Wat een afgang...

" "Er zijn drie mogelijkheden. De eerste is via een e-mail bijlage, de tweede door ons eigen personeel via het gebruik van een USB-stick, terwijl de derde via een externe leverancier is. We hebben sabotage uitgesloten", laat de woordvoerder verder weten. "

Da's erg knap indien je de oorzaak niet weet. Eigenlijk zegt de woordvoerder dat men drie plausibele redenen heeft verzonnen waardoor het incident veroorzaakt zou kunnen zijn. Om een simpel voorbeeld te noemen; een geinfecteerde laptop wordt als oorzaak al uitgesloten, alsook besmetting via het netwerk indien er ergens router of firewall access-lists traffic doorlaat t.g.v. slecht geconfigureerde access-rules.

Er hoeven maar een of twee kwetsbare systemen via internet bereikbaar te zijn, en die kunnen vervolgens zorgen voor interne besmettingen.

Waarom hebben ze die dan ?? Laat ze lekker uit staan, zou ik zeggen !!

Stelletje amateurs. Conficker verspreidt zich niet via e-mail.
2 uur om er achter te komen dat er een virus op je netwerk huishoudt?!? Daar ben je binnen een paar minuten achter..

Waar lees je dat Conficker zich via e-mail verspreidt?

Hmm, blijkbaar liepen ze meer dan een jaar achter met patchen. Onder het motto, "niet nodig, want we zijn een eiland"?

Het is duidelijk dat jullie geen kaas hebben gegeten van Systeembeheer. Soms kun je niet patchen omdat de software van de labappatuur niet meer correct werkt. Soms is er geen software update voor een nieuwe versie van Windows omdat het bedrijf die het maakte niet meer bestaat. Let wel.... het gaat vaak om apparatuur van tonnen, dus die kan je weggooien als je niet kan patchen. Dus wordt er niet gepatch. Het is de praktijk, niet dat mensen de zaken niet op order hebben. Maar een grote bek van stelletje amateurs en weer niet gepatch slaat nergens op. Je heb geen idee hoe het werkt bij zulke instellingen !

Beter lezen..

Ik hoop dat ik voorlopig niet in uw instelling kom te liggen.

Ik weet heel goed hoe het werkt bij zulke instellingen. Neemt niet weg dat het een stelletje amateurs zijn. Patchen is maar een deel van het geheel. Je kunt ook heel goed zonder patchen dit soort rommel buiten de deur houden. Maar ja, dan moet je wel weten waar je mee bezig bent. Een dertien-in-een-dozijn-MCSE'r weet dat meestal niet.

Stelletje amateurs daar, je moet altijd zorgen dat je machines de laatste security patches draait, want ja anders kan je dit soort dingen verwachten

Nee, maar dat zeggen zeggen ze ook niet, bedoeld wordt hier hoe hij binnenkwam (denk bijv. aan Cristmas-Card.jpg.scr met daarin Conficker).

Daarna kent Conficker 3 verschillende manieren om te verspreiden binnen een netwerk (bron: http://www.iss.net/threats/conficker.html):

1) Windows Server Service Vulnerability (MS08-067): da's inderdaad een kwestie van patchen.

2) Via netwerk shares met zwakke wachtwoorden: Conficker kopieert zich naar \\(target machine)\ADMIN$\System32\%random%.%random% en scheduled daarna een job op die machine om de malware te starten. Zwakke wachtwoorden zijn onverstandig, maar de wereld barst ervan.

3) Via shared netwerk drives en USB-sticks: een geïnfecteerde PC met schrijfrechten in de root van een netwerkdrive zal daarin een Autorun.inf aanmaken die verwijst naar een RECYCLER map waarin Conficker een kopie van zichzelf gedropped heeft. By default zijn de registrysettings zodanig dat Explorer (Verkenner) nooit een Autorun.inf op een netwerkshare zou moeten uitvoeren, maar door een bug gebeurde dit wel. Onder meer door mijn aandringen (zie http://www.security.nl/artikel/26322/1/Microsoft_schuldig_aan_verspreiden_wormen_via_XP_netwerkshares.html) heeft Microsoft de patch voor dit probleem in XP alsnog via automatische updates verspreid sinds 24 feb 2009 (zie http://www.microsoft.com/technet/security/advisory/967940.mspx). Maar dan moet je die automatische updates wel toelaten natuurlijk.

Tenzij iedereen een geïnfecteerde USB stick in z'n kerstpakket gekregen heeft lijkt de kans me klein dat je met zo'n ding in korte tijd 3000 computers infecteert (zo'n memorystick lijkt me geen snel propagatiemedium).

Eens voor wat betreft die lab-PC's. Maar die zou je volgens best practices in een zoveel mogelijk gescheiden segment van je netwerk moeten opnemen, en bovendien zijn dat er vast geen 3000. Dat aantal duidt op een flink aantal KA-PC's - waar kennelijk ook geen antivirus op draaide.

Niet alleen bij dergelijke instanties klopt het patch beleid niet en de Security eromheen ook niet.

Als Consultant ben ik enkele jaren geleden bij een van Nederlands meest vooraanstaande ICT club uit Utrecht geroepen omdat ze daar een Malwarevirus hadden, die de avond van te voren Globaal ontdekt was. Er was nog geen patch voor dus moest de boel handmatig ge-cleaned worden Ik ben er naar toe gegaan en werd ontvangen door de "Microsoft Specialist" ( een begrip dat 20 minuten later dus TOTAAL GEEN BETEKENIS bleek te hebben want de manier waarop de het Systeem en de Security was opgezet was zo beroerd dat de naam van het bedrijf me nu nog koude rillingen bezorgd) Na 20 minuten was de boel weer schoon en na het geven van enkele adviezen heb ik voor de opdrachtgever een rapport opgemaakt.

In deze periode heb ik nog een paar andere vooraanstaande bedrijven in de ICT mogen bezoeken waarbij ik dingen heb meegemaakt dat ik denk HOE KAN DAT BIJ DIT BEDRIJF.

Dus denk nou niet dat het bij de "grote namen" zoveel beter is.

Nog maar weer een keer quoten dan..



Precies, en e-mail zit daar niet tussen. Het is dus onwaarschijnlijk dat conficker via e-mail is binnengekomen.

Het zal je verbazen hoe snel zoiets kan gaan. Bedenk dat als 1 PC 10 anderen infecteert, die 10 infecteren er elk weer 10, dan zit je al aan 100. Die 100 infecteren elk weer 10, dan zitten we al snel op 1111 (1+10+100+1000). Die elk weer 10, etc.

Een beter argument voor Open Source Software (OSS) heb ik zelden gehoord. Met (FL)OSS hou je altijd controle over je software ook al gaat de leverancier failliet. Dan kun je nog altijd met je source code naar een andere code bakker gaan om hulp. Een voorbeeld uit de zorg -> http://noiv.nl/node/66058.

Alleen jammer dat die hardware ook niet Open Source is. Je denkt toch niet dat een dergelijke leverancier met specificaties over de brug komt? Zonder die specificaties doe je met Open Source bar weinig.