Achtergrond
image

Onwetendheid consument zorgenkindje experts

dinsdag 29 april 2008, 12:48 door Redactie, 5 reacties

IT'ers noemen het gekscherend PEBCAK ("Problem Exists Between Chair And Keyboard") en PICNIC ("Problem In Chair Not In Computer"), maar de onwetendheid van veel gebruikers zit beveiligingsexperts niet lekker. Security.NL vroeg verschillende experts waar ze zich de meeste zorgen over maken. "Onwetendheid, in welke vorm dan ook, is de meest voor de hand liggende keuze," zegt Roel Schouwenberg, senior virusanalist van Kaspersky Lab. Hij doelt daarmee op eindgebruikers die voor de derde keer in dezelfde phishingmail trappen. Ook fiasco's die (gemakkelijk) van tevoren zijn te voorspellen en voorkomen, zoals de OV-Chipkaart, staan op de lijst van de analist, die wat dit betreft weinig verandering op korte termijn verwacht. "Dit is echter al de laatste twintig jaar onveranderd en het is helaas niet aannemelijk dat dit binnen afzienbare tijd gaat veranderen."

Het gebrek aan educatie en bewustzijn van de doorsnee gebruiker als het gaat om veilig internetten is ook de grootste zorg van Rik Ferguson, Solutions Architect bij Trend Micro. "Het gebrek aan bewustzijn is een van de voornaamste aandrijvers van computercriminaliteit."

Dat de dreiging bijna volledig aan gebruikers voorbij gaat ziet ook Frank Mulder, Technical Support Manager van Panda Security. "Gebruikers hebben moeite om zich voor te stellen wat malware en de daaraan verbonden risico’s inhouden. Ik illustreer dit graag met een citaat van wijlen Piet Vroon, voormalig hoogleraar Psychologie aan de universiteit van Utrecht: “…een mooi voorbeeld van een psychologisch wetje: wij verzekeren ons tegen een bepaalde combinatie van een voorstelbare ramp en een minieme kans. Uw brandverzekeringsmaatschappij is daar rijk door geworden. Woonhuizen fikken zo goed als nooit af, maar u neemt het risico niet. Bij computervirussen kunnen mensen zich weinig voorstellen. Om die reden beveiligen zij hun programma’s niet.” Toch is het risico dat de computer wordt getroffen door een malware gerelateerde aanval vele malen hoger dan dat het huis afbrandt, gaat Mulder verder.

Hengelsport

De onwetendheid speelt internetcriminelen in de kaart, die via phishing genadeloos toeslaan. Sinds iets meer dan een jaar is een serieuze trend gaande waarbij phishers de e-mails in de taal van hun slachtoffers versturen. "Waar eerst een vertaalmachine werd gebruikt en dus de teksten zowel contextuele als grammaticale fouten bevatte, buiten de overduidelijke verkeerde woordkeus, gaan de bendes achter deze phishing pogingen nu duidelijk een stuk georganiseerder te werk, waardoor er professionelere phishingberichten verschijnen," aldus Righard Zwienenberg, Chief Research Officer bij Norman.

Een volgend probleem waarbij Nederlandse gebruikers op hun hoede moeten zijn, zijn advertenties. De advertentie business op websites neemt op dit moment een grote sprong en inmiddels is het al een paar keer voorgekomen dat grote legitieme sites advertenties hebben geplaatst naar spyware/adware sites, met bijbehorende downloads. "Ook zien we dat de advertientiebureaus het werk niet meer aan kunnen en een en ander outsourcen. De kwaliteitscontrole valt dan helemaal weg. Als site-eigenaar weet je dus niet wie de advertentie dan plaatst," waarschuwt Zwienenberg.

Een derde probleem ziet hij in de toename van server-side polymorfische malware. Dat is malware die bij iedere download er anders uit ziet. Ondanks dat de malware zichzelf niet verspreidt en dus ook geen polymorfische engine bevat, is het elke keer anders. Dat maakt het voor de virusscanners moeilijk. "Bij een polymorfisch virus kunnen we de polymorfische engine analyseren en dan weten we wat er allemaal mogelijk is, in dit geval niet. Het wordt al veel toegepast bij de zogenaamde Banking Trojans, vooral degene die uit Brazilië komen zijn elke keer anders."

Die Hard 4

De glazen bol van Zwienenberg gaat nog veel verder, waarbij Die Hard 4-achtige scenario's de kop opsteken. "Inmiddels is bijna alles geautomatiseerd en veel mensen weten niet eens meer wat te doen indien de stroom uitvalt. Een film zoals Die Hard 4 is natuurlijk science fiction, maar het concept van een aanval op CII (Critical Infrastructure Instruments) moet niet onderschat worden. Onze gehele economie draait op computers en zonder stroom draaien die niet."

Tom Welling, beveiligingsexpert bij Symantec, ziet vooral uitdagingen op het gebied van rootkit detectie. Er zijn inmiddels rootkits die gebruik maken van virtualisatietechnieken waardoor de gebruikersomgeving schoon draait in een kwaadaardige virtualmachine, waarbij bijvoorbeeld al het ingaand en uitgaand verkeer afgevangen (en aangepast) kan worden. "Ook zien een groot aantal nieuwe besturingssystemen die illegaal via nieuwsgroepen, peer-2-peer netwerken e.d. verspreid en vervolgens geïnstalleerd worden. Wie zegt dat die installatie DVD van Windows Vista niet een 'aangepaste' versie betreft? Volledig uitgerust met een 'ondetecteerbare' rootkit die stiekem passief communiceert, al meeliftend op het normale internetverkeer?" Volgens Welling een echte dreiging en zeker geen FUD.

Toch blijft het de vraag: In hoeverre zijn eindgebruikers verantwoordelijk voor hun eigen veiligheid? Daar lijkt de industrie nog geen pasklaar antwoord op te hebben. IBM vindt van niet, terwijl Microsoft al op de basisschool met beveiligingsles wil beginnen. Vooralsnog zijn het dus niet alleen de consumenten die het niet weten.

Reacties (5)
29-04-2008, 23:02 door Bitwiper
In de, m.i. interessante, aankondiging van dit artikel op de mainpage schreef redactie:
Experts maken zich zorgen over het gebrek aan kennis bij internetgebruikers, maar wat moeten die eigenlijk weten?
Vervolgens lees ik, samengevat, het volgende: [list=1][*]eindgebruikers die voor de derde keer in dezelfde phishingmail trappen: misschien gebeurt dit, maar hoe voorkom je dat dan?[*]de OV-chipkaart: wat is de relatie met onwetende consumenten?[*]een vergelijking tussen onbeveiligde programma's (wat zijn dat?) en brandverzekeringen: mag ik daaruit opmaken dat legitieme gebruikers van Panda antivirus recht hebben op een schadevergoeding bij een malware infectie?[*]een constatering dat phishers steeds minder taalfouten maken (wie had dat nou verwacht?): maar hoe herken ik dan een phising mail?[*]Nederlandse gebruikers die op hun hoede moeten zijn voor advertenties: hoe doe je dat?[*]server-side polymorfische malware (lastiger voor virusboeren dan polymorfe virussen omdat de generator niet met de malware meekomt): moeten consumenten uit de tekst 'Dat maakt het voor de virusscanners moeilijk' opmaken dat nut van een virusscanner beperkt is, en welke aanvullende maatregelen kunnen zij het beste nemen?[*]computers die stoppen met werken als de stroom uitvalt: wat kunnen consumenten, behalve UPSen en/of generatoren kopen, daar tegen doen?[*]Besturingssystemen voorzien van 'ondetecteerbare' rootkits die via p2p worden verspreid: maar als ik die met Symantec AV scan voordat ik deze installeer ben ik toch wel safe?[/list]
Problem Exists Between Supplier And Consumer, want wat mij betreft hadden deze beveiligingsexperts tips moeten geven in plaats van problemen schetsen die in een deel van de gevallen niet eens door onwetende consumenten worden veroorzaakt.
30-04-2008, 15:56 door Anoniem
100 punten voor Bitwiper!
Voor denken, ipv na praten van commerciële praat_palen.

Je kan een konijn niet de schuld geven als hij op de
telefoon kabels zit te kauwen ipv een wortel, als je hem uit
z'n natuurlijke omgeving haalt..

Dus eerst de man/vrouw in de straat allerlei complexe half
bakken speelgoedjes verkopen en dan zeuren dat ze niet met
de troep om kunnen gaan! , maar.... commercieel wel erg
interessant om de 'klanten' steeds meer troep te blijven
verkopen.
Zo bijvoorbeeld blijft Billy G bewijzen met z'n wintendo dat
na meer dan 10 jaar het nog steeds niet stabiel/veilig is en
ook niet gaat worden omdat dat niet goed is voor de
'upgrade' verkoop, De andere clubjes als Apple volgen dat
spel ook erg graag, en de linux cowboys weten blijkbaar niet
wanneer ze moeten ophouden met het volproppen van functies
die niet af zijn.

"3x Kloppen!, Ik ben veilig aan het internet-bankieren"


Dat was me weer even lekker uithuilen ;-)
Kusje
*A.
02-05-2008, 09:48 door Anoniem
Lang verhaal, kort gehouden;
http://www.osnews.com/story/19701/How_to_Secure_Your_Windows_Computer_and_Protect_Your_Privacy
08-05-2008, 07:53 door Anoniem
/*
IT'ers noemen het gekscherend PEBCAK ("Problem Exists
Between Chair And Keyboard") en PICNIC ("Problem In Chair
Not In Computer"),
*/
Al die nieuwe namen....bah....
Wij noemden dat vroeger altijd al.........USER ERROR
20-09-2009, 22:33 door Anoniem
Door Bitwiper: In de, m.i. interessante, aankondiging van dit artikel op de mainpage schreef redactie:
Experts maken zich zorgen over het gebrek aan kennis bij internetgebruikers, maar wat moeten die eigenlijk weten?
Vervolgens lees ik, samengevat, het volgende: [list=1][*]eindgebruikers die voor de derde keer in dezelfde phishingmail trappen: misschien gebeurt dit, maar hoe voorkom je dat dan?[*]de OV-chipkaart: wat is de relatie met onwetende consumenten?[*]een vergelijking tussen onbeveiligde programma's (wat zijn dat?) en brandverzekeringen: mag ik daaruit opmaken dat legitieme gebruikers van Panda antivirus recht hebben op een schadevergoeding bij een malware infectie?[*]een constatering dat phishers steeds minder taalfouten maken (wie had dat nou verwacht?): maar hoe herken ik dan een phising mail?[*]Nederlandse gebruikers die op hun hoede moeten zijn voor advertenties: hoe doe je dat?[*]server-side polymorfische malware (lastiger voor virusboeren dan polymorfe virussen omdat de generator niet met de malware meekomt): moeten consumenten uit de tekst 'Dat maakt het voor de virusscanners moeilijk' opmaken dat nut van een virusscanner beperkt is, en welke aanvullende maatregelen kunnen zij het beste nemen?[*]computers die stoppen met werken als de stroom uitvalt: wat kunnen consumenten, behalve UPSen en/of generatoren kopen, daar tegen doen?[*]Besturingssystemen voorzien van 'ondetecteerbare' rootkits die via p2p worden verspreid: maar als ik die met Symantec AV scan voordat ik deze installeer ben ik toch wel safe?[/list]
Problem Exists Between Supplier And Consumer, want wat mij betreft hadden deze beveiligingsexperts tips moeten geven in plaats van problemen schetsen die in een deel van de gevallen niet eens door onwetende consumenten worden veroorzaakt.

Een duidelijk voorbeeld van PEBCAK of PICNIC.
De gebruiker schuift alle verantwoordelijkheid af naar de fabrikant.

Op die manier kun je stellen dat de fout van verkeersongevallen bij de autoconstructeur ligt, en niet bij de bestuurder.
Want hadden die een auto zo gemaakt dat je er niet ergens mee kan tegen rijden, zouden er geen ongevallen gebeuren.
Kunnen bestuurders er nu wat aan doen dat een auto niet opzij spring als er boom op de weg staat.

Of we eten drie maal per dag macDonalds en klagen die dan aan omdat we te dik zijn. Ja, want hun producten commercieel verkopen kunnen ze, maar....

Zo kunnen we uiteindelijk over alles onze verantwoordelijkheid verwerpen.
Informatie is er nochtans genoeg te vinden over dit onderwerp. Je moet alleen de moeite doen om even erna te zoeken.

De schuld doorschuiven naar de fabrikant is een beetje er gemakkelijk van onderuit komen.
Als je auto koopt maar er niet mee kan rijden is een verantwoordelijkheid die bij jezelf ligt.
Je moet zelf zorgen dat je een rijbewijs haalt,
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure