E-mailproviders zouden standaard e-mailbijlages met ZIP- en andere gevaarlijke bestanden moeten blokkeren om internetgebruikers tegen malware te beschermen. Dat laat Wolfgang Kandek, CTO bij beveiligingsbedrijf Qualys, tegenover Security.NL weten.
Uit cijfers van andere beveiligingsbedrijven blijkt dat veel aanvallen plaatsvinden via e-mails die van een ZIP-bestand zijn voorzien. De ZIP-bestanden bevatten weer de malware die het systeem infecteert als de gebruiker het bestand opent. Aanvallers kiezen voor ZIP-bestanden omdat de inhoud niet altijd door e-mailscanners wordt gescand.
Op dit moment verspreidt de zeer agressieve CryptoLocker-ransomware zich onder andere via e-mail. Er moet dan ook gekeken worden of dit soort bijlages automatisch kunnen worden geblokkeerd, stelt Kandek. Veel providers hebben echter de houding dat ze er alleen zijn om ongefilterde e-mail af te leveren of alleen de internetverbinding verzorgen.
"Ik zou graag zien dat internet- en e-mailproviders inzien dat hun mechanismes worden misbruikt en dat ze hier stappen tegen ondernemen", merkt Kandek op. De beveiligingsexpert pleit voor een systeem waarbij bepaalde bijlagen standaard worden geblokkeerd, zoals uitvoerbare bestanden en ZIP-bestanden, maar dat gevorderde gebruikers via een instellingenmenu kunnen aangeven welke bijlagen ze nog meer willen blokkeren of toestaan.
Het filteren van bijlagen is een afweging tussen veiligheid en privacy gaat Kandek verder. Er zijn bijvoorbeeld tools om de inhoud van een PDF-bestand te analyseren om te kijken of er verdachte code in zit verstopt, bijvoorbeeld een PDF-document dat een Flash-object bevat wat voor een aanval kan worden gebruikt. Gebruikers zouden dan de optie moeten hebben om aan te geven dat PDF-bestanden zijn toegestaan, maar niet met scripts of Flash-objecten erin.
"Je wilt dat niemand naar je PDF-bestanden kijkt, maar als het een programma is dat dit doet en er garanties zijn dat het niet door mensen wordt bekeken, dan kan dit zeker helpen", merkt Kandek op. Daarnaast hebben e-mailproviders al toegang tot het e-mailverkeer van hun gebruikers. Als ze kwaad in de zin hebben kunnen ze de PDF-documenten al bekijken. Een geautomatiseerd systeem dat bestanden analyseert en van een goed privacybeleid is voorzien zou dit risico niet vergroten.
Het proactief beschermen van gebruikers hoeft zich niet alleen tot e-mailproviders te beperken, ook internetproviders zouden abonnees kunnen waarschuwen als ze een kwaadaardige link bezoeken of onderdeel van een botnet zijn. Volgens Kandek zijn er allerlei lijsten met bekende Command & Control-servers van botnets bekend. Internetgebruikers die hiermee communiceren en dus besmet zijn zouden door hun provider hierop gewezen moeten worden. "Het probleem is hoe je dit ziet en communiceert."
Het houdt namelijk in dat de provider bijvoorbeeld naar bezochte IP-adressen of DNS-requests moeten kijken. Ook hier is sprake van een afweging tussen veiligheid en privacy. Eerder dit jaar werd bekend dat Microsoft links in Skype-berichten analyseerde, wat voor een golf van kritiek zorgde. De softwaregigant stelde dat het de links bezocht om te controleren of het niet om spam- of phishingsites ging of dat er malware werd verspreid.
Het proactief beschermen van gebruikers kan echter zeer effectief zijn. Kandek wijst naar een Finse internetprovider die tot één van de schoonste providers ter wereld behoort. Het security-team van de provider, bestaande uit zo'n vier man, waarschuwt geïnfecteerde abonnees via e-mail of telefoon. Om te bepalen of abonnees besmet zijn kijkt deze provider naar het verkeer.
"Het is belangrijk dat je abonnees duidelijk uitlegt dat bijvoorbeeld een PDF niet door mensen maar door een programma wordt geanalyseerd. Of dat er niet naar de inhoud van het internetverkeer wordt gekeken, maar alleen of het niet naar bekende kwaadaardige IP-adressen gaat. Dat is wat internet- en e-mailproviders moeten aanbieden", laat Kandek weten.
Het onderliggende probleem volgens Kandek is dat de beveiligingsindustrie in vergelijking met andere industrieën nog vrij onvolwassen is. "We weten nog niet precies wat correct is, daar zijn we nog over aan het discussiëren. Iedereen heeft een andere mening en er is nog geen consensus."
Wat betreft het strenger filteren ziet hij een vergelijking met de introductie van Service Pack 2 op Windows XP. Windows XP beschikte over een firewall, maar die stond standaard uitgeschakeld. Service Pack 2 schakelde de firewall standaard in. "Het wordt tijd dat e-mailproviders hun firewall inschakelen, dus geen ZIP- en EXE-bestanden meer."
Deze posting is gelocked. Reageren is niet meer mogelijk.