image

Dorifelvirus topje van de ijsberg

maandag 13 augustus 2012, 16:51 door Redactie, 19 reacties

Het Dorifel-virus dat vorige week uitgebreid in de media verscheen is slechts het topje van de ijsberg, reden voor Security.nl om in deze achtergrond dieper op computerinfecties in te gaan en hoe die zijn te voorkomen. Woensdag 8 augustus ontvingen we een tip over een onbekend virus dat Excel- en Wordbestanden verminkte. Dezelfde dag bleek dat ook de gemeente Weert door een virus was getroffen dat het computernetwerk platlegde. De volgende dag werd duidelijk dat naast Weert nog veel meer gemeenten en ook twee ministeries besmet waren geraakt. Het ging om het Dorifel-virus dat op de machines door het Citadel-botnet was geïnstalleerd.

Citadel werd voor het eerst op 23 januari genoemd. Het betreft 'open source malware' die aan de hand van de wensen van kopers wordt aangepast. De basis van Citadel is gebaseerd op de beruchte banking Trojan Zeus. Zeus is ontwikkeld om geld van online bankrekeningen te stelen en heeft wereldwijd vele miljoenen euro's buitgemaakt.

Infecties
In totaal werd Dorifel volgens zowel het Nationaal Cyber Security Center als Kaspersky Lab op zo'n 3.000 computers geïnstalleerd. Later werden op de Dorifel master-server inloggegevens voor internetbankieren van Nederlandse internetgebruikers ontdekt. Die waren voor zover bekend niet door Dorifel gestolen, maar zeer waarschijnlijk door Citadel, waarvan het bekend is dat het dit soort informatie buitmaakt. De bende achter de malware gebruikte de server in kwestie voor nog veel meer doeleinden.

3.000 besmette computers domineren nu al een aantal dagen het nieuws, maar de problematiek gaat veel verder dan Citadel of Dorifel. Volgens het Spaanse Panda Security is een kwart van alle computers in het Nederland geïnfecteerd. In het laatste Microsoft Security Intelligence Report (SIR) van de laatste helft van 2011, staat dat Microsoft op 13 van elke 1.000 gescande Windows computers malware aantrof.

De computers werden gescand met de ingebouwde Malicous Software Removal Tool. (MSRT). Eind 2010 liet Microsoft weten dat er 3 miljoen Windows 7 licenties waren verkocht, waarmee het besturingssysteem een aandeel van 25% had veroverd. In 2010 had Windows op de markt van besturingssystemen een aandeel van zo'n 90%. Dat zou zo'n 12 miljoen Windows computers betekenen. Aangezien 13 van de 1.000 gescande computers malware bevat, zou het om zo'n 156.000 machines gaan, hoewel Microsoft geen rekening houdt met het feit dat computers vaker met malware besmet raken.

Vorig jaar liet onderzoeker Michel van Eeten nog weten dat 5% tot 10% van de Nederlandse computers onderdeel van een botnet is, wat neerkomt op 450.000 tot 900.000 machines. Van welke berekening je ook uitgaat, de 3.000 Dorifel-besmettingen zijn letterlijk een druppel op een gloeiende plaat.

Klikken
Maar hoe raakten deze machines nu met de Citadel-malware besmet die vervolgens Dorifel installeerde. "Dat ligt aan de groep die het gebruikt", zegt Roel Schouwenberg van Kaspersky Lab tegenover Security.nl. Er zijn namelijk meerdere bendes die Citadel voor hun eigen doelen inzetten. Zo wordt Citadel in de Verenigde Staten gebruikt om de Reveton-malware te installeren. Citadel verspreidt zich zoals de meeste malware via social engineering en drive-by downloads, laat Schouwenberg weten.

Het gaat dan om e-mails met een geïnfecteerde bijlage die de ontvanger opent of dat die met verouderde software gehackte of kwaadaardige websites bezoekt. Websites die bijvoorbeeld in spamberichten worden gelinkt. Het is bij gebruikers van besmette systemen, waar een verwijdertool of virusscanner Dorifel en/of Citadel verwijdert dan ook wachten tot de volgende infectie. De oorzaak van de besmetting is namelijk niet opgelost.

Ondanks allerlei uitspraken over "veranderende dreigingslandschappen" en "cyberlegers" is preventie eenvoudig: namelijk niet klikken en software updaten, oftewel veilig internetten. Drive-by downloads waardoor Citadel en Dorifel verspreiden maken gebruik van bekende beveiligingslekken waarvoor een update al vaak geruime tijd beschikbaar is. Het gaat hier niet om Stuxnet-achtige malware waarbij de aanvallers onbekende kwetsbaarheden gebruiken. Dorifel is uiteindelijk niets meer dan een symptoom en het is wachten tot het volgende 'beestje' z'n kop opsteekt.

(Aantal infecties per duizend gescande machines in Nederland)

Reacties (19)
13-08-2012, 17:41 door Bitwiper
Door Redactie: Ondanks allerlei uitspraken over "veranderende dreigingslandschappen" en "cyberlegers" is preventie eenvoudig: namelijk niet klikken en software updaten, oftewel veilig internetten (-> https://www.certifiedsecure.com/certificatedetails/view/39).
Dit is helemaal niet eenvoudig.

Terzijde, interessant is dat op genoemde Certified Secure pagina een virusscanner en
firewall niet meer genoemd worden. Terecht, want daar had je in dit geval geen moer aan.
Om te beginnen is in grotere organisaties (met name met zwervende gebruikers met o.a. notebooks) alle software up-to-date houden knap lastig; een knop "update alles" wordt bij Microsoft Windows niet meegeleverd (je moet al moeite doen om van Windows Update naar Microsoft Update te gaan).

Soms is up-to-date werken zelfs onmogelijk omdat patches er gewoon niet zijn (zie bijv. http://www.security.nl/artikel/41032/1/%22Apple_deels_schuldig_aan_Mac-botnet%22.html, http://www.security.nl/artikel/42504/Avira_lek%3A_AntiVir_for_Exchange_en_(Small)_Business_Security_Suite_(Oracle_Outside_In_libraries).html en de URL waar ik in laatstgenoemde pagina boven in naar verwijs).

Een veel groter probleem is "niet klikken". Ik vind dat wij als beveiligers compleet falen als we de schuldvraag bij de eindgebruiker neerleggen terwijl de techniek die eindgebruiker volledig in de steek laat. Het is belachelijk simpel om met zoekwerk op internet een mail op te stellen voor een willekeurig bedrijf/organisatie met de volgende kenmerken:
- Gericht is aan een medewerker;
- Afkomstig lijkt van bijv. een leidinggevende;
- In foutloos Nederlands opgesteld is en oproept ASAP de Excel bijlage te openen en te reageren;
- Een bijlage met de aan de gebruiker getoonde bestandsnaam "Omzet 2012Q2rcs.xls" bevat (terwijl het systeem dit als "Omzet 2012Q2slx.scr" interpreteert op het moment dat de gebruiker klikt, en het vervolgens als .exe uitvoert).

We moeten de hand in eigen boezem steken en met oplossingen komen in plaats van gebruikers dom te noemen als ze op iets kwaadaardigs geklikt hebben. Die gebruikers hebben nu groot gelijk als ze stellen: maar we hebben toch een virusscanner, een firewall, en dichtgetimmerde en trage systemen waardoor ik m'n werk al niet efficiënt meer kan doen? Ja mevrouw, maar toch is het uw schuld, u had niet moeten klikken...
13-08-2012, 18:01 door Anoniem
Als reactie op Bitwiper < like !
13-08-2012, 18:31 door Anoniem
Klop helemaal. Dit alles word alleen nog maar erger als er niet snel word in gegrepen. Ik denk aan een aantal dingen. Of alles opnieuw uitvinden de hele zwik pc, internet, systeem echt alles. Of meerdere internet lagen erbij. Denk aan commerciële, zakelijk, prive, games, overheid enz. Misschien is het niet de goede oplossing maar alles beter dan deze onzekere zooi die er nu is.

En de mens is nu eenmaal nieuwsgierig van aard en wil dingen ondervinden, leren, spelen noem het maar op.
13-08-2012, 18:34 door Gluiperd
Op mijn PC draait malware dat van online virusscanners de updateservices en automatische deelfunctie van gedetecteerde malware ruïneert zodra het ontdekt wordt. Eerst bij Hitman Pro, nu ook bij McAfee. Het verschuilt zich in C:/Windows/Drivers/Hosts/. Zodra ik een deelbestand daar wil scannen met m'n vaste scanner "loopt die vast" en wordt vervolgens van m'n PC verwijderd.

Overigens schande hoe mijn provider logs van mijn router terzijde legt waaruit blijkt dat een andere abonnee van hen overduidelijk misbruik maakt van het netwerk, door ongebreideld te pingen.

Vanavond Windows maar eens herinstalleren.
13-08-2012, 20:50 door Anoniem
Fundamenteler: de programmatuur op de meeste (MS Windows) computers komt uit alle hoeken en gaten. Er zit niet alleen programmatuur van de fabrikant en Microsoft, maar uit vele bronnen. Die programma's komen is uitvoerbare (binaire) vorm; controle op wat er in zit is nauwelijks mogelijk en de installatieprogramma's worden uitgevoerd met admistratieve rechten (god op het systeem, alle kan). Één bron vertrouwen is al lastig, vele een onmogelijkheid.

Als je dit vergelijkt met de wijze hoe in de regel Linux computers hun programma's ontvangen, zie je een groot verschil. De distributeur, Debian/Ubuntu, RedHat, Suse enz, verzamelen van alle benodigde programmatuur de broncodes, compilren die en integreren het tot een stabiel geheel. Je hoeft dan alleen te beoordelen of die ene distributeur je vertrouwen waard is. De procedures die de gerenomeerde distributies hanteren voor acceptatie en wijziging in de broncodes zijn in de regel bijzonder stringent en het risico dat ongein wordt meegeïnstalleerd is dan ook klein. De geïnstalleerde programmatuur kan/wordt verder automatisch up-to-date gehouden met die in de repositories van de distributie. Een behoorlijk werkend systeem waarbij je ook niet allerlei verschillende updaters voor de programma's van verschillende leveranciers in de lucht moet houden (en vertrouwen!).

Het Apple platform lijdt overigens in principe aan hetzelfde euvel als het MS Windows platform.

Nu is het niet zo dat open source programma's geen (beveiligings)gebreken hebben of beter zouden zijn. Wel worden gebreken en beveilingsgaten meestal snel, meestal sneller dan in de merkgebonden programmatuur, verholpen en gedicht.

Joep Lunaar

Ik hoop dat
13-08-2012, 23:12 door burne101
Door Anoniem:
Als je dit vergelijkt met de wijze hoe in de regel Linux computers hun programma's ontvangen, zie je een groot verschil. De distributeur, Debian/Ubuntu, RedHat, Suse enz, verzamelen van alle benodigde programmatuur de broncodes, compilren die en integreren het tot een stabiel geheel.

Heerlijke poep. Het is nu de vijfde avond na de eerste berichten over een virus. Het is 96 uur nadat het virus aangeboden werd aan de makers van ClamAV. 29 van de 42 virusscanners herkennen het, maar ClamAV niet.

ClamAV is de 'default' oplossing voor RedHat. Mijn RHEL fileservers, waarvoor ik bijna duizend euro per machine per jaar aan licentie-kosten betaal, herkennen Dorifel niet. Met zo'n 80.000 gebruikers zie ik dat toch wel als een probleem.

Natuurlijk is de oplossing eenvoudig. Genoeg fabrikanten die Dorifel wel herkennen en een 90 of 120 dagen trial-version aanbieden.

Maar, en dat is mijn punt: oogkleppen en blind vertrouwen op de makers van RedHat, Centos, Debian, OpenBSD, FreeBSD, NetBSD had je in dit geval niet geholpen. (Arme Theo..)

(Overigens: deze omgeving omvat 52 machines, maal bijna duizend euro per jaar per machine voor een RedHat-licentie.. Het is niet dat we beknibbelen op kosten, ofzo..)
14-08-2012, 00:05 door Joep Lunaar
@burne101
Jouw ervaring met clamav is niet fijn en in dit geval van Dorifel jammer.
Maar bedenk wel dat die ervaring gaat over het detecteren (en opruimen) van die allende; mijn betoogje richtte zich op het beperken van de kwetsbaarheid.

NB. jouw RHEL servers zelf zijn niet kwetsbaar voor Citadel/Dorifel , het zijn (vermoedelijk) de ervan gebruikmakende MS Windows werkplekken. En Theo (de Raadt) is niet zielig, want zijn schepping is zelf dus niet kwetsbaar.

Hoe dan ook: botnets, trojans en dergelijke zooi kan vaak indringen bij gebrek aan een __exclusief__ en goed afgeschermd kanaal waarover programmatuur op een computer kan komen. Dat is de fundamentele zwakte die aan het "open" platform MS Windows kleeft.

Volgens het artikel is Dorifel het topje van de ijsberg en is het onderliggende botnet een probleem van veel grote orde - m.i. correct en ik houd mijn hart ook vast. Dorifel is just a payload. Het botnet is een (ongewenst) distributiekanaal voor programmatuur pur sang. Citadel en Zeus zijn al langere tijd bekend, maar die onderscheppen is dus nogal lastig, akelig, zeker als je je bedenkt dat ze niet uniek zijn.

p.s.
Dat het Dorifel niet standaard wordt gedetecteerd, ook zonder dat de scanners het al specifiek kennen verbaast mij. Een documentbestand dat is opgetuigd met een executeerbare naamextensie, dat moet toch een heuristisch eitje zijn. Het is zo ie zo bezopen dat de bestandsnaam en de uitvoerbaarheid van een bestand niet orthogonaal zijn.
14-08-2012, 05:26 door Anoniem
Virusscanners zijn achterhaald, ze werken leuk om bekende zaken te detecteren maar missen nieuwe virussen. Hierdoor zorgen ze voor schijnveiligheid bij de gebruiker. Het is beter om er voor te zorgen dat bestanden die binnen komen via mail eerst in een sandbox draaien en daarna pas doorgezet worden naar de gebruiker. Stel een goede patch policy op om de kans op software lekken te verkleinen waarmee je de drive-by vulnerabiliteit weg neemt of minimaliseert. Blokkeer removable media voor zover mogelijk. Een goede backup policy zorgt er voor dat je bij een uitbraak altijd nog gedeeltelijk terug kan naar een stabiele situatie. Er zal altijd een rest risico overblijven, zeker in een omgeving welke voornamelijk op Windows gebaseerd is.
14-08-2012, 11:07 door yobi
Ik vind het te eenvoudig om de verantwoordelijkheid bij de gebruikers neer te leggen. Zelf een beveiligingsexpert kan in de val worden gelokt.

Tijdig patchen is makkelijker gezegd dan gedaan. Er moet ook nog met de apparatuur gewerkt worden. De manier die wordt voorgesteld lijkt me zeer vervelend werken. Computer starten; Windows en virusscanner updaten; flash updaten; Adobe-reader updaten; Java updaten; update uitvoeren (herstarten); virusscanner draaien; vervolgens aan de slag.

Daarna ook nog even de router, televisie en mobile telefoon updaten!
14-08-2012, 11:49 door Spiff has left the building
@ yobi 11:07,

Voor wie moeite heeft met updaten is er weinig dat diegene belet de automatische updaters van onder meer Windows, virusscanner en Flash Player te gebruiken. En een router verstrekt door een ISP voert eventuele updates doorgaans automatisch door.
Van sommige andere software vergt het updaten inderdaad meer zorg, maar de beveiligings-patches daarvoor komen beslist niet dagelijks uit. Wie het toch te lastig vindt om security-patches bij te houden, die kan naar wens Secunia PSI 3.0 gebruiken, die het doorvoeren van security-patches verregaand kan automatiseren.
Het wérkelijke probleem is het ontbreken van kennis over de noodzaak tot patchen, of de onjuiste veronderstelling dat patchen niet werkelijk van belang zou zijn zolang maar een virusscanner wordt gebruikt.
14-08-2012, 12:33 door Mysterio
Door Spiff:
@ yobi 11:07,

Voor wie moeite heeft met updaten is er weinig dat diegene belet de automatische updaters van onder meer Windows, virusscanner en Flash Player te gebruiken. En een router verstrekt door een ISP voert eventuele updates doorgaans automatisch door.
Van sommige andere software vergt het updaten inderdaad meer zorg, maar de beveiligings-patches daarvoor komen beslist niet dagelijks uit. Wie het toch te lastig vindt om security-patches bij te houden, die kan naar wens Secunia PSI 3.0 gebruiken, die het doorvoeren van security-patches verregaand kan automatiseren.
Het wérkelijke probleem is het ontbreken van kennis over de noodzaak tot patchen, of de onjuiste veronderstelling dat patchen niet werkelijk van belang zou zijn zolang maar een virusscanner wordt gebruikt.
Een leuke thuisoplossing... Maar als we kijken naar de partijen die getroffen zijn, dan is het toch een tikkeltje ingewikkelder. De updates dienen eerst grondig getest te worden. Vooral .NET updates willen nog wel eens het één en ander overhoop gooien en van een Java update wordt ook niet elk programma blij.

Verder moet je dit zien te proppen in je toch al krappe onderhoudsplanning. Vooral het testen is bijzonder tijdrovend omdat het niet altijd helder is wie er binnen de organisatie bekwaam is om goed te testen. Of een programma opstart kan elke idioot testen, maar we werken met data analyse programma's waarbij zonder foutmeldingen opstarten niets zegt over de scripts die onder water draaien.

Thuis is het makkelijk want de key-user en de beheerder zijn één en dezelfde. Maar zie het maar eens voor elkaar te krijgen binnen een organisatie van meer dan 5000 medewerkers en 1200 applicaties om dan die ene maandagavond in de maand, in twee uur, de nodige Windows updates, nieuwe software en updates van weet-ik-hoeveel programma's getest uit te rollen.

Zonder dat je dinsdagochtend om 7 uur weer aan je roll-back mag beginnen omdat Henkie zijn Davilex troep niet aan de praat krijgt.
14-08-2012, 13:15 door Anoniem
"We moeten de hand in eigen boezem steken en met oplossingen komen in plaats van gebruikers dom te noemen als ze op iets kwaadaardigs geklikt hebben. "

Geheel mee eens. Daarnaast kunnen ook legitieme website besmet zijn met drive-by malware. Is iemand dom omdat hij via bijvoorbeeld www.nu.nl wordt geinfecteerd t.g.v. een malicious banner ? En de spearphishing aanvallen waarover Bitwiper het heeft zijn ook lang niet altijd eenvoudig te detecteren.

Overigens vraag ik mij nog altijd af waarom mail clients niet net iets meer informatie verschaffen, bijvoorbeeld geolocatie info op basis van originating IP. Indien ik een mail krijg van een collega uit Amsterdam, maar de originating IP laat zien dat de mail verstuurd werd vanuit (bijvoorbeeld) Oekraine, dan zou het handig zijn om dit te zien. En bij voorkeur zonder zelf handmatig de full header te gaan bekijken.
14-08-2012, 13:24 door Spiff has left the building
@ Mysterio,

Je hebt uiteraard helemaal gelijk.
Maar uit de formulering van yobi lijkt te blijken dat dat een thuis-situatie betreft, vooral ook door de verwijzing naar de televisie. Of het moet werk betreffen waarbij tv-kijken tot de taakomschrijving hoort ;-)
14-08-2012, 16:54 door Anoniem
Door Anoniem 13:15: Overigens vraag ik mij nog altijd af waarom mail clients niet net iets meer informatie verschaffen, bijvoorbeeld geolocatie info op basis van originating IP.
Je kan in Thunderbird de optie mail.show_headers op 2 zetten, dan zie je al iets meer. Maar een doorsnee-gebruiker wil dat niet zien en die zou daar ook weinig/niets mee doen.

... malware en inbraken ... drie voorbeelden:
1. Veilig internetten: Probeer maar op kantoor bijv. je collega's te vertellen dat er met Firefox+ABP+NoScript gewerkt moet worden en dan niet bij de eerste de beste website op "permanent toestaan" moet worden geklikt.
2. Vertrouwen: Nog lastiger is dan het verhaal dat je ook een besmette mail van een overheidsinstantie kan ontvangen.
... Wie vrolijke bekenden vrienden heeft, kan soms prachtige dubbelzinnige mails ontvangen met PPT/XLS-bestanden - wie klikt dan op "NEE"?
3. Netwerken: Helemaal "vrolijk" wordt ik van een kwestie zoals destijds rond LinkedIn, wetende dat sommige werkgevers van je vragen om daar een account aan te maken.

Omdat het telkens weer kan gebeuren -> accepteer gewoon dat je vaak "geluk" hebt gehad; maar als het fout gaat, niet janken maar om je heen kijken en met de beste tips aan de slag met puinruimen.
14-08-2012, 18:39 door Bitwiper
Door Anoniem: Overigens vraag ik mij nog altijd af waarom mail clients niet net iets meer informatie verschaffen, bijvoorbeeld geolocatie info op basis van originating IP.
Dat zou heel zinvol zijn, ware het niet dat er geen (structureel nageleefde) standaard bestaat voor het originating IP adres.

Als spam afkomstig van zombie-PC's al een regel met X-Originating-IP bevat, zal deze ongetwijfeld gespoofed zijn. Op "Received" headerregels kun je ook niet vertrouwen, omdat spam vanaf zombie PC's in de meeste gevallen voorzien is van 1 of meer gespoofde regels (onderaan de lijst). De enige truc is om van boven naar beneden Received header regels te doorlopen tot je de laatste vertrouwde mailserver tegenkomt; het IP adres van de afzender tijdens die sessie is de enige zinvolle en betrouwbare informatie die je krijgt.

Bij spam vanaf (meestal gecompromitteerde) webmail accounts wordt in lang niet alle gevallen een originating IP adres meegestuurd (o.a. Gmail doet dat niet).

Een ander probleem is dat mobile devices vaak lastiger te "geo-localiseren" IP-adressen gebruiken.

Stel dat je toch betrouwbaar (en geautomatiseerd) het originating IP-adres zou kunnen vaststellen, zullen spammers zich aanpassen en zal er een nieuw probleem ontstaan: zodra een aanvaller een PC "overneemt" en op die PC een e-mail adreslijst aantreft (en wellicht ook e-mails, wat social engineering vereenvoudigt) kan die aanvaller alle adressen op de gevonden adreslijst spammen vanaf die PC (met dus het verwachte IP-adres van de afzender) en desgewenst daarbij ook de identiteit van de PC eigenaar overnemen en de mail voorzien van een overtuigend verhaal. Denk aan "ik heb wat wijzigingen aangebracht in het document dat je me vorige week stuurde (zie bijlage), ben je het er zo mee eens?"

Zodra een doortastende aanvaller een PC binnen een bedrijf/organisatie (of van een thuisgebruiker met VPN) heeft overgenomen, kan die aanvaller heel veel schade aanrichten als hij of zij dan ook namens die gebruiker kan mailen...
15-08-2012, 09:04 door Anoniem
Door Bitwiper:
Door Redactie: Ondanks allerlei uitspraken over "veranderende dreigingslandschappen" en "cyberlegers" is preventie eenvoudig: namelijk niet klikken en software updaten, oftewel veilig internetten (-> https://www.certifiedsecure.com/certificatedetails/view/39).
Dit is helemaal niet eenvoudig.


We moeten de hand in eigen boezem steken en met oplossingen komen in plaats van gebruikers dom te noemen als ze op iets kwaadaardigs geklikt hebben. Die gebruikers hebben nu groot gelijk als ze stellen: maar we hebben toch een virusscanner, een firewall, en dichtgetimmerde en trage systemen waardoor ik m'n werk al niet efficiënt meer kan doen? Ja mevrouw, maar toch is het uw schuld, u had niet moeten klikken...

Tja, ik zie het iets anders. Je rijdt met je auto het water in omdat je navigatie systeem aangaf dat je meteen rechtsaf moest. Dat is de schuld van de autofabrikant, want die had moeten zorgen dat de auto daar niet rechtsaf kon.
Wat ik nu schrijf klinkt natuurlijk als onzin, feitelijk is jouw verhaal dat ook, als je niet weet waar je mee bezig bent doe het niet,
Natuurlijk kan het anders, de rechten van de gebruiker op een systeem inperken tot alleen lezen, met alleen homedir om te schrijven. Maar dat heb ik uitgevoerd bij een kennis die veel besmettingen had.
Admin wachtwoord gegeven voor alleen echte installaties en een paar weken later zat hij weer vol... veel te lastig zo'n account zonder rechten.
Dat laatste is niet alleen dom te noemen.
15-08-2012, 11:00 door Mysterio
Door Anoniem:
Door Bitwiper:
Door Redactie: Ondanks allerlei uitspraken over "veranderende dreigingslandschappen" en "cyberlegers" is preventie eenvoudig: namelijk niet klikken en software updaten, oftewel veilig internetten (-> https://www.certifiedsecure.com/certificatedetails/view/39).
Dit is helemaal niet eenvoudig.


We moeten de hand in eigen boezem steken en met oplossingen komen in plaats van gebruikers dom te noemen als ze op iets kwaadaardigs geklikt hebben. Die gebruikers hebben nu groot gelijk als ze stellen: maar we hebben toch een virusscanner, een firewall, en dichtgetimmerde en trage systemen waardoor ik m'n werk al niet efficiënt meer kan doen? Ja mevrouw, maar toch is het uw schuld, u had niet moeten klikken...

Tja, ik zie het iets anders. Je rijdt met je auto het water in omdat je navigatie systeem aangaf dat je meteen rechtsaf moest. Dat is de schuld van de autofabrikant, want die had moeten zorgen dat de auto daar niet rechtsaf kon.
Wat ik nu schrijf klinkt natuurlijk als onzin, feitelijk is jouw verhaal dat ook, als je niet weet waar je mee bezig bent doe het niet,
Natuurlijk kan het anders, de rechten van de gebruiker op een systeem inperken tot alleen lezen, met alleen homedir om te schrijven. Maar dat heb ik uitgevoerd bij een kennis die veel besmettingen had.
Admin wachtwoord gegeven voor alleen echte installaties en een paar weken later zat hij weer vol... veel te lastig zo'n account zonder rechten.
Dat laatste is niet alleen dom te noemen.
Jouw reactie is een beetje kort door de bocht.

Het werken met beperkte rechten zorgt er voor dat malware inderdaad lastiger op je systeem komt, maar zorgt er ook voor dat updates handmatig geïnstalleerd moeten worden onder een ander account. Een klant van mij werkt met beperkte rechten, daardoor is de software niet altijd up-to-date (virusscanner wel) maar wordt eens per maand nagekeken. Toch is haar computer besmet. En in het geval van Dorifel dus dubbel besmet.

De virusscanner is als een airbag. Niet als een navigatiesysteem. Ja, de bestuurder is dom genoeg om tegen een boom aan te rijden of verloor simpelweg door geavanceerde malware de macht over het stuur, maar de airbag zou moeten redden wat er kritiek is.

De virusscanners falen keer op keer om juist de kritieke delen van het systeem af te schermen. Het maakt niet uit dat er een paar Word documenten corrupt zijn. Die staat toch in de backup... Maar een botnet erbij!? Kom op! Dat had nooit mogen gebeuren.
15-08-2012, 15:24 door yobi
Misschien een idee om het botnet aan een aantal virtuele machines te laten koppelen. Vervolgens i.p.v. werkbare inloggegevens e.d. onzinnige data naar de hacker te sturen.
14-09-2012, 11:11 door Anoniem
Door burne101: ClamAV is de 'default' oplossing voor RedHat. Mijn RHEL fileservers, waarvoor ik bijna duizend euro per machine per jaar aan licentie-kosten betaal, herkennen Dorifel niet. Met zo'n 80.000 gebruikers zie ik dat toch wel als een probleem.

Natuurlijk is de oplossing eenvoudig. Genoeg fabrikanten die Dorifel wel herkennen en een 90 of 120 dagen trial-version aanbieden.

Waar betaal je dat licentiebedrag precies voor? Ik zou denken voor snelle antwoorden op vragen over configuratie en gebruik, snelle actie bij bugs in software, dat soort dingen. Niet voor de software zelf, die is open source en ook uit andere bronnen te betrekken (op een paar RedHat-specifieke dingen na vermoedelijk). ClamAV zal de default zijn omdat het de enige open-source-virusscanner is. ClamAV is niet van RedHat, en een virusdatabase beheren is een nogal vergaande specialisatie, ik zou verbaasd zijn als RedHat in staat zou zijn om sneller te reageren dan ClamAV zelf.

Misschien moet je eens kijken of je verwachtingen aan RedHat overeenstemmen met wat precies bij dat licentiegeld inbegrepen is, ik vermoed dat daar iets wringt.

Als je de kans dat een virus herkend wordt door een scanner op je fileservers op wil schroeven kan het zinvol zijn om meerdere engines te gebruiken (en geen ad hoc trial-versies maar structureel). Hier kan je een indruk krijgen van wat op Linux draait en hoe het presteert:

http://www.shadowserver.org/wiki/pmwiki.php/AV/Viruses
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.