image

Worm-aanval dwingt VS tot USB-stick verbod

donderdag 20 november 2008, 13:24 door Redactie, 15 reacties

De computernetwerken van het Amerikaanse leger zijn geïnfecteerd door een worm die zich via draagbare media zoals USB-sticks verspreidt, waardoor de legerleiding zich genoodzaakt zag om alle CD's, geheugenkaarten en andere verwijderbare media te verbieden. De tijdelijke maatregel moet verdere verspreiding van de worm tegengaan. Zowel het geheime SIPRNet als het publieke NIPRNet hebben met de infecties te maken. Het verbod op externe media is per direct van kracht, zo liet de legerleiding in een interne e-mail weten.

Het verbod is een probleem voor het leger, dat veel informatie op dit soort media opslaat. Aangezien bandbreedte in het veld beperkt is en netwerken als onbetrouwbaar worden beschouwd, bieden externe schijven en USB-sticks uitkomst. In de e-mail staat vermeld dat het om de Agent.btz malware gaat, een variant van de SillyFDC worm. De malware gebruikt Autorun om zich te verspreiden. Zodra een besmette USB-stick wordt aangesloten kopieert de worm zichzelf naar de nieuwe machine en infecteert daar vandaan weer andere sticks en externe harde schijven die men aansluit. Om ervoor te zorgen dat het personeel het verbod naleeft, voeren security team dagelijks scans op de netwerken uit.

Reacties (15)
20-11-2008, 13:30 door Anoniem
Eerste wat bij mij opkomt, is het niet verbieden om USB sticks etc te gebruiken, maar om die irritante autorun verplicht uit te zetten!
20-11-2008, 13:36 door [Account Verwijderd]
[Verwijderd]
20-11-2008, 13:38 door Anoniem
Door Iceyoung

Leve het Nike protocol
? Bedoel je Sneakernet?
20-11-2008, 13:39 door Napped
Tja , is dit een variant dat gebruikt maakt van de MS exploit of dat niet?
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000
20-11-2008, 13:54 door Jachra
Door NappedTja , is dit een variant dat gebruikt maakt van de MS exploit of dat niet?
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000

Nee, geen exploit maar een feature.

Wat mij opvalt dat je in die omgeving zou mogen verwachten dat men via een Windows Policy de mogelijkheid tot Autorun zouden hebben uitgeschakeld.
20-11-2008, 13:56 door Eerde
Maaruhhh, die badgasten hadden toch EAL 7+ ?
20-11-2008, 14:03 door Napped
Door EerdeMaaruhhh, die badgasten hadden toch EAL 7+ ?
Als 1 server EAL7+ heeft wilt dat nog niet zeggen dat het rest van het netwerk veilig is ...

Maarja Gelukkig zijn ze al wel verbetering aan het aanbrengen in de structuur van defensie . Ze gebruiken nu ook Apple , *nix, SUN
Dus ze zijn al van het 100% windows af
20-11-2008, 15:53 door SirDice
Door NappedMaarja Gelukkig zijn ze al wel verbetering aan het aanbrengen in de structuur van defensie . Ze gebruiken nu ook Apple , *nix, SUN
Dus ze zijn al van het 100% windows af
Gezien dit bericht zijn er klaarblijkelijk nog genoeg windows machines.
20-11-2008, 15:54 door SirDice
Door EerdeMaaruhhh, die badgasten hadden toch EAL 7+ ?
EAL7 geldt voor bepaalde OS'en op bepaalde hardware. Niet voor complete organisaties.
20-11-2008, 16:37 door spatieman
het autorun isue, en blijft een probleem.
MS moet maar een patch uitbrengen ,die autorun op ALLE media uit zet...
en blijft mekkeren, dat het een handige optie is,..
20-11-2008, 17:38 door sjonniev
Gewoon niet toestaan dat onkundig personeel bestanden kan lezen van externe opslagmedia die niet versleuteld is met bedrijfssleutels. Een plain autorun.inf doet dan lekker niks meer....
20-11-2008, 18:10 door Anoniem
alle externe media verbieden? misschien eerst de autorun functie eens uitzetten?
de afgelopen tijd is er weer heel wat zooi wat hier gebruik van maakt, heb ook al gezien dat het niet alleen op usbsticks enz stond, maar dat ook de hardeschijf deze autorun bestanden had en vanaf dat moment onleesbaar was, autorunbestanden weghalen en de hele schijf is weer toegankelijk...
21-11-2008, 00:06 door U4iA
Misschien moeten de SysAdmins daar eens dit KB artikel lezen: [url=http://support.microsoft.com/kb/953252]http://support.microsoft.com/kb/953252[/url]

Daarnaast is het al über slecht dat dit op voorhand al niet is uitgeschakeld via GPO. LAN2000 bij onze eigen defensie was dus kennelijk nog beter ingericht dan bij deze supermacht. Ik bedoel, de vraag moet eerder zijn hoe dit heeft kunnen plaatsvinden. Ik neem aan dat niet ieder helder licht daar zomaar een USBstick in elke willekeurige PC kan prikken?
22-11-2008, 16:56 door Anoniem
Door U4iAMisschien moeten de SysAdmins daar eens dit KB artikel lezen: [url=http://support.microsoft.com/kb/953252]http://support.microsoft.com/kb/953252[/url]
Autorun dekt niet echt het probleem, maar het feit dat kennelijk elk vreemd uitvoerbaar bestand klakkeloos uitgevoerd kan worden.
23-11-2008, 17:03 door Anoniem
Door Anoniem
Door U4iAMisschien moeten de SysAdmins daar eens dit KB artikel lezen: [url=http://support.microsoft.com/kb/953252]http://support.microsoft.com/kb/953252[/url]
Autorun dekt niet echt het probleem, maar het feit dat kennelijk elk vreemd uitvoerbaar bestand klakkeloos uitgevoerd kan worden.
autorun dekt niet het gehele probleem, maar dat autorun nog steeds aan zou staan, en zelfs als standaard functie gezien word zegt mij wel wat over het nivo beveiliging dat er gehanteerd word, en wat u4ia ook al zegt, dit soort fouten mag niet voorkomen op dat nivo, er zijn zat gewone bedrijven die usb sticks verbieden, maar het leger heeft er nog nooit bij stilgestaan?

hierbij bied ik mij aan om de bezem er daar eens flink doorheen te halen, en ik ben vast en zeker goedkoper dan de adviseurs die ze nu hebben ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.