70% infecties via drive-by downloads
De meeste infecties op het web vinden plaats via lekke software, iets waar zowel thuisgebruikers als websites voor verantwoordelijk zijn, dat zegt Wolfgang Kandek in een interview met Security.nl. Kandek is Chief Technical Officer van beveiligingsbedrijf Qualys. Wij vroegen hem naar de grootste risico's op het web, hoe consumenten veilige websites kunnen herkennen, of lekke websites verantwoordelijk voor infecties zijn en welke waarde website-zegels hebben.
Drive-by downloads zijn een groot probleem voor internetgebruikers. Kun je iets over het percentage infecties zeggen die door deze aanvallen worden veroorzaakt, in verhouding tot andere vectoren, zoals AutoRun, e-mailbijlagen en het downloaden van bestanden?
Kandek: We schatten dat ongeveer 70% van de aanvallen via deze vectoren plaatsvindt. Zeven jaar geleden waren botnet en netwerk-wormen de grootste boosdoeners, maar nu het besturingssysteem veiliger wordt, gaan aanvallers verder. De voornaamste vectoren zij nu websites die browser-lekken misbruiken, zoals Flash, PDF en sommige Office bestandsformaten zoals XLS en DOC. De volgende vector is social engineering, waar mensen worden verleid tot het uitvoeren van kwaadaardige code. Aanvallen via e-mailbijlagen en AutoRun zijn voor slechts een klein gedeelte verantwoordelijk.
Wat is de oplossing voor drive-by downloads: Verwachten dat consumenten hun software updaten, dat softwareontwikkelaars betere update-tools ontwikkelen of dat websites veiliger worden?
Kandek: Het beschermen van consumenten kun je het beste vanuit meerdere invalshoeken bekijken. Gebruikers moeten worden onderwezen om hun machines up-to-date te houden, en geen willekeurige programma's te downloaden en installeren. Websites moeten hun aanvalsvectoren beter in kaart brengen om ervoor te zorgen dat ze niet worden gehackt en ze moeten uit voorzorg hun websites op aanvallen monitoren. Iedereen moet een steentje bijdragen om de veiligheid te verbeteren.
Denk je dat gehackte websites verantwoordelijk zijn voor het besmetten van hun bezoekers?
Kandek: Wij vinden dat websites proactief actie moeten ondernemen om de kans op een infectie te voorkomen. Of ze nu wel of niet verantwoordelijk zijn voor het besmetten van hun bezoekers, het is slechte reclame voor de website en zorgt ervoor dat consumenten hun website niet bezoeken.
Qualys lanceerde onlangs een scan-oplossing voor websites, denk je dat meer wetgeving nodig is om de beveiliging van websites te regelen?
Kandek: We weten dat hackers altijd systemen zullen proberen aan te vallen, ongeacht welke security-tools beschikbaar zijn, en we weten dat hackers vaak samenwerken. Het is belangrijk voor leveranciers, de industrie, gemeenschappen en overheidsfunctionarissen om samen te werken en al het mogelijke te doen om aanvallen te voorkomen en cybercrime te bestrijden.
Is een automatische scan van een website wel betrouwbaar en veilig. Is het mogelijk om alles af te dekken?
Kandek: Het automatisch scannen is een betrouwbare en effectieve voorzorgsmaatregel om het risico op een aanval te verkleinen. Net zoals het op slot doen van je deur of het inschakelen van een inbraakalarm, het verkleint je risico. Het biedt extra veiligheid, maar kan niet absoluut garanderen dat een gemotiveerde aanvaller niet binnenkomt.
Gecontroleerde websites ontvangen een Go Secure zegel. Is zo'n zegel ook een garantie voor de eigenaar van de website en zijn bezoekers?
Kandek: Bezoekers kunnen aan de hand van een zegel zien dat de website een rigoureus, proactief beveiligingsprogramma volgt om de kans op aanvallen te verkleinen.
Wat denk je van de ControlScan fraude, een bedrijf dat ook beweerde websites te scannen, hier geld voor vroeg en zelfs uitgaf, maar uiteindelijk niet bleek te scannen?
Kandek: We hopen dat bedrijven van dit voorbeeld leren om naar bewezen oplossingen te zoeken die hen helpen met het nemen van maatregelen om het risico van infecties op hun website te verkleinen.
Hoe slaat Qualys de gegevens van gescande websites op? Waarom een website hacken als je één bedrijf kunt hacken om zo de lekken van tientallen websites te bemachtigen?
Kandek: Wij slaan al onze gegevens in ons beveiligde datacentrum op. Hier zijn de laatste beveiligingsmaatregelen en procedures aanwezig om ervoor te zorgen dat klantgegevens veilig en beschermd zijn. Daarnaast wordt alle informatie zowel tijdens transport als in ruste versleuteld en is het alleen toegankelijk voor gebruikers die met hun geldige en unieke inloggegevens inloggen.
Hoe blijf je up-to-date met de nieuwste aanvallen? Aanvallers ontwikkelen altijd nieuwe aanvallen, het is dus mogelijk dat aanvallers iets vinden waarop je eerst niet scande. Scan je dan al je klanten opnieuw of trek je hun zegels in?
Kandek: Onze technologie laat ons aanvallen detecteren voordat ze zelfs gevonden worden. Aangezien we niet van signatures afhankelijk zijn, kunnen we nieuwe, oude en onbekende aanvallen identificeren. Ons systeem is volledig op gedrag gebaseerd en op die manier kijken we naar slechte dingen die gebeuren, in plaats van een lijst met slechte dingen die al geïdentificeerd zijn. Aangezien we de mogelijkheid hebben om op dagelijkse basis sites te scannen, doen we dit ook en trekken we zegels in als blijkt dat we problemen vinden die websites niet oplossen.
2. Kijk eens hoeveel stiekume features Microsoft heeft ingebouwd in het windows OS, waarvan je "in den beginne" nooit het bestaan hebt afgeweten als consument, gemiddelde eindgebruiker. Ik bedoel hierbij dingen zoals COM, Active-X component-technologie, waarmee je binnen een IE browser sessie, direct toegang kon hebben naar de Windows Registry en de rest van je pc.
http://publiespe.espe.edu.ec/articulos/sistemas/activex/activex-3.gif
http://i.msdn.microsoft.com/ms809340.dcomtec17%28en-us,MSDN.10%29.gif
http://en.wikipedia.org/wiki/ActiveX
3. Of de gehele ondoorzichtige oerwoud aan Browser Helper Objects(BHO) binnen IE
http://www.15seconds.com/graphics/issue/040330_01.gif
http://en.sdjournal.org/magazines/2/7/art_5/ee40706fa2fff110e1bc6ba14848627e_oryg.jpg
4. Wat Windows betreft is het zo modulair opgebouwd dat je er letterlijk "de duivel en zijn ouwe moer" op aan kunt sluiten en in kunt pluggen, zodat dit iemand het merkt aan de oppervlakte van het OS.
5. Op andere OS platformen en browsertypes zie ik de de PLUGIN-architecture als oorzaak.
Er is voor alles bijna een browser-plugin verzonnen. Echter weet je - van te voren - totaal niet wat zo'n ding nog meer overhoop haalt in computer-systeem. Als je het mij vraagt, de ideale software-architecture voor backdoors en remote trojan installatie.
http://blogs.technet.com/blogfiles/askperf/WindowsLiveWriter/BrowserHelperObjects_5363/image_12.png
http://blogs.technet.com/mmpc/default.aspx[url/]Is allemaal waar wat Dev Null schrijft maar ik maak mij sterk te zeggen dat ik met IEplorer nog nooit last gehad heb wat niet wil zeggen dat het de sterkste browser uit browserland is.Mijn surfgedrag is dan ook voorbeeldig.
maar ik wil niet gaan bashen naar MS toe xD
2. Kijk eens hoeveel stiekume features Microsoft heeft ingebouwd in het windows OS, waarvan je "in den beginne" nooit het bestaan hebt afgeweten als consument, gemiddelde eindgebruiker. Ik bedoel hierbij dingen zoals COM, Active-X component-technologie, waarmee je binnen een IE browser sessie, direct toegang kon hebben naar de Windows Registry en de rest van je pc.
http://publiespe.espe.edu.ec/articulos/sistemas/activex/activex-3.gif
http://i.msdn.microsoft.com/ms809340.dcomtec17%28en-us,MSDN.10%29.gif
http://en.wikipedia.org/wiki/ActiveX
3. Of de gehele ondoorzichtige oerwoud aan Browser Helper Objects(BHO) binnen IE
http://www.15seconds.com/graphics/issue/040330_01.gif
http://en.sdjournal.org/magazines/2/7/art_5/ee40706fa2fff110e1bc6ba14848627e_oryg.jpg
4. Wat Windows betreft is het zo modulair opgebouwd dat je er letterlijk "de duivel en zijn ouwe moer" op aan kunt sluiten en in kunt pluggen, zodat dit iemand het merkt aan de oppervlakte van het OS.
5. Op andere OS platformen en browsertypes zie ik de de PLUGIN-architecture als oorzaak.
Er is voor alles bijna een browser-plugin verzonnen. Echter weet je - van te voren - totaal niet wat zo'n ding nog meer overhoop haalt in computer-systeem. Als je het mij vraagt, de ideale software-architecture voor backdoors en remote trojan installatie.
http://blogs.technet.com/blogfiles/askperf/WindowsLiveWriter/BrowserHelperObjects_5363/image_12.png
Je voorbeelden zijn een copy-paste-job uit een lang vervlogen tijd. IE is op Vista/W7 helemaal niet zo onveilig zoals je beweerd. Tenzij je me dit eens uit de doeken doet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
