Bij het uitvoeren van een niet-gesigneerd bestand krijg je tegenwoordig toch eerst een popup of je het echt wel wilt starten?

"Hij merkt op dat het gebruikte bestand erg klein is, slechts 8KB"

Want als 'ie groter zou zijn geweest was er geen probleem?

"Daarnaast is het niet versleuteld"

Wat valt er te versleutelen dan?

"niet ingepakt"

Ik zie niet in welke waarde een executable packer hier zou hebben.

"en buiten alles niet-ondertekend"

Niet meer dan een extra'tje. Bovendien kun je de waarde van een signature in twijfel trekken op een systeem dat compromised zou zijn.

"Het enige dat het doet is het openen van een waarschuwingspagina."

En dat is dan ook het enige zinnige dat Dhr. Zwienenberg te melden heeft, wmb. Het ding doet wat het moet doen.

"Wat voorkomt dat mensen de URL aanpassen en naar een kwaadaardige pagina laten wijzen en het uitvoerbare bestand verspreiden?"

Wat voorkomt dat iemand in vier regels zelf een programma schrijft dat exact dezelfde functionaliteit heeft?

Ja, maar aangezien het bestand met behulp van het botnet werd verspreid en met de botnet-trojan werd uitgevoerd (ipv. vanuit explorer gestart) heb je daar uiteraard geen last van. Bovendien is die hele feature misschien wel disabled door de trojan..

Huh? Dus ik wordt alleen lastiggevallen met die popup als ik zelf iets start vanuit explorer, en dus niet als er een ander stukje software (malware?) op mijn PC een programma start ?!?

Het zijn ook zulku arogante k...z...
Onderstaand een kleine mailwisseling met GovCert -het orgaan van de overheid- dat deze praktijken moet volgen en aanpakken. Terwijl ze dus al konden weten dat er een discussie op komst was, proberen ze je nog met een kluitje in het riet te sturen.

Mails in omgekeerder volgorde:
+++++++++++++++++++++++
Ik blijf het hardgrondig met U oneens. Het openen van een webbrowserpagina met een melding die de strekking van uw mededeling heeft is nou net een veelgebruikte techniek van deze cyberciminelen.

Ik weet dat er een producent van computerbeveiligingsprogrammatuur is geweest die laatst iets dergelijks heeft gedaan. Die heeft van een aantal conculegabedrijven de wind van voren gekregen. Ik dacht dat dit de producent van ZoneAlarm was.

Regulier is dat waarschuwingen en oplossingen zo snel mogelijk in de belangrijke antivirusprogramma's worden opgenomen en dat deze door de gebruiker geïnstalleerde en vertrouwde programma;s één en ander afhandelen op de computer van deze gebruikers.

Met vriendelijke groet,
Eric-Jan H.
----- Original Message -----
From: GOVCERT.NL
To: Eric-Jan H
Sent: Tuesday, October 26, 2010 10:50 AM
Subject: Re: Botnet


Geachte meneer H,

Dank voor uw reactie. De methoden die de afgelopen tijd zijn toegepast blijken niet altijd even effectief te zijn. Dit is een nieuwe aanpak waarvan wij constant zullen evalueren wat de haken en ogen zijn. Het door u genoemde risico is inderdaad aanwezig. Wat wij daar wel aan willen toevoegen is dat het geen pop-up betreft, maar dat de webbrowser wordt geopend met de betreffende pagina.

Mvg,

Waarschuwingsdienst.nl

www.waarschuwingsdienst.nl

Waarschuwingsdienst.nl is een bron van informatie over veilig internetten en geeft voorlichting en adviezen over computerbeveiliging. Daarnaast waarschuwt deze dienst tegen computervirussen, wormen en beveiligingslekken in software. Dit is een gratis dienst van de Nederlandse overheid.

On 25-10-2010 22:31, Eric-Jan H wrote:
Ik zag op televisie dat het opgespoorde botnet zelf wordt gebruikt om eigenaren te waarschuwen over het feit dat hun PC besmet is.

DIT IS ZEER ONVERSTANDIG.

Jarenlang is het credo dat men op dit soort popups niet moet ingaan net zo min als op via E-mail vespreidde virus-hoaxes, omdat
dit nou net één van de middelen is die verspreiders van malware gebruiken: "Argeloze gebruikers verleiden om op dit soort berichten
te klikken en daarmee juist de troep binnen te halen."

Het is slechts een kwestie van tijd dat deze criminelen een lookalike van uw boodschap gaan gebruiken om hun giftige ladingen te bezorgen.
I
k vind dit erg onnadenkend en in tegenspraak met de goede afspraken die hier wereledwijd voor gelden.

Met vriendelijke groeten,
Eric-Jan H

En omdat hij zo leuk is ook nog een mailwisseling met Fox-IT, die snel in de gaten kreeg dat er stront aan de knikker is.
De oorspronkelijke beantwoorder zal wel op zijn lazer gekregen hebben en is daarna snel door een andere vervangen. Waarschijnlijk één van het formaat bedrijfsjurist gezien de titel (Mr.).

Mijn eerste mail ontbreekt (niet teruggemeld contact formulier; lekker degelijk). Namen onherkenbaar gemaakt.
Emails in omgekeerde volgorde
+++++++++++++++++++++++++++++++++++++++++++++++
----- Original Message -----
From: J J O (Fox-IT)
To: Eric-Jan H
Sent: Tuesday, October 26, 2010 5:16 PM
Subject: RE: botnets

Geachte heer H,

Het persvoorlichtingsbureau van het Landelijk Parket van de het Openbaar Ministerie lijkt mij de meest aangewezen instelling om aan te schrijven. Zoals u onder andere in de uitzending van Nieuwsuur van afgelopen maandag heeft kunnen zien gaf dhr. van Zwieten namens het OM toelichting over de actie.

Fox-IT heeft technische ondersteuning aan de operatie gegeven. Hier wil ik onze correspondentie graag bij laten.

Vriendelijke groeten,

J-J O


----- Original Message -----
From: Eric-Jan H
To: J J O
Sent: Tuesday, October 26, 2010 4:59 PM
Subject: Re: botnets


Geachte heer O,

Bedankt voor uw beantwoording en duidelijke stellingname.

Ik ga die discussie graag aan met het OM. Heeft U misschien een ingang hiervoor bij het OM.
De enige ingang die ik heb kunnen vinden is via Postbus 51. En vanuit dat kanaal verwacht ik
niet meer dan algemeenheden. Overigens heb ik daar al een vraag gesteld en nog geen antwoord
nog bevestiging van ontvangst ontvangen.

Misschien dat U mij nog wel kunt informeren of uw bedrijf de technische uitvoering van deze
operatie voor zijn rekening heeft genomen en of dat in opdracht en onder verantwoordelijkheid
van het OM is gebeurt.

Met de meeste Hoogachting,
Eric-Jan H.


----- Original Message -----
From: J J O (Fox-IT)
To: Eric-Jan.H
Sent: Tuesday, October 26, 2010 3:48 PM
Subject: RE: botnets

Beste meneer H,

Fox-IT handelde in samenwerking en samenspraak met Leaseweb, GOVCERT.nl en het Openbaar Ministerie. Voor vragen over de legitimiteit van deze actie kunt u zich eventueel wenden tot het Openbaar Ministerie.

Wij gaan deze discussie niet verder met u aan.

Vriendelijke groeten,

J J O
---

Mr. J.J. O.

Fox-IT Experts in IT Security!
Olof Palmestraat 6
P.O. Box 638
2600 AP DELFT
I www.fox-it.com
KvK Haaglanden 27301624


----- Original Message -----
From: Eric-Jan H
To: R P (Fox-IT)
Cc: GOVCERT.NL
Sent: Tuesday, October 26, 2010 2:29 PM
Subject: Re: botnets


Hartelijk dank voor uw snelle reactie. Het zal u niet verbazen dat ik het hartgrondig met U oneens blijf.

Ik wijs U erop dat het ongevraagd ingrijpen op andermans computers risiko's met zich meebrengt en in de aard van de handeling juridisch bedenkelijk zo niet strafbaar is. Het "repareren" kan gruwelijk fout gaan en de gebruiker heeft dan geen toestemming verleend voor dit ingrijpen. Hierdoor loopt U het risiko van niet misselijke schadeclaims die uw bedrijf waarschijnlijk niet zouden overleven. Het achteraf hiervoor waarschuwen maakt dit alles niet ongedaan.

U stelt dat er geen software is verspreid. Hoe heeft U dan de bot uitgeschakeld? Dit is geen vrijblijvende vraag. Ik heb hierover namelijk nog aanvullende vragen die het beschermingsniveau van de meeste computers op deze wereld betreffen. Ik verzoek U daarom met klem deze vraag te beantwoorden.

Los hiervan is het zelfs de vraag of het spontaan laten tonen van een browservenster niet al tot software gerekend kan worden. Ik ben van mening van wel. Of bent U bijvoorbeeld van mening dat alle op interpreters gebaseerde computertalen en scripters geen software zijn. Een browser kan zonder veel moeite onder een scripter geschaard worden, dunkt mij.

Ik hoop dat U deze professionele discussie met mij niet uit de weg wilt gaan, daar die nu nog in de beslotenheid van deze E-mailwisseling kan gebeuren. De verdedigende sfeer die uw antwoord en die van GovCert uitademen spreekt mij namelijk helemaal niet aan. Hierdoor zou ik geneigd kunnen zijn de discussie in het openbaar voort te zetten.

Met vriendelijke groet,
Eric-Jan H

PS. De toon van mijn antwoord kan door U misschien verkeerd begrepen worden. Ik wil graag een inhoudelijke discussie, maar ben helaas te vaak geconfronteerd geweest met instanties die na een eerste reactie niets meer van zich laten horen. Dus zie het als een aansporing om de discusiie voort te zetten.


----- Original Message -----
From: R P (Fox-IT)
To: Eric-Jan.H
Sent: Tuesday, October 26, 2010 8:12 AM
Subject: botnets

Goedemorgen,

Ik heb uw berichtje doorgestuurd gekregen. Ik snap u redenering en ben het er mee eens dat je met de waarschuwingstactiek voorzichtig moet omgaan. Er is ook een afweging gemaakt wat de voor- en nadelen zijn. We hebben toch besloten het te doen omdat we de bots op de computers van de slachtoffers hebben uitgeschakeld. Om zoiets te doen en de eigenaar van die computer dat niet te vertellen is ook niet zo netjes. Wij hebben geen software verspreid of gevraagd of mensen software willen downloaden.

Toch bedankt voor uw standpunt,

Met vriendelijke groet,

Ter afsluiting. Eén en ander zal nu wel zijn eigen dynamiek krijgen. Zag dat Het Parool er al over berichtte.

Mijn laatste mail aan de betrokken partijen. Ik houd er nu eenmaal van met open vizier te strijden.

++++++++++++++++++++++++++++
----- Original Message -----
From: Eric-Jan H
To: J J O ; R P (Fox-IT) ; GOVCERT.NL
Sent: Thursday, October 28, 2010 5:16 PM
Subject: Botnet


Daar de discussie inmiddels de media heeft bereikt heb ik er voor gekozen mijn "discussie" met
U allen aan het internet toe te vertrouwen. In eerste instantie heb ik voor "Security.nl" gekozen,
maar andere media zijn niet uitgesloten.

Ik ben zeer teleurgesteld in uw aller afhoudende opstelling, maar acht het niet meer dan fatsoenlijk
U van mijn handelen op de hoogte te houden.

Hoogachtend,
Eric-Jan H.