image

"E-mailproviders moeten ZIP-bijlagen blokkeren"

maandag 25 november 2013, 12:21 door Redactie, 29 reacties

E-mailproviders zouden standaard e-mailbijlages met ZIP- en andere gevaarlijke bestanden moeten blokkeren om internetgebruikers tegen malware te beschermen. Dat laat Wolfgang Kandek, CTO bij beveiligingsbedrijf Qualys, tegenover Security.NL weten.

Uit cijfers van andere beveiligingsbedrijven blijkt dat veel aanvallen plaatsvinden via e-mails die van een ZIP-bestand zijn voorzien. De ZIP-bestanden bevatten weer de malware die het systeem infecteert als de gebruiker het bestand opent. Aanvallers kiezen voor ZIP-bestanden omdat de inhoud niet altijd door e-mailscanners wordt gescand.

Op dit moment verspreidt de zeer agressieve CryptoLocker-ransomware zich onder andere via e-mail. Er moet dan ook gekeken worden of dit soort bijlages automatisch kunnen worden geblokkeerd, stelt Kandek. Veel providers hebben echter de houding dat ze er alleen zijn om ongefilterde e-mail af te leveren of alleen de internetverbinding verzorgen.

"Ik zou graag zien dat internet- en e-mailproviders inzien dat hun mechanismes worden misbruikt en dat ze hier stappen tegen ondernemen", merkt Kandek op. De beveiligingsexpert pleit voor een systeem waarbij bepaalde bijlagen standaard worden geblokkeerd, zoals uitvoerbare bestanden en ZIP-bestanden, maar dat gevorderde gebruikers via een instellingenmenu kunnen aangeven welke bijlagen ze nog meer willen blokkeren of toestaan.

Privacy

Het filteren van bijlagen is een afweging tussen veiligheid en privacy gaat Kandek verder. Er zijn bijvoorbeeld tools om de inhoud van een PDF-bestand te analyseren om te kijken of er verdachte code in zit verstopt, bijvoorbeeld een PDF-document dat een Flash-object bevat wat voor een aanval kan worden gebruikt. Gebruikers zouden dan de optie moeten hebben om aan te geven dat PDF-bestanden zijn toegestaan, maar niet met scripts of Flash-objecten erin.

"Je wilt dat niemand naar je PDF-bestanden kijkt, maar als het een programma is dat dit doet en er garanties zijn dat het niet door mensen wordt bekeken, dan kan dit zeker helpen", merkt Kandek op. Daarnaast hebben e-mailproviders al toegang tot het e-mailverkeer van hun gebruikers. Als ze kwaad in de zin hebben kunnen ze de PDF-documenten al bekijken. Een geautomatiseerd systeem dat bestanden analyseert en van een goed privacybeleid is voorzien zou dit risico niet vergroten.

Internetproviders

Het proactief beschermen van gebruikers hoeft zich niet alleen tot e-mailproviders te beperken, ook internetproviders zouden abonnees kunnen waarschuwen als ze een kwaadaardige link bezoeken of onderdeel van een botnet zijn. Volgens Kandek zijn er allerlei lijsten met bekende Command & Control-servers van botnets bekend. Internetgebruikers die hiermee communiceren en dus besmet zijn zouden door hun provider hierop gewezen moeten worden. "Het probleem is hoe je dit ziet en communiceert."

Het houdt namelijk in dat de provider bijvoorbeeld naar bezochte IP-adressen of DNS-requests moeten kijken. Ook hier is sprake van een afweging tussen veiligheid en privacy. Eerder dit jaar werd bekend dat Microsoft links in Skype-berichten analyseerde, wat voor een golf van kritiek zorgde. De softwaregigant stelde dat het de links bezocht om te controleren of het niet om spam- of phishingsites ging of dat er malware werd verspreid.

Schoon

Het proactief beschermen van gebruikers kan echter zeer effectief zijn. Kandek wijst naar een Finse internetprovider die tot één van de schoonste providers ter wereld behoort. Het security-team van de provider, bestaande uit zo'n vier man, waarschuwt geïnfecteerde abonnees via e-mail of telefoon. Om te bepalen of abonnees besmet zijn kijkt deze provider naar het verkeer.

"Het is belangrijk dat je abonnees duidelijk uitlegt dat bijvoorbeeld een PDF niet door mensen maar door een programma wordt geanalyseerd. Of dat er niet naar de inhoud van het internetverkeer wordt gekeken, maar alleen of het niet naar bekende kwaadaardige IP-adressen gaat. Dat is wat internet- en e-mailproviders moeten aanbieden", laat Kandek weten.

Firewall

Het onderliggende probleem volgens Kandek is dat de beveiligingsindustrie in vergelijking met andere industrieën nog vrij onvolwassen is. "We weten nog niet precies wat correct is, daar zijn we nog over aan het discussiëren. Iedereen heeft een andere mening en er is nog geen consensus."

Wat betreft het strenger filteren ziet hij een vergelijking met de introductie van Service Pack 2 op Windows XP. Windows XP beschikte over een firewall, maar die stond standaard uitgeschakeld. Service Pack 2 schakelde de firewall standaard in. "Het wordt tijd dat e-mailproviders hun firewall inschakelen, dus geen ZIP- en EXE-bestanden meer."

Reacties (29)
25-11-2013, 12:45 door Anoniem
Mag een zipfile wel als je hem een .docx of .odt extensie geeft?

Bijlagen verbieden is het paard achter de wagen spannen. Je moet de gebruikers leren om niet zomaar bijlagen te openen.
25-11-2013, 12:58 door Anoniem
Lijkt me dat voor zulke gein, net als spamafhandeling, de controle 100% in handen van de gebruiker thuishoort, waardoor wat een emailprovider mag doen 100% optioneel en faciliterend moet zijn, en nooit verplichtend mag zijn.

Gaat zoiets op verzoek van de gebruiker dan is het geen gedwongen privacyinbreuk en hoef je niet te hannesen met "afweging tussen veiligheid en privacy" en meer van dat soort geneuzel... wat uiteindelijk altijd weer uitmondt in censuur.

Dat zo'n CTO van een kompjoeterbeveiligingsbedrijf zoiets simpels niet snapt, zegt boekdelen over hem, zijn bedrijf, en zelfs de industrie waarin hij werkzaam is. Helemaal gefocust op de kleine details, en geen flauw benul van hoe zijn fijne ideetjes netjes in het grotere plaatje te passen. Hier bouwen we de toekomst niet mee.
25-11-2013, 13:03 door [Account Verwijderd] - Bijgewerkt: 25-11-2013, 13:09
[Verwijderd]
25-11-2013, 13:07 door Anoniem
Lijkt me absoluut geen goed plan. Er zijn teveel websites afhankelijk van. Salarisstroken / Facturen worden soms in een ZIP opgestuurt. En nog veel meer als het meer als 1 bestand is.
25-11-2013, 13:09 door [Account Verwijderd]
[Verwijderd]
25-11-2013, 13:16 door spatieman
grappig.
als ik documenten verstuur naar iemand zip ik ze, want ik ga geen 15MB bestanden versturen als het met 3MB ook kan.
waarom niet meteen Email verbieden, of het internet meteen opheffen, dan kunnen er ook geen virussen verspreid worden.
(laatste was dus sarcastisch bedoelt)
25-11-2013, 13:19 door schele - Bijgewerkt: 25-11-2013, 13:21
Net zoals met alle andere dingen, het domweg blokkeren werkt niet. Dat is symptoom bestrijding. Mensen moeten veiligheidsbesef krijgen, nieuwe reflexen aanleren. Vandaag blokkeren we .zip, morgen .pdf en overmorgen zijn attachments afgeschaft.

Doe een pop up met "let op, ZIP bestanden kunnen gevaarlijk zijn, kent u de verzender?" en probeer aan awareness te werken. Dat is het enige dat ooit gaat werken. Ik zie preventie campagnes voor veilig verkeer, tabak, alcohol etc. Doe dat ook maar eens voor veilig surfen.
25-11-2013, 13:22 door Anoniem
goed idee - vooral de functionaliteit wegnemen waar de gebruiker profijt van heeft. En dan liefst zonder 'm te vertellen waarom, zodat 'ie alsnog op zoek gaat naar veel gevaarlijker alternatieven...
25-11-2013, 13:23 door Anoniem
Weer zo'n nutteloze opmerking van een beveiliger, de toepassing kan in sporadische gevallen schadelijk zijn, dus later we er maar helemaal mee stoppen. Ik ga helemaal mee met spatieman, dan kun je net zo goed helemaal geen internet meer gebruiken.

Dit soort voorstellen zouden in de echte wereld die iedereen begrijpt direct worden weggelachen, het komt dan neer op het volgende advies: 'Om inbrekers buiten te houden is het verstandig om al je ramen en deuren dicht te metselen'.
25-11-2013, 13:28 door Anoniem
Probleem ligt niet bij de provider, maar bij de eindklant. Als hij z'n statement zou veranderen in "E-mailsoftware moeten ZIP bijlagen standaard blokkeren" zou hij een stuk serieuzer genomen worden..
25-11-2013, 14:00 door Anoniem
Als je per policy iets blokkeert zijn dat executables. Waar ze inzitten doet er niet toe. ZIP files blokkeren is dom en zinloos, je kunt zo nog een dozijn bestandarchiefstypen verzinnen.
25-11-2013, 14:04 door Anoniem
Er zijn ook volledig legitieme redenen om ZIP/RAR files en dergelijke te versturen. Staat hij daar wel bij stil ? Een volledige blokkade lijkt mij volstrekt ongewenst, wel zou een extra waarschuwing handig zijn, waarbij de gebruiker zelf kan besluiten deze wel/niet te negeren. Indien mensen mij op mijn eigen verzoek logfiles toesturen en deze comprimeert, dan wil ik niet dat deze geblokkeerd worden terwijl ik zelf 100% zeker weet dat de bestanden betrouwbaar zijn.
25-11-2013, 14:06 door Anoniem
Je kan overigens ook je klanten in een self-service portal zelf laten bepalen of ze zo'n blokkade willen, waarbij je kan kiezen tussen geen blokkade, een waarschuwing of een algehele blokkade.
25-11-2013, 14:08 door donnerd
Dit is niet te doen omdat als ik meerdere files op moet sturen (of acces bestanden van MS Acces) dan moet/ga ik die bestanden 'zippen' omdat het dan ten eerste lichter is, maar ook makkelijker.
1 zip file en je hebt alles verzonden.
25-11-2013, 14:59 door Anoniem
Een groot onzinverhaal met een hoog gehalte van zelfpromotie.

De inhoud van een zipbestand is eenvoudig te scannen. Doen wij hier ook. Iedere volwassen virusscanner doet dit al automagisch (nee, geen spelfout).

Wellicht dat het in de bulk wat moeilijker wordt, dat weet ik niet. Maar wat kan dat kan.
25-11-2013, 15:27 door Anoniem
Erg zinvol (not), dan gaan mensen die grote bestanden moeten doorgeven, deze opslaan op dropbox en co. Sturen ze vervolgens een link naar die locatie mee. Maar dit gebeurt dan ook weer door de kwaadwillenden en dus blokkeren we dat maar, enz. Dan komen we vanzelf in de situatie die spatieman schetst en zijn we terug bij snailmail met datadragers. Want bestanden delen zullen we!!! en dus ook de bijbehorende virussen.

Enige echte oplossing is, dat je mensen leert om een bestand nooit te openen, maar alleen op de schijf op te slaan. Vervolgens moet iedere virusscanner maar zorgen, dat hij ook in gecomprimeerde pakketten kan scannen, zodat we weten of ze veilig zijn.
25-11-2013, 15:33 door [Account Verwijderd]
[Verwijderd]
25-11-2013, 15:57 door linuxpro
De beste man bedoeld het vermoed ik wel goed maar op ZIP bestanden gelijkt te trekken met "andere kwaadaardige bestanden?" Klok-klepel ? Ik kom nu zelfs providers tegen de een versleuteld ZIP bestand blokkeren...

En de meeste klanten hebben geen zin om hun data te delen met de NSA shared files providers a-la dropbox enzo.
25-11-2013, 17:06 door vimes
Een e-mail provider moet gewoon van mijn bijlagen afblijven. Punt uit.
25-11-2013, 19:22 door Anoniem
Als de provider nu gewoon de virusmailtjes eruit haalt (net als de spam).... Dan hoeven ze helemaal niets verder te blokken!

Maar je, daar faalt onze (duurbetaalde?) AV-industrie.
25-11-2013, 23:03 door Wim ten Brink
Het probleem is alleen dat prividers dan ook de inhoud van emails moet gaan onderzoeken. Maar dat is een privacy-schending. Providers moeten gewoon mijn emails met rust laten en erop vertrouwen dat ik weet wat ik doe...
26-11-2013, 00:09 door Anoniem
Zip-bestanden zijn niet inherent onveilig, het is een heel nuttig bestandsformaat. Maar als we toch goede dingen gaan blokkeren omdat ze ook verkeerd gebruikt worden dan heb ik een paar heel effectieve suggesties: blokkeer alle e-mail, dan ben je meteen van alle e-mailproblemen af; of blokkeer internet, dan ben je in één klap helemáál klaar.
26-11-2013, 09:37 door Anoniem
@Wim :

"Het probleem is alleen dat prividers dan ook de inhoud van emails moet gaan onderzoeken. Maar dat is een privacy-schending. Providers moeten gewoon mijn emails met rust laten en erop vertrouwen dat ik weet wat ik doe..."

Je wilt dat providers ophouden met anti-spam en anti-virus oplossingen op de mail server ?

Ik wil zeer zeker niet dat zij dit doen, en ik voel niet dat mijn privacy wordt geraakt wanneer geautomatiseerde systemen scannen op kenmerken van bestaande malware en spam mailings.

Waarschijnlijk besef je je niet dat je provider dit al lang doet, en ik ben benieuwd of je blij zou zijn met een vertienvoudiging van het aantal emails wat je ontvangt wanneer er geen gebruik gemaakt wordt van dergelijke filtering.
26-11-2013, 09:49 door Anoniem
@Wim ten brink , ik ben het met je eens , de gebruiker heeft zelf ook nog een verantwoording en als hij/zij niet weet wat hij doet moet iemand er mischien aan gaan denken om te stoppen met het gebruiken van een computer
26-11-2013, 09:49 door Cornelius
Ik weet niet hoeveel dit zegt over firma Qualys, maar erg doordacht zijn deze uitspraken niet. Kijk maar naar bovenstaande reacties... Lijkt ook een gevalletje "schoenmaker blijf bij je leest". Qualys doet "vulnerability assessments" en "compliance checks" volgens hun website. Doe daar dan uitspraken over als je je wil profileren in de markt...
26-11-2013, 10:01 door johanw
Door Anoniem: Mag een zipfile wel als je hem een .docx of .odt extensie geeft?
Dat deed ik meer dan 10 jaar geleden al als ik iets naar een klant moest sturen omdat hun systeem zipfiles blokkeerde. Enige voordeel dat ik zie is dat het je gebruikers een beetje leert de hacker mindset te gebruiken om om "beveiligingen" heen te werken.
03-12-2013, 12:34 door Anoniem
Weer een stapje dichterbij de controlestaat onder het mom van veiligheid. En onder het voorwendsel "als je niets verkeerd doet heb je niets te verbergen". Helaas vergeet men hierbij dat wat nu als volkomen "normaal' en passend in onze samenleving is, dat niet noodzakelijk ook ook zo is voor degene die de info in handen krijgt.
Dat een privé bedrijf dan ook al gaat "controleren" wat wij schrijven is ronduit gevaarlijk.
Hoe meer men van u opslaat in databases hoe groter de kans dat die info misbruikt kan worden. Dat ze ooit misbruikt zal worden is gewoon een kwestie van tijd.
05-12-2013, 11:35 door Anoniem
Geautomatiseerd bijlage checken vergroot juist wel het risico. Kwaadwillende kunnen filters inbouwen die zoeken op bepaalde termen of cijfercombinaties zoals creditcard nummers en dit laten forwarden naar een email adres. Dus liever geen gerommel met mijn mail.
09-01-2014, 16:14 door Anoniem
Haal dan gelijk alle schoonmakmiddelen van de schappen in de supermarkt want iemand zou ondoordacht een slokje kunnen nemen en daaraan overlijden. Verbied alle alocholische dranken want er zijn wel eens mensen die met een slok op achter het stuur kruipen. Enzovoorts, enzovoorts. Wat een onzin....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.