'Ransomware komt voornamelijk binnen via Office-macro'
Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt dat veel ransomware-aanvallen alleen mogelijk zijn doordat basale beveiligingsmaatregelen niet zijn opgevolgd, zo zegt beveiligingsonderzoeker Mark Loman van het Britse antivirusbedrijf Sophos tegenover Security.NL. Loman deed de afgelopen maanden onderzoek naar verschillende ransomware-aanvallen die bij gerichte aanvallen zijn ingezet.
Er zijn op dit moment vier manieren populair om ransomware te verspreiden, somt Loman op: het gebruik van Microsoft Office-documenten met kwaadaardige macro's, bruteforce-aanvallen op het Remote Desktop Protocol (RDP), het compromitteren van Managed Service Providers (MSP's) en het aanvallen van bekende kwetsbaarheden in software zoals Oracle WebLogic Server en Apache Webserver. Macro's zijn daarbij de populairste aanvalsvector, aldus de onderzoeker.
Bij veel infecties die hij onderzocht werd bijvoorbeeld de Qbot-, TrickBot- of Dridex-malware aangetroffen. Deze malware-exemplaren zorgen voor de uiteindelijke ransomware-infectie. Qbot, TrickBot en Dridex worden op hun beurt door de Emotet-malware op computers geïnstalleerd. Emotet is in deze gevallen de grote facilitator. Om Emotet te verspreiden maken aanvallers gebruik van Office-documenten met kwaadaardige macro's die via e-mail worden verstuurd. Alleen als de ontvanger macro's inschakelt of een organisatie dit al standaard toestaat, en het document wordt geopend, kan de infectie plaatsvinden.
Daarbij maken de makers van Emotet tegenwoordig gebruik van een nieuwe tactiek, waarbij de Windows Management Interface (WMI) direct vanuit de macro wordt aangesproken. Op deze manier wordt de binary die de aanvallers willen uitvoeren niet door het proces Word opgehaald, maar door een systeemproces. Dit moet zowel detectie als latere analyse lastiger maken. Bij een analyse om te achterhalen hoe de malware binnenkwam loopt het spoor dan in principe dood bij WMI en moet er worden gekeken welke processen er nog meer op dat moment actief waren. "Dit is echt een truc om detectie en preventie te omzeilen. Naast dat Emotet supergoed is in het passeren van statistische virusdetectie", stelt Loman.
De Duitse overheid noemde Emotet al één van de gevaarlijkste malware ter wereld. Ondanks het feit dat waarschuwingen voor de risico's van macro's al jaren worden gegeven blijven aanvallers met deze aanvalsvector succes boeken. "Elk groot bedrijf werkt met macro's", laat Loman weten. Het gebruik van macro's binnen ondernemingen en ondernemingen onderling is zo'n gemeengoed dat het verklaart waarom het zo'n geliefde aanvalsvector onder aanvallers is.
Remote Desktop Protocol
Naast macro's maken aanvallers ook gebruik van RDP om toegang tot machines te krijgen. Via het remote desktop protocol is het mogelijk om computers op afstand te benaderen. RDP kan echter ook aanvallers toegang geven. Het gaat dan om aanvallen waarbij de aanvallers allerlei wachtwoordenlijsten proberen om via RPD op een machine in te loggen. "Als je gehackt wordt via RDP had je een zwak wachtwoord", laat Loman weten. Het BlueKeep-lek in Windows maakt het mogelijk om via een RDP-lek ongepatchte machines te compromitteren. Begin november werden voor het eerst aanvallen via dit lek waargenomen, maar daarbij werd alleen een cryptominer geïnstalleerd.
Aanvallen via RDP geven ook aan dat de organisatie zijn RDP-machine voor heel het internet toegankelijk heeft gemaakt in plaats die via een vpn af te schermen. Vervolgens wordt vanaf de gecompromitteerde machine de rest van het netwerk aangevallen. Het RDP-scannen is volgens Loman vrij opportunistisch. Zodra er via RDP toegang wordt verkregen zullen de aanvallers eerst het netwerk verkennen. Wanneer het doelwit interessant genoeg is wordt de aanval gericht. Iets wat onlangs nog duidelijk werd bij een aanval op de Spaanse it-dienstverlener Everis, waarbij de ransomware de naam van het bedrijf in de losgeldinstructies vermeldde. Ook komt het voor dat gerichte ransomware-exemplaren bestanden versleutelen en dan als extensie de naam van het aangevallen bedrijf gebruiken.
Managed Service Providers
Verschillende van de aanvallen op MSP's vonden plaats via ConnectWise, een plug-in voor Kaseya. Kaseya is een tool om systemen op afstand mee te beheren. Een beveiligingslek in de software maakt het mogelijk voor een aanvaller om zonder wachtwoord sql-commando's op een Kaseya-server uit te voeren. Voor het beveiligingslek verscheen in 2017 een update. Volgens Kaseya hebben nog niet alle serviceproviders deze update geïnstalleerd of hebben dit verkeerd gedaan, waardoor ze kwetsbaar zijn voor aanvallen. Onlangs liet securitybedrijf Armor weten dat er dit jaar al zeker dertien incidenten met MSP's zijn geweest.
Ongepatchte software
Het niet installeren van beveiligingsupdates is ook een manier waardoor organisaties ransomware oplopen. Aanvallers hebben het dan met name voorzien op servers die verouderde versies van Oracle WebLogic Server en Apache draaien. "Ze krijgen remote code execution-rechten op die server en schieten dan een PowerShell-commando naar binnen die de architectuur van de computer bepaalt. Vervolgens wordt de malware via PowerShell in het geheugen gestart", merkt Loman op. Via de aangevallen server kan het achterliggende netwerk van de organisatie worden aangevallen en besmet. Onder andere de bende achter de Sodinokibi-ransomware zou zich op Oracle WebLogic richten.
Weekend
Wat bij de meer gerichte ransomware-aanvallen opvalt is dat de aanvallers, nadat ze toegang tot het netwerk hebben verkregen, de ransomware pas in het weekend uitrollen. "Dan is het it-personeel weekend aan het vieren, terwijl hun netwerk wordt versleuteld", merkt Loman op. Een tactiek die in het verleden bij meerdere gerichte aanvallen is gebruikt. Het beursgenoteerde laboratoriumbedrijf Eurofins Scientific raakte tijdens een weekend in juni nog met ransomware besmet.
Verminderde rechten
Wat Loman ook ontdekte was dat het voor aanvallers vaak weinig aanmaakt wanneer de gebruiker van een gecompromitteerd systeem verminderde rechten heeft, ook wel least user access genoemd. Bij alle onderzochte exemplaren maakte het niets uit om de ransomware-infectie te voorkomen. "Ook al wordt de ransomware door een gebruiker met verminderde rechten geopend, aanvallers slagen er bijna altijd in om hun rechten te verhogen", vertelt de onderzoeker.
Bijvoorbeeld omdat er ooit een lokale admin voor een installatie op de machine heeft ingelogd. Met de inloggegevens die de aanvallers van een besmet systeem weten te stelen proberen ze andere machines te benaderen en infecteren. Ook komt het voor dat de aanvallers aanvullende aanvalstools installeren zoals Cobalt Strike en PowerShell Empire. Daarvandaan wordt dan de rest van de aanval gepland. "Ze krijgen altijd de hoogste rechten", stelt Loman. Naast het stelen van de inloggegevens van een admin die op het systeem inlogt weten de aanvallers ook User Account Control (UAC) via de Windows Event Viewer te omzeilen. Met de verhoogde rechten wordt het eenvoudiger om alle data te versleutelen.
Een andere stap die de aanvallers uitvoeren is dat ze in de ActiveDirectory zelf een user toevoegen. "Stel dat ze ontdekt worden, dan moet de gehele organisatie zijn wachtwoorden wijzigen. Vaak gaan beheerders niet op zoek naar een onbekende gebruikersnaam." Bij een grote Active Directory kan een door de aanvallers toegevoegde gebruiker niet worden opgemerkt en behouden de aanvallers hun toegang. Een bekende gebruikersnaam die door de bende achter de Ryuk-ransomware wordt gebruikt is "Martin Stevens", gaat Loman verder. Vervolgens wordt deze gebruiker gebruikt om zich lateraal door het netwerk te bewegen.
Wat de aanvallen verder duidelijk maken is dat de aanvallers vaak uitgebreid inzicht in het netwerk van de aangevallen organisatie hebben. Zo brengen ze via de BloodHound-tool de volledige topologie van de Active Directory van de organisatie in kaart. Het gaat dan om adressen van de fileservers en waar de back-upservers precies staan. Vervolgens maken de aanvallers via RDP verbinding met de back-upserver en proberen aanwezige data te versleutelen of te verwijderen.
Antivirussoftware uitschakelen
Sommige ransomware probeert de beveiligingssoftware op het systeem uit te schakelen. Wanneer dit niet direct op de besmette computer zelf lukt, maken de aanvallers gebruik van gestolen wachtwoorden. Via de Active Directory wordt er gezocht naar de machine van de beheerder. De machine wordt aangevallen en vervolgens stelen de aanvallers uit de browser van de beheerder het wachtwoord van de webinterface voor het beheren van de beveiligingssoftware. Zodra de aanvallers op deze omgeving inloggen schakelen ze voor de hele organisatie de antivirussoftware uit. Om dergelijke aanvallen te voorkomen moeten organisaties "tamper protection" voor hun antivirussoftware instellen en tweefactorauthenticatie voor de beheerdersinterface gebruiken.
Betalen, herstellen en voorkomen
Zodra de aanvallers bestanden hebben versleuteld laten ze instructies achter dat er moet worden betaald om weer toegang te krijgen. Met name in de Verenigde Staten is er een toename van organisaties die over een cyberverzekering beschikken die bepaalt of de aanvallers worden betaald of het bedrijf een back-up moet terugzetten, als die nog beschikbaar is. Mede door deze verzekeringen lijkt het losgeld dat aanvallers eisen steeds hoger te worden. Zo betaalde een Amerikaanse stad in juni nog 460.000 dollar losgeld om weer toegang tot bestanden te krijgen. De verzekering dekte 450.000 dollar, waardoor de stad slechts 10.000 dollar moest betalen.
Het is een algemeen gegeven advies dat wanneer er kwaadaardige code op een systeem heeft gedraaid, het systeem opnieuw moet worden geïnstalleerd. Ransomware-slachtoffers die een decryptiesleutel ontvangen krijgen wel weer toegang tot hun bestanden, maar blijken in de praktijk hun getroffen systemen niet altijd opnieuw te installeren. "Dat doen ze vaak niet", gaat Loman verder. "Het is vaak symptoombestrijding, waarbij alleen het gat wordt gedicht waardoor de aanvallers binnenkwamen." De onderzoeker is bekend met een geval waarbij één organisatie twee keer in korte tijd door dezelfde aanvallers werd besmet.
Op dat moment zijn aanvallers er al in geslaagd om hun kwaadaardige code op een bedrijfssysteem uit te voeren. Onder andere overheidsinstanties pleiten dan ook geregeld voor het nemen van preventieve maatregelen. Onlangs adviseerde de Australische overheid nog om macro's in documenten afkomstig van het internet te blokkeren. Ook het Nederlandse Cyber Security Centrum (NCSC) waarschuwde in het verleden al voor macro's. "Alle aanvallen zijn in de basis mogelijk omdat organisaties de basisbeveiligingsprincipes niet goed voor elkaar hebben. Als je in je organisatie macro's gebruikt, moet je goed nadenken of je dit wil blijven doen", besluit Loman. Zijn paper over ransomware is nu te downloaden (pdf).
Bijvoorbeeld omdat er ooit een lokale admin voor een installatie op de machine heeft ingelogd. Met de inloggegevens die de aanvallers van een besmet systeem weten te stelen proberen ze andere machines te benaderen en infecteren.
Zie:
https://support.office.com/en-us/article/Block-suspicious-macros-in-Office-on-Windows-10-S-60785abc-d8b8-4b80-8f5d-67ddbee213e9
Waarom gaat er dan kennelijk nog zoveel onder de radar? VBA script gedreven en wel.
Het wordt tijd dat alles online gesigneerd MOET gaan worden.
In zo'n geval zullen malcreanten dat ook moeten gaan doen en/of spoofen of falsificeren,
want ongesigneerd zou het in zo'n geval niet langer op globaal niveau worden vertrouwd
en zouden direct alarmbellen moeten gaan rinkelen.
Maar niet iedereen beschilt over blokkering van de verdachte macro's. Helaas niet.
Er staat namelijk bij de voorwaarden, dat...This feature is only available if you have an Office 365 subscription.
If you are an Office 365 subscriber, make sure you have the latest version of Office.
En hoe betrouwbaar is dan die "security zone information" die Windows je verschaft?
Kan dit soort van beveiliging niet beschikbaar komen voor alle eindgebruikers
of zijn er gelijkwaardige oplossingen van derde partijen voorhanden?
Er zijn nu gebruikers met een betere en een minder goede beveiliging tegen kwaadaardige macro's,
"en dat is niet eerlijk" zou Calimero zeggen, waarvan akte,
Iemand?
luntrus
Bijvoorbeeld omdat er ooit een lokale admin voor een installatie op de machine heeft ingelogd. Met de inloggegevens die de aanvallers van een besmet systeem weten te stelen proberen ze andere machines te benaderen en infecteren.
Ja dat staat er, onder Windows kan een virus/malware gewoon altijd admin rechten krijgen.
Ook is het, voor zover ik weet, niet de bedoeling (van Microsoft, maar ook van alle andere bouwers van besturingssystemen die ik ken) dat EoP (elevation of priviliges, ook bekend als privilege escalation) mogelijk is, ongeacht of er cached crendentials van andere -meer privileged- gebruikers, op het systeem aanwezig zijn.
Helaas is EoP toch meestal mogelijk via een of meer van de volgende aanvalsvectoren:
1) Vaak hebben gebruikers zelf al meer rechten dan verstandig is (uit oogpunt van security) via mechanismes als UAC en sudoers;
2) Zelden is alle op de computer aanwezige software volledig gepatched (ik heb met name beveiligingssoftware zelf in het verleden veel EoP-mogelijkheden zien creëren o.a. door onveilig updaten en verkeerde permissies op mappen en drivers te zetten);
3) Soms lijkt of is het noodzakelijk om beveiliging (tijdelijk) te verzwakken (denk aan permissies op mappen, bestanden en in de registry, en aan het geven van extra privileges aan een account) omdat software niet goed werkt, en wordt vergeten dat te herstellen zodra de hack niet meer nodig is;
4) Vooral bij targeted attacks kunnen zero-day-EoP's worden gebruikt, en die werken vaak heel lang doordat softwarebouwers minder prioriteit geven aan EoP-kwetsbaarheden dan aan andere;
5) Middels social engineering kan de gebruiker worden overgehaald om iemand met meer privileges in te laten loggen, en die persoon om kwaadaardige code uit te voeren.
Daarnaast zijn er waarschijnlijk meer mogelijkheden die ik niet ken of waar ik nu even niet op kom.
Daar komt bij dat, als het de aanvallende software niet lukt om op de betreffende computer admin-privileges te verkrijgen, de malware (of interactieve aanvallers) het op andere computers aan het netwerk proberen. Een van de trucs daarbij is het scherm te locken (of te doen alsof) en zo de gebruiker te dwingen zijn wachtwoord in te voeren. Met de credentials van die gebruiker probeert de malware vervolgens op alle andere computers in het domein aan te melden, en zomogelijk meteen code uit te voeren en anders malware te planten die ooit kan worden uitgevoerd zodra of nadat iemand inlogt (waarna weer het bovenstaande puntenlijstje wordt afgelopen).
En natuurlijk hang je een via RDP toegangkelijk werkstation niet aan het internet.
Bijvoorbeeld omdat er ooit een lokale admin voor een installatie op de machine heeft ingelogd. Met de inloggegevens die de aanvallers van een besmet systeem weten te stelen proberen ze andere machines te benaderen en infecteren.
Bijvoorbeeld omdat er ooit een lokale admin voor een installatie op de machine heeft ingelogd. Met de inloggegevens die de aanvallers van een besmet systeem weten te stelen proberen ze andere machines te benaderen en infecteren.
Ja dat staat er, onder Windows kan een virus/malware gewoon altijd admin rechten krijgen.
Denk hierbij aan LAPS en uitschakelen van cached credentials. Dit limiteerd de attack surface enorm
Net als "hackers" is het een term om te zeggen dat het jouw schuld niet is want het is ook allemaal veuls te moeluk. "Kon er niets aan doen, de smurfen smurften me helemaal de smurf en mijn naam is Gargamel." Of als je het netjes wil houden pak je er wat duurdere woorden bij. Zoals "geavanceerd" of "geraffineerd", of je combineert er een paar, als in "Advanced Persistent Threat" bijvoorbeeld. Maak er een afko van en je kan weer helemaal de blits maken bij de koffiemachine.
``maar in de praktijk blijkt dat veel ransomware-aanvallen alleen mogelijk zijn doordat basale beveiligingsmaatregelen niet zijn opgevolgd''
Want de gebruikers hebben wel andere dingen aan het hoofd dan voortdurend op de teentjes te lopen omdat anders de kompjoetor z'n broek laat zakken voor malware. Zeker omdat ze uitgebreid verteld is dat ze "geen training nodig hadden" want de kompjoetor gebruiken was helemaal "intuitief" gemaakt.
Oftewel, de software is niet veilig genoeg voor de gebruikers om dagelijks te gebruiken. Dat is de enabler en die faalt in het disablen van de malware. Die inderdaad steeds slinkser en gehaaider wordt. Maar die alleen maar kon onstaan omdat de software waar het gebruik van maakt structureel laks was, is, en, als we resultaten uit het verleden mogen gebruiken om te extrapoleren naar de toekomst, zal zijn.
``In plaats van bedrijven direct aan te vallen hebben zich het afgelopen jaar ook meerdere incidenten voorgedaan waarbij aanvallers eerst een it-dienstverlener aanvielen en vervolgens de klanten van deze partij infecteerden. Zo raakten in één keer honderden ondernemingen besmet.''
Leuk in dezen is ook de trend van "cloud computing" waarbij je al dat moeluke gekompjoetor uitbesteed aan d'ene of d'andere "IT-dienstverlener" waarmee al die [x] Ongeschikte software over meerdere gebruikers gecentraliseerd toegangkelijk wordt voor malware. Door dus te proberen het probleem van je af te schuiven naar een leverancier, wordt je zelfs nog bevattelijker voor de problematiek en als het misgaat heeft gelijk de hele klas er last van.
Zoo spelt den modernen mensch het woord "vooruitgang".
Denk hierbij aan LAPS en uitschakelen van cached credentials. Dit limiteerd de attack surface enorm
Het zijn maatregelen die je neemt juist omdat je er rekening mee houdt dat malware of een interactieve aanvaller, op welke manier dan ook, adminprivileges weet te verkrijgen; je hebt die privileges namelijk nodig om cached credentials uit te kunnen lezen.
https://www.zdnet.com/article/flaw-in-intel-pmx-driver-gives-near-omnipotent-control-over-a-victim-device/
``maar in de praktijk blijkt dat veel ransomware-aanvallen alleen mogelijk zijn doordat basale beveiligingsmaatregelen niet zijn opgevolgd''
Want de gebruikers hebben wel andere dingen aan het hoofd dan voortdurend op de teentjes te lopen omdat anders de kompjoetor z'n broek laat zakken voor malware. Zeker omdat ze uitgebreid verteld is dat ze "geen training nodig hadden" want de kompjoetor gebruiken was helemaal "intuitief" gemaakt.
Oftewel, de software is niet veilig genoeg voor de gebruikers om dagelijks te gebruiken.
Het is inderdaad absurd dat het verkeerd openen van een document je besturingssysteem kan infecteren.
``maar in de praktijk blijkt dat veel ransomware-aanvallen alleen mogelijk zijn doordat basale beveiligingsmaatregelen niet zijn opgevolgd''
Want de gebruikers hebben wel andere dingen aan het hoofd dan voortdurend op de teentjes te lopen omdat anders de kompjoetor z'n broek laat zakken voor malware. Zeker omdat ze uitgebreid verteld is dat ze "geen training nodig hadden" want de kompjoetor gebruiken was helemaal "intuitief" gemaakt.
Oftewel, de software is niet veilig genoeg voor de gebruikers om dagelijks te gebruiken.
Het is inderdaad absurd dat het verkeerd openen van een document je besturingssysteem kan infecteren.
Voor huist gebruikers is dit al een stuk lastiger en komen er ook nog eens diverse waarschuwingen eerst vooraf. Als ja deze waarschuwingen het als nog uitvoert, is het niet meer direct een software probleem.
Auto's zijn ook gewoon veilig. Echter als je er 200 mee gaat rijden.... Dan is het wat anders en iedereen kan dit gewoon doen. Is dit dan ook een auto probleem, en maakt dit auto's onveilig?
``maar in de praktijk blijkt dat veel ransomware-aanvallen alleen mogelijk zijn doordat basale beveiligingsmaatregelen niet zijn opgevolgd''
Want de gebruikers hebben wel andere dingen aan het hoofd dan voortdurend op de teentjes te lopen omdat anders de kompjoetor z'n broek laat zakken voor malware. Zeker omdat ze uitgebreid verteld is dat ze "geen training nodig hadden" want de kompjoetor gebruiken was helemaal "intuitief" gemaakt.
Oftewel, de software is niet veilig genoeg voor de gebruikers om dagelijks te gebruiken.
Voor huist gebruikers is dit al een stuk lastiger en komen er ook nog eens diverse waarschuwingen aan vooraf. Als je na deze waarschuwingen het als nog uitvoert, is het niet meer direct een software probleem.
Ik denk niet dat het een goed idee was office macros zo te maken dat ze dit allemaal kunnen en toelaten, maar dat heeft het bedrijf moedwillig wel zo neergezet en zelfs aangekondigd van "kijk eens, dit is handig". Dat het ondertussen(!) volgens wat vage "best current practice"-verhalen die nooit de eindgebruiker zullen bereiken geen goed idee is... is toch wat anders dan duidelijk bij elke weg neergezette maximumsnelheidborden. Oftewel de fabrikant had die functionaliteit niet doodnormaal moeten maken. Iets wat al bij invoering opgemerkt en gezegd werd.
``maar in de praktijk blijkt dat veel ransomware-aanvallen alleen mogelijk zijn doordat basale beveiligingsmaatregelen niet zijn opgevolgd''
Want de gebruikers hebben wel andere dingen aan het hoofd dan voortdurend op de teentjes te lopen omdat anders de kompjoetor z'n broek laat zakken voor malware. Zeker omdat ze uitgebreid verteld is dat ze "geen training nodig hadden" want de kompjoetor gebruiken was helemaal "intuitief" gemaakt.
Oftewel, de software is niet veilig genoeg voor de gebruikers om dagelijks te gebruiken.
Het is inderdaad absurd dat het verkeerd openen van een document je besturingssysteem kan infecteren.
Voor huist gebruikers is dit al een stuk lastiger en komen er ook nog eens diverse waarschuwingen eerst vooraf. Als ja deze waarschuwingen het als nog uitvoert, is het niet meer direct een software probleem.
Auto's zijn ook gewoon veilig. Echter als je er 200 mee gaat rijden.... Dan is het wat anders en iedereen kan dit gewoon doen. Is dit dan ook een auto probleem, en maakt dit auto's onveilig?
Maar als je een auto koopt, dan werken de remmen, zijn de veiligheidsgordels werkend, is de airbag geïnstalleerd en gestest, werkt de ABS, zijn de kreukelzones effectief, doen de remlichten het naar behoren etc. Het is niet zo dat iemand die een auto koopt deze eerst nog moet laten instellen door een beheerder, hij een speciale medebestuurder altijd moet laten meerijden om te waarschuwen voor gevaarlijke situaties en het mogelijk is om het hele functioneren van de auto om zeep te helpen als iemand de richtingaanwijzer niet goed gebruikt.
De meeste van deze opzettelijke daden gebeuren gelukkig niet of zelden, andere helaas vaker. En niet zelden leiden die laatste tot dodelijke ongelukken waar de meeste auto's onvoldoende bescherming tegen bieden (om het maar niet over bijv. motorfietsen te hebben).
Het probleem met software waar het hier om gaat, heeft alles te maken met kwade opzet, waarbij het doel van de aanvallers in de meeste gevallen geldelijk gewin is. Dat dit bij software (op aan internet gekoppelde apparatuur) veel vaker gebeurt dan middels andere criminaliteit waarbij bijv. onze voertuigen doelwit zijn, heeft vermoedelijk veel te maken met zowel de lagere pakkens als de hogere winstverwachting. Deze criminelen zijn echter zo nietsontziend dat het me niets zou verbazen als zij totaal andere doelen kiezen zodra die lucratiever worden - bij gelijkblijvende pakkans.
waarom blijkt dat dan steeds zo moeilijk te zijn? is dat falend management? is dat incompetent beheer? is dat toch te veel werk voor de mensen met deze software? waarom moet dit eigenlijk dan weer achteraf geconfigureerd worden? waarom kan het niet veilig dicht uit de verpakking komen en dat er moeit egedaan moet worden van een veilige std opzet een puintje te maken? dat kan namelijk wel (aantoonbaar).... maar waarom gebeurt dat dan steeds toch maar niet?
waarom blijkt dat dan steeds zo moeilijk te zijn? is dat falend management? is dat incompetent beheer? is dat toch te veel werk voor de mensen met deze software? waarom moet dit eigenlijk dan weer achteraf geconfigureerd worden? waarom kan het niet veilig dicht uit de verpakking komen en dat er moeit egedaan moet worden van een veilige std opzet een puintje te maken? dat kan namelijk wel (aantoonbaar).... maar waarom gebeurt dat dan steeds toch maar niet?
Beheerders mogen vaak de beveiliging niet hoog of dicht zetten, omdat er dan bepaalde gebruikte applicaties omvallen of het wordt te complex voor de gebruikers. En kan zijn keuzes snel gemaakt. Beheerder verliest....
Voor mij is duidelijk dat code die mogelijk uit een onbetrouwbare bron komt niet of in een goede sandbox uitgevoerd hoort te worden. Omdat evident is dat office-documenten uitgewisseld worden en al even evident is dat een doorsneegebruiker vergeleken met een professionele IT'er een behoorlijke digibeet is zou het evident moeten zijn dat macro's in office-documenten niet te veel moeten kunnen. Ze moeten binnen het document hun ding kunnen doen en erbuiten niets, tenzij er goed geregeld is dat dat op een veilige manier kan.
Het is volstrekt duidelijk dat Microsoft en andere leveranciers toen ze macro's als mogelijkheid toevoegden aan hun documentformaten en -verwerkers vooral gericht waren op zo rijk mogelijke features toevoegen. Het was niet zo dat er in die tijd geen mensen met verstand van IT-beveiliging waren die erop wezen dat dat riskant was, het is eerder zo dat degenen die hun produkt zo aantrekkelijk mogelijk wilden maken voor de verkoop andere belangen nastreefden en niet naar deze geluiden luisterden.
Ik denk overigens niet dat alle ellende was voorkomen als er beter naar de mensen met verstand van IT-beveiliging was geluisterd. Die worden nog steeds voortdurend verrast door hoe makkelijk mensen omver worden geluld, en doorgaan met van alles wat ze zouden moeten laten terwijl de waarschuwingen luid en duidelijk voor hun snufferd staan.
Het is volstrekt duidelijk dat Microsoft en andere leveranciers toen ze macro's als mogelijkheid toevoegden aan hun documentformaten en -verwerkers vooral gericht waren op zo rijk mogelijke features toevoegen. Het was niet zo dat er in die tijd geen mensen met verstand van IT-beveiliging waren die erop wezen dat dat riskant was, het is eerder zo dat degenen die hun produkt zo aantrekkelijk mogelijk wilden maken voor de verkoop andere belangen nastreefden en niet naar deze geluiden luisterden.
Daardoor slaat de eerder geponeerde stelling "Als je gewoon als beheerder alles goed configueerd [sic] met de juist settings dan is dit niet mogelijk" helemaal nergens op: je hebt geen idee welke functionaliteit je allemaal kunt blacklisten zonder boze gebruikers op onvoorspelbare momenten aan je desk of telefoon. En na elke update kun je aan de slag om te checken of de update jouw security-settings heeft verzwakt of zelfs ongedaan gemaakt c.q. er functionaliteit is toegevoegd die nieuwe blacklist-settings vereist.
En sowieso, als je aan blacklisten van functionaliteit begint, zoek je je vaak suf als gebruikers melden dat iets niet werkt zoals verwacht - wat er in de meeste gevallen, vermoed ik, de reden is dat beheerders hier snel mee stoppen of überhaupt niet aan beginnen.
Daarnaast is bijv. de MotW (Mark of the Web) (blacklist-) truc van Microsoft onbetrouwbaar, want niet alle unpackers ondersteunen deze en op andere filesystems dan NTFS raak je deze sowieso kwijt. Waarom heeft Microsoft hier niet voor whitelisting gekozen, zodat je juist gewaarschuwd wordt als een "MarkOfLocallyCreated" tag onbedoeld kwijtraakt? Onbegrijpelijk.
Alle features met potentiële security-impact zouden by default disabled moeten zijn. Alleen als ze echt nodig zijn, zet je ze aan - en alleen voor die gebruikers die -aantoonbaar- niet zonder kunnen (en bij voorkeur automatisch beperkt tot een bepaalde datum, met ruim van tevoren een waarschuwing naar de gebruiker). De succeskans is dan automatisch kleiner voor cybercriminelen, en deze aanpak kun je veel beter beheren en beheersen.
Zolang we de ene na de andere feature moeten blijven blacklisten, komen beheerders om in het werk, ergeren gebruikers zich groen en geel en rollen criminelen lachend over de vloer.
Maar de auto is ook gemaakt om met deze snelheden te rijden, dus waarom zou dit dit niet moeten kunnen? Marco's zijn ook met een redenen gemaakt.
Je kunt het eventueel ook als terug acties beschouwen. Want auto's bevatten tegenwoordig ook regelmatig fouten die gemaakt meoten worden.
Terwijl op je kompjoetor je stapels en stapels aan "waarschuwingen" krijgt die soms niets betekenen, soms wel iets maar iets anders, en soms inderdaad direct gevaar aanwijzen -- nouja, aanwijzen, "er is mogelijk gevaar mischien" is niet echt duidelijk over wat het gevaar dan zou mogen zijn. Maar geen waarschuwing betekent niet geen gevaar. En dat bij mensen die geen training gekregen hebben want de software is verkocht onder het mom "geen training nodig". Dus is zelfs "knipperend waarschuwingslampje negeren" niet verwijtbaar in context: Er is nooit gewaarschuwd dat negeren laakbaar is.
Maar we hadden het niet over verwijtbaar gebruik van het apparaat. We hadden het over verwijtbaar onveilige staat van levering vanaf de fabrikant. De autoindustrie heeft door schade en schande moeten leren wat wel en niet veilig is, en is daar deels door wetgeving door gedwongen. De computerindustrie, nouja die ene monopolistische leverancier, heeft nog steeds vrijwel geheel vrij spel. En gooit er dan ook grif met de pet naar. Ook al doen ze ondertussen voor de bühne of ze echt wel om beveiliging geven, heus. Wat gek genoeg niet tot resultaat heeft dat dit soort zeer onveilige situaties worden uitgebouwd of zelfs maar standaard worden uitgezet maar wel dat er allerlei cryptografische truukerij ingebouwd wordt die vooral tot gevolg heeft dat je als gebruiker en ook als eigenaar van de hardware steeds minder te zeggen hebt.
Ook die vergelijking gaat niet op. Nou heb ik geen rijbewijs maar het lijkt me sterk dat de instructeur niet vertelt dat als "/!\" rood gaat knipperen dat je dan niet meer veilig door kan rijden. Ik neem ook aan dat het ergens in het theorie- danwel het praktijkexamen gevraagd wordt.
Daarnaast... Standaard staat Macro's uit ook en komen er diverse waarschuwingen of je het heel zeker weet of je dit op voor een onbekend document zomaar aan wilt zetten.
Auto industrie heeft de mogelijkheid om auto's gewoon te vervangen of te updaten, zonder hele grote impact. Daarnaast men past nu de brandstof aan, en oude auto's kunnen grote problemen krijgen. Stoeltjes voor kinderen gebruiken tegenwoordig andere aansluitingen dan vroeger.
Maar dat zijn dingen die je vaak met een nieuwe auto gemakkelijk kan vervangen. Het is niet in eens dat je hele bedrijf omvalt met een nieuwe auto of een software aanpassing voor een nieuwe auto. Dit kun je gemakkelijk per auto type vervangen zonder problemen.
Software aanpassingen zijn een stuk complexer, want je vervangt de hardware en het OS wel. Maar veel applicaties blijven gewoon gebruikt worden. Ik kom nog steeds Excel sheets van Excel 97 tegen die gebruikt worden. Overzetten naar nieuwe versies was niet mogelijk.
Ons bedrijf moet ook Office 32Bits gebruiken, want alle macro's in onze documenten werken alleen met 32Bits Office.
Daarnaast in de laatste versie van Office, zitten beveiligingen die de security een stuk hoger zetten om marco's uit te voeren.
Je auto vs computer gaat nog steeds niet goed op. Maar we gaan nu wel erg off-topic
Ook die vergelijking gaat niet op. Nou heb ik geen rijbewijs maar het lijkt me sterk dat de instructeur niet vertelt dat als "/!\" rood gaat knipperen dat je dan niet meer veilig door kan rijden. Ik neem ook aan dat het ergens in het theorie- danwel het praktijkexamen gevraagd wordt.
Ons bedrijf moet ook Office 32Bits gebruiken, want alle macro's in onze documenten werken alleen met 32Bits Office.
Of specifieker, "blijkt onvervangbaar en onporteerbaar en dat levert veiligheidsproblemen op". Je zou bijvoorbeeld heel goed, zoals de schrijver van _A Song of Fire and Ice_, nog altijd WordStar 4 kunnen gebruiken zonder dat daar veel veiligheidsrisicos aan zitten. Of WordStar 3 in een CP/M-emulator. Of nvi+troff. Of weetikhetwat. Zeker zou alleen al het gegeven dat velen net even wat anders gebruiken het probleem van de vatbaarheid voor malware inherent aan een monocultuur drastisch verminderen.
Dat vereist dan weer een duidelijk uitwisselingsformaat en gebruikers die snappen hoe zoiets werkt. Dat wordt door de usance van "geen training vereist" redelijk hard in de weg gezeten. En oh ja, door die ene fabrikant die een open standaard niet kon accepteren als'ie niet van zichzelf kwam, en dus maar vakkundig wat standaardisatieprocessen verstierde.
(Niet dat ik ODF nu zo'n geweldige standaard vind. XML is teveel hypetrain en te weinig substantie om op te bouwen voor de toekomst. Maar ODF is qualitatief iig beter dan OOXML. Er zijn namelijk wel conformante implementaties van te vinden.)
Ook die vergelijking gaat niet op. Nou heb ik geen rijbewijs maar het lijkt me sterk dat de instructeur niet vertelt dat als "/!\" rood gaat knipperen dat je dan niet meer veilig door kan rijden. Ik neem ook aan dat het ergens in het theorie- danwel het praktijkexamen gevraagd wordt.
Daarnaast computer vervangen vs software vervangen is al heel wat anders. Software wordt vaak een keer neergezet en de configuratie blijft het zelfde. Gebruikers willen dit ook niet veranderen, want zo werken ze nu eenmaal. En probeer dat maar eens te veranderen. Bijna niet te doen. Dus blijft een oude (onveilige) configuratie actief. Welkom in de grote wereld.
Ons bedrijf moet ook Office 32Bits gebruiken, want alle macro's in onze documenten werken alleen met 32Bits Office.
Mensen gaan in hun onwetendheid dus zeker gebruik maken van deze "features"
en daarmee begint de ellende. Wie is er dan uiteindelijk dom bezig?
De software-boer dus.
U bouwt het in en later gaat de cybercrimineel of een staatsacteur er misbruik van maken,
dan roept u hard foei, maar u had helemaal niet moeten vertrouwen op "security through obscurity".
In dit geval keren we het spreekwoord om en krijgen we, "Wat niet weet en toch wel degelijk deert",
ofwel de allergrootste 'makke' van alle propriety software.
Ik draai Libre Office, wat minder gelikt en snel, maar wel duidelijk minder aanvalsoppervlak.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
