Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

05-10-2016, 12:26 door [Account Verwijderd], 13 reacties
Laatst bijgewerkt: 05-10-2016, 12:31
[Verwijderd]
Reacties (13)
05-10-2016, 20:48 door Erik van Straten - Bijgewerkt: 06-10-2016, 14:59
Dank voor de melding!

Feitelijk betekent dit dat je elke malware en zelfs adware besmetting aan de AP zou moeten melden, in elk geval voor op het werk gebruikte computers.

Als je doordenkt, steeds meer software "belt naar huis" - inclusief besturingssystemen [1] en virusscanners [2] - waarbij o.a. adresboeken [3] en "verdachte" bestanden in handen van derden vallen. ZIjn dat lekken of niet?

Aanvulling 06-10-2016, 14:59: met standaard instellingen sturen W10 en Server 2016, na application crashes (zoals Office apps maar ook SQL server), Watson dumps naar Microsoft. Met standaard instellingen worden geen full dumps verstuurd, maar ook beperkte dumps kunnen vertrouwelijke gegevens bevatten. Als het daarbij om persoonsgegevens gaat lijkt mij dat een lek in de zin van de WBP. Zie [4] voor meer info.

[1] https://technet.microsoft.com/en-us/itpro/windows/manage/configure-windows-10-devices-to-stop-data-flow-to-microsoft
[2] https://www.security.nl/posting/486552/Onderzoek%3A+privacybeleid+anti-virusbedrijven+schiet+ernstig+tekort
[3] https://www.whatsapp.com/faq/nl/general/20971813
[4] https://www.security.nl/posting/486420/Nieuwe+laptop+met+W7+Pro#posting488024
05-10-2016, 20:58 door SecGuru_OTX
Daar zijn de juristen het nog niet helemaal over eens.

Daarnaast vindt ik het heel jammer dat de Meldplicht Datalekken er vooral is om alleen te melden. Genoeg datalekken gezien, ook waar de betreffende organisatie toch echt aantoonbaar nalatig is geweest. Ik heb zelf nog geen boetes en/of verbeter plannen vanuit de AP gezien.
05-10-2016, 23:08 door karma4
Door Erik van Straten: Dank voor de melding!
Feitelijk betekent dit dat je elke malware en zelfs adware besmetting aan de AP zou moeten melden, in elk geval voor op het werk gebruikte computers.
Als je doordenkt, steeds meer software "belt naar huis" ...(knip)...

Gaarne bij de regelgeving en de werkelijkheid blijven. https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken [cite] "Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens." [/cite]
Het moet om persoonsgegevens gaan. Meetgegevens terugmelding met logs/events zoals van malwaredetecties zal niet zo maar een persoonsgegeven zijn. Ook hier moet je de insteek hebben onschuldig totdat het tegendeel bewezen is.

Het fud gedoe "omdat je het niet weet is het fout" is de redenering die de privacy-haters en sleepnet aanhangers gebruiken met het argument dat het niets uitmaakt.

Door SecGuru_OTX: ..(knip)... Genoeg datalekken gezien, ook waar de betreffende organisatie toch echt aantoonbaar nalatig is geweest. Ik heb zelf nog geen boetes en/of verbeter plannen vanuit de AP gezien.
De zaak moet dan wel van dit jaar zijn om voor boetes in aanmerking te komen. Met terugwerkende kracht iets strafbaar maken en dan ook dartegen optreden is niet goed. Ja eens met je tot nu lijkt het AP een papieren tijger waar bedrijven (nog) niet bang voor zijn.
07-10-2016, 10:19 door Anoniem
Door SecGuru_OTX: Daar zijn de juristen het nog niet helemaal over eens.

Die discussie zie ik hier ook. Ook bijvoorbeeld t.a.v. mensen die in phishing zijn getrapt. Het account wordt misbruikt voor het versturen van nog meer phishing. Kun je uitsluiten dat de crimineel bij persoonsgegevens is gekomen? Eigenlijk niet.

Daarnaast vindt ik het heel jammer dat de Meldplicht Datalekken er vooral is om alleen te melden. Genoeg datalekken gezien, ook waar de betreffende organisatie toch echt aantoonbaar nalatig is geweest. Ik heb zelf nog geen boetes en/of verbeter plannen vanuit de AP gezien.

Veel van de (grotere) meldingen kosten veel uitzoekwerk. Maar na een tijdje krijg je dan zaken als dit: https://www.theguardian.com/business/2016/oct/05/talktalk-hit-with-record-400k-fine-over-cyber-attack

Peter
07-10-2016, 22:58 door Anoniem
Ik kan me van alweer lang geleden herinneren dat er bij de vrijwaringsbepalingen omtrent het gebruik van de virusscanner van windows er in die bepalingen duidelijk stond dat het zou kunnen dat er bij de teruggeüploade bestanden niet uit te sluiten was dat daar persoonlijke files en informatie tussen zou kunnen zitten.
Reden om te adviseren een echte av scanner te gebruiken waarbij zeker was in te stellen dat er niet ongewild bestanden over de lijn zouden gaan.
Met een dergelijke eigen-vrijwaring geeft microsoft al langer dan een decennium aan geen garantie te willen geven op privacy van haar klanten.
Kennelijk was de kans dat zij persoonsgevoelige data verzamelde zo groot dat zij geen garantie durfde af te geven dat niet te doen.
Maar ik heb begrepen hier op het forum dat er wel een verschil zit tussen zakelijke gebruikers die betalen en de proefkonijn gratis gebruikers van windows.
De weg via het AP zou op zich een hele interessante route zijn om MS te dwingen wel een privacy garantie af te geven en gebruikers in staat te stellen eindelijk een keer baas te laten zijn over het eigen systeem, wat nu nog steeds niet het geval lijkt te zijn maar waar op deze site slecht discussie over mogelijk is.
Let maar op hoe lang (=kort) het duurt voordat er naar andere besturingssystemen gewezen gaat worden.
08-10-2016, 09:48 door karma4 - Bijgewerkt: 08-10-2016, 10:14
Door Anoniem: ... (knip)...
De weg via het AP zou op zich een hele interessante route zijn om MS te dwingen wel een privacy garantie af te geven en gebruikers in staat te stellen eindelijk een keer baas te laten zijn over het eigen systeem, wat nu nog steeds niet het geval lijkt te zijn maar waar op deze site slecht discussie over mogelijk is.
Let maar op hoe lang (=kort) het duurt voordat er naar andere besturingssystemen gewezen gaat worden.
Virus-scanners komen gewoonlijk niet va MS vandaan. Na alle commotie rond browsers is dat aan andere marktpartijen overgelaten. Er zijn zo'n 20 andere partijen die er zich mee bezig houden en daarbij alle toegang op jou apparatuur eisen.
Ja, ik kan me die paragraaf ook herinneren, bij een alarm is een stuk geheugen dump en wat aangetaste bestanden nodig voor analyse. Wat daarmee toevallig ook meegaat kan van alles zijn. Het is hoe je debugged.

Geen enkele leverancier wie je ook kiest of wel os je ook kiest zal dat anders kunnen aanpakken.
Je moet je verdiepen in der servicevoorwaarden bij elke aparte dienst bij elke leverancier. Heb je dat wel eens gedaan?
Als je die van MS leest, dan zul je terugvinden dat jou wens door ze al is ingevuld.
https://www.microsoft.com/en/servicesagreement/default.aspx
Helaas is dat niet bij alle leveranciers zo netjes vastgelegd. Ik zou graag een compleet overzicht met toelichting/analyse zien inclusief de dienstverleners.

Wat de ontwikkelingen zullen worden?
Kijk eens naar Tesla u wordt constant gevolgd waar u bent wat het apparaat doet.
Nieuw niet echt Raptor Carnivore Echelon kwam net bij me langs als ooit andere tools ivm Yahoo scan.
08-10-2016, 11:31 door Erik van Straten
07-10-2016, 22:58 door Anoniem: [...]
Let maar op hoe lang (=kort) het duurt voordat er naar andere besturingssystemen gewezen gaat worden.
Inderdaad, en niet alleen naar besturingssystemen maar ook naar auto's en ik weet niet wat allemaal. En "onderbouwd" met volslagen onzin; zo moet je je, na de W10 anniversary update, naar verluidt in allerlei bochten wringen om Microsoft's antivirus ikoon van je bureaublad te verwijderen [1]. Wiens computer is het eigenlijk?

[1] http://www.howtogeek.com/264796/how-to-remove-the-windows-defender-icon-from-your-notification-area/
08-10-2016, 18:34 door karma4
Door Erik van Straten: Wiens computer is het eigenlijk?
Zeker nog nooit de commerciële virusscanners met hun testen gezien. Als die testen en promotie van niet MS vendors onzin is dan heb je echt niet opgelet. Net zoals al die software van IBM (lotus SPSS) OEM SAP en ook veel van OSS dat zich niet behoorlijk gedraagt.

Van wie die computer is? Je weet toch op de zaak is het de computer van de zaak is. Het is het bedrijf (leiding) die het beleid daarover bepaalt, je kunt advies geven. Thuis is het de hardware die van jou is, maar je huurt de software. Het is geen koop eigenaarschap maar een gebruiksrecht met voorwaarden. Daar zitten rechten en plichten bij. Dat laatste schijnt nogal lastig te bevatten. Waar blijft de analyse over alle commerciële malwaredetectie software?

Overigens ben ik meer voor ipds met siem zoals https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/whitepapers/handreiking-voor-implementatie-van-detectie-oplossingen/1/Handreiking%252Bvoor%252Bimplementatie%252Bvan%252Bdetectie%252Boplossingen.pdf aangeeft.
08-10-2016, 21:19 door SecGuru_OTX

Helemaal mee eens!

Organisatie zonder voldoende budget zouden eens naar Alienvault OSSIM moeten kijken. Is geheel open source en heeft eigenlijk alle middelen om dit goed in te kunnen richten(op gebied van tooling). Nu de processen nog....
08-10-2016, 21:33 door SecGuru_OTX
Een handige whitepaper met uitleg over OSSIM:

https://www.sans.org/reading-room/whitepapers/OpenSource/ise6100-giac-enterprises-final-step-step-description-36947
08-10-2016, 21:58 door karma4
Door SecGuru_OTX: ....
Beter en sterker dan dat van mij. Met je eerste post onderbouw je dat het er mee starten voor elke organisatie te doen is.
08-10-2016, 23:03 door SecGuru_OTX
Je kunt klein beginnen. OSSIM heeft veel standaard plugins waardoor je bv:
- firewall logs
- AV logs
- syslogs
- netflow
- NIDS
- HIDS
direct kunt inladen en analyseren.

De grootste toegevoegde waarde is het Alienvault Open Threat Exchange platform. Dit platform bevat IOC's met url's, hashes, ip's en domeinen van zo goed als alle bekende kwetsbaarheden en bedreigingen. Detectie verloopt geheel automatisch.
Daarnaast maken veel security experts gebruik van het Open Threat Exchange platform om hun bevindingen te delen met beveiligingsbedrijven, mede hierdoor is OSSIM sneller in staat om bedreigingen of aanvallen te detecteren dan de standaard AV tools.

Je kunt op een later moment uitbreiden met OSSIM Sensoren, dmv SPAN poorten kun je NIDS heel snel implementeren.

Hosts voorzien van HIDS agents is echt minuten werk.

p.s. en dit alles kost (los van tijd) helemaal niets.
09-10-2016, 12:43 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.