Werknemers in opstand tegen plug-inverbod (interview)
Voor de veiligheid van computers is het misschien een goed idee, maar werknemers zijn niet zo snel bereid om op de werkvloer afstand van plug-ins zoals Java, Adobe Flash Player en Adobe Reader te doen omdat security professionals dat zo graag willen. Dat zegt Darien Kindlund van beveiligingsbedrijf FireEye in een interview met Security.NL.
FireEye was het afgelopen jaar betrokken bij het vinden van verschillende zero-days. Dit jaar ontdekte het bedrijf de eerste zero-day exploit in het wild die in staat is om de sandbox-beveiliging van Adobe te omzeilen.
Bedrijven die zich tegen gerichte aanvallen, of malware in het algemeen willen beschermen, doen er verstandig aan om twee browsers te gebruiken, merkt Kindlund op. Het zou dan om een browser zonder plug-ins voor het internet gaan, en een browser met plug-ins voor intern gebruik, zoals intranetten en interne applicaties.
Kwetsbaar
Doordat besturingssystemen en browsers steeds veiliger worden en plug-ins een veel groter bereik hebben doordat ze op meerdere platformen en browsers werken, richten aanvallers zich steeds meer op browserplug-ins zoals Java en Flash Player. Vorig jaar werden er echter ook nog verschillende 'zero-days' in Internet Explorer gebruikt om bij organisaties in te breken.
"Het gebruik van twee browsers is een goed begin", zo stelt Kindlund. Hij erkent dat het ook een uitdaging is, aangezien systeembeheerders twee browsers moeten bijhouden en configureren. "Het is een afweging die je moet maken. Wil je vooraf wat moeite doen of betaal je liever de schoonmaakkosten in het geval een endpoint is gehackt."
Werkvloer
Veel van de klanten van FireEye en bedrijven waar Kindlund mee spreekt hanteren deze aanpak van een 'featurerijke' browser voor intern gebruik en een featureloze browser voor externe activiteiten. "Het is niet perfect maar het verkleint de kwetsbaarheid voor het dreigingslandschap, in wat voor manieren de endpoint gecompromitteerd kan worden.
Toch was dit niet de gewenste situatie voor veel security professionals. In eerste instantie waren het chief information security officers (CISO) bij deze organisaties die alle kwetsbare plug-ins 'uitroeiden', laat Kindlund weten. Werknemers mochten geen gebruik meer van browserplug-ins maken in naam van veiligheid.
Dit zorgde echter voor een tegenreactie bij gebruikers die deze plug-ins juist nodig hadden. Werknemers wilden dat er een manier kwam zodat ze deze plug-ins toch op een veilige manier konden gebruiken. "De dual browser is een compromis, maar het was niet per definitie de eerste strategie die deze security teams kozen", gaat Kindlund verder.
Dit betekent wel dat de browsers zo ingesteld moeten worden dat de featurerijke browser geen toegang tot het internet heeft. "Het maakt het een stuk makkelijker als de gebruiker geen beheerdersrechten op het endpoint heeft." Via de proxy kunnen bedrijven instellen welk verkeer wel of niet naar buiten mag.
Sandbox
Een andere oplossing die Kindlund adviseert is het gebruik van Virtual Machines (VM) om onbetrouwbare content te openen, en deze VM na een bepaalde periode weer weg te doen. Recentelijk slagen aanvallers er steeds beter in om sandbox-beveiliging te omzeilen. Zo sneuvelde gisteren de sandbox van Chrome en IE10 en lukte het aanvallers eerder om uit de sandbox van Adobe Reader te breken.
Volgens Kindlund is het nog te vroeg om te voorspellen of het hier om een trend gaat. "Het is waarschijnlijk dat aanvallers beter worden in het omzeilen van deze technologie, maar het is onduidelijk of de sandbox-technologie exponentieel of lineair zal afbrokkelen. Daarvoor hebben we gewoon meer data nodig."
Updates
Voorlopig doen bedrijven er dan ook verstandig aan om beschikbare beveiligingsupdates snel te installeren, want alle uitzonderingen daar gelaten beschikken de meeste aanvallers niet over een budget om eigen onderzoek uit te voeren en nieuwe beveiligingslekken te vinden.
"De meerderheid pakt dus wat ze gratis kunnen vinden en wat werkt", merkt Kindlund op. Hij voegt er snel aan toe dat dit niet geldt voor aanvallers die door landen gesponsord worden, hoewel die ook vaak genoeg bekende kwetsbaarheden misbruiken.
Veel van de genoemde software heb je gewoon nodig: PDF's, java: zonder kan je niet op kantoor. Flash wordt ook binnen kantoorapplicaties wel gebruikt, dus ook dat zomaar weghalen is geen optie.
Overigens is dit een van de manco's van de security industrie: je kan wel hard gaan roepen dat dingen onveilig zijn, maar zonder een goed alternatief is dat een beetje zinloos. Internet bankieren vanaf een CD ipv gewoon vanaf je desktop voelt als terug naar het stenen tijdperk. Facebook, twitter en gmail niet koppelen geeft meer privacy, maar maakt het allemaal ook minder leuk. Eigenlijk is security als een condoom - iedereen weet dat je er minder ziektes door oploopt, maar we doen het allemaal liever zonder...
Dear user,
A recent report identified your machine having a version of Java 7.* installed. For Security reasons, this version needs to be replaced with Java V6.35.
The initialization to remove Java V7.* and the installation of Java V6.35 will be automated, and will run in the background.
The actual installation process then starts at first logon, to ensure the installation will NOT interfere with your current session.
The deployment will start between 26/02/2014 and 01/04/2013
If you believe you require a minimum version of java 7.x in order to do you work, or have any questions, please contact <name withheld to protect the stupid>
Toen heb ik maar even gevraagd of ze wel goed bij hun hoofd waren om mijn volledig up to date Java 7 te vervangen voor een versie die zo lek als een zeef is en niet eens meer ondersteund wordt.
Tot nu toe heb ik m'n Java 7 nog maar een collega reageerde niet op de mail en die heeft nu ineens een oude en lekke java gekregen. Met dank aan de CSO. Ik vraag me soms echt af wat voor eikels er bij dit bedrijf werken :-/
Een ander punt: veel ellende voorkom je ook juist door plugins: een adblocker zou een standaard veiligheidsmaatregel moeten zijn. Bovendien drukt het de datakosten van het bedrijf.
Een ander punt: veel ellende voorkom je ook juist door plugins: een adblocker zou een standaard veiligheidsmaatregel moeten zijn. Bovendien drukt het de datakosten van het bedrijf.
Het gaat om een plug-in verbod, niet om een extension verbod of een add-on verbod.
Er zijn plug-ins en extensions, beide worden add-ons genoemd.
Zowel plug-ins als extensions vallen onder add-ons.
Zie ook de reactie van Anoniem 16-2, 18:46 uur, in de thread bij deze poll:
https://www.security.nl/artikel/45144/1/Welke_browser_plug-in_kun_jij_absoluut_niet_missen%3F.html
Zowel plug-ins als extensies vallen onder add-ons.
Plug-ins dienen om typen inhoud die geen standaard-html en aanverwanten zijn in webpagina's mogelijk te maken, zoals Flash, Java-applets, Silverlight. Ze zijn gekoppeld aan een content-type zoals de webserver bij het serveren van een bestand aan de webbrowser meegeeft.
Extensions zijn uitbreidingen van de browser-applicatie zelf. Je kan bijvoorbeeld je favoriete tekst-editor laten starten om de inhoud van een tekstveld zoals ik nu voltyp te bewerken, scripts of advertenties blokkeren (bepaalde typen content selectief blokkeren is iets fundamenteel anders dan de weergave ervan ondersteunen, het zit er bijvoorbeeld dik in dat je tegen de wil van de maker van de website ingaat), via TOR of een ander soort proxy browsen in plaats van direct, dat soort dingen.
En beide soorten uitbreidingen voeg je toe aan de browser zoals die 'kaal' geleverd wordt, dus beide worden add-ons genoemd.
Deze is ruk en geeft sommige pdf's compleet verstoord weer, tot op heden.
(heerlijk zo kort door de bocht, blijft mijn systeempje ook razendsnel van!) ;)
Pakweg 1 op 5 PDF's geeft in FF19 de melding dat sommige onderdelen niet goed worden weergegeven. Pest is dat Adobe PDF Plug-in in FF19 domweg wordt genegeerd. Dus dan maar downloaden, openen in Acrobat Reader en hopen dat er snel updates voor de ingebouwde reader komen (FF19.02 geeft nog geen verbetering voor zover ik kort heb kunnen uitproberen, dus deze kritiek onder voorbehoud)
Dear user,
A recent report identified your machine having a version of Java 7.* installed. For Security reasons, this version needs to be replaced with Java V6.35.
(...)
Toen heb ik maar even gevraagd of ze wel goed bij hun hoofd waren om mijn volledig up to date Java 7 te vervangen voor een versie die zo lek als een zeef is en niet eens meer ondersteund wordt.
(...)
:-/
Wat als de lekken in de functionaliteit van de nieuw/ere/ste Java wel/niet de produktiviteit/integriteit binnen de bedrijfsvoering beinvloeden?
Dus de beperkte, mindere functionaliteit van de voorgestelde/afgedwongen oudere Java-versie bevat lekken die niet van toepassing zijn op de huidige interne it-bedrijfsstructuur?
Gewoon een idee waar ik opkwam, zo ongeveer - ~ -, puur nieuwsgierig... ??? ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
