Snapnie
http://robert.penz.name/1252/stop-panicking-about-the-locky-ransomware/
I really don’t understand why...
this guy is hyped that much!
- de markt is niet statisch en bestaat niet alleen uit zakelijke gebruikers, voor nieuwe particuliere gebruikers en de oude met onvoldoende kennis van zaken is het nog steeds heel erg schrikken als de boel op slot gaat.
Die paniek is niet overdreven, wel als je als onderzoeker oogklepjes op hebt voor de zorgen van anderen.
- de gegeven adviezen zijn over het algemeen zinnig maar wederom weer gericht op zakelijke gebruikers die wel automatiseringsbudget hebben.
De kleinzakelijke gebruikers
(en zelfs zpp-ers*) die over het algemeen een dankbaar target zijn hebben over het algemeen minder kennis in huis en zullen een aantal simpele adviezen niet begrijpen noch implementeren.
De adviezen zijn dan ook een herhaling van wat je vaker hoort, bijna cliché eigenlijk, had dan nog wat extra toegevoegde waarde eraan gegeven en de adviezen gekoppeld aan een uitleg of link naar hoe dat eventueel te kunnen doen!
Maar nee.
- Nou, ja een beetje dan : Tornetwerk blokkeren : hoera! 'goed' punt
(?).
Om te beginnen doet hij het zelf
(nou,ja Cloudflare dan weer) niet honderd procent, dat vond ik voor de gelegenheid wel handig want dan kan ik tenminste zijn content lezen.
Sluit je je lezers af heb je ook een kleiner bereik. But who cares about that?
Block access to Tor nodes
Why should a user from your company network need to access a tor node?
Ja waarom eigenlijk wel of niet?
En hoe moet dat dan met particuliere gebruikers?
En vooral ook welke
(verborgen) stellingen liggen hieraan dan ten grondslag?
Even verder kijken
Ah
Some newer malware communicates with their command and control servers via the Tor network, in a typical enterprise network no system should connect the Tor network. A other scenario is that you’re providing services which don’t need to be accessed via the Tor network but your servers get attacked from Tor Exit Nodes.
Dat is eigenlijk wel een interessante dubbele aanname maar klopt het ook?
Wat ik uit het nieuws begrijp is dat in geval van ransomeware infecties nog wel eens gebruik gemaakt wordt van Tornetwerk
(verschuift naar i2p) als het gaat om het moeten betalen
(!) van losgeld in bitcoins.
Dat is heel wat anders als een attack uitvoeren en aanvullende software code downloaden via command and control servers. Daar lees ik namelijk heel weinig over als het gaat om echte onderbouwing en vooral ook niet te vergeten percentages waarin dat dan gebeurt. Hoewel alle kleine beetjes helpen is het wel van belang om te kijken in hoeverre iets ook echt meer dan af en toe voorkomt.
Stelling : Tornetwerk wordt wel met regelmaat gebruikt voor ransomeware betalingen (net zoals i2p techniek) maar eigenlijk niet voor het aanvullend binnenhalen van de malware code.
Malware code wordt over het algemeen helemaal niet gehost op het tornetwerk maar op het gewone internet onder een tijdelijk domein.
Er wordt wel hier en daar gesproken over attacks via Tornetwerk maar eigenlijk wordt
er vrijwel nooit gedefinieerd wat die attacks dan exact inhouden en vooral ook waar ze vandaan komen en hoe vaak dat dan voorkomt.
Blokkeer je Tornetwerk in je router dan lijkt dat allerminst een garantie voor (veel) meer veiligheid maar zit je jezelf hooguit in de weg als je na een besmetting moeten betalen op een webadres op het Tornetwerk (wat niet te hopen is).
Het opmerkelijke daarbij is dan ook nog een keer dat blokkades van het Tornetwerk op heel merkwaardige wijze zeer landgebonden zijn, waarbij juist soms sprake is van het helemaal niet blokkeren terwijl je dat wel enigszins zou mogen verwachten.
Tornetwerk anti-blokkade raadseltje
https://www.security.nl/posting/461367/Webfilter+Geo+Policies%3A+Rusland+%28%3F%29Afsluitend, buiten sommige aannames die allerminst bewezen zijn,
wat hebben we aan een dergelijk bericht met de zoveelste optelsom van bekende maatregeltjes van deze
(nieuwe) onderzoeker aan het nieuws-firmament?
Zouden sysjes in de markt dit echt veelal niet weten?
* Ik zie in menig openbare koffieplaats dat het met de veiligheid van zzp-ers enigszins goed gesteld is. Niet vanwege de (niet vermoede) meest veilige configuratie maar wel vanwege een soort hardware (en bijbehorend OS) dat erg geassocieerd wordt met 'goed voor de dag komen'. Dat is dan weer een hele geruststelling wat betreft onder andere het fenomeen ransomeware, want ik betwijfel sterk of alle dametjes en heertjes wel netjes regelmatig of überhaupt backupjes maken. Dat hoeft dan voor dit fenomeen nog even niet maar is daarnaast wel heel erg verstandig. Stond dat eigenlijk tussen de adviezen van onze adviesrijke man uit het oosten?