"NIET OP DIE EMAIL KLIKKEN!!1!" is de beste verdediging die ook de Belgische federale politie weet te verzinnen. Juistem.

Compleet met boemannen de schuld geven. Commissaris Olivier Bogaert gaat voor de cyberbuzzwordbingo!

Het lijkt mij dat de beste verdediging, de frontale aanval op de hackers is in Europees verband..

De uitspraak van deze politieman doe me denken aan wat ik gisteravond op 1Vandaag hoorde. Een MKB-er vertelde dat een politieagent, die de ransomwareinfectie op zijn systemen kwam onderzoeken, vroeg of het slachtoffer een signalement van de dader kon geven.

Versimpeling lost niks op - integendeel
Een m.i. groot probleem bij het beperken van de mogelijkheden voor cybercrime is dat "autoriteiten" in korte statements verkondigen "Doe X om te voorkomen dat je slachtoffer van cybercrime wordt!" - en daarmee suggereren dat er eenvoudige oplossingen voor zouden bestaan.

X: train users of maak offline backups of segmenteer je netwerk of gebruik 2FA of gebruik een "betere" virusscanner" of gebruik Linux of gebruik passphrases of gebruik een beter spamfilter of gebruik AppLocker of ...

Complexe systemen kennen geen simpele beveiligingsoplossingen
Als wij met z'n allen computersystemen willen blijven gebruiken die, ook als ze voor gebruikers eenvoudig overkomen, onder de motorkap uiterst complex in elkaar zitten en steeds meer afhankelijk zijn van allerlei cloudkoppelingen, zullen we moeten accepteren dat eenvoudige beveiligingsoplossingen niet bestaan.

De meeste beveiligingsadviezen die ik tegenkom zijn incompleet, onwerkbaar of bevatten zinloze of zelfs onverstandige maatregelen. Bovendien zijn ze vaak erg abstract en/of verouderen ze waar je bij staat.

Voorbeeld: https://www.cyber.gov.au/publications/essential-eight-explained: in deze 8 "Mitigation Strategies to Prevent Malware Delivery and Execution" ontbreken in elk geval netwerksegmentatie en offline back-ups. Adobe Flash moet je niet meer willen gebruiken, en technieken als application whitelisting zijn controversieel omdat ze "false positive" problemen opleveren en deels te bypassen bleken (waardoor er, o.a. door Microsoft, steeds weer nieuwe technieken voor worden bedacht). En user awareness hoort kennelijk niet bij deze "essential eight" - go figure.

Disproportionele omvang en complexiteit
Wat ik zelden tegenkom in adviezen is het volgende: dat organisaties serieuzer en vaker moeten gaan overwegen of ze alle in huis gehaalde en nog te halen functionaliteit echt nodig hebben (rekeninghoudend met het werkelijke kostenplaatje, inclusief patchen en het eventueel vooraf testen daarvan). De kunst is niet om als DevOps o.i.d. in een oogwenk een virtueel systeem op te tuigen, maar om vooraf te beargumenteren waar dat systeem voor nodig is, hoe lang het beschikbaar moet zijn, met welke maximale classificatie informatie op dat systeem verwerkt en/of opgeslagen mag worden, wie er verantwoordelijk voor is (back-ups, archivering, kennen van systeemcomponenten en third party dependencies, in de gaten houden of kwetsbaarheden voor systeemdelen worden gepubliceerd en EOL status van componenten, waarborgen van beschikbaarheid, monitoring op opzettelijke en onopzettelijke problemen, testen/installeren van updates en upgrades, bijhouden van documentatie waaronder CMDB, gebruikersondersteuning, vernieuwen van certificaten en sleutels, ...) enzovoorts.

Waren/zijn de 287 Windows servers allemaal nodig in het UNIMAAS domein (voor zover ik begrijp slechts gebruikt voor administratieve kerntaken van de universiteit)? In mijn ervaring laten ICT-ondersteuners zich, in de waan van de dag, veel te makkelijk overhalen om elke keer nieuwe systemem toe te voegen. Als je onvoldoende gekwalificeerde mensen en middelen hebt om vele duizenden patches per jaar uit te voeren, kom je vroeger of later niet meer toe aan het upgraden van systemen, vooral niet als daar een arbeidsintensieve migratieslag voor nodig is.

TL;DR
Kortom, ja: security-unawareness van gebruikers is één van de problemen, maar eentje die je nooit voor 100% oplost. Je zult echt naar het hele beveiligingsplaatje moeten kijken om de, vaak veel duurdere, gevolgschade van een gecompromitteerd gebruikersaccount te beperken.

Je kunt ook inloggen op webmail. Hierdoor verdwijnen bijlages met malware niet meer op je systeem, wat wel gebeurt als je een e-mailprogramma zou gebruiken. Deze methode lijkt sterk op het programma Mailwasher, die ook vooraf op de mailserver kijkt wat in je inbox staat, dus voordat je iets zou downloaden.

De links in e-mail: standaard NOOIT, NOOIT, NOOIT op een link klikken, maar eerst doortrekken via de website van VirusTotal.

Als je het zo doet, dan is de kans op een besmetting gering.

"Daily backups of important new/changed data, software and configuration settings, stored disconnected, retained for at least three months. Test restoration initially, annually and when IT infrastructure changes."

Gebruikers klikken nou eenmaal op dingen, deal with it. Awareness helpt een klein beetje maar is dweilen met de kraan open.

De meeste mensen die ik ken openen ook meteen de bijlage bij een email als ze, door het lezen van de tekst in de mail, overgehaald worden om dat te doen. En dat overtuigen is precies waar cybercriminelen steeds beter in worden. Ik zie niet hoe jouw "oplossing" ook maar iets bijdraagt aan het voorkomen van besmettingen (nog los van het feit dat verreweg de meeste organisaties Outlook gebruiken en geen webmail).

Bijlagen kunnen vertrouwelijke informatie bevatten, en ("eenmalige") links kunnen naar vertrouwelijke informatie verwijzen. Virustotal deelt deze informatie met veel partijen. Als je zo een sollicitatiebrief uploadt, zul je dit bij de AP moeten melden als een datalek.

Een veilige methode is het zelf genereren van een hash (bijv. SHA-256) van een bijlage en die hash uploaden naar Virustotal. Garanties dat exact het bestand, dat jij ontvangen hebt, bekend is op VirusTotal, heb je natuurlijk niet. Andersom, als het wel bekend is, en meerdere gerenommeerde virusscanners (met weinig false positives) er op aanslaan, kun je er donder op zeggen dat het foute boel is. Maar dan had een scanner op de mailserver dat er ook uit kunnen halen, en bovendien ken ik maar heel weinig mensen (buiten mijzelf) die zoveel moeite nemen.

Een .docx of .xlsx/.xslm etc. bestand kun je ook hernoemen in .zip (of .zip erachter plakken) en dan in tools als Total Commander en 7-Zip redelijk eenvoudig (als je weet hoe) onderzoeken op het voorkomen van macro's. Didier Stevens heeft hier trouwens ook tools voor op zijn website (https://blog.didierstevens.com/programs/oledump-py/).

Ik kom terug op een uitspraak van me in 1998:

HTML* in email zou verboden moeten zijn.


* Opmaak prima maar zeker geen klikbare links.

Daar heb ik overheen gekeken, mijn excuses!

Het gaan dat ook meestal mis door “slechte” bijlagen ???????