image

Belgische politie: gebruiker beste verdediging tegen ransomware

donderdag 6 februari 2020, 10:11 door Redactie, 9 reacties

Eindgebruikers zijn de beste verdediging tegen ransomware door niet zomaar e-mailbijlagen te openen, zo stelt de Belgische Federale Politie. Volgens de Belgische politie is er een stijging van het aantal aanvallen waarbij ransomware wordt geïnstalleerd. De afgelopen weken werden verschillende Belgische bedrijven door ransomware getroffen, alsook een gemeente.

"Hackers gebruiken diverse technieken. Ze profiteren bijvoorbeeld van de zwakke plekken in de beheerstools van bedrijven. Nadat ze zijn binnengedrongen, kunnen ze onder meer de back-ups uitschakelen. Er kunnen ernstige gevolgen zijn als het bedrijf volledig geblokkeerd is door de versleuteling van zijn gegevens", zegt commissaris Olivier Bogaert van de Federal Computer Crime Unit.

Bogaert waarschuwt internetgebruikers om vooral alert te zijn op e-mailbijlagen. "Wees op je hoede als je bestanden aangeboden krijgt." De gebruiker is dan ook de beste verdediging en zwakste schakel, stelt de Belgische politie. "Vergeet echter niet dat de zwakke schakel in de digitale omgeving zich tussen het scherm en de stoel bevindt." Volgens Bogaert is het daarom belangrijk dat gebruikers alert blijven op de bestanden die ze via e-mail ontvangen. "Ons gedrag speelt immers een grote rol in onze digitale veiligheid."

Reacties (9)
06-02-2020, 10:30 door Anoniem
"NIET OP DIE EMAIL KLIKKEN!!1!" is de beste verdediging die ook de Belgische federale politie weet te verzinnen. Juistem.

Compleet met boemannen de schuld geven. Commissaris Olivier Bogaert gaat voor de cyberbuzzwordbingo!
06-02-2020, 11:52 door Anoniem
Het lijkt mij dat de beste verdediging, de frontale aanval op de hackers is in Europees verband..
06-02-2020, 11:55 door Erik van Straten - Bijgewerkt: 06-02-2020, 12:03
De uitspraak van deze politieman doe me denken aan wat ik gisteravond op 1Vandaag hoorde. Een MKB-er vertelde dat een politieagent, die de ransomwareinfectie op zijn systemen kwam onderzoeken, vroeg of het slachtoffer een signalement van de dader kon geven.

Versimpeling lost niks op - integendeel
Een m.i. groot probleem bij het beperken van de mogelijkheden voor cybercrime is dat "autoriteiten" in korte statements verkondigen "Doe X om te voorkomen dat je slachtoffer van cybercrime wordt!" - en daarmee suggereren dat er eenvoudige oplossingen voor zouden bestaan.

X: train users of maak offline backups of segmenteer je netwerk of gebruik 2FA of gebruik een "betere" virusscanner" of gebruik Linux of gebruik passphrases of gebruik een beter spamfilter of gebruik AppLocker of ...

Complexe systemen kennen geen simpele beveiligingsoplossingen
Als wij met z'n allen computersystemen willen blijven gebruiken die, ook als ze voor gebruikers eenvoudig overkomen, onder de motorkap uiterst complex in elkaar zitten en steeds meer afhankelijk zijn van allerlei cloudkoppelingen, zullen we moeten accepteren dat eenvoudige beveiligingsoplossingen niet bestaan.

De meeste beveiligingsadviezen die ik tegenkom zijn incompleet, onwerkbaar of bevatten zinloze of zelfs onverstandige maatregelen. Bovendien zijn ze vaak erg abstract en/of verouderen ze waar je bij staat.

Voorbeeld: https://www.cyber.gov.au/publications/essential-eight-explained: in deze 8 "Mitigation Strategies to Prevent Malware Delivery and Execution" ontbreken in elk geval netwerksegmentatie en offline back-ups. Adobe Flash moet je niet meer willen gebruiken, en technieken als application whitelisting zijn controversieel omdat ze "false positive" problemen opleveren en deels te bypassen bleken (waardoor er, o.a. door Microsoft, steeds weer nieuwe technieken voor worden bedacht). En user awareness hoort kennelijk niet bij deze "essential eight" - go figure.

Disproportionele omvang en complexiteit
Wat ik zelden tegenkom in adviezen is het volgende: dat organisaties serieuzer en vaker moeten gaan overwegen of ze alle in huis gehaalde en nog te halen functionaliteit echt nodig hebben (rekeninghoudend met het werkelijke kostenplaatje, inclusief patchen en het eventueel vooraf testen daarvan). De kunst is niet om als DevOps o.i.d. in een oogwenk een virtueel systeem op te tuigen, maar om vooraf te beargumenteren waar dat systeem voor nodig is, hoe lang het beschikbaar moet zijn, met welke maximale classificatie informatie op dat systeem verwerkt en/of opgeslagen mag worden, wie er verantwoordelijk voor is (back-ups, archivering, kennen van systeemcomponenten en third party dependencies, in de gaten houden of kwetsbaarheden voor systeemdelen worden gepubliceerd en EOL status van componenten, waarborgen van beschikbaarheid, monitoring op opzettelijke en onopzettelijke problemen, testen/installeren van updates en upgrades, bijhouden van documentatie waaronder CMDB, gebruikersondersteuning, vernieuwen van certificaten en sleutels, ...) enzovoorts.

Waren/zijn de 287 Windows servers allemaal nodig in het UNIMAAS domein (voor zover ik begrijp slechts gebruikt voor administratieve kerntaken van de universiteit)? In mijn ervaring laten ICT-ondersteuners zich, in de waan van de dag, veel te makkelijk overhalen om elke keer nieuwe systemem toe te voegen. Als je onvoldoende gekwalificeerde mensen en middelen hebt om vele duizenden patches per jaar uit te voeren, kom je vroeger of later niet meer toe aan het upgraden van systemen, vooral niet als daar een arbeidsintensieve migratieslag voor nodig is.

TL;DR
Kortom, ja: security-unawareness van gebruikers is één van de problemen, maar eentje die je nooit voor 100% oplost. Je zult echt naar het hele beveiligingsplaatje moeten kijken om de, vaak veel duurdere, gevolgschade van een gecompromitteerd gebruikersaccount te beperken.
06-02-2020, 11:56 door Anoniem
Je kunt ook inloggen op webmail. Hierdoor verdwijnen bijlages met malware niet meer op je systeem, wat wel gebeurt als je een e-mailprogramma zou gebruiken. Deze methode lijkt sterk op het programma Mailwasher, die ook vooraf op de mailserver kijkt wat in je inbox staat, dus voordat je iets zou downloaden.

De links in e-mail: standaard NOOIT, NOOIT, NOOIT op een link klikken, maar eerst doortrekken via de website van VirusTotal.

Als je het zo doet, dan is de kans op een besmetting gering.
06-02-2020, 12:16 door Anoniem
Voorbeeld: https://www.cyber.gov.au/publications/essential-eight-explained: in deze 8 "Mitigation Strategies to Prevent Malware Delivery and Execution" ontbreken in elk geval netwerksegmentatie en offline back-ups. Adobe Flash moet je niet meer willen gebruiken, en technieken als application whitelisting zijn controversieel omdat ze "false positive" problemen opleveren en deels te bypassen bleken (waardoor er, o.a. door Microsoft, steeds weer nieuwe technieken voor worden bedacht). En user awareness hoort kennelijk niet bij deze "essential eight" - go figure.

"Daily backups of important new/changed data, software and configuration settings, stored disconnected, retained for at least three months. Test restoration initially, annually and when IT infrastructure changes."

Gebruikers klikken nou eenmaal op dingen, deal with it. Awareness helpt een klein beetje maar is dweilen met de kraan open.
06-02-2020, 12:52 door Erik van Straten
Door Anoniem: Je kunt ook inloggen op webmail. Hierdoor verdwijnen bijlages met malware niet meer op je systeem, wat wel gebeurt als je een e-mailprogramma zou gebruiken.
De meeste mensen die ik ken openen ook meteen de bijlage bij een email als ze, door het lezen van de tekst in de mail, overgehaald worden om dat te doen. En dat overtuigen is precies waar cybercriminelen steeds beter in worden. Ik zie niet hoe jouw "oplossing" ook maar iets bijdraagt aan het voorkomen van besmettingen (nog los van het feit dat verreweg de meeste organisaties Outlook gebruiken en geen webmail).

Door Anoniem: De links in e-mail: standaard NOOIT, NOOIT, NOOIT op een link klikken, maar eerst doortrekken via de website van VirusTotal.
Bijlagen kunnen vertrouwelijke informatie bevatten, en ("eenmalige") links kunnen naar vertrouwelijke informatie verwijzen. Virustotal deelt deze informatie met veel partijen. Als je zo een sollicitatiebrief uploadt, zul je dit bij de AP moeten melden als een datalek.

Een veilige methode is het zelf genereren van een hash (bijv. SHA-256) van een bijlage en die hash uploaden naar Virustotal. Garanties dat exact het bestand, dat jij ontvangen hebt, bekend is op VirusTotal, heb je natuurlijk niet. Andersom, als het wel bekend is, en meerdere gerenommeerde virusscanners (met weinig false positives) er op aanslaan, kun je er donder op zeggen dat het foute boel is. Maar dan had een scanner op de mailserver dat er ook uit kunnen halen, en bovendien ken ik maar heel weinig mensen (buiten mijzelf) die zoveel moeite nemen.

Een .docx of .xlsx/.xslm etc. bestand kun je ook hernoemen in .zip (of .zip erachter plakken) en dan in tools als Total Commander en 7-Zip redelijk eenvoudig (als je weet hoe) onderzoeken op het voorkomen van macro's. Didier Stevens heeft hier trouwens ook tools voor op zijn website (https://blog.didierstevens.com/programs/oledump-py/).
06-02-2020, 12:52 door Anoniem
Ik kom terug op een uitspraak van me in 1998:

HTML* in email zou verboden moeten zijn.


* Opmaak prima maar zeker geen klikbare links.
06-02-2020, 15:19 door Erik van Straten
Door Anoniem:
Door Erik van Straten: [...] Voorbeeld: https://www.cyber.gov.au/publications/essential-eight-explained: in deze 8 "Mitigation Strategies to Prevent Malware Delivery and Execution" ontbreken in elk geval netwerksegmentatie en offline back-ups. [...]
"Daily backups of important new/changed data, software and configuration settings, stored disconnected, retained for at least three months. Test restoration initially, annually and when IT infrastructure changes."
Daar heb ik overheen gekeken, mijn excuses!
09-02-2020, 01:30 door Anoniem
Door Anoniem: Ik kom terug op een uitspraak van me in 1998:

HTML* in email zou verboden moeten zijn.


* Opmaak prima maar zeker geen klikbare links.

Het gaan dat ook meestal mis door “slechte” bijlagen ???????
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.