Nieuws
image

AIVD waarschuwt voor onveilige USB-sticks

woensdag 2 december 2009, 19:57 door Redactie, 20 reacties

De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) waarschuwt burgers en bedrijven voor het gevaar van onveilige USB-sticks, met name Windows systemen met de ‘autorun’ en ‘autoplay’ functie lopen risico. De waarschuwing komt na een onderzoek van het Nationaal Bureau voor Verbindingsbeveiliging (NBV), wat onderdeel van de AIVD is. Hoewel het onderzoek en rapport primair voor netwerkbeheerders van rijksoverheidsorganisaties was bedoeld, werd gezien het belang van de materie besloten het rapport voor een bredere doelgroep ter beschikking te stellen, aangezien USB-sticks een populair medium voor cybercriminelen zijn.

Volgens de onderzoekers zijn bedrijfssystemen met behulp van onveilige USB-sticks eenvoudig te besmetten en kunnen gegevens vervolgens worden gestolen. Daarbij wijst men onder andere naar de actie van NOVA om geprepareerde USB-sticks bij organisaties achter te laten, waarvan uiteindelijk 20 sticks in een computer werden gestoken.

U3-USB-sticks
"De zogenaamde U3-USB-sticks leveren de grootste risico’s op. Een U3-stick doet zich voor als een combinatie van een cd-rom en een USB-stick. Op de cd-rom staat een ‘autorun.inf’ bestand waarmee automatisch de U3-menu’s worden gestart (de ‘launchpad’) waar vandaan weer nieuwe programma’s kunnen starten. Een gebruiker hoe een USB-stick alleen maar in de computer te stoppen en de schadelijke software wordt automatisch opgestart. Er is geen speciale handeling van de gebruiker nodig, zoals het openen van bestanden. De geprepareerde USB-sticks van de NOVA-documentaire waren van het U3-type. Een aanval met dit type USB-stick is eenvoudig omdat alleen de ‘launchpad’ door schadelijke software hoeft te worden vervangen", laat het rapport weten.

Toch is het uitschakelen van AutoRun en het vermijden van U3-USB-sticks niet voldoende. "De aanvaller kan een gebruiker proberen te verleiden om een schadelijk programma te starten door een bekend klinkende of aantrekkelijke naamgeving zoals ‘salarisadministratie.xls’ of ‘leuk-computerspel.exe’. De aanvaller maakt dan gebruik van ‘social engineering’ en speelt in op de nieuwsgierigheid van de gebruiker." Aanvallers zouden bijvoorbeeld het icoon en de naam van de USB-stick kunnen wijzigen, dit laten starten via het AutoPlay menu of via de rechtermuisklik in het context menu.

Laat
Het rapport van de AIVD komt wat aan de late kant. Al sinds 2004 wordt de functionaliteit door malware gebruikt en vorig jaar verbood het Amerikaanse leger het gebruik van USB-sticks. Inmiddels heeft Microsoft zelfs AutoRun in Windows 7 uitgeschakeld en deze beveiligingsmaatregel ook voor Windows XP en Vista doorgevoerd. De inlichtingendienst erkent dit ook wel. "Dit onderwerp is ook aan de orde gekomen in het GOVCERT rapport: Beveiliging van mobiele apparatuur en datadragers dat in 2006 is gepubliceerd." Dit rapport zou echter op de gedane aanbevelingen aansluiten en ze in meer details uitwerken.

De tips gaan in dit geval over hoe systeembeheerders de functionaliteit via Group Policies of een registersleutel kunnen uitschakelen. Ook worden er verschillende "test scenario's" gegeven om te testen of de computers wel goed beveiligd zijn. Verder worden er tien standaardbeveiligingsmaatregelen genoemd:

  1. Stel een duidelijk informatiebeveiligings beleid op en kweek bewustzijn binnen de organisatie.
  2. Installeer een goede virusscanner en houd deze ‘up-to-date’.
  3. Zorg voor een goed werkend patchingmechanisme en zorg voor een veilige instelling van alle systemen.
  4. Test of de systemen kwetsbaar zijn voor vijandige USB-sticks.
  5. Schakel de ‘autorun’ en ‘autoplay’ opties van Windows uit en test dit op alle typen systemen.
  6. Maak gebruik van systemen voor ‘End Point Security en/of ‘Host-based Intrusion Prevention Systems’.
  7. Maak gebruik van versleutelde USB-sticks en zorg dat de aanwezige computers géén andere USB-sticks accepteren.
  8. Zet de USB- (en eventueel CD/DVD-) functionaliteit volledig uit.
  9. Schakel de mogelijkheid uit om systemen op te starten vanaf een USB-stick of CD/DVD.
  10. Overweeg om systemen voor ‘Data Loss Prevention’ toe te passen.
Reacties (20)
02-12-2009, 20:57 door MrBil
Wat is onze AIVD toch weer zo lekker op tijd! Ga zo door.
02-12-2009, 21:25 door Anoniem
Konden ze niet even een andere kleur gebruiken dan dat lichte blauw en witte letters ?!
02-12-2009, 21:46 door Anoniem
Ja ze lopen weer flink voorop in de techniek :P
02-12-2009, 22:54 door Preddie
Prins Claus is trouwens ook overleden .....
03-12-2009, 00:08 door Spiff has left the building
Door Redactie: Inmiddels heeft Microsoft zelfs AutoRun in Windows 7 uitgeschakeld en deze beveiligingsmaatregel ook voor Windows XP en Vista doorgevoerd.
Hoe is dat doorgevoerd voor XP en Vista?
Inmiddels via Windows Update??

Dat zou mooi zijn, maar voor zover ik weet wordt die mogelijkheid om autorun te beperken in XP en Vista tot nu toe alleen aangeboden via een niet automatische update-optie, en niet via de de automatische Windows Update.
Maar ik kan me vergissen. Dat hoop ik eigenlijk.

De betreffende update wordt beschreven en aangeboden via:
http://support.microsoft.com/kb/971029
"Update to the AutoPlay functionality in Windows"

Met slechts het aanbieden via die bovengenoemde mogelijkheid, en niet via automatische update, zullen waarschijnlijk niet de gebruikers bereikt worden die die update juist het hardst nodig hebben.

Zie ook:
http://www.security.nl/artikel/30889/1/Microsoft_wijzigt_AutoRun_in_Windows_XP_en_Vista.html
en
http://www.security.nl/artikel/30978/1/AutoRun-aanpassing_via_Windows_Update%3F.html
03-12-2009, 07:31 door Syzygy
Ze zijn zeker overgestapt op Windows 98 Second Edition dat ze hier zo tegenaan lopen !!
03-12-2009, 09:08 door Preddie
Door Syzygy: Ze zijn zeker overgestapt op Windows 98 Second Edition dat ze hier zo tegenaan lopen !!

Ze zijn er achter gekomen dat sommige applicaties van tegenwoordig niet ondersteunt worden in Windows 3.11 dus ze hadden ze geen keus :P
03-12-2009, 09:37 door _Peterr
AIVD??? Ik dacht dat die iets deden aan de Binnenlandse Veiligheid. Zijn dit soort meldingen niet is voor een andere organisatie?
03-12-2009, 09:44 door Anoniem
Door _Peterr: AIVD??? Ik dacht dat die iets deden aan de Binnenlandse Veiligheid. Zijn dit soort meldingen niet is voor een andere organisatie?

Ze willen het klootjesvolk het idee geven dat ze ook nog wat anders doen dan burgers aftappen..
03-12-2009, 10:12 door Skizmo
AIVD??? Ik dacht dat die iets deden aan de Binnenlandse Veiligheid. Zijn dit soort meldingen niet is voor een andere organisatie?
Dit was dus ook mijn gedachte... iets van 'schoenmaker, blijf bij je leest'. Maarja.. na alle negatieve publiciteit over zichzelf proberen ze nu waarschijnlijk over te komen als een organisatie die daadwerkelijk wat goeds doet.
03-12-2009, 10:20 door Syzygy
Het lijkt me wel leuk om eens een scan te draaien op hun Public Addressen (via het netwerk van de buren natuurlijk ) en dan kijken hoe lang het duurt eer dat ze voor de deur staan ;-)
Misschien wel leuk voor de Kerst , dat vieren de buren toch niet hahaha
03-12-2009, 10:43 door Anoniem
Door Spiff: Met slechts het aanbieden via die bovengenoemde mogelijkheid, en niet via automatische update, zullen waarschijnlijk niet de gebruikers bereikt worden die die update juist het hardst nodig hebben.
Ik kan mij vaag herinneren dat na een Windows update deze autorun "uit" was en na de volgende update was die weer "aan". Hier was ik nogal verbaast over.
Als je even denkt "nu is het veiliger", dan wordt bij de volgende patch een lek gedicht en een ander risico weer opengezet.

Dat wat atm wel beter werkt, is de tijd van de updates. Die worden hier tenminste bijna altijd op dezelfde dag getoond voor de pc's. Er waren ook tijden dat het at random gebeurde en pc's pas 3 dagen later meldden dat er updates beschikbaar zijn.
03-12-2009, 12:09 door Anoniem
Door MrBil: Wat is onze AIVD toch weer zo lekker op tijd! Ga zo door.

En dan hebben we het nog niet over alle USB-sticks die overheidspersoneel heeft verloren...
03-12-2009, 12:23 door Preddie
Door Syzygy: Het lijkt me wel leuk om eens een scan te draaien op hun Public Addressen (via het netwerk van de buren natuurlijk ) en dan kijken hoe lang het duurt eer dat ze voor de deur staan ;-)
Misschien wel leuk voor de Kerst , dat vieren de buren toch niet hahaha



veel medewerkers daar zijn niet veel slimmer dan de normale burger, via hun heb jij je beoogte informatie zo bemachtigd ....
03-12-2009, 12:45 door Anoniem
Ik heb begrepen dat die "autorun" functie een malware was ?
03-12-2009, 15:40 door Anoniem
Heb hier onlangs een interessant artikel over gelezen, zie: http://www.bitsecura.com/AG31-p12-13.pdf
03-12-2009, 18:23 door spatieman
/sarcasme aan
volgens de AIVD is de volgende link 100% veilig om te bezoeken.
http://iamahaxorandiwilpownyourmachine.nl/index/iamnotatrojanvirusandiamnotakeylogger.index.php.exe
04-12-2009, 01:37 door Anoniem
Door Predjuh:
Door Syzygy: Het lijkt me wel leuk om eens een scan te draaien op hun Public Addressen (via het netwerk van de buren natuurlijk ) en dan kijken hoe lang het duurt eer dat ze voor de deur staan ;-)
Misschien wel leuk voor de Kerst , dat vieren de buren toch niet hahaha

veel medewerkers daar zijn niet veel slimmer dan de normale burger, via hun heb jij je beoogte informatie zo bemachtigd ....

Doe op donderdag 24 december om 1900 uur een (on)doordachte simpele korte zoekopdracht met Google, en 3 op de 10 servers binnen hun domein vallen spontaan uit! Herhaal dat dan nog eens, en van de over gebleven servers vallen er nog eens 2 op de 5 uit. De rest valt dan weer vanzelf om als kettingreactie daarop. Met een beetje mazzel komt er iemand dan maandag 28 december om 1100 uur achter... ;-)
04-12-2009, 11:07 door Anoniem
Het lijkt inderdaad een beetje water na de wijn, dit is natuurlijk al lang bekend bij de gevorderde gebruiker. Maar je moet je ook bedenken dat zo'n rapport als dit een andere doelgroep heeft. Veel bedrijven en overheden zijn niet actief bezig met dit soort risico's. Er wordt ook gerefereerd aan een aantal niet nader genoemde incidenten. Een beetje fantasie is genoeg om er iets bij te verzinnen. Stuur bijvoorbeeld onder een fake naam een usb stick met promotiemateriaal naar een willekeur bedrijf. Grote kans dat iemand daar de stick in zijn pc zal steken.. al was het alleen maar omdat het een gratis usb stick is. Mooi meegenomen toch? Niet dus als die stick een trojan installeert die vervolgens jaren lang bedrijfsdocumenten naar buiten stuurt...
04-12-2009, 22:23 door cryptomannetje
Door _Peterr: AIVD??? Ik dacht dat die iets deden aan de Binnenlandse Veiligheid. Zijn dit soort meldingen niet is voor een andere organisatie?

Alleen maar binnenlandse veiligheid?? Kijk eens op hun website, daar zie je dat ze nog veel meer doen dan BVD. Oh ja, dat was hun oude naam. Ze heten nu AIVD dat staat voor Algemene Inlichtingen en VeiligheidsDienst. Volgens mij hebben ze ook iets gedaan met de OV-chipkaart en stemcomputers of zo. Op pagina 1 van het rapport staat trouwens dat het NBV onderdeel is van de AIVD....lezen is ook een vak.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure