exploiteerd. Daarbij spelen veel meer factoren mee dan louter het platform type.
@KJ
heb je de "vulnerabilities" die op die site genoemd worden wel eens gelezen?
De meeste betreffen software die nageladen moet worden of die een lokale gebruiker moet starten.
Simpel uit ervaring gesproken, de kans op problemen ligt op dit moment hoofdzakelijk bij slecht ingerichte Windowssystemen (desktop) en dan bij e-mail en/of webbrowser.
Na 15 jaar Linux op de desktop ben ik nog nooit op potentiele malware gestoten.
Wanneer je gaten in SSL of Apache/Nginx op het konto van linux schrijft is dat bedenkelijk.
Natuurlijk is geen enkel platform 100% veilig of foutloos maar de desktop-linux gebruiker kan heel veel zorgelozer zijn PC gebruiken als een desktop-windows gebruiker.
Simpel gesteld blijft het grootste risiko de gebruiker zelf, die start zaken die hij niet kent of klikt op links met onwaarschijlijke aanbiedingen.
@Ewout
ervaringsfeit, 5 ransomeware slachtoffers, 5 x besmet met email.
Wie zijn webbrowser uptodate houdt, dat kun je gebruikers leren, loopt minder risiko's.
Maar ja we kunnen niet allemaal zo enorm intelligent zijn als Ewout zich zelf vind.
@kj
Het gaat in dit draadje om gebruikerssystemen. Niet om servers.
Ik beweer NIET, dat Windows het enige systeem is, waarop je rotsooi kunt installeren. Maar als je meer dan 85% van de markt mag je best je verantwoordelijkheid nemen als er met jouw software zoveel fout gaat, waardoor particulieren en bedrijven enorme schade lijden.
Dat iedereen daar zo gemakkelijk over heen stapt, vind ik net zo onbegrijpelijk als de opstelling van Microsoft.
Daarnaast heel praktisch:
Kun jij mij uitleggen, hoe je op een Chromebook dergelijke injecties realiseert?
Kun jij mij uitleggen, hoe je op een Apple dergelijke injecties realiseert zonder waarschuwing van het systeem en zonder je wachtwoord opnieuw te moeten invoeren?
@jan van leeuwen
Ik denk dat je systeembeheerder bent. De 'veiligheidsgordel' waarover jij het hebt, vergelijken met het Windows rechten systeem, is dermate ver van de werkelijkheid, dat ik me niet kan voorstellen, dat je het echt meent. 'Gewone' mensen moeten toch ook een tekst kunnen maken, kunnen mailen, het internet op kunnen, administratie kunnen bijhouden zonder zich in de rechten van Windows te hebben hoeven verdiepen?
En lees aub ook even, wat ik hierboven in reactie schreef op de opmerkingen van kj.
Tenslotte
In het boek van Steve Jobs kan je lezen, waarom de vroegere vrienden Jobs en Gates van elkaar verwijderd raakten. Dat was een kern, van waar we het hier nu ook over hebben.
Microsoft neemt het met Windows niet nauw met beschikbaarheid, security en integriteit voor gewone gebruikers, terwijl 'Een PC op elk bureau' hun missie was. Dáár zit mijn probleem.
Ik denk, dat het ook nauwelijks mogelijk zal blijken om gebruikerssystemen zodanig in te richten en te onderhouden, dat ze aan zeroday (https://www.google.nl/#q=zeroday) kunnen voldoen. Persoonlijk pleit ik daarom al sinds 1999 voor volledig werken in de Cloud, waarbij
1. aan de gebruikerskant alleen via de browser gewerkt wordt (zie Chromebook)
2. aan de serverkant de leverancier zijn verantwoordelijkheid volledig neemt via ISO 27001
En waar dat (nog) niet kan, waarschuw ik tegen leveranciers en software, die alle problemen bij de klant legt en zelf niet de noodzakelijke verantwoordelijkheid nemen. Windows is daar een voorbeeld van. Dergelijke software komt er bij ons bedrijf niet meer in!
Ik denk overigens, dat ieders punten inmiddels wel duidelijk zijn. Als er geen echt nieuwe inzichten meer worden toegevoegd aan deze discussie, was dit mijn laatste bijdrage aan dit lijntje.
@Willem Massier, Jan van Leeuwen
Zonder om hier nu in het gebruikelijke patform bashing te vervallen, stel ik vast dat er geen enkel gebruikerssysteem bestaat dat intrinsiek veilig is en er geen enkel bedrijf bestaat dat "zijn verantwoordelijkheid neemt via ISO 27001" waar het gaat om ge-exploiteerde usersystemen. Lees bijvoorbeeld de Google Chrome EULA (Artikel 14) nog maar eens op na.
Zo had Chromebook bijvoorbeeld tot in 2014 nog te maken had met onveilige extensions: http://arstechnica.com/security/2014/01/malware-vendors-buy-chrome-extensions-to-send-adware-filled-updates/
@Jan: enigzins flauw om OpenSSL niet als een Linux onderdeel aan te merken. Voor een hacker maakt dat namelijkt helemaal niets uit. Het is gewoon een onderdeel van de meeste Linux distro's.
Uiteraard vinden er meer exploits plaats op plekken waar de weerstand het laagst is en de meeste mogelijkheden tot exploitatie bestaan. Windows wordt nu eenmaal meer gebruikt dan als userOS dan Linux en Chrome en Chrome is relatief nieuw en heeft inderdaad een architectuur die veiliger is dan Windows.
Verder valt een groot stuk van de verantwoordelijkheid voor het mitigeren van zwakheden in IT security onder de verantwoording vallen van het bedrijf waarvoor een gebruiker werkt en is die niet uitsluitend zijn toe te schrijven aan de fabrikant van het OS.
Lees eens het 2016 SMB report van Ponemon : http://www.ponemon.org/blog/smbs-are-vulnerable-to-cyber-attacks. Zolang er bedrijven zijn die:
- geen password policy hebben (bijna 60%)
- of er wel een hebben maar die niet enforcen (65%)
- er geen security IT staff op nahouden (35%)
- geen vertrouwen hebben in de eigen security maatregelen (100-14=86%)
denk ik niet dat het veel zin heeft om hoog van de toren te blazen richting Microsoft.
Voordat je de maker van een OS verantwoordelijk wil houden voor de opgelopen schade, bedenk dan dat een rechtbank uiteraard eerst wel zal toetsen wat het bedrijf in kwestie zelf heeft gedaan om de beveiliging op peil te houden.
@kj
Ik constateer, dat ook jij mij (en alle andere lezers) niet kunt uitleggen, hoe men überhaupt op een Chromebook de door jou genoemde injecties realiseert simpelweg door op een e-mail, bijlage of website te klikken en evenmin hoe dat op een Apple zou kunnen zonder waarschuwing van het systeem en zonder je wachtwoord opnieuw in te moeten voeren.
Ik denk dat je dat niet kan, omdat hetgeen ik schrijf gewoon 100% correct is.
Je vindt het blijkbaar moeilijk om dat toe te geven. Wellicht omdat je het altijd moeilijk vindt om iets toe te geven, misschien ook omdat je op de één of andere manier door Microsoft wordt betaald? Ik zou anders niet kunnen verklaren, waarom je opnieuw allerlei niets met het draadje te maken hebbende zaken ter tafel brengt.
Chrome is bijvoorbeeld een webbrowser, die op elk platform geïnstalleerd kan worden. Chromebook is iets totaal anders. Het door jou aanhalen van Google Chrome EULA in een poging om de security van Chromebook onderuit te halen is daarmee tenen krommend.
Probeer eens out of je (Windows)-box te denken!
Mijn insteek: echt veilig werken kan alleen als dat in de Cloud gebeurt op systemen waarvoor leveranciers hun verantwoordelijkheid nemen.
ISO 27001 is een fantastisch houvast voor bedrijven om zich ervan te verzekeren, dat de leverancier zichzelf verantwoordelijk acht op het gebied van security, beschikbaarheid en integriteit van de systemen waarvan je als bedrijf gebruik mag maken. Google Apps, AMAZON en ook Microsoft Azure hebben ISO 27001 al omarmd.
Een bijzonder belangrijke eerste stap!
De volgende stap is om aan gebruikerskant alles in te zetten op security. Het Chromebook is daarin momenteel veruit de beste optie.
Lees bijvoorbeeld eens https://support.google.com/chromebook/answer/3438631?hl=nl, op 1 simpel A4tje alles over de beveiliging van Chromebooks.
En als je dat vervolgens aanvult met de gratis beschikbare tweeweg authenticatie, die Google ook biedt en Google Apps for Work Unlimited, dan beschik je over de veruit meest secure omgeving voor bedrijven anno 2016.
Ik zou willen dat ICT-leveranciers dit zouden gaan aanbieden als alternatief voor Windows met Office, backup voorzieningen, antivirus spul, noodzakelijke Windows-trainingen om secure met Windows om te kunnen gaan en de eveneens noodzakelijke IT-staff (extern of intern) om de systemen veilig te krijgen en te houden.
De problemen waarvoor de politie nu veelvuldig moet worden ingezet (zie de inhoud van het artikel waarover dit draadje gaat) van ons aller belastinggeld, zou overbodig worden.
@Willem
Grappig hoe je probeert aan te tonen dat Google Chrome een intrinsiek velig platform is door slechts te focusen op 1 specieke exploitatietechniek en die als "bewijs" te accepteren dat Google Chrome niet expoliteren is. Tot in 2014 werd Google Chrome nog geplaagd door kwaardaardige browser extensions..
Verder zou ik mijn data als bedrijf niet zomaar in een Google cloud neerzetten. Zeker niet na de recente release van een aantal NSA hacking programma's en de komende GDPR wetgeving.
Ga nu eens gewoon in op het feit dat het aansprakelijk proberen te stellen van een OS fabrikant (niet alleen MS) gewoon zinloos is als je niet kan aantonen dat je eest zelf alle mogelijke maatregelen hebt genomen om je systemen te beveiligen.
Verder schrijf je het volgende: "Wellicht omdat je het altijd moeilijk vindt om iets toe te geven, misschien ook omdat je op de één of andere manier door Microsoft wordt betaald?"
Ik ben bereid om iets toe te geven als dat inderdaad ook van toepassing is. Wat ik stel is gewoon dat geen enkel platform intrinsiek 100% veilig is, in tegenstelling tot wat jij met alle geweld hier lijkt te willen impliceren.
Ook wordt ik niet betaald door MS of Google, (ben mijn eigen baas) maar stel ik wel vast dat jij een aanmerkelijk belang hebt bij Google met je G4B franchise. Zou dat misschien de reden kunnen zijn dat je hier zo tegen MS tekeer gaat?
@kj Dit zal mijn laatste reactie op jou zijn, aangezien er helemaal niets klopt van je laatste post, je geen inhoudelijke reacties geeft op vragen en overduidelijk geen idee hebt van ISO 27001:
1. Ik heb het niet over Chrome, maar Chromebook. Dit is de tweede keer dat ik dit schrijf. En het is iets totaal anders. In mijn vorige post heb ik deze link (https://support.google.com/chromebook/answer/3438631?hl=nl) ook al gepost. Heb je dat eenvoudige A4tje al gelezen? Denk het niet gezien je reactie(s).
2. Ik houd in dit draadje een pleidooi TEGEN exploitabele gebruikersplatformen, waarvan Windows met 85% van de gebruikers de grootste is en met afstand het gemakkelijkst te misbruiken. (je hebt nog niet één keer gereageerd op mijn verzoek om aan te tonen, hoe dat dan zou moeten op de andere platformen, terwijl ik je dat al twee keer heb gevraagd.)
3. Ik beweer niet, dat andere gebruikersplatformen 100% veilig zijn. Ik beweer, dat het Microsoft Windows platform veel te gemakkelijk te misbruiken is. Het is zo lek als een mandje. En veel gemakkelijker te misbruiken dan Chromebook en Apple OSX. Wie dat ontkent, kletst gewoon uit zijn nek.
4. Ik beweer tevens, dat Microsoft geen verantwoordelijkheid neemt voor de ellende, die via Windows wordt veroorzaakt.
5. Iemand die met droge ogen beweert, dat ISO 27001 niets voorstelt (dat is eigenlijk wat je doet) is niet serieus meer te nemen
6. In ISO 27001 wordt door leveranciers een belofte gedaan, maar tegelijkertijd aan gebruikers exacte eisen voorgelegd. Dat gaat zelfs nog wel wat verder dan de vier puntjes die jij benoemt.
7. Hoe kom je erbij dat G4b.nl een franchise is? Als Google al franchise ondernemingen heeft, dan is G4b dat in elk geval niet. G4b.nl is zelfs geen reseller van Google producten. Ik ben wel een enorme aanhanger van de Google oplossingen. Net als van AMAZON. De enige echte webbedrijven met veilige oplossingen.
8. Door je te verstoppen achter enkel kj, wordt niet duidelijk wie je bent en waar je belangen zich bevinden. Dat je echter een boterham verdient via het leveren van Windows of aanpalende producten en diensten, dat kan haast niet anders gezien je trouw aan Windows, het meest lekke gebruikerssysteem.
9. Tenslotte: waar het mij om te doen was en is, ICT-ers wakker schudden om te stoppen met het blijven adviseren en verkopen van Windows en aanpalende diensten en producten. Ik begrijp best, dat het makkelijk verdienen is. Maar het is ook te gemakkelijk als je oog hebt voor problemen die klanten erdoor ook op het bordje krijgen.
@Willem
Ik vraag me af hoe je veiligheid definieert. Google en Amazon staan niet bepaald bekend om hun privacy-waarborgen.
Mijn klanten raad ik aan om hun werkzaamheden via een webinterface te doen - waar mogelijk, de software zet ik dan op een Webserver en de verbindingen worden versleuteld met HSTS.
Vergeet niet dat veel branche-specifieke-software alleen op Windows draait, dan ben je gedwongen je klant te helpen om Windows zo goed en zo kwaad als het gaat dicht te timmeren. Roepen om een Chromebook oplossing brengt daar niet veel.
Willem, hallo we zijn er weer!
"Kun jij mij uitleggen, hoe je op een Chromebook dergelijke injecties realiseert?"
Als jij de Chromebook als volledig veilig platform verkoopt is de kans groot dat je gebruikers op malifide websites terecht komen die eruit zien als Twitter en waarop je nog even in moet loggen om dat "persoonlijke" bericht te zien. Pats, foetsie, Twitter credentials weg.
Als jij met een Chromebook lekker loopt te internetten bij de Mc Donalds met hun open Wifi, grote kans dat je een ander keer een Mc Donalds spoofed WiFi netwerk gebruikt die jouw internetverkeer met groot gemak afluistert.
Mijn punt is: Als je gebruikers niet uit kunt leggen hoe ze veilig met een computer moeten werken maakt het besturingssysteem weinig uit. Heel vervelend dat senioren vaak de klos zijn.
Ik ben het met je eens dat Windows kwetsbaarder is voor het installeren van foute software dan bijv. Mac of Linux. Er zitten fouten in de architectuur waardoor Windows moeilijker veilig te maken is. Maar MS doet wel degelijk zijn best om het toch goed te doen en nogmaals menselijke ontwetendheid is kwalijker dan de kwetsbaarheden van Windows.
"5. Iemand die met droge ogen beweert, dat ISO 27001 niets voorstelt (dat is eigenlijk wat je doet) is niet serieus meer te nemen"
Laat ik het iets genuanceerder stellen: ISO 27001 zegt niet heel veel over veiligheid en is zeker geen keurmerk waarvan je *kunt* zeggen "Oh die hebben ISO27001 dus die snappen het wel". ISO27001 kan heel beperkt zijn in scope, als je geen transparantie geeft (en eerlijk, bijna niet 1 bedrijf geeft op de website werkelijk de scope van zijn ISO27001 aan) dan weet je dus nog niet waar je aan toe bent. ISO27001 geeft aan dat een bedrijf zich in ieder geval bewust is wat de certificering inhoud, maar stellen dat ISO27001 altijd iets voorstelt... Absoluut niet.
Ik ben geen Windows fan, maar Chrome OS (op de Chromebook) is ook heel beperkt. Je kunt er dus ook veel minder mee.
Dus bij voorbaat de klant iets anders adviseren dan Windows lijkt mij een slecht idee.
De manier waarop je basht wekt weerstand op.
PS: Websites kunnen door middel van malifide cookies, extensies , javascripts en andere sh*t je accounts hacken, communicatie onderscheppen etc.
De browser in zichzelf is steeds vaker gebruikt door gebruikers (zeker de Chromebook gebruiker, haha) en ondanks dat browser bouwers er bovenop zitten is de browser nog niet waterdicht te krijgen. Er zijn dus sites die je niet moet bezoeken....
@Jan van Leeuwen en Henri Koppen
"Google en Amazon staan niet bepaald bekend om hun privacy-waarborgen."
Tsja, wat een bewering. Bij wie staan ze niet als zodanig bekend en op welke gronden?
Beide bedrijven hebben ISO 27001 ondertekend voor hun Cloud-oplossingen. Verdergaande privacy waarborgen bestaan er in ICT-land helemaal niet. ISO 27001 gáát over Information security management. Zie http://www.iso.org/iso/iso27001
Het is de internationale standaard, waarop minimaal jaarlijks door externe onafhankelijke experts moet worden geaudit om de certificering in stand te houden.
In Nederland is ZBC een bijzondere expert op dit gebied. Bij vragen over het belang en nut van ISO 27001 zou ik me eens bij hen melden. (https://zbc.nu/wie-we-zijn/)
Ik houd nu op met deze en elke andere discussie rond Windows.
Zowel hier als langs andere wegen is mij inmiddels duidelijk geworden, dat iedereen Google als evil mag benoemen (en op bepaalde gebieden ben ik die mening ook toegedaan), maar van Windows dien je af te blijven. Zelfs oproepen tot nadenken over de richting van een alternatief gaat al te ver. Laten we lekker doorgaan met van ons belastinggeld de politie (die misschien wel ander werk te doen heeft?) op te zadelen met cybercriminaliteit. Ook als dat wellicht helemaal niet nodig is.
Bashen is afzeiken.
Ik zeik Microsoft niet af. Ik denk dat ze met Azure een prima weg in slaan.
Ik heb gepoogd om een mening te geven, die heel sterk afwijkt, van wat gebruikelijk is. Volgens mij is Windows een sterk verouderd en absoluut niet op het internet berekend systeem.
Ik vind ook dat een leverancier verantwoordelijkheid moet nemen en de klant zoveel mogelijk zou moeten helpen.
Het is MIJN mening, dat Microsoft met Windows verantwoordelijk is voor een enorm deel van de ellende die momenteel door velen wordt gevoeld.
Die mening wordt door IT-ers hier overduidelijk niet gedeeld. Zij vinden, dat de gebruiker (die soms van toeten noch blazen weet) zelf altijd verantwoordelijk is. Het miljardenbedrijf met alle kennis in huis treft geen enkele blaam.
Nou ik vind dus, dat Microsoft die verantwoordelijkheid ten aanzien van Windows niet neemt.
Als je dat bashen wilt noemen ...
Het zij zo.
Willem, ik ben geen fan van Windows en ben een zeer groot fan van Google (for Work) en AWS welke ik dagelijks zeer veel gebruik. Ook weet ik prima wat ISO27001 inhoud, zit zelf in een certificeringsproces van mijn eigen bedrijf. Maar naast dat ISO27001 niet technisch is kun je ook de scope heel erg beperken. Bijvoorbeeld dat ik alleen de enterprise versie van mijn SaaS certificeer die op Datacenter X van leverancier Y draait. Ik plak het logo van ISO27001 op mijn site en voila, weinig klanten die verder kijken. Iedere nieuwe klant veronderstelt dat alles wat ie ofneemt onder dat certificaat valt, da's niet zo. Ook AWS / Azure / GCP heeft geen ISO 27001 certificering op *alle* diensten die zijn aanbieden vooral voor de GA (Algemene beschikbaarheid) fase is dat niet zo, of zelfs bepaalde onderdelen van 1 deel dienst vallen buiten ISO27001. Naar mijn weten is de Azure portal volgens mij zelf niet ISO27001 gecertificeerd.
Dus ondanks dat je best wel een punt hebt, vergroot je het teveel uit en noemt een alternatief (Chromebook) als een walhalla. Dat is in mijn ogen niet correct. En er zullen best mensen zijn zoals Jan die het gevoel hebben dat Google privacy niet respecteert. Ik geloof zelf wel dat Google mij privacy respecteert, maar niet op alle vlakken en zeker is het niet transparant dus kun je niets zeker weten.
Veel leveranciers zijn ook niet transparant over hun ISO27001, dus ook daar zou ik niet teveel aan ophangen.
Henri,
De scope bij ISO27001 wordt wel aangegeven maar is, zoals je zegt, veelal beperkter dan mensen denken waardoor het een vals gevoel van veiligheid geeft. ISO27001 beschrijft veelal alleen maar het ISMS proces rond de services en schrijft niet de 'best practice' van controle maatregelen voor.
Waar ik eerder 'Ransomware met een verdienmodel' zei bedoel ik 'Gecertificeerde Ransomware met verdienmodel' STOP DE TIJD! Wacht even, hadden we vroeger niet zoiets als WORM waarmee de eenmaal geschreven data niet meer gewijzigd kon worden totdat de bewaartijd verstreken was en de 'kiepelton' van de vergetelheid inging op basis van ILM policies?
ISO27001 stelt namelijk niks voor als je het bestaan van datadragers vergeet, uiteindelijk de enige component die daadwerkelijk geconsumeerd wordt. Zolang Google c.s. nog moeite hebben met het virtuele eigenschap hiervan is de vraag over organisaties die hun fiets wel op slot zetten niet beantwoord in deze discussie. Probleem van 'vaulting' met fileshares gaat om de archivering en dat is iets waar zelfs het ministerie van Veiligheid en Justitie nog problemen mee heeft als het om een bonnetje gaat.....
OK. Ik begrijp, dat ICT-ers altijd graag willen laten zien, wat ze allemaal weten en daar ook heel graag van alles en nog wat bij willen halen. Maar laten we nu eens terug gaan naar de inhoud van dit artikel.
Ik weet best, dat 100% betrouwbare ICT (dus ook en waterdicht ISO en/of Chromebook) een idee fixe is. Net als 100% betrouwbaar verkeer, 100% duurzaamheid, 100% gezondheidszorg, 100% veiligheid, 100% vrijheid.
Maar als we
1. in ogenschouw nemen, dat 85% van de mensen in Nederland op kantoor en thuis een versie van Windows gebruikt
2. dit draadje de oorsprong vindt in het bericht over het oprollen van een server en het kunnen leveren van decryptietools waarmee slachtoffers hun geïnfecteerde bestanden nu kunnen ontgrendelen, veroorzaakt door geïnfecteerde Word-bestanden
3. dat volgens mij dus MOET gaan over Windows-gebruikers en lokale Windows-servers
4. John Fokker, digital team coördinator van de National High Tech Crime Unit (NHTCU) van de Nederlandse politie zegt, dat het regelmatig back-uppen van persoonlijke bestanden de beste strategie blijft tegen ransomware.
5. Goede Cloud leveranciers zorgen voor up-to-date gebruikers- en systeemsoftware in zo goed mogelijk beveiligde datacenters en daarbij tevens ZORGDRAGEN voor meer dan geregelde en betrouwbare backupvoorzieningen.
dan zouden we met elkaar een enorme slag slaan (meer dan 80% van de problemen opgelost voor het MKB?), wanneer we massaal zouden overstappen op echte Cloudvoorzieningen.
Zowel aan de gebruikerskant als aan de kant van de leverancier (ISO speelt daarin niet een 100% waterdichte maar wel grote rol) is daar veel meer af te dwingen.
Ja, dat gaat voor gebruikers ten koste van eenvoudig te ge- of misbruiken 'mogelijkheden'. Voor gebruikers die meer willen, biedt Apple momenteel al een veel veiliger omgeving. Maar daar zit ook een prijskaartje aan.
Voor de 'gewone' gebruiker in de zakelijke dienstverlening is het Chromebook in veel gevallen ook ruim voldoende. En als je de kosten daarvan bekijkt, dan liggen die juist veel lager. Helemaal als je bijkomende kosten voor antivirus en backups erbij betrekt.
Het Chromebook is wellicht niet 100% waterdicht, maar wel VEEL veiliger dan systemen, waarop je zelfs ongemerkt van alles kan installeren. Daarnaast is het geen drager van data die versleuteld kan worden via ransomware van criminelen, is het bijzonder simpel in gebruik, wordt het actief geupdate door de leverancier ZONDER dat je er last van hebt als gebruiker en kent het een eenvoudig en door iedereen te begrijpen security-document in het Nederlands (https://support.google.com/chromebook/answer/3438631?hl=nl)
Tenslotte: ik schrijf niet om te bashen. Ik schrijf omdat ik een dwarsligger wil zijn.
Een dwarsligger om de rails bij elkaar te houden voor een haalbare, betaalbare, beheerbare, beheersbare en toch handig in het gebruik zijnde ICT-trein voor iedereen!
Mijn stelling is, dat haalbare, betaalbare, beheerbare, beheersbare en toch handig in het gebruik zijnde ICT niet meer van Windows verwacht kan worden. Windows zou ik omwille van beschikbaarheid en security als passé willen beschouwen. Voor mij is hiermee alles gezegd!
Voor mij telt maar 1 ding. De klant moet storingsvrij zijn werk kunnen doen, de rest is bijzaak.
Daar moet je flexibel genoeg zijn Windows te gebruiken waar het niet anders gaat en Linux te promoten waar mogelijk, dat is namelijk mijn stokpaardje dat ik vaak en graag berijdt. En veel naar webservers trekken, geen sores met backups, wordt allemaal geregeld zonder dat de klant dat ziet.