"Linux oplossing voor vreemde USB-sticks"
Werknemers die gevonden USB-sticks of cd's in de bedrijfscomputer stoppen zijn geen idioten, ze moeten gewoon Linux gebruiken, aldus Michael Horowitz. Hij verwijst naar een artikel van Bloomberg, over een test van het Amerikaanse ministerie van Homeland Security. Bij verschillende instanties werden bewust USB-sticks en cd's verspreid, die door het personeel massaal in kantoorcomputers werden gestopt. "De mensheid kent geen apparaat dat voorkomt dat mensen zich als idioot gedragen", zo liet Mark Rasch van Computer Sciences Corp weten.
Volgens Horowitz zijn deze mensen geen idioot. "Ik zie het als een falen van de automatiseringsafdeling om de werknemers voor te lichten over hoe gevaarlijk dit is." Daarnaast zouden Windows computer wel degelijk tegen dit soort aanvallen zijn te beschermen. "Bankiers geven computernerds niet de schuld als de leningen niet worden afbetaald, maar techies geven burgers wel de schuld als de dingen waarvoor zij verantwoordelijk zijn mislukken."
Linux
Verdachte USB-sticks en andere hardware moet niet in een virtual machine (VM) worden geopend, zoals sommigen opperden. "Er zijn betere, eenvoudigere opties", merkt Horowitz op. Het opzetten van een virtual machine kost de nodige moeite en draait de VM op Windows, dan is er nog altijd een kans dat er malware op het systeem komt.
"De veiligste aanpak is om Linux te gebruiken, aangezien er zo weinig malware voor is." Daarnaast is een boot-cd of USB-stick zo gemaakt. "Windows-gebruikers kunnen het beste een versie van Linux op een USB-stick zetten." Wie binnen Windows wil blijven, zou Sandboxie voor de Windowsverkenner moeten gebruiken, gaat Horowitz verder.
"Hoewel sommige ambtenaren idioten kunnen zijn, is dat niet waar het hier om gaat. Het echte probleem is dat techies soms anderen de schuld van hun eigen falen geven. Als een USB-stick op de parkeerplaats de beveiliging doorbreekt, is dat niet de schuld van de non-techie die hem oppakte."
Ach ja, gewoon Linux gebruiken. Klinkt mooi, maar ga maar eens duizenden werknemers leren om met linux om te gaan, ga maar eens ervoor zorgen dat je billing system, customer management system, en allerlij andere bedrijfsapplicaties een linux client krijgen, en ga zo maar door. Kost allemaal veel tijd en geld.
Het is in de meeste bedrijven helemaal niet zo simpel om 'gewoon' van OS te veranderen. En je kunt de gebruiker ook beschermen door de autorun functie uit te schakelen, en door rechten te beperken, of whitelisting te gebruiken.
ShmooCon 2011: USB Autorun attacks against Linux
http://www.youtube.com/watch?v=ovfYBa1EHm4
How USB autorun flaws could bring malware to Linux
http://www.omgubuntu.co.uk/2011/02/how-usb-autorun-malware-could-easily-infect-linux/
"Als een USB-stick op de parkeerplaats de beveiliging doorbreekt, is dat niet de schuld van de non-techie die hem oppakte."
Is het wel de schuld van de beheerder die ten onrechte denkt onkwetsbaar te zijn, omdat hij Linux op de desktop van de gebruiker heeft geinstalleerd ?
Hier zou ik als netwerkbeheerder ook niet aan willen beginnen op werknemers niveau zolang het niveau zo laag blijft dat ik mensen met de melding krijg "ik kan het aan knopje van de laptop niet vinden."
wiens schuld is het dan?
- de werkgever die scholing zou moeten geven op ICT gebied?
- de technische mensen die oplossingen moeten aanbieden die in dit artikel naar voren kwamen?
- de regelgeving?
- alle bovengenoemde
Er is geen golden gun/bullet/snake oil.
Je moet dit breed aan pakken en het risico beperken door alles aan te pakken.
-Voorlichting aan medewerkers. Je stopt toch ook geen gevonden lollie in je mond ;)
-- evt een voorproever zoals vroeger aka linux
-- toegang tot it/helpdesk makelijk maken "Hey ik heb een key gevonden kun jij even voorzichtig kijken"
-Toegang tot usb beperken in bios/os/hardware
-- alleen poorten aan de achterkant van de pc actief voorkant = easy access = uit/stekker los
-Waar usb draait (bijna overal met al die usb toetstenborden en muizen ;) functionaliteit van usb beperken (geen autorun)
-Up to date os/av/etc (pakt ook niet alles maar verkleint de kans)
-Beperk access van gebruiker/pc tot alleen noodzakelijke zaken
Er is geen golden gun/bullet/snake oil.
Je moet dit breed aan pakken en het risico beperken door alles aan te pakken.
-Voorlichting aan medewerkers. Je stopt toch ook geen gevonden lollie in je mond ;)
-- evt een voorproever zoals vroeger aka linux
-- toegang tot it/helpdesk makelijk maken "Hey ik heb een key gevonden kun jij even voorzichtig kijken"
-Toegang tot usb beperken in bios/os/hardware
-- alleen poorten aan de achterkant van de pc actief voorkant = easy access = uit/stekker los
-Waar usb draait (bijna overal met al die usb toetstenborden en muizen ;) functionaliteit van usb beperken (geen autorun)
-Up to date os/av/etc (pakt ook niet alles maar verkleint de kans)
-Beperk access van gebruiker/pc tot alleen noodzakelijke zaken
whaha "Voorlichting aan medewerkers. Je stopt toch ook geen gevonden lollie in je mond ;) " die zal ik onthouden.
inderdaad wel goede ideeën trouwens denk dak voor de eerste oplossing ga gelijk naar de gamma en alle 900 computers dicht kit xD.
oké zonder gekheid, zoals N4ppy hier al duidelijk maakt zal het merendeel van de oplossingen van de technische kant moeten komen. Je kunt namelijk wel 1000 keer zeggen dat iets niet mag maar het gebeurd toch. Iets onmogelijk maken is beter dan met een boos vingertje zwaaien en zegge dat mag niet. Oftewel Horowitz heeft gelijk.
@Anoniem 12:52
Het gaat hier niet om het beveiligen van data die verloren kan raken omdat het op een stick of ander draagbaar medium staat
Het gaat hier om het gebruik van USB sticks om binnen te komen. Soort van gate crashen op een USB.
Je strooit als hacker wat foute USB sticks op de parkeerplaats en mensen zijn hebberig en willen kijken of er toevallig pr0n op staat en stekken dat ding er in zonder na te denken.
Hey een stick, bliep met pasje/token, binnen in corporate en stick er in. autorun payload besmet pc + laat wat pr0n zien.
Score!! (Voor de hacker)
de automatiseringsafdeling is wel degelijk een soort politieagent (als t gaat om veiligheid van het netwerk. ! ) zou een mooie troep geven als iedereen fail projecten zou opleveren als translink.
@N4ppy
Score voor de hacker.
Score voor degene die pr0n wou zien. die heeft tenslotte een mooie USB stick en pr*n haha
Fail voor de automatiseringsafdeling en het gehele bedrijf.
@N4ppy
Dat heb ik gelezen ja, maar de bedoeling van zulke sticks is uiteindelijk het verkrijgen van data van een bedrijf. En dan gaat het er dus om welke afwegingen een bedrijf maakt.
@Replay
Als de automatiseringsafdeling de politieagent gaat uithangen en gebruikers gaat corrigeren dan is het einde toch zoek. Ik zeg niet dat je niet mag constateren/controleren maar een politie agent kan corrigeren en dat vind ik toch echt te ver gaan. Het uithalen naar foute projecten heeft trouwens niets met dit onderwerp te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
