Microsoft: Grootste lek zit achter toetsenbord
Veel consumenten zijn slechte bestuurders op het internet, waardoor Internet Explorer dagelijks drie miljoen malware aanvallen of kwaadaardige websites stopt. Volgens John Scarrow, Partner Group Program Manager, vormen niet drive-by downloads, maar social engineering aanvallen het grootste probleem. Het gaat dan om websites die codecs, nep-virusscanners en Trojaanse paarden in downloads aanbieden. Aanvallen die IE8 weet af te slaan via het SmartScreen filter, dat ook in andere diensten van Microsoft verwerkt zit. Tijdens een persbijeenkomst in Redmond besprak Scarrow het Smartscreen filter en Internet Explorer.
Conficker
De softwaregigant maakt duidelijk verschil tussen drive-by downloads en social engineering aanvallen, waarbij het zich vooral op de laatste richt. "Het lek is niet de software, maar de persoon die achter het toetsenbord zit." De meeste gebruikers denken hier niet over na en vinden zich een betere bestuurder dan gemiddeld, aldus Scarrow.
Hij wijst naar alle aandacht die de Conficker worm kreeg. De worm wist een kleine vijf miljoen machines te besmetten. "Er werd meer over Conficker geschreven dan er besmette machines waren." IE8 weet elke dag drie miljoen aanvallen te stoppen. De meeste mensen denken alleen aan beveiligingslekken en bedrijven moeten volgens Scarrow gevonden kwetsbaarheden zo snel als mogelijk updaten. "Maar het echte probleem is het updaten van de persoon achter het toetsenbord."
Infrastructuur
SmartScreen blokkeert ook phishingsites, maar dat aantal verbleekt met het aantal malware websites. "We blokkeren honderd keer malware aanvallen", zegt Scarrow. Volgens hem zien veel mensen de ernst en omvang van de situatie niet. Dat wil niet zeggen dat drive-by download aanvallen niet belangrijk zijn, maar aan de hand van de gegevens die Microsoft verzamelde, gaf het social engineering een hogere prioriteit. Iets wat door alle blocks met IE8 wordt bevestigd. Het geeft tevens aan dat veel gebruikers niet zo kundig zijn als ze zelf denken, aldus Scarrow. Aan de ene kant zijn er wel mensen die alles versleutelen en zeer voorzichtig zijn, aan de andere kant is er online ook "totale anarchie". Mensen die zich nergens iets van aantrekken. "De realiteit is dat we in het midden zitten, misschien iets richting anarchie."
De oplossing van de problematiek ligt in het economisch onaantrekkelijk maken om malware te verspreiden. De filters die Microsoft hanteert kijken dan ook naar de hele infrastructuur. Het herkennen van malware speelt daarbij een belangrijke rol, maar virusscanners laten nogal wat door. Smartscreen brengt daarom ook bekende kwaadaardige domeinen, IP-adressen, ASN en hostingbedrijven in kaart. Zaken die in veel gevallen geld kosten. Door malware aan een van deze zaken te koppelen raakt men de cybercriminelen financieel. Daarnaast kan men ook nieuwe malware vanaf deze infrastructuur sneller detecteren. Ongeveer 25% tot 40% van alle malware die Microsoft met Smartscreen blokkeert, vindt plaats voordat anti-virusbedrijven de malware hebben geidentificeerd.
Blacklist
Alle informatie die Microsoft over de infrastructuur van cybercriminelen verzamelt wordt in een blacklist geplaatst. Het is echter niet mogelijk om deze informatie met Mozilla of Google te delen, aldus Scarrow. "Als je niet het hele systeem in handen hebt, van het ontwerp tot het blokkeren, tot de feedback en het oplossen van de false positive, dan kan je aansprakelijk worden gehouden voor de manier waarop iemand het gebruikt, waar jij geen zicht op hebt." De Microsoft manager erkent dat ook met Smartscreen false positives voorkomen het belangrijk is om die snel op te lossen.
Firefox
Sinds enige tijd controleert Mozilla kwetsbare plugins in Firefox en waarschuwt het gebruikers. Daarbij richt de opensource ontwikkelaar zich meer op drive-by download aanvallen. Een andere opvatting dan Microsoft en Scarrow begrijpt waarom. "Hun databron kwam van een zoekmachine die zich druk maakt om drive-by aanvallen. Als je de zoekmachine bent en je bent niet de eigenaar van het platform waarop het wordt bekeken, dan zijn drive-by aanvallen belangrijk." Uiteindelijk zullen ook andere browsers het lek achter het toetsenbord aanpakken, merkt Scarrow op. "En vanuit een Windows standpunt gezien is dat fantastisch." Het gaat er namelijk om dat mensen op een veilige manier Windows kunnen gebruiken, ongeacht met welke browser ze surfen.
ActiveX
Toch kampt ook Internet Explorer met de nodige drive-by aanvallen, voornamelijk veroorzaakt via de ActiveX-technologie in de browser. "Ze pakken de populairste plugins." Om misbruik tegen te gaan is er in IE8 een maatregel ingevoerd die gebruikers waarschuwt als er een ActiveX control van een ander domein wordt geladen. In plaats van de URLs aan te pakken die ActiveX-lekken misbruiken, is het volgens Scarrow zinvoller om de kwetsbare controls te monitoren. "Ongeveer een dozijn ActiveX controls is voor 70% van de lekken verantwoordelijk." Aangezien Microsoft het platform beheerst kan dit. Google kan zich daarentegen alleen op URLs richten. Een lastige taak, gezien het aantal drive-by download URLs, zo merkt Scarrow op.
Het is volgens hem niet zo dat IE-gebruikers kwetsbaarder zijn voor social engineering aanvallen. "Het maakt niet uit of je Firefox of IE gebruikt. Mensen denken over het algemeen dat ze een betere bestuurder zijn en het gebeurt continu." En deel van de problematiek is dat de pers het niet interessant genoeg vindt. "Het is niet zo leuk om over te schrijven. Mensen willen liever inhakken op Adobe of Microsoft. Het is leuker om over te schrijven dan over het lek achter het toetsenbord."
Chung Hui en Jorrit C
Securetrust.ams.osd/Crew
http://www.antiphishing.org (Meld phishing hier)
Chung Hui en Jorrit C
Securetrust.ams.osd/Crew
http://www.antiphishing.org (Meld phishing hier)
Stoere taal en het klinkt leuk, maar encryptie heeft met dit verhaal niets te maken. Het artikel gaat over malware, browsers en infectietechnieken en heeft dus niets te maken met hoe informatie verzonden wordt.
Nog meer stoere taal. Heb je ook bewijs voor deze inkopper?
Hoe dan ook: Microsoft trapt een open deur in met deze onzin. Natuurlijk is de mens de zwakke schakel! Dat is toch altijd al zo geweest? Wanneer Microsoft eindelijk eens beseft dat mensen eenvoudigweg niets lezen (foutmeldingen, waarschuwingen e.d.) zijn we al een heel eind. Ze kunnen beter grote pictogrammen gaan gebruiken ofzo. Oh, en inderdaad natuurlijk hun software eens wat gaan verbeteren. Plugins zoals NoScript op Firefox is geweldig, en hoort wat mij betreft STANDAARD aan te staan in IE.
Plus daarbij: het gaat er niet om hoeveel aanvallen je stopt. Iedere aanval die je doorlaat betekent een besmetting.
In dit geval mag een systeem het geen enkele keer fout doen. Er is geen tweede plaats voor 'net niet'.
De oplossing van de problematiek ligt in het economisch onaantrekkelijk maken om malware te verspreiden.
Stoere taal...
Goed gezegd.
De gebruiker maakt inderdaad fouten, maar als je Windows installeert staat de update functie standaard ingesteld om de updates te downloaden en installeren. OM 3:00 UUR 'S NACHTS!! En als je dan niet online bent krijg je die stomme updates gewoon niet... Dat is standaard!
En als je dan instelt om de updates direct na het downloaden te installeren.
Dan krijg je de melding dat je de computer opnieuw moet opstarten en begint af te tellen. Als je op dat moment er even niet bent start je computer opnieuw op!! je werk is niet opgeslagen, je bent een spelletje aan het doen of zit op afstand aan een Linux server te werken (kan je weer overnieuw beginnen). Tenzij je een programma van MS gebruikt als Visual Studio! Dan krijg je de melding dat een programma het afsluiten blokkeert :D
Als Windows zo veilig is waarom hebben we dan al die updates, antivirus, en weet ik het allemaal niet nodig?
Als we goed met de computer kunnen omgaan hebben we dat dan helemaal niet nodig?! Kan ik gewoon doorwerken zonder reboots, virussen, blauweschermen, rootkits en weet ik het allemaal. Is Windows echt zo goed! Wouw, en ik maar denken dat de schuld bij MS lag... Ja natuurlijk, die FUD marketing werkt misschien voor de simpele burgers, maar ik heb genoeg meegemaakt om mijn eigen mening hierover te hebben.
"En deel van de problematiek is dat de pers het niet interessant genoeg vindt."
Ze willen er wel over schrijven, en hebben dat al tig keer gedaan. Maar als je iets negatiefs MS spreekt moet je je inhouden, wil je niet een horde advocaten op je stoel hebben.
Prettige week verder.
PS: Volgende week is het weer patch tuesday!
Dus alleen maar updates voor de mensen die volgens MS niet met een computer om kunnen gaan.
Mensen moeten een computer gewoon kunnen gebruiken. Niks geen administrator of bijzondere rechten. Alle services onder eigen accounts laten draaien. Als jullie zover zijn, Microsoft, dan zullen jullie zien dat het lek achter het toetsenbord aanmerkelijk minder wordt.
Het is in mijn ogen dan ook vreemd om je gebruikers de schuld te geven van een slecht beveiligd product.
We thought we had the answers, it was the questions we had wrong.
Ben ik het eindelijk eens een keertje eens met MS. MS doet al jaren z'n best om mensen te onderwijzen over gevaren op internet. En dat de mensen geen enkel gevaar lopen zolang ze maar MS producten blijven kopen. Kijk maar eens naar dat leuke spotje van IE8 met die gekke pakjes. Wat weer aangeeft hoe MS tegen z'n klanten aan kijkt.
Als gebruikers eens wat minder blind MS vertrouwen en nadenken wat ze van een computer verwachten, en daar hun eisen op aan passen, zou het al een stuk schelen.
Zonder lek in de software, kan de persoon niks verkeerds doen :)
Het bedrijf doet daar wel z'n best voor met allerlei hoogdravende technologien als ALSR, waarvan over de effectiviteit nogal getwijfeld wordt.
Een belangrijke verbetering zou zijn dat Windows niet alle code automatisch probeert uit te voeren. Maar zoiets eenvoudigs is voor de academische luitjes van Microsoft blijkbaar te lastig; Microsoft weet zelf nauwelijks hoe Autorun uitgeschakeld wordt.
Ook het gebruik van RPC en ActiveX dragen niet erg bij aan de veiligheid.
Dus waar autofabrikanten allerlei technieken ontwikkelen waardoor hun auto's de slechte bestuurders meer overlevingskansen bieden, komt Microsoft niet veel verder dan de schuld neerleggen bij die slechte bestuurders.
Daar komt nog bij dat al die verschillende auto's aan dezelfde NCAP-tests onderworpen worden, waardoor de beveiliging objectief gemeten wordt. Deze gegevens zijn gewoon openbaar voor iedereen, ze staan zelfs in tijdschriften.
Voor computergebruikers zal dit voorlopig wel een mooie droom blijven. En dit domme gebral van Microsoft zorgt alleen maar dat deze situatie nog langer zo blijft. Zo houdt men ook het waanidee in stand dat alle computersystemen netzo kwetsbaar zijn en netzo vatbaar voor malware.
Advies aan Microsoft: geen woorden maar daden. En als het verkleinen van het aanvalsoppervlak van computersystemen zo lastig is, kijk eens hoe de diverse *IX-en dat hebben opgelost.
De meeste gewone gebruikers onderschatten de risico's van hun surfgedrag en de wijze waarop ze met hun systeem omgaan. In mijn opinie zou jouw tekst moeten luiden:
Als gebruikers eens wat minder zich zelf overschatten en nadenken wat ze van een computer verwachten, en daar hun eisen op aan passen, zou het al een stuk schelen.
Dan krijg je de melding dat je de computer opnieuw moet opstarten en begint af te tellen.
Dus alleen maar updates voor de mensen die volgens MS niet met een computer om kunnen gaan.
Dus waar autofabrikanten allerlei technieken ontwikkelen waardoor hun auto's de slechte bestuurders meer overlevingskansen bieden, komt Microsoft niet veel verder dan de schuld neerleggen bij die slechte bestuurders.
Krom uitgewerkte vergelijking: een autofabrikant beschermt naar vermogen de bestuurder tegen zichzelf; dat neemt niet weg dat als de bestuurder tegen een boom wenst op te rijden de fabrikant daar niets aan kan doen. Zelfde geldt voor bestuurders die al dan niet bewust een ander persoon aanrijden, of een passagier in gevaar brengt, doodt of verwondt.
Microsoft's statement dat de gebruiker het grootste gevaar van een computersysteem is onderschrijf ik. Werken met root of admin accounts, spam openen en beantwoorden, leuke tooltjes downloaden, informatie geven aan obscure sites - geen enkele softwareboer kan daar iets aan veranderen.
Daar komt nog bij dat al die verschillende auto's aan dezelfde NCAP-tests onderworpen worden, waardoor de beveiliging objectief gemeten wordt. Deze gegevens zijn gewoon openbaar voor iedereen, ze staan zelfs in tijdschriften.
En in de digitale wereld (...) bestaat dat ook en heet het Common Criteria: http://en.wikipedia.org/wiki/Common_Criteria
Eerde is Google fanboy/girl... hij wil niet horen dat Google ook bezoekers met Linux wil monitoren.
Social engineering werkt vanwege (of mede dankzij) menselijke eigenschappen, het OS is compleet ondergeschikt.
Krom uitgewerkte vergelijking: een autofabrikant beschermt naar vermogen de bestuurder tegen zichzelf; dat neemt niet weg dat als de bestuurder tegen een boom wenst op te rijden de fabrikant daar niets aan kan doen. Zelfde geldt voor bestuurders die al dan niet bewust een ander persoon aanrijden, of een passagier in gevaar brengt, doodt of verwondt.
Het gaat er om dat de meeste slechte autobestuurders niet moedwillig ongelukken veroorzaken maar doordat ze zaken (w.o. hun eigen rijvaardigheid) verkeerd inschatten. In zo'n geval bieden 5 NCAP-sterren meer overlevingskansen dan 3 NCAP-sterren, zelfs voor verkeersdeelnemers buiten die auto.
De automobilist is met 5 sterren niet opeens onkwetsbaar maar wel minder kwetsbaar.
Zelfs met 10 NCAP-sterren is een auto niet onkwetsbaar maar wel nog minder kwetsbaar dan met 5 sterren.
Betere beveiliging maakt computers niet onkwetsbaar maar minder kwetsbaar.
In de 'discussies' hier lijkt het dat de meeste mensen dat verschil niet willen en/of kunnen begrijpen. Toch weet iedereen wel dat 100% veiligheid niet bestaat.
Ook computer-hardware en software kunnen meer of minder veiligheid bieden door de manier waarop ze is ontworpen, en de manier waarop ze is geimplementeerd.
Want de meeste computergebruikers maken hun eigen computers niet moedwillig 'ziek' of stuk.
Lees het stukje even... voordat je gaat blaten b.v. dit:
Wat moet ik met codecs ?
Of een virusscanner ??
En ik heb ook nix met paarden, Trojaans of anderszins !
Nee, en net zo goed rijden ze zelden met opzet tegen iets of iemand aan.
Probleem is dat de gebruiker een inschattingsfout maakt. Bij autorijden is het over het algemeen duidelijker dat bepaalde handelingen een slechte uitwerking hebben dan dat bij software het geval is.
Dit is inderdaad een buitengewoon slecht voorbeeld - of dat om schofferen gaat, wil ik daar buiten laten ;-)
Als aanvulling: Conficker stuurt aangepast RPC request naar de Server service, kort door de bocht de service waarmee onder andere netwerkshares worden aangeboden aan client computers. IE* of welke andere versie dan ook komt daar in het geheel niet aan te pas. De Server staat dan vervolgens code execution toe zonder dat je rechten hebt op de machine waar deze service draait.
Nee, door de Admin te beperken voorkom je dat de gebruiker zelf (al dan niet onbedoeld) voor monteur kan spelen.
Vergelijk sudo: alleen met expliciete toestemming mag je knutselen op niveau.
Nee, door de Admin te beperken voorkom je dat de gebruiker zelf (al dan niet onbedoeld) voor monteur kan spelen.
Vergelijk sudo: alleen met expliciete toestemming mag je knutselen op niveau.
Juist! Dus waarom dan maar admin zijn? Je draait de feiten om. De meeste tijd ben ik gewoon iemand die op een computer werkt en af en toe (met de nadruk op af en toe), moet ik wat onderhoud plegen. Dan trek ik m'n overall aan en ga klussen. Heb je van die halve gare MS klojo's die vinden dat ik toch maar niet alles moet kunnen; "weet u zeker dat u het portier open gaat doen?", "weet u zeker dat u de auto wil starten?", "oh, denk erom dat het gevaarlijk kan zijn om de motorkap te openen!"
MS wijst naar naar haar gebruikers maar zelf snappen ze er ook niets van. Overigens heb ik trouwens ook geen medelijden met dié gebruikers; gebruik je Windows? En het gaat mis? Eigen schuld!
En laten we blij zijn dat er bij M$ weer zon slimmerd (John Scarrow aka JScarrow) is aangenomen voor deze functie, houden wij teminste ons werk en kunnen we ongestoort elke dag 2 uur surfen naar de laatste beveiligingslekken :P
Misschien is dat Vista anders, maar bij XP wat nog ik nog vaak genoeg zie voorbij komen is dit harde werkelijkheid.
Chung Hui en Jorrit C
Securetrust.ams.osd/Crew
http://www.antiphishing.org (Meld phishing hier)
3 postings binnen een week, die allemaal zonder onderbouwing claimen dat MS fantastisch is? Het enige platform op dit moment dat last heeft van massale malware aanvallen is elke versie van MS Windows. Maar jij hebt nergens last van? Nooit iets langs zien komen? Ik krijg wekelijke mensen aan de lijn die het huilen dichterbij staat dan het lachen nadat ze weer eens gehacked zijn door de zoveelste driveby download, en ze gebruiken allemaal zonder uitzondering een versie van MS-Windows met IEx.
SOCKPUPPET ALERT.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
