image

"Staatssecretaris onderschat Dorifel-virus"

zondag 12 augustus 2012, 16:28 door Redactie, 15 reacties

Staatssecretaris Fred Teeven van Veiligheid en Justitie noemde de uitbraak van het Dorifel-virus deze week bij BNR een komkommerverhaal, maar dat is een onterechte onderschatting, aldus IT-journalist Brenno de Winter tegenover Security.nl. De Winter maakte voor Webwereld een uitgebreide analyse van de malware. Daaruit blijkt dat de malware via een profielfoto op een gameforum werd aangestuurd. Verder werd ontdekt dat de malware met andere Command & Control-servers verbinding kan maken.

Probleem
Ondanks de uitlating van Teeven is De Winter te spreken over het optreden van de overheid, en dan met name het Nationaal Cyber Security Center (NCSC). "Ik ben zeer tevreden over de eerste communicatie van het NCSC. Ze hebben duidelijk geleerd van DigiNotar. Ook verdienen de gemeenten lof dat zij na de ontdekking naar buiten zijn getreden. Dat helpt. Wel zou de overheid meer informatie kunnen verstrekken met betrekking tot de aanpak van het virus."

De Winter ziet echter ook onderschatting bij de overheid, met name de manier waarop Teeven de uitbraak als 'komkommerverhaal' bestempelt. "Het is een beetje komkommertijd inmiddels, maar het valt echt mee deze keer", aldus de Staatssecretaris tegen BNR.

"Dat doet geen recht aan de problematiek: het virus is verspreidt via eerdere besmettingen en diverse overheden hebben her en der Trojaanse paarden die toegang geven tot vertrouwelijke informatie. Ook een ministerie bleek geïnfecteerd. Dat noem ik toch echt een probleem", aldus De Winter.

IP-adres
Wat betreft zijn analyse vond De Winter het opmerkelijk dat er continu aandacht was voor de twee IP-adressen die de malware benadert. Maar uit relatief eenvoudig onderzoek bleek dat er ook een derde IP-adres was. "Op basis van die informatie hebben anderen ontdekt dat er op die site ook phishingsites stonden."

Daarnaast blijkt de malware via het profielplaatje op een gamingsite nieuwe adressen te kunnen doorgeven. "Dat is op zichzelf ook een interessant gegeven. Maar de hele anti-virusindustrie heeft dat niet ontdekt. Zij hadden dagen om dit naar boven te krijgen, terwijl ik uiteindelijk een nacht had."

Een ander opmerkelijk detail is dat Kaspersky anti-virus niet de malware herkent, maar de werking. Tijdens het onderzoek kwam in de malware de naam van Kaspersky naar boven. "We wilden weten wat dit betekende en installeerde de software. Maar die detecteerde het virus niet. Pas toen er contact werd gezocht met de C&C merkte Kaspersky de software op."

Virusscanner
Zelf gebruikt De Winter nog een virusscanner, maar zijn vertrouwen erin is laag. "Het is een beschermingslaag, maar wel een zwakke. Ook ben ik niet te spreken over het gebrek aan publieke uitwisseling van informatie over virussen. Liever zou ik een goed samenwerkende industrie zien, die op basis van methodieken concurreert. Op dit moment functioneren virusscanners onvoldoende."

Reacties (15)
12-08-2012, 16:30 door [Account Verwijderd]
[Verwijderd]
12-08-2012, 16:47 door Zipper306
Door Peter V:
Staatssecretaris Fred Teeven van Veiligheid en Justitie noemde de uitbraak van het Dorifel-virus deze week bij BNR een komkommerverhaal..
En wat is de komkommer-opleiding van Fred Teeven?

Kleuter school, niet met succes afgemaakt !!
12-08-2012, 17:11 door [Account Verwijderd]
[Verwijderd]
12-08-2012, 17:33 door Anoniem
Door Zipper306:
Door Peter V:
Staatssecretaris Fred Teeven van Veiligheid en Justitie noemde de uitbraak van het Dorifel-virus deze week bij BNR een komkommerverhaal..
En wat is de komkommer-opleiding van Fred Teeven?

Kleuter school, niet met succes afgemaakt !!

Hij zal zich wel weer achter "Staatsbelang" gaan verschuilen,
Zijn werk en denkniveau zal daar wel onder geclassificeerd zijn.
12-08-2012, 18:10 door Anoniem
Welke ip-nummers moeten ik nou in mijn eigen firewall in de gaten houden, of zijn eindgebruikers zo dom dat ze dat niet mogen weten?
12-08-2012, 19:24 door Anoniem
1: 158.255.211.028
2: 184.022.103.202
3: 184.082.107.086
4: 184.082.162.163
12-08-2012, 19:26 door burne101
Door Anoniem: Welke ip-nummers moeten ik nou in mijn eigen firewall in de gaten houden, of zijn eindgebruikers zo dom dat ze dat niet mogen weten?

https://www.ncsc.nl/actueel/nieuwsberichten/virus-dorifel-beschadigt-microsoft-office-documenten.html

Enne..

Teeven, dat was toch die man die dacht dat je boeven kon vangen door drie containers vol coke door te laten en pas de vierde te onderscheppen? En de man die dacht dat je afspraken met boeven kon maken? (Mink Kok bijvoorbeeld..)
12-08-2012, 22:28 door Anoniem
Als ik dit ip adres 127.0.0.1 158.255.211.28 bank-auth.org blokkeer met mijn firewall,
kan ik niet meer internet bankieren bij de ing,want dan wordt de site geblokkeerd.
Heb ik nu dat virus op de computer of niet.
Ik doe het maar weer met de post.
12-08-2012, 22:57 door Anoniem
Heeft iemand Teeven, de tijd dat hij zich belangrijk mocht wanen, iets verstandigs horen uiten?
13-08-2012, 00:31 door Anoniem
De Winter ziet echter ook onderschatting bij de overheid, met name de manier waarop Teeven de uitbraak als 'komkommerverhaal' bestempelt. "Het is een beetje komkommertijd inmiddels, maar het valt echt mee deze keer", aldus de Staatssecretaris tegen BNR.

Er zijn slechts enkele gemeenten, het RIVM en zelfs een Ministerie besmet, maar gelukkig valt het mee....

Weer een voorbeeld van wat er gebeurd als mensen die eigenlijk niet weten waar ze het over hebben zich met computers bemoeien, beleid opstellen van welke gegevens gekoppeld moeten worden en wie er allemaal toegang toe heeft...

Het is toch te gek dat mijn sofinummer (wat het vroeger was) tegenwoordig door de tandartsassistente gevraagd wordt?? En wij nemen het allemaal maar zo lijkt het..Zo is er ook een hype over bescherming van privacy als je het over social media hebt, net alsof ik me daar het meest bedreigd door voel. Die overheidsinstellingen die maar blijven koppelen vind ik een veel groter probleem dan wat ik ZELF op internet zet.

Maak er maar grapjes over, maar dit soort figuren beslissen wel hoe het in nederland gaat, en eerlijk gezegd vind ik het niet grappig maar ZEER verontrustend..
13-08-2012, 10:19 door Mysterio
Door Anoniem:
De Winter ziet echter ook onderschatting bij de overheid, met name de manier waarop Teeven de uitbraak als 'komkommerverhaal' bestempelt. "Het is een beetje komkommertijd inmiddels, maar het valt echt mee deze keer", aldus de Staatssecretaris tegen BNR.

Er zijn slechts enkele gemeenten, het RIVM en zelfs een Ministerie besmet, maar gelukkig valt het mee....

Weer een voorbeeld van wat er gebeurd als mensen die eigenlijk niet weten waar ze het over hebben zich met computers bemoeien, beleid opstellen van welke gegevens gekoppeld moeten worden en wie er allemaal toegang toe heeft...

Het is toch te gek dat mijn sofinummer (wat het vroeger was) tegenwoordig door de tandartsassistente gevraagd wordt?? En wij nemen het allemaal maar zo lijkt het..Zo is er ook een hype over bescherming van privacy als je het over social media hebt, net alsof ik me daar het meest bedreigd door voel. Die overheidsinstellingen die maar blijven koppelen vind ik een veel groter probleem dan wat ik ZELF op internet zet.

Maak er maar grapjes over, maar dit soort figuren beslissen wel hoe het in nederland gaat, en eerlijk gezegd vind ik het niet grappig maar ZEER verontrustend..
Gelukkig zijn er weer bijna verkiezingen ;)
13-08-2012, 12:06 door Anoniem
Door Mysterio:
Door Anoniem:
De Winter ziet echter ook onderschatting bij de overheid, met name de manier waarop Teeven de uitbraak als 'komkommerverhaal' bestempelt. "Het is een beetje komkommertijd inmiddels, maar het valt echt mee deze keer", aldus de Staatssecretaris tegen BNR.

Er zijn slechts enkele gemeenten, het RIVM en zelfs een Ministerie besmet, maar gelukkig valt het mee....

Weer een voorbeeld van wat er gebeurd als mensen die eigenlijk niet weten waar ze het over hebben zich met computers bemoeien, beleid opstellen van welke gegevens gekoppeld moeten worden en wie er allemaal toegang toe heeft...

Het is toch te gek dat mijn sofinummer (wat het vroeger was) tegenwoordig door de tandartsassistente gevraagd wordt?? En wij nemen het allemaal maar zo lijkt het..Zo is er ook een hype over bescherming van privacy als je het over social media hebt, net alsof ik me daar het meest bedreigd door voel. Die overheidsinstellingen die maar blijven koppelen vind ik een veel groter probleem dan wat ik ZELF op internet zet.

Maak er maar grapjes over, maar dit soort figuren beslissen wel hoe het in nederland gaat, en eerlijk gezegd vind ik het niet grappig maar ZEER verontrustend..
Gelukkig zijn er weer bijna verkiezingen ;)
Het probleem is alleen dat dat geen oplossing gaat bieden, de andere partijen bestaan uit eenzelfde soort figuren :)
13-08-2012, 17:22 door Anoniem
Door Peter V:
Staatssecretaris Fred Teeven van Veiligheid en Justitie noemde de uitbraak van het Dorifel-virus deze week bij BNR een komkommerverhaal..
En wat is de komkommer-opleiding van Fred Teeven?

Ik ben in ieder geval blij dat Brenno weet wanneer iets een komkommerverhaal is of niet.

Peter
13-08-2012, 21:24 door rob
Door Anoniem: Als ik dit ip adres 127.0.0.1 158.255.211.28 bank-auth.org blokkeer met mijn firewall,
kan ik niet meer internet bankieren bij de ing,want dan wordt de site geblokkeerd.
Heb ik nu dat virus op de computer of niet.
Ik doe het maar weer met de post.

127.0.0.1 moet je niet blokkeren. Dat is namelijk je eigen systeem. Bank-auth.org (de naam) hoef je niet te blokkeren.

Je hoefde alleen de adressen 158.255.211.028, 184.022.103.202, 184.082.107.086, 184.082.162.163 te blokkeren als je denkt geinfecteerd te zijn: weliswaal als accute noodmaatregel. Want als je weet dat je geinfecteerd bent kun je best je PC uitlaten totdat iemand met verstand ervan het heeft verwijderd.
14-08-2012, 10:57 door Anoniem
127.0.0.1 moet je niet blokkeren. Dat is namelijk je eigen systeem. Bank-auth.org (de naam) hoef je niet te blokkeren.

Je hoefde alleen de adressen 158.255.211.028, 184.022.103.202, 184.082.107.086, 184.082.162.163 te blokkeren als je denkt geinfecteerd te zijn: weliswaal als accute noodmaatregel. Want als je weet dat je geinfecteerd bent kun je best je PC uitlaten totdat iemand met verstand ervan het heeft verwijderd.

Rob,dank u voor de reactie op mijn vraag.
Deze oplossing werkt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.