image

Zwitserse overheid: Blokkeer gevaarlijke e-mailbijlagen

dinsdag 21 februari 2017, 10:03 door Redactie, 17 reacties

Nu internetcriminelen steeds vaker van e-mailserviceproviders (ESP's) gebruikmaken om ransomware en andere malware te verspreiden, doen organisaties er verstandig aan om gevaarlijke e-mailbijlagen en het downloaden van zip-bestanden te blokkeren, zodat die niet bij eindgebruikers terecht kunnen komen.

Dat adviseert het Computer Emergency Response Team van de Zwitserse overheid (GovCERT). Aanleiding voor het advies is een spamrun die de Dridex-malware verspreidde. Dit is een banking Trojan die speciaal ontwikkeld is om gegevens voor internetbankieren te stelen zodat criminelen geld van rekeningen kunnen stelen. De e-mails waren via de ESP SendGrid verstuurd.

Een ESP is een bedrijf dat mailings voor andere bedrijven verzorgt. Daardoor hebben veel e-mailservers en spamfilters de ip-adressen van een ESP gewhitelist. In het geval cybercriminelen via een ESP hun mails laten versturen is de kans ook veel groter dat de berichten aankomen. GovCERT zag het aantal meldingen van phishingmails met een factor 8 toenemen nadat de Dridex-mails via SendGrid waren verstuurd. De overheidsinstantie benaderde SendGrid, maar heeft nog altijd geen reactie op de abusemelding ontvangen.

GovCERT geeft daarom verschillende adviezen zodat gebruikers en organisaties zich kunnen beschermen. Zo moeten gebruikers niet alleen op hun virusscanner vertrouwen. "Hoewel belangrijk kan anti-virus je niet tegen alles beschermen en zorgt er niet voor dat je onvoorzichtig kunt zijn." In het geval van bedrijven doen die er verstandig aan om gevaarlijke e-mailbijlagen met zip-, rar-, js-, jar-, bat-, exe-, cpl-, scr-, com-, pif-, vbs-, ps1-, wsf-, docm-, xlsm- en pptm-bestanden te blokkeren.

Daarnaast moeten ook Office-bestanden met macro's door de e-mailgateway worden geblokkeerd. Ook moet het voor werknemers niet mogelijk zijn om zip- en rar-bestanden te downloaden. Dit kan via een webproxy worden geblokkeerd. Verder wordt nog geadviseerd om e-mailstandaarden zoals SPF, DKIM en DMARC te implementeren.

Reacties (17)
21-02-2017, 10:14 door karma4 - Bijgewerkt: 21-02-2017, 10:24
Govcert is de Zwitserse tegenhanger van het Nederlandse ncsc. Het is een overheidsinstanties. Spf dkim dmarc staan al tijden bij de lijst van verplichte open standaarden van de Nederlandse overheid.
Het blokkeren van bepaalde email bijlagen is een maatregel die sind jaar en dag gangbaar is dan wel hoort te zijn.
21-02-2017, 10:18 door Anoniem
In het geval van bedrijven doen die er verstandig aan om gevaarlijke e-mailbijlagen met zip-, rar-, js-, jar-, bat-, exe-, cpl-, scr-, com-, pif-, vbs-, ps1-, wsf-, docm-, xlsm- en pptm-bestanden te blokkeren.

Email is dood, leve de snailmail (als we deze optie gaan volgen).
21-02-2017, 10:29 door Anoniem
Door karma4: Govcert is de Zwitserse tegenhanger van het Nederlandse ncsc. Het is een overheidsinstanties. Spf dkim dmarc staan al tijden bij de lijst van verplichte open standaarden van de Nederlandse overheid.
Het blokkeren van bepaalde email bijlagen is een maatregel die sind jaar en dag gangbaar is dan wel hoort te zijn.
Dat hangt er maar vanaf. Als bedrijf is het heel normaal om macro's en andere bijlagen te ontvangen die je voor de administratie of bedrijfsvoering nodig hebt. Het is iets te makkelijk geredeneerd vooral als je zelf geen bedrijf hebt en niet weet waar je precies over praat.
21-02-2017, 11:38 door Anoniem
Door Anoniem: In het geval van bedrijven doen die er verstandig aan om gevaarlijke e-mailbijlagen met zip-, rar-, js-, jar-, bat-, exe-, cpl-, scr-, com-, pif-, vbs-, ps1-, wsf-, docm-, xlsm- en pptm-bestanden te blokkeren.

Email is dood, leve de snailmail (als we deze optie gaan volgen).

Email zou terug moeten naar platte tekst zonder html en attachments, indien je toch bestanden/attachments uit wilt wisselen huur/maak/koop je een transfer-dienst (aka wetransfer) incl. virusscanning op de server.
Kan allemaal incl. 2 factor etc. etc.

Minder gebruiksvriendelijk, stuk veiliger.
21-02-2017, 11:45 door karma4
Door Anoniem:
Dat hangt er maar vanaf. Als bedrijf is het heel normaal om macro's en andere bijlagen te ontvangen die je voor de administratie of bedrijfsvoering nodig hebt. Het is iets te makkelijk geredeneerd vooral als je zelf geen bedrijf hebt en niet weet waar je precies over praat.
Als klein bedrijf en zzp kun je zoiets uitbesteden om te laten maken. Je bent CEO CFO CSO CDO opdrachtgever en uitvoerder alles in 1 persoon.
In een grotere organisatie met echte scheiding van functies worst dat een heel ander verhaal. Als je software ontvangt gaat dat eerst door een validatie proces. Nee juist de boekhouder heeft dan niet alle vrijheid om zelf van alles en nog wat te gaan installeren. Je geeft wel duidelijk een gangbaar spanningsveld aan. Shadow it.
21-02-2017, 12:01 door Anoniem
Door Anoniem: Email zou terug moeten naar platte tekst zonder html en attachments, indien je toch bestanden/attachments uit wilt wisselen huur/maak/koop je een transfer-dienst (aka wetransfer) incl. virusscanning op de server.
Een punt dat het Zwitserse GovCERT maakt is dat virusscanners niet alles tegenhouden. Er is geen enkele reden om te denken dat een virusscanner, of wat voor inspectie van een bestand dan ook, op een server van een transferdienst iets kan wat op een e-mailserver niet kan. En ik zie ook niet in waarom een kwaadaardige e-mail geen link naar een bestand op een transferdienst kan bevatten. Ik zie met andere woorden niet in wat jouw suggestie aan de situatie verbetert.
21-02-2017, 12:09 door meinonA
Bijlagen kunnen niet gevaarlijk zijn als je applicaties en platform veilig zijn. Deze maatregelen zorgen ervoor dat men via andere, niet beveiligde manieren de bijlages alsnog binnengehaald gaan worden.
21-02-2017, 14:32 door devias
Door meinonA: Bijlagen kunnen niet gevaarlijk zijn als je applicaties en platform veilig zijn. Deze maatregelen zorgen ervoor dat men via andere, niet beveiligde manieren de bijlages alsnog binnengehaald gaan worden.
Geen enkele applicatie is veilig. Veel applicaties zullen een heel laag risico hebben, dat er iets mis is. Maar of de software lek is, of niet wordt in feite door een ander(e software ontwikkelaar) bepaald voor jou. Deze kan andere motivaties en prioriteiten hebben mbt security.
21-02-2017, 15:10 door Anoniem
"In het geval van bedrijven doen die er verstandig aan om gevaarlijke e-mailbijlagen met zip-, rar-, js-, jar-, bat-, exe-, cpl-, scr-, com-, pif-, vbs-, ps1-, wsf-, docm-, xlsm- en pptm-bestanden te blokkeren. "

Nee, dat volgt niet uit de gepubliceerde blog post van de Zwitserse govcert van 20 februari.

Er wordt aangeraden onder andere deze bijlagen te blokkeren:
.js (JavaScript)
.jar (Java)
.bat (batch file)
.exe (Windows executable)
.cpl (Control Panel)
.scr (screen saver)
.com (COM file)
.pif (program information file)
.vbs (Visual Basic Script)
.ps1 (Windows PowerShell)
.wsf (Windows Script File)
.docm (Microsoft Word with macros)
.xlsm (Microsoft Excel with macros)
.pptm (Microsoft PowerPoint with macros)

En bijlagen die macro's bevatten.

Archiefbestanden zoals ZIP en RAR moeten worden geblokkeerd als email bijlagen als ze dergelijke gevaarlijke inhoud bevatten of als ze beschermd zijn door een wachtwoord. Javascript in gedownloade archiefbestanden moet ook worden geblokkeerd.

Er staat niet bij de aanbevelingen dat alle ZIP en RAR archiefbestanden moeten worden geblokkeerd.

Merk op dat de genoemde extensies slechts een selectie is. Er zijn meer gevaarlijke extensies en bestandstypen.
21-02-2017, 16:23 door Anoniem
Nu internetcriminelen steeds vaker van e-mailserviceproviders (ESP's) gebruikmaken om ransomware en andere malware te verspreiden, doen organisaties er verstandig aan om gevaarlijke e-mailbijlagen en het downloaden van zip-bestanden te blokkeren

Dit was 5, 10 of 15 jaar geleden niet anders. Het verspreiden van ransomware en andere malware per email is ook niet bepaald iets nieuws. Functionaliteit om gevaarlijke bijlages te blokkeren zit ook al jaren in pakketten zoals Outlook.

Goed advies, maar de pretentie dat het nieuw is ??
21-02-2017, 16:24 door Anoniem
Govcert is de Zwitserse tegenhanger van het Nederlandse ncsc

Vanwaar deze uitleg, open deuren aan het intrappen ? ;))
21-02-2017, 16:45 door karma4
Door Anoniem:
Govcert is de Zwitserse tegenhanger van het Nederlandse ncsc

Vanwaar deze uitleg, open deuren aan het intrappen ? ;))
Er wordt nogal tegen het ncsc en de Nederlandse overheid getrapt alsof ze er niets van snappen alleen kwaad in de zin hebben. Als je het bij de buren haalt is het ineens wel goed.

Overigens heb je een mogelijk secùrity issue bij de horens. Degenen die met hart en ziel voor de goede zaak gaan worden gewoon opzij gezet door eigen management. Het vaak gehanteerde argument dat de externe leverancier wel beter zal weten hoe het moet al overhandig je hem niet eens de voorwaarden (security policies) waaraan voldaan moet worden.
21-02-2017, 18:03 door Anoniem
Vraagstelling

Ik zit al langer met de vraag hoe in Mozilla Thunderbird onder Ubuntu Linux de ClamAV antivirus scanner ingezet zou kunnen worden om individuele berichten vanuit de inbox in quarantaire te kunnen plaatsen:

Voorkeuren > Beveiliging > Antivirus [quarantaire toestaan]

Dat schijnt in Thunderbird onder Linux ook te kunnen, en wellicht ook met ClamAV, maar onduidelijk is hoe die optie te bewerkstelligen is.

Voorts is ook de vraag opgekomen, gezien het onderwerp van dit topic, hoe onder Thunderbird binnenkomende email bijlagen op basis van hun filename extenties uit te filteren zijn:

Voorkeuren > Bijlagen > Inkomend [inhoudstype + actie]

Beide mogelijkheden lijken voorhanden te zijn onder de voorkeuren van Thunderbird, maar mij is dus niet duidelijk hoe die twee items onder Thunderbird in werking zijn te zetten. Een goede hint is dus welkom.
21-02-2017, 18:43 door Anoniem
O.a. DMARC rapporten worden vaak als xml bestand in een zip bestand verstuurt waardoor simpelweg blokkeren van zip bijlages niet handig is.

Het laten inspecteren van de inhoud van een zip bijlage kan mogelijk een 'decompressie bom'/'zip of death' risico zijn als dit niet goed geïmplementeerd is.

Email/smtp is nooit goed voor bijlages ontwikkelt. De base64 codering van de bestanden die als bijlage gebruikt worden, maakt de overdracht van de emails met bijlages extra groot.
21-02-2017, 19:15 door Anoniem
Als internet niet veiliger wordt, betekent dat het einde van internet.
Ik begin er genoeg van te krijgen.
Terug naar o.a. gewone brievenpost .
22-02-2017, 09:27 door ph-cofi
Door Anoniem: Vraagstelling (...) hoe onder Thunderbird binnenkomende email bijlagen op basis van hun filename extenties uit te filteren zijn:

Voorkeuren > Bijlagen > Inkomend [inhoudstype + actie] (...)
Geachte Anoniem,
Thunderbird lijkt niet te doen wat jij zoekt, ook al zag ik dat hier sinds 2003 om gevraagd wordt.
En toch wel: ik zie op onderstaande pagina dat Tom Austin gedrag per attachment type voor elkaar heeft:
http://forums.mozillazine.org/viewtopic.php?f=39&t=2776265

Weer anderen zie ik naar de Thunderbird extension FiltaQuilla verwijzen: http://mesquilla.com/extensions/filtaquilla/

Zelf geen ervaring mee, ik gebruik een simpel filter dat alle e-mails met bijlage rood kleurt. Ik trek voor het aanklikken eerst handschoenen aan :)
22-02-2017, 20:57 door Anoniem
Door Anoniem: Als internet niet veiliger wordt, betekent dat het einde van internet.
Ik begin er genoeg van te krijgen.
Terug naar o.a. gewone brievenpost .
Ik begrijp u helemaal, en 100% mee eens.
Het erge hier is dat de meeste anderen deze reacties niet begrijpen voor wat ze zijn (noodkreet, en een duidelijke serieuze vraag om terugkeer naar een normaal leven waarbij je niet voor iedere scheet een stopcontact, internetaansluiting, intermediair(s), wachtwoord, gebruikersnaam, verificatie, authenticitatie nodig hebt).
Integendeel, er wordt hier herhaaldelijk geroepen dat dit domme reacties zijn en negatief en wereldvreemd, met de vraag of ze alsjeblieft eindelijk eens weggemodereerd kunnen worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.