Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ThreatSTOP

23-01-2015, 11:59 door Anoniem, 11 reacties
Beste Security.nl lezers,

Vandaag kwam ik het programma ThreatSTOP tegen. Dit programma houdt bij met welke IP adressen je connectie hebt gemaakt en haalt dit lijstje door zijn eigen database om te kijken of er bekende geïnfecteerde IP adressen tussen zitten.

Volgens ThreatSTOP zou er bij mij in een uur tijd 193 verschillende IP adressen verbinding hebben gemaakt. Allemaal prima, alleen waren er 29 een zogenaamde active threat. Nu is ThreatSTOP overduidelijk een heel erg commercieel product, dus dit zou ik graag willen nalopen met een open source variant.

Mijn vraag:

Weet iemand een (het liefst zo simpel mogelijk) programma dat IP adressen bijhoudt en een goeie plek waar ik deze adressen snel, dus niet een voor een, door een lijst met bekende blacklisted IP adressen kan halen?

En zijn er mensen die meer ervaring hebben met ThreatSTOP, hoe goed kunnen wij deze partij vertrouwen?

Bedankt voor uw tijd en interesse in dit vraagstuk.
Reacties (11)
24-01-2015, 16:12 door johanw
De eerste vraag bij dit soort tools (net zoals bij al dat spul dat zogenaamd "problemen" vindt op je PC): moet je betalen om een "oplossing" te krijgen? Dan zou ik het niet al te zeer vertrouwen.

Overigens lopen er continue poortscans e.d. als je aan het internet hangt. Ik zie in de serverlogs van mijn Linux machine ook tig pogingen om windows virussen binnen te krijgen. Zolang het bij pogingen blijft niks aan de hand.
24-01-2015, 20:56 door Anoniem
Door johanw: De eerste vraag bij dit soort tools (net zoals bij al dat spul dat zogenaamd "problemen" vindt op je PC): moet je betalen om een "oplossing" te krijgen? Dan zou ik het niet al te zeer vertrouwen.

Overigens lopen er continue poortscans e.d. als je aan het internet hangt. Ik zie in de serverlogs van mijn Linux machine ook tig pogingen om windows virussen binnen te krijgen. Zolang het bij pogingen blijft niks aan de hand.


Hoe kan je aan de hand van een poortscan zien dat er gepoogd word windows virussen bij je binnen te krijgen ?
Volgens mij kan je hooguit zien dat er poorten die standaard op windows machines gebruikt worden gescanned worden.
En dat hoeft echt niet altijd voor en of door virussen te zijn , kan net zo goed bedoeld zijn als voorbereiding op een (d)dos of brute force poging. Of gewoon om het gebruikte OS te bepalen.
25-01-2015, 09:55 door Anoniem
Het is redelijk triviaal om allerlei logs door te spitten en er de IPadressen uit te filteren, daar de duplicaten uithalen, en ze vervolgens door een batterij tests te halen zoals het kijken of het bekende spambronnen zijn. Tenminste, voor mensen met een achtergrond in Unix*.

Daarmee hebben we het probleem gereduceerd tot die batterij tests, en dat is nog een interessante vraag. Hoe meet je de "kwaadaardigheid" van een IPadres? En stel dat je zo'n test weet te verzinnen, heeft wat het meet ook zin? Word je er wijzer van, en kun je iets nuttigs met die informatie?

Bij windows schijnt het de bedoeling te zijn dat voor elke mogelijke taak eerst een specifieke knop in 't ene of 't andere programma met grafische user interface moet bestaan. Omdat dit niet is zoals ik wens te werken houd ik mij er verre van en mag je zelf op zoek naar zo'n specifiek programma, bijvoorbeeld dat ene net genoemde programma.

Hoezeer dit ge-stealth-advertorialeerde programma te vertrouwen is? Begin eens met hun eigen blurb te lezen. Het is "cloud-based" en stuurt alle logs "naar de cloud" voor "analyse". Wil jij dat deze jou verder onbekende partij mag meekijken met welke verbindingen er allemaal van en naar jouw computer gemaakt worden?


* Waarmee bedoeld de bredere Unix-familie. Laten we voor het gemak in deze discussie "linux" meerekenen.
25-01-2015, 11:54 door choi - Bijgewerkt: 25-01-2015, 12:07
Door Anoniem: Beste Security.nl lezers,


Mijn vraag:

Weet iemand een (het liefst zo simpel mogelijk) programma dat IP adressen bijhoudt en een goeie plek waar ik deze adressen snel, dus niet een voor een, door een lijst met bekende blacklisted IP adressen kan halen?

En zijn er mensen die meer ervaring hebben met ThreatSTOP, hoe goed kunnen wij deze partij vertrouwen?

Bedankt voor uw tijd en interesse in dit vraagstuk.

Ik ken geen producten waarmee je hele batches van url's kan laten scannen. Je kan eventueel de geblokkeerde adressen steekproefsgewijs nalopen op http://www.ipvoid.com/
25-01-2015, 11:58 door choi - Bijgewerkt: 25-01-2015, 11:58
[Verwijderd]
25-01-2015, 14:21 door Anoniem
Waarschijnlijk is dit niet wat u zoekt?
Handig is het wel: https://addons.mozilla.org/nl/firefox/addon/flags-for-firefox-websites-/


Anon 161.
25-01-2015, 15:59 door Anoniem
Gratis'er' standaard alternatieven

Het is niet duidelijk met welk OS en welke browser(s) je browst, daarom algemeen gehouden.
Mogelijk ten overvloede opgemerkt; er bestaan al diverse bekende preventieve producten en maatregelen op dit vlak.
Had je die al in je overwegingen meegenomen?

Google Safebrowsing
In een aantal browsers wordt gebruik gemaakt van Google Safebrowsing.
Los van het feit of je voor of tegen deze oplossing bent, de betreffende Google Safebrowsing database in je browser heeft dus al een hele lijst met niet te vertrouwen websites/domeinen waarvoor je niet te ontkomen duidelijk wordt gewaarschuwd (Firefox) als je er onverhoopt een tegen komt.
Het zou me niet verbazen als de gratis ingebouwde Google Safebrowsing lijst een stuk groter en accurater is.

Browser Addons/extensies
Ook zijn er allerlei (?) extensies/addons te vinden die raakvlakken hebben met het waarschuwen voor websites.
WOT is bijvoorbeeld zo'n addon (ik heb er overigens geen ervaring mee). De database is (dacht ik) alleen wel opgebouwd op basis van gebruikers feedback wat voor false positives kan zorgen.

Dns services
Dan heb je nog OpenDns (ook bewust geen ervaring mee) dat helpt bij het filteren op ip-adres niveau.
Ook bij deze service zijn voor en tegens op te merken (eveneens iets met advertenties las ik hier.).

... ?


Genoemde alternatieve producten voldoen misschien/weliswaar niet aan de directe check-vraag die je stelde maar zou wel extra/zinnige vraagtekens kunnen zetten bij de keuze voor of het aanvullende betaalde nut van dit specifieke product.


Waar ik overigens wel benieuwd naar ben is de vraag hoe het kan dat je in een uurtje tijd 193 verschillende ip adressen aanroept en waarom je dat prima vindt.

Heb je toevallig bij het openen van elk nieuw window of tab een veld vol met tegels van websites staan die allemaal (inclusief trackers en reclame) geladen moeten worden?

Maak je geen gebruik van oplossingen om 3rd party tracking tegen te gaan en bezoek je vooral grote commerciële websites?

Of ben je gewoon een zeer snelle internetter?
25-01-2015, 16:34 door Euro10000 - Bijgewerkt: 25-01-2015, 16:35
Pfsense is een hardware firewall.
Hierin bevinden zich een aantal programma's, die bepaalde site's blokkeren, uit een lijst die dagelijks /wekelijks wordt bijgehouden, lijsten kunnen zijn advertenties, sex, etc.
Proxy filter,
Snort
Pfblocker
etc.
Deze zijn linux/unix programma's
Sommige heb je ook voor windows.
Google op bovenstaande namen. snort, pfblocker.
Opendns, hier kun je ook filteren dacht ik.
25-01-2015, 16:36 door Anoniem
Door Anoniem: ThreatSTOP, hoe goed kunnen wij deze partij vertrouwen?
Waarschijnlijk even goed als Spamhaus, inclusief de chantage tarieven.

Daar kun je met een DDoS op reageren die niet alleen records breekt, maar ook je eigen B.V.
Slimmer zou zijn bewust te worden dat deze aanbieders zonder dreiging geen bestaansrecht hebben.
26-01-2015, 10:44 door Vandy - Bijgewerkt: 26-01-2015, 10:44
Door Anoniem: Beste Security.nl lezers,

Vandaag kwam ik het programma ThreatSTOP tegen. Dit programma houdt bij met welke IP adressen je connectie hebt gemaakt en haalt dit lijstje door zijn eigen database om te kijken of er bekende geïnfecteerde IP adressen tussen zitten.

Volgens ThreatSTOP zou er bij mij in een uur tijd 193 verschillende IP adressen verbinding hebben gemaakt. Allemaal prima, alleen waren er 29 een zogenaamde active threat. Nu is ThreatSTOP overduidelijk een heel erg commercieel product, dus dit zou ik graag willen nalopen met een open source variant.

Mijn vraag:

Weet iemand een (het liefst zo simpel mogelijk) programma dat IP adressen bijhoudt en een goeie plek waar ik deze adressen snel, dus niet een voor een, door een lijst met bekende blacklisted IP adressen kan halen?

En zijn er mensen die meer ervaring hebben met ThreatSTOP, hoe goed kunnen wij deze partij vertrouwen?

Bedankt voor uw tijd en interesse in dit vraagstuk.
Ik zou PeerGuardian eens testen als ik jou was.
26-01-2015, 19:00 door Anoniem
OP:

Dit programma kwam ik tegen via een link op een beveiligingsinformatie georiënteerde website (isc.sans.edu/tools/). Was het niet dat ik deze link tegenkwam op een website die ik veilig achten, had ik het nooit geprobeerd in de eerste instantie.

Op mijn werkcomputer(laptop) draai ik Windows 8.1. Ik ben constant aan het kijken naar manieren om bewuster te worden van wat er gebeurt op mijn Windows systeem. Op Linux systemen heb ik dit overzicht altijd wel, maar Windows dus minder.

Ik realiseer dat het niet echt effectief is om zelf handmatig of met een programma al die IP adressen na te lopen en te blokkeren, ik doe het dan ook meer uit nieuwsgierigheid dan om mijn computer veiliger te maken.

Alle namen die hier genoemd zijn zal ik hoe dan ook is gaan bekijken. Ik vind computerbeveiliging namelijk erg interessant.

@15:59 door Anoniem

Tijdens het draaien van de test had ik expres alle websites geopend die ik wekelijks bezoek. Er stonden ook tamelijk veel lokale IP adressen in de lijst.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.