image

Werknemers in opstand tegen plug-inverbod (interview)

donderdag 7 maart 2013, 09:44 door Redactie, 12 reacties

Voor de veiligheid van computers is het misschien een goed idee, maar werknemers zijn niet zo snel bereid om op de werkvloer afstand van plug-ins zoals Java, Adobe Flash Player en Adobe Reader te doen omdat security professionals dat zo graag willen. Dat zegt Darien Kindlund van beveiligingsbedrijf FireEye in een interview met Security.NL.

FireEye was het afgelopen jaar betrokken bij het vinden van verschillende zero-days. Dit jaar ontdekte het bedrijf de eerste zero-day exploit in het wild die in staat is om de sandbox-beveiliging van Adobe te omzeilen.

Bedrijven die zich tegen gerichte aanvallen, of malware in het algemeen willen beschermen, doen er verstandig aan om twee browsers te gebruiken, merkt Kindlund op. Het zou dan om een browser zonder plug-ins voor het internet gaan, en een browser met plug-ins voor intern gebruik, zoals intranetten en interne applicaties.

Kwetsbaar
Doordat besturingssystemen en browsers steeds veiliger worden en plug-ins een veel groter bereik hebben doordat ze op meerdere platformen en browsers werken, richten aanvallers zich steeds meer op browserplug-ins zoals Java en Flash Player. Vorig jaar werden er echter ook nog verschillende 'zero-days' in Internet Explorer gebruikt om bij organisaties in te breken.

"Het gebruik van twee browsers is een goed begin", zo stelt Kindlund. Hij erkent dat het ook een uitdaging is, aangezien systeembeheerders twee browsers moeten bijhouden en configureren. "Het is een afweging die je moet maken. Wil je vooraf wat moeite doen of betaal je liever de schoonmaakkosten in het geval een endpoint is gehackt."

Werkvloer
Veel van de klanten van FireEye en bedrijven waar Kindlund mee spreekt hanteren deze aanpak van een 'featurerijke' browser voor intern gebruik en een featureloze browser voor externe activiteiten. "Het is niet perfect maar het verkleint de kwetsbaarheid voor het dreigingslandschap, in wat voor manieren de endpoint gecompromitteerd kan worden.

Toch was dit niet de gewenste situatie voor veel security professionals. In eerste instantie waren het chief information security officers (CISO) bij deze organisaties die alle kwetsbare plug-ins 'uitroeiden', laat Kindlund weten. Werknemers mochten geen gebruik meer van browserplug-ins maken in naam van veiligheid.

Dit zorgde echter voor een tegenreactie bij gebruikers die deze plug-ins juist nodig hadden. Werknemers wilden dat er een manier kwam zodat ze deze plug-ins toch op een veilige manier konden gebruiken. "De dual browser is een compromis, maar het was niet per definitie de eerste strategie die deze security teams kozen", gaat Kindlund verder.

Dit betekent wel dat de browsers zo ingesteld moeten worden dat de featurerijke browser geen toegang tot het internet heeft. "Het maakt het een stuk makkelijker als de gebruiker geen beheerdersrechten op het endpoint heeft." Via de proxy kunnen bedrijven instellen welk verkeer wel of niet naar buiten mag.

Sandbox
Een andere oplossing die Kindlund adviseert is het gebruik van Virtual Machines (VM) om onbetrouwbare content te openen, en deze VM na een bepaalde periode weer weg te doen. Recentelijk slagen aanvallers er steeds beter in om sandbox-beveiliging te omzeilen. Zo sneuvelde gisteren de sandbox van Chrome en IE10 en lukte het aanvallers eerder om uit de sandbox van Adobe Reader te breken.

Volgens Kindlund is het nog te vroeg om te voorspellen of het hier om een trend gaat. "Het is waarschijnlijk dat aanvallers beter worden in het omzeilen van deze technologie, maar het is onduidelijk of de sandbox-technologie exponentieel of lineair zal afbrokkelen. Daarvoor hebben we gewoon meer data nodig."

Updates
Voorlopig doen bedrijven er dan ook verstandig aan om beschikbare beveiligingsupdates snel te installeren, want alle uitzonderingen daar gelaten beschikken de meeste aanvallers niet over een budget om eigen onderzoek uit te voeren en nieuwe beveiligingslekken te vinden.

"De meerderheid pakt dus wat ze gratis kunnen vinden en wat werkt", merkt Kindlund op. Hij voegt er snel aan toe dat dit niet geldt voor aanvallers die door landen gesponsord worden, hoewel die ook vaak genoeg bekende kwetsbaarheden misbruiken.

Reacties (12)
07-03-2013, 10:50 door Anoniem
Tja - zo'n security specialist kan wel vinden dat het veiliger is om Adobe PDF reader, flash en java te verwijderen - maar er moet wel gewerkt worden! Ergens in een grot zit je ook veiliger dan op een fiets midden in de stad, maar je schiet er zo weinig mee op.

Veel van de genoemde software heb je gewoon nodig: PDF's, java: zonder kan je niet op kantoor. Flash wordt ook binnen kantoorapplicaties wel gebruikt, dus ook dat zomaar weghalen is geen optie.

Overigens is dit een van de manco's van de security industrie: je kan wel hard gaan roepen dat dingen onveilig zijn, maar zonder een goed alternatief is dat een beetje zinloos. Internet bankieren vanaf een CD ipv gewoon vanaf je desktop voelt als terug naar het stenen tijdperk. Facebook, twitter en gmail niet koppelen geeft meer privacy, maar maakt het allemaal ook minder leuk. Eigenlijk is security als een condoom - iedereen weet dat je er minder ziektes door oploopt, maar we doen het allemaal liever zonder...
07-03-2013, 15:25 door SirDice
Door Anoniem: Tja - zo'n security specialist kan wel vinden dat het veiliger is om Adobe PDF reader, flash en java te verwijderen - maar er moet wel gewerkt worden! Ergens in een grot zit je ook veiliger dan op een fiets midden in de stad, maar je schiet er zo weinig mee op.
Het kan veel erger... Zo kreeg ik twee weken terug het volgende mailtje van operations:

Dear user,

A recent report identified your machine having a version of Java 7.* installed. For Security reasons, this version needs to be replaced with Java V6.35.

The initialization to remove Java V7.* and the installation of Java V6.35 will be automated, and will run in the background.

The actual installation process then starts at first logon, to ensure the installation will NOT interfere with your current session.

The deployment will start between 26/02/2014 and 01/04/2013

If you believe you require a minimum version of java 7.x in order to do you work, or have any questions, please contact <name withheld to protect the stupid>

Toen heb ik maar even gevraagd of ze wel goed bij hun hoofd waren om mijn volledig up to date Java 7 te vervangen voor een versie die zo lek als een zeef is en niet eens meer ondersteund wordt.

Tot nu toe heb ik m'n Java 7 nog maar een collega reageerde niet op de mail en die heeft nu ineens een oude en lekke java gekregen. Met dank aan de CSO. Ik vraag me soms echt af wat voor eikels er bij dit bedrijf werken :-/
07-03-2013, 16:40 door johanw
Overstappen van Adobe PDF naar een alternatief als Foxit voorkomt al een hoop gedoe zonder vaak noodzakelijke functionaliteit als het lezen van pdf's op te geven.

Een ander punt: veel ellende voorkom je ook juist door plugins: een adblocker zou een standaard veiligheidsmaatregel moeten zijn. Bovendien drukt het de datakosten van het bedrijf.
07-03-2013, 17:19 door SirDice
Door johanw: Overstappen van Adobe PDF naar een alternatief als Foxit voorkomt al een hoop gedoe zonder vaak noodzakelijke functionaliteit als het lezen van pdf's op te geven.
Firefox 19 heeft een PDF lezer ingebouwd, al moet die z'n strepen nog verdienen.
07-03-2013, 19:03 door Spiff has left the building
Door johanw, 16:40 uur:
Een ander punt: veel ellende voorkom je ook juist door plugins: een adblocker zou een standaard veiligheidsmaatregel moeten zijn. Bovendien drukt het de datakosten van het bedrijf.
Een adblocker is geen plug-in maar een extension.
Het gaat om een plug-in verbod, niet om een extension verbod of een add-on verbod.

Er zijn plug-ins en extensions, beide worden add-ons genoemd.
Zowel plug-ins als extensions vallen onder add-ons.

Zie ook de reactie van Anoniem 16-2, 18:46 uur, in de thread bij deze poll:
https://www.security.nl/artikel/45144/1/Welke_browser_plug-in_kun_jij_absoluut_niet_missen%3F.html
Door Anoniem 16-2, 18:46 uur:
Zowel plug-ins als extensies vallen onder add-ons.

Plug-ins dienen om typen inhoud die geen standaard-html en aanverwanten zijn in webpagina's mogelijk te maken, zoals Flash, Java-applets, Silverlight. Ze zijn gekoppeld aan een content-type zoals de webserver bij het serveren van een bestand aan de webbrowser meegeeft.

Extensions zijn uitbreidingen van de browser-applicatie zelf. Je kan bijvoorbeeld je favoriete tekst-editor laten starten om de inhoud van een tekstveld zoals ik nu voltyp te bewerken, scripts of advertenties blokkeren (bepaalde typen content selectief blokkeren is iets fundamenteel anders dan de weergave ervan ondersteunen, het zit er bijvoorbeeld dik in dat je tegen de wil van de maker van de website ingaat), via TOR of een ander soort proxy browsen in plaats van direct, dat soort dingen.

En beide soorten uitbreidingen voeg je toe aan de browser zoals die 'kaal' geleverd wordt, dus beide worden add-ons genoemd.

07-03-2013, 22:35 door gogonal
Door SirDice:
Door johanw: Overstappen van Adobe PDF naar een alternatief als Foxit voorkomt al een hoop gedoe zonder vaak noodzakelijke functionaliteit als het lezen van pdf's op te geven.
Firefox 19 heeft een PDF lezer ingebouwd, al moet die z'n strepen nog verdienen.


Deze is ruk en geeft sommige pdf's compleet verstoord weer, tot op heden.
08-03-2013, 12:23 door SirDice
Door komplot:
Door SirDice:
Door johanw: Overstappen van Adobe PDF naar een alternatief als Foxit voorkomt al een hoop gedoe zonder vaak noodzakelijke functionaliteit als het lezen van pdf's op te geven.
Firefox 19 heeft een PDF lezer ingebouwd, al moet die z'n strepen nog verdienen.
Deze is ruk en geeft sommige pdf's compleet verstoord weer, tot op heden.
Oh, da's niet best. Schept niet heel veel vertrouwen in ieder geval. Zelf nog geen problemen ondervonden.
08-03-2013, 12:55 door Anoniem
Vroegurrrr .... waren 'we' nog in staat om b.v. een .txt bestandje te lezen, heb ik altijd een uitstekend alternatief gevonden voor die andere virusdragers. Flash en Java zijn applicaties voor scriptkiddies, .flv, .mp4, .avi, etc. etc. doen het ook zonder flash extensies prima!
(heerlijk zo kort door de bocht, blijft mijn systeempje ook razendsnel van!) ;)
08-03-2013, 14:33 door Anoniem
Door SirDice:
Door johanw: Overstappen van Adobe PDF naar een alternatief als Foxit voorkomt al een hoop gedoe zonder vaak noodzakelijke functionaliteit als het lezen van pdf's op te geven.
Firefox 19 heeft een PDF lezer ingebouwd, al moet die z'n strepen nog verdienen.

Pakweg 1 op 5 PDF's geeft in FF19 de melding dat sommige onderdelen niet goed worden weergegeven. Pest is dat Adobe PDF Plug-in in FF19 domweg wordt genegeerd. Dus dan maar downloaden, openen in Acrobat Reader en hopen dat er snel updates voor de ingebouwde reader komen (FF19.02 geeft nog geen verbetering voor zover ik kort heb kunnen uitproberen, dus deze kritiek onder voorbehoud)
09-03-2013, 06:18 door Ilja. _V V
Door SirDice: Het kan veel erger... Zo kreeg ik twee weken terug het volgende mailtje van operations:

Dear user,

A recent report identified your machine having a version of Java 7.* installed. For Security reasons, this version needs to be replaced with Java V6.35.
(...)

Toen heb ik maar even gevraagd of ze wel goed bij hun hoofd waren om mijn volledig up to date Java 7 te vervangen voor een versie die zo lek als een zeef is en niet eens meer ondersteund wordt.

(...)

:-/
Nou, ok, SirDice - (zuchtzucht) - het volgende is nog zomaar een idee, & ik weet ook nog niet hoe het nu exact te formuleren, sorry dat ik je daarmee stoor op de vroege (of late) zaterdagmorgen.

Wat als de lekken in de functionaliteit van de nieuw/ere/ste Java wel/niet de produktiviteit/integriteit binnen de bedrijfsvoering beinvloeden?

Dus de beperkte, mindere functionaliteit van de voorgestelde/afgedwongen oudere Java-versie bevat lekken die niet van toepassing zijn op de huidige interne it-bedrijfsstructuur?

Gewoon een idee waar ik opkwam, zo ongeveer - ~ -, puur nieuwsgierig... ??? ;-)
11-03-2013, 10:45 door Anoniem
Waarschijnlijk gebruikt jullie bedrijf een of andere prehistorische Java applicatie die niet goed werkt met Java 7. 'Enterprise'!
12-03-2013, 16:11 door SirDice
Door Anoniem: Waarschijnlijk gebruikt jullie bedrijf een of andere prehistorische Java applicatie die niet goed werkt met Java 7. 'Enterprise'!
Als dat het geval zou zijn dan was ik daar allang en breed een keer tegenaan gelopen. Alles werkt prima. Zelfs die ouwe meuk van Cisco waar ik 't voor nodig heb.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.