Verbieden van executable attachments eerst stap naar stoppen wormen
Hoe kun je het verspreiden van wormen tegengaan? Volgens security experts is de eerste stap het verbieden van executable attachments. Door het instellen van automatische software security maatregelen kan voorkomen worden dat kwaadaardige bestanden, zoals het geval is bij de W32/Palyh-A e-mail worm, de inbox van de eindgebruikers bereiken. Bedrijven die echter op Windows gebaseerde programma's blokkeren op de mail gateway, voorkomen en verminderen zelfs de verspreiding van zichzelf verspreidende virussen, aldus Sophos. (PCworld)
Reacties (15)
Dat doen wij al jaren, niks nieuws, nooit last van virussen.
(Iets dat ik al vaker heb genoemd, ook in dit forum)
Maar als we dan toch bezig zijn: check NIET op de aangegeven bestandsextenties maar op fileheader eventueel tezamen met de opgegeven extentie.
Alles dat uitvoerbaar is, programma's/binaries, scripts, you name it wordt rechtstreeks aan de voordeur verwijderd. Niet enkel gelimiteerd tot dos/windows overigens ;)
Καλα;
Μπας
(Iets dat ik al vaker heb genoemd, ook in dit forum)
Maar als we dan toch bezig zijn: check NIET op de aangegeven bestandsextenties maar op fileheader eventueel tezamen met de opgegeven extentie.
Alles dat uitvoerbaar is, programma's/binaries, scripts, you name it wordt rechtstreeks aan de voordeur verwijderd. Niet enkel gelimiteerd tot dos/windows overigens ;)
Καλα;
Μπας
Aanvullend:
Wij doen aan whitelisting, bij alles.
Enkel de fileheaders/extenties die ik toesta (aan mijn criteria voldoen en dus veilig zijn) mogen verder.
Een JPG opsturen als EXE, GIF, or whatever kun je wel vergeten, andersom ook - als voorbeeld.
Iets (g)zippen, tarballs maken mag, maar gaan die naar een aparte afgeschermde container en daar verder -- in quarrantine -- onderzocht. Ingepakte eerder opgegeven whitelisted files mogen alsnog verder, al het overige blijft achter 'for human intervention' :)
Vreselijk effectief gebleken.
Wij doen aan whitelisting, bij alles.
Enkel de fileheaders/extenties die ik toesta (aan mijn criteria voldoen en dus veilig zijn) mogen verder.
Een JPG opsturen als EXE, GIF, or whatever kun je wel vergeten, andersom ook - als voorbeeld.
Iets (g)zippen, tarballs maken mag, maar gaan die naar een aparte afgeschermde container en daar verder -- in quarrantine -- onderzocht. Ingepakte eerder opgegeven whitelisted files mogen alsnog verder, al het overige blijft achter 'for human intervention' :)
Vreselijk effectief gebleken.
Originally posted by Mpas
Dat doen wij al jaren, niks nieuws, nooit last van virussen.
(Iets dat ik al vaker heb genoemd, ook in dit forum)
Maar als we dan toch bezig zijn: check NIET op de aangegeven bestandsextenties maar op fileheader eventueel tezamen met de opgegeven extentie.
Alles dat uitvoerbaar is, programma's/binaries, scripts, you name it wordt rechtstreeks aan de voordeur verwijderd. Niet enkel gelimiteerd tot dos/windows overigens ;)
Καλα;
Μπας
Dat doen wij al jaren, niks nieuws, nooit last van virussen.
(Iets dat ik al vaker heb genoemd, ook in dit forum)
Maar als we dan toch bezig zijn: check NIET op de aangegeven bestandsextenties maar op fileheader eventueel tezamen met de opgegeven extentie.
Alles dat uitvoerbaar is, programma's/binaries, scripts, you name it wordt rechtstreeks aan de voordeur verwijderd. Niet enkel gelimiteerd tot dos/windows overigens ;)
Καλα;
Μπας
Dan ben ik erg benieuwd wat je met Word documenten doet.. In een beetje organisatie zit wel een secretaresse of baas die het einde van de wereld ziet naderen als hij/zij geen MS-Word documenten meer kan versturen of ontvangen..
Originally posted by Unregistered
Dan ben ik erg benieuwd wat je met Word documenten doet.. In een beetje organisatie zit wel een secretaresse of baas die het einde van de wereld ziet naderen als hij/zij geen MS-Word documenten meer kan versturen of ontvangen..
Simpel: KillenDan ben ik erg benieuwd wat je met Word documenten doet.. In een beetje organisatie zit wel een secretaresse of baas die het einde van de wereld ziet naderen als hij/zij geen MS-Word documenten meer kan versturen of ontvangen..
Ze gaan maar met PDF werken of slaan hun bestanden maar anders op in een ander veiliger formaat - slechts een administratieve wijziging.
Dat werkt met leveranciers, cliëntèle en consorten ook uit de kunst, ze leveren maar een acceptabel bestand aan, desnoods al of niet puur tekstueel georiënteerd (.CSV) -- anders is het einde verhaal. Men kan niet verlangen dat wij onze security compromitteren, en daarmee onze continuïteit. Hoewel je wellicht anders zou vermoeden, heeft men daar (gelukkig) vrijwel geen moeite mee.
Mensen die anders het einde van de wereld zien, zitten kennelijk niet op de juiste plek -- zeker wanneer het een baas betreft (die woorden als compromittering en continuïteit toch zou moeten kennen)
Het komt wellicht voor sommigen over als een 'moeilijke mening' maar houdt veiligheid nu eenmaal in dat je consequent en resuluut moet durven zijn, ander blijf je schijnveiligheid houden (gelijkend aan géén veiligheid, daar kun je geen continuïteit mee garanderen -- en dat wil de klant/baas juist).
Uitzonderingen zijn dodelijk.
Dat is mijn filosofie.
Zo wil ik serieuze netwerk/ISP/Hosters ook niet met MSIE rond zien surfen: dat stelt een onverantwoordelijkheidsgevoel tentoon van heb ik jouw daar.
Vandaag zag ik die van mij vandaag 'langskomen' met een correcte andere browser. Stelt mij weer gerust :)
Uitzonderingen zijn dodelijk.
Dat is mijn filosofie.
Zo wil ik serieuze netwerk/ISP/Hosters ook niet met MSIE rond zien surfen: dat stelt een onverantwoordelijkheidsgevoel tentoon van heb ik jouw daar.
Vandaag zag ik die van mij vandaag 'langskomen' met een correcte andere browser. Stelt mij weer gerust :)
Originally posted by Mpas
Aanvullend:
Wij doen aan whitelisting, bij alles.
Enkel de fileheaders/extenties die ik toesta (aan mijn criteria voldoen en dus veilig zijn) mogen verder.
Een JPG opsturen als EXE, GIF, or whatever kun je wel vergeten, andersom ook - als voorbeeld.
Iets (g)zippen, tarballs maken mag, maar gaan die naar een aparte afgeschermde container en daar verder -- in quarrantine -- onderzocht. Ingepakte eerder opgegeven whitelisted files mogen alsnog verder, al het overige blijft achter 'for human intervention' :)
Vreselijk effectief gebleken.
Aanvullend:
Wij doen aan whitelisting, bij alles.
Enkel de fileheaders/extenties die ik toesta (aan mijn criteria voldoen en dus veilig zijn) mogen verder.
Een JPG opsturen als EXE, GIF, or whatever kun je wel vergeten, andersom ook - als voorbeeld.
Iets (g)zippen, tarballs maken mag, maar gaan die naar een aparte afgeschermde container en daar verder -- in quarrantine -- onderzocht. Ingepakte eerder opgegeven whitelisted files mogen alsnog verder, al het overige blijft achter 'for human intervention' :)
Vreselijk effectief gebleken.
En wat te doen op exploits op het scanning mechinisme ? neem een 1/2 jaar terug het voorval met zip-archives met zeerlange bestandsnamen die toch een aantal van die virus/mail gateways doodleuk door lieten ? laat staan mime type, magic file type en extentie scannen. Per pakket anders.
Deze extra obstakel geeft de virus scrijvers alleen een xtra uitdaging. Het probleem ligt echter bij de gebruiker en de mail client.
Originally posted by Unregistered
neem een 1/2 jaar terug het voorval met zip-archives met zeerlange bestandsnamen die toch een aantal van die virus/mail gateways doodleuk door lieten ?
neem een 1/2 jaar terug het voorval met zip-archives met zeerlange bestandsnamen die toch een aantal van die virus/mail gateways doodleuk door lieten ?
Waar kan ik dat terug vinden?
Originally posted by Redactie
Bedrijven die echter op Windows gebaseerde programma's blokkeren op de mail gateway, voorkomen en verminderen zelfs de verspreiding van zichzelf verspreidende virussen, aldus Sophos
Bedrijven die echter op Windows gebaseerde programma's blokkeren op de mail gateway, voorkomen en verminderen zelfs de verspreiding van zichzelf verspreidende virussen, aldus Sophos
Dus daarom zit die optie niet in Sophos MailMonitor? Je kunt er alleen op filenaam mee blokkeren.
Sinds virussen alweer begonnen zijn met rondsturen van ZIP files (Yaha), is dat niet meer voldoende als anti-virus maatregel.
Originally posted by Unregistered
Waar kan ik dat terug vinden?
Waar kan ik dat terug vinden?
ff zoeken op google ...
anders een artiekel op http://www.thawte.com/html/CORPORATE/news/ZIPVulnerable.html
Een O.S. gebruiken dat 'n duidelijke privilege-seperatie heeft waaruit niet te ontsnappen valt..
Een 'normale' gebruiker die een PC gebruikt op zijn werk hoeft helemaal geen bestanden uit te voeren die ze via mail binnen krijgen.
Mooie netwerkomgeving waar alles read-only gemount is. De data op je lokale schijf op een partitie waarop bestanden door het OS al geblokkeerd zijn om uitgevoerd te worden. De kans dat er dan iets gebeurd is NIHIL.
Maar ja, gebruikers blijven nu eenmaal de zwakste schakel in het geheel.......
Een 'normale' gebruiker die een PC gebruikt op zijn werk hoeft helemaal geen bestanden uit te voeren die ze via mail binnen krijgen.
Mooie netwerkomgeving waar alles read-only gemount is. De data op je lokale schijf op een partitie waarop bestanden door het OS al geblokkeerd zijn om uitgevoerd te worden. De kans dat er dan iets gebeurd is NIHIL.
Maar ja, gebruikers blijven nu eenmaal de zwakste schakel in het geheel.......
Originally posted by Unregistered
Maar ja, gebruikers blijven nu eenmaal de zwakste schakel in het geheel.......
Daarom voorkom je dat ze ook maar iets in handen krijgen. Maar ja, gebruikers blijven nu eenmaal de zwakste schakel in het geheel.......
Net als het 'scansysteem', dat niet te comprommiteren is, volkomen bagger (zoals te lange bestandsnamen, textbestanden met teveel 'Hi-ASCII' etc.) wordt gewoonweg weggegooid.
Zoals iemand elders opperde en zo waar is als een bus, is dat security niet moeilijk wanneer je nadenkt.
Originally posted by Mpas
Aanvullend:
Wij doen aan whitelisting, bij alles.
Enkel de fileheaders/extenties die ik toesta (aan mijn criteria voldoen en dus veilig zijn) mogen verder.
Een JPG opsturen als EXE, GIF, or whatever kun je wel vergeten, andersom ook - als voorbeeld.
Iets (g)zippen, tarballs maken mag, maar gaan die naar een aparte afgeschermde container en daar verder -- in quarrantine -- onderzocht. Ingepakte eerder opgegeven whitelisted files mogen alsnog verder, al het overige blijft achter 'for human intervention' :)
Vreselijk effectief gebleken.
Aanvullend:
Wij doen aan whitelisting, bij alles.
Enkel de fileheaders/extenties die ik toesta (aan mijn criteria voldoen en dus veilig zijn) mogen verder.
Een JPG opsturen als EXE, GIF, or whatever kun je wel vergeten, andersom ook - als voorbeeld.
Iets (g)zippen, tarballs maken mag, maar gaan die naar een aparte afgeschermde container en daar verder -- in quarrantine -- onderzocht. Ingepakte eerder opgegeven whitelisted files mogen alsnog verder, al het overige blijft achter 'for human intervention' :)
Vreselijk effectief gebleken.
Kan zo 2 manieren verzinnen om je 'hallelujah' stemming om zeep te helpen .. verder zou ik eens de Van Dale erbij pakken en open slaan op de bladzijde met 'logica'
Originally posted by Mpas
Simpel: Killen
Ze gaan maar met PDF werken of slaan hun bestanden maar anders op in een ander veiliger formaat - slechts een administratieve wijziging.
Dat werkt met leveranciers, cliëntèle en consorten ook uit de kunst, ze leveren maar een acceptabel bestand aan, desnoods al of niet puur tekstueel georiënteerd (.CSV) -- anders is het einde verhaal. Men kan niet verlangen dat wij onze security compromitteren, en daarmee onze continuïteit. Hoewel je wellicht anders zou vermoeden, heeft men daar (gelukkig) vrijwel geen moeite mee.
Mensen die anders het einde van de wereld zien, zitten kennelijk niet op de juiste plek -- zeker wanneer het een baas betreft (die woorden als compromittering en continuïteit toch zou moeten kennen)
Simpel: Killen
Ze gaan maar met PDF werken of slaan hun bestanden maar anders op in een ander veiliger formaat - slechts een administratieve wijziging.
Dat werkt met leveranciers, cliëntèle en consorten ook uit de kunst, ze leveren maar een acceptabel bestand aan, desnoods al of niet puur tekstueel georiënteerd (.CSV) -- anders is het einde verhaal. Men kan niet verlangen dat wij onze security compromitteren, en daarmee onze continuïteit. Hoewel je wellicht anders zou vermoeden, heeft men daar (gelukkig) vrijwel geen moeite mee.
Mensen die anders het einde van de wereld zien, zitten kennelijk niet op de juiste plek -- zeker wanneer het een baas betreft (die woorden als compromittering en continuïteit toch zou moeten kennen)
Als ik jou als beheerder had was je allang ontslagen, idioot. Enige realiteitszin is je vreemd blijkbaar..
Originally posted by Mies
Kan zo 2 manieren verzinnen om je 'hallelujah' stemming om zeep te helpen .. verder zou ik eens de Van Dale erbij pakken en open slaan op de bladzijde met 'logica'
Probeer eerst eens gewoon te communiceren (jawel, onvervalste com·mu·ni·ca·tie (de ~ (v.), ~s)) - en probeer met feiten je stelling te onderbouwen. Mogelijk zijn je argumenten werkbaar, als je deze werkelijk hebt.Kan zo 2 manieren verzinnen om je 'hallelujah' stemming om zeep te helpen .. verder zou ik eens de Van Dale erbij pakken en open slaan op de bladzijde met 'logica'
Καλα;
Μπας
Originally posted by Unregistered
Als ik jou als beheerder had was je allang ontslagen, idioot. Enige realiteitszin is je vreemd blijkbaar..
Blijkbaar niet, omdat verder elke vorm van onderbouwing door feitelijke argumentatie ontbreekt voor uw stelling. Dit is kennelijk onwil en onkunde in actie, zoals u dat propageert. Persoonlijk vind ik dat behoorlijk eng - reden tot slapeloze nachten - dat zou u ook moeten hebben, begrijp ik uit uw reactie.Als ik jou als beheerder had was je allang ontslagen, idioot. Enige realiteitszin is je vreemd blijkbaar..
Καλα;
Μπας
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
