Security Professionals - ipfw add deny all from eindgebruikers to any

Is klikken op een foute link ook destrastreus met alle updates?

08-02-2020, 22:25 door Anoniem, 48 reacties
Wat ik mij - al lezend over de Universiteit Maastricht hack - afvraag: er wordt nu steeds gezegd: het belangrijkste is bewustwording onder medewerkers en studenten dat ze niet op foute linkjes klikken. Maar wat ik niet snap: het doel van van phishingmail is toch, dat je code kunt uitvoeren binnen het netwerk, oftewel dat je je binnenin het netwerk bevindt. Maar dat is toch niet zo spannend, dat zijn al die 8000 medewerkers en studenten ook. En op 8000 studenten is er altijd wel iemand die het geinig vind om het netwerk plat te leggen. Maar wat ik mij afvraag: heeft het sturen van phishingmail nog toegevoegde waarde t.o.v. gewoon als medewerker een virus uitrollen? En is hierbij nou gebruik gemaakt van een zeroday, of had de Universiteit de Office updates ook niet op orde, waardoor dit Office virus zich als macro in Excel kon uitrollen?
Reacties (48)
09-02-2020, 10:19 door Briolet
In tegenstelling wat ik overal lees, heeft het klikken van een verkeerde link niet tot de problemen in Maastricht geleid. Dat is alleen wat journalisten er van maken.

Via de link is schadelijke software gedownload en pas het runnen van die schadelijke software zorgde voor de problemen. De omweg via het downloaden en niet als bijlage, was er natuurlijk om te zorgen dan mailscanners niets vonden.

Maar ook zonder mail, had natuurlijk iedere hacker een vliegtuigticket kunnen kopen en zelf met een laptop naar de universiteit kunnen gaan. Hun netwerk zal veel toegankelijker zijn voor buitenstaanders dan een gemiddeld bedrijfsnetwerk. En de kosten van zo'n vliegticket zijn peanuts in vergelijk met de te verwachten verdienste. Twee ton in dit geval.
09-02-2020, 10:41 door Anoniem
Door Briolet: Maar ook zonder mail, had natuurlijk iedere hacker een vliegtuigticket kunnen kopen en zelf met een laptop naar de universiteit kunnen gaan.
Ach een beetje cyber hacker draait natuurlijk zijn hand niet om voor een cyber hack, want hij heeft genoeg cyber hacks achter de hand om zelfs de bedrijvigste bedrijven helemaal de cyber hack te cyber hacken. (Zeg wat je weet, ga niet met bangmaakwoorden strooien, lieve Briolet van Rijbroek. We hebben het hier over data-gijzelaars.)

Hun netwerk zal veel toegankelijker zijn voor buitenstaanders dan een gemiddeld bedrijfsnetwerk.
Dat was ooit zo. Maarja, vroeger kon je ook nog Echte Computers op universiteitsnetwerken vinden, maar tegenwoordig is het allemaal dezelfde rommel zoals ook in het bedrijfsleven. Soms zelfs met expliciet aangestelde "business manager" om net te doen of de hele campus een soortement van bedrijf is. Dus of het nu nog zo is?

Daarnaast, "eduroam" draait op 802.11x, en als je daar eenmaal je infrastructuur voor hebt aangepast, is het niet zo moeilijk meer om de rest van de computertjes er ook aan te hangen en dan gewoon alle switchpoortjes dicht tenzij credentials. Dat vrije blije op de universiteit is al een tijdje teloor aan het gaan.

En de kosten van zo'n vliegticket zijn peanuts in vergelijk met de te verwachten verdienste. Twee ton in dit geval.
Dat zou je denken, maar zo werkt het meestal toch even niet.
09-02-2020, 10:48 door Anoniem
Er zijn allerlei factoren die het risico op ongelukken vergroten. Op foute links klikken, met de impliciete aanname dat de vervolghandeling van het toestaan dat de code wordt uitgevoerd is inbegrepen, is er een van. Dat er ook andere risicofactoren bestaan doet er niets aan af dat dit er ook een is.

Wat jij in mijn ogen doet is zoiets als vragen waarom je nog licht op je fiets zou moeten hebben in het donker als je toch al rode stoplichten negeert en dus toch al risico loopt. Risico is geen aan/uit-schakelaar, het is iets dat hoger of lager kan zijn, en alles wat je kan doen dat risico lager maakt verhoogt de kans dat het goed gaat en is dus een verbetering.
09-02-2020, 11:28 door The FOSS
Door Briolet: In tegenstelling wat ik overal lees, heeft het klikken van een verkeerde link niet tot de problemen in Maastricht geleid. Dat is alleen wat journalisten er van maken.

Nou... Het Fox IT rapport stelt daarover het volgende:

De link in de phishing e-mail leidde naar een Excel document, dat op 15 oktober 2019 om 14:55:27
onder het gebruikersaccount ******** op werkstation is geopend. In het Excel document beyond zich een macro. Deze macro heeft van een externe server met domeinnaam windows-en-us-update. com en IP-adres 185.225.17.99, de zogenaamde SDBBot malware opgehaald, en uitgevoerd op het werkstation

De aanvalsvector was dus een Excel macro. Het document achter de link zal waarschijnlijk door de browser automatisch zijn geopend. Of de gebruiker heeft het document opgeslagen en toen geopend.
09-02-2020, 11:51 door Briolet
Door The FOSS: De aanvalsvector was dus een Excel macro. Het document achter de link zal waarschijnlijk door de browser automatisch zijn geopend. Of de gebruiker heeft het document opgeslagen en toen geopend.

Dat het een macro was, was me bekend. Ik had me alleen niet gerealiseerd dat op sommige systemen zo'n bestand automatisch gedownload en uitgevoerd wordt.

Bij een download van onbekende site krijg ik altijd een extra bevestigingsvraag. En automatisch openen van veilige bestanden staat bij mij altijd uit. Maar excel bestanden zullen bij de veilige bestanden behoren. Dan kan op sommige systemen alleen het klikken inderdaad genoeg zijn.
09-02-2020, 11:54 door Erik van Straten - Bijgewerkt: 09-02-2020, 12:01
Briolet heeft gelijk. Om onder een account code uit te laten voeren met de volledige privileges van dat account, zijn in de meeste gevallen meerdere onverstandige handelingen van een gebruiker noodzakelijk.

Exploits waarbij slechts één onverstandige handeling van een gebruiker nodig is, zijn schaars en prijzig, en worden daarom alleen ingezet in bijzondere situaties (targeted attacks bijv. door geheime diensten).

Aanvulling: met standaardinstellingen word je voor veel zaken gewaarschuwd. Het uitzetten van waarschuwingen zijn natuurlijk ook onverstandige handelingen van gebruikers. Als gebruikers waarschuwingen kunnen uitzetten is dat een fout van systeembeheer.

Voorbeeld: https://isc.sans.edu/forums/diary/Fake+browser+update+pages+are+still+a+thing/25774/
09-02-2020, 12:29 door Tintin and Milou
Door Briolet:
Door The FOSS: De aanvalsvector was dus een Excel macro. Het document achter de link zal waarschijnlijk door de browser automatisch zijn geopend. Of de gebruiker heeft het document opgeslagen en toen geopend.

Dat het een macro was, was me bekend. Ik had me alleen niet gerealiseerd dat op sommige systemen zo'n bestand automatisch gedownload en uitgevoerd wordt.
Een excel file kan ook niet automatisch geopend worden, en de macro uitvoeren. Gebruik zal hier eigenlijk altijd meerdere handelingen voor moeten uitvoeren. Tenzij de IT dit allemaal heeft uitgeschakeld.
09-02-2020, 13:04 door Anoniem
Door Anoniem: Wat ik mij - al lezend over de Universiteit Maastricht hack - afvraag: er wordt nu steeds gezegd: het belangrijkste is bewustwording onder medewerkers en studenten dat ze niet op foute linkjes klikken.

Bewustwording is belangrijk, maar dat gaat op korte termijn weinig zoden aan de dijk zetten. Zelfs mensen die zeer ervaren zijn, laten zich makkelijk om te tuin leiden. Verstandiger is om ontvangen links, bijlagen en bestanden afkomstig van buitenaf altijd te beschouwen als potentieel gevaarlijk. Beter is daarom om ze automatisch te laten openen in een geïsoleerde container of beveiligde zandbak, voorzien van een detector. Dan blijft de schade meestal daartoe tot beperkt.
09-02-2020, 13:29 door The FOSS - Bijgewerkt: 09-02-2020, 13:29
Door Tintin and Milou: ... Een excel file kan ook niet automatisch geopend worden, en de macro uitvoeren. Gebruik zal hier eigenlijk altijd meerdere handelingen voor moeten uitvoeren. Tenzij de IT dit allemaal heeft uitgeschakeld.

Het kan dus wel maar alleen bij zeer onverstandige en hopelijk zeldzame instellingen. Oké, onwaarschijnlijk dus.
09-02-2020, 14:06 door Erik van Straten - Bijgewerkt: 09-02-2020, 14:21
Door Tintin and Milou: Een excel file kan ook niet automatisch geopend worden, en de macro uitvoeren. Gebruik zal hier eigenlijk altijd meerdere handelingen voor moeten uitvoeren. Tenzij de IT dit allemaal heeft uitgeschakeld.
Zelfs als alle waarschuwingen zijn uitgeschakeld (door wie dan ook) heeft de gebruiker een aantal onverstandige dingen gedaan.

In het PDF rapport van Fox-IT zijn de afzenders van de e-mails niet te zien. De eerste mail (waarin ik enkele zaken heb verduidelijkt en heb verwijderd):
Datum: di 15 10 2019 23 07
Onderwerp: Documents
To: [verwijderd]
CI You replied to this message on 15-10-2019 16:58.
This message was sent with High importance.
We removed extra line breaks from this message.
As discussed, please see attached a copy of your documents, please can you sign and scan these back to me as soon as possible
Download form Microsoft OneDrive:
hxxps://cdn2.onedrive-download-en[.]com[verwijderd]
Please let me know If you have any questions
Kind Regards,

Googlen naar "As discussed, please see attached a copy of your documents, please can you sign and scan these back to me as soon as possible" leidt mij naar deze pagina: https://security.virginia.edu/node/3576 met daarin (het staat al op internet, behalve toevoegen van bakhaken tussen 'download' en 'com' heb ik hierin niets veranderd):
Date: Tuesday, October 15, 2019 - 16:03
From: Eric Clarke <spares[at]chfm.com.au>
Sent: Tuesday, October 15, 2019 11:00 AM
To: User, Typical S (mst3k[at]virginia.edu)
Subject: Documents

As discussed, please see attached a copy of your documents, please can you sign and scan these back to me as soon as possible
Download form Microsoft OneDrive:
hxxps://onedrive-download[.]com/?[email protected].edu-xHAD

Please let me know if you have any questions

Kind Regards,

Eric Clarke
Het lijkt mij duidelijk dat hierbij dezelfde criminelen deze e-mails hebben verzonden; het ging dus niet om een gerichte aanval op UM. Ik weet natuurlijk niet of de afzender in de Maastrichtse e-mail dezelfde was als in Virginia, maar in laatstsgenoemde mail valt op dat de afzender in Australië lijkt te zitten. Het zou mij niet verbazen als hetzelfde of een vergelijkbaar afzenderdomein is gebruikt in de mail naar Maastricht.

De ontvanger had zich, voordat hij of zij op de link klikte, kunnen afvragen:

1) Ken ik ene "Eric Clarke"?
2) Heb ik eerder met hem gecorrespondeerd gebruikmakend van het e-mail adres "spares[at]chfm.com.au"?
3) Wat voor bedrijf zit er achter "chfm.com.au"?
Zonder die site zelf in je browser te openen, kun je Googlen naar: site:chfm.com.au - d.w.z. pagina's op die site (en subsites zoals www.chfm.com.au) die door Google geïndexeerd zijn: vreemd genoeg levert dat bij mij niets op (verdacht). Dan Googlen naar "chfm.com.au" (inclusief de aanhalingstekens): dit levert uitsluitend ellende-meldingen op; niets wijst op een website van een legitiem bedrijf. Dat had overigens best wel gekund, het komt vaak voor dat bedrijven worden gehacked waarna er vervolgens misbruik wordt gemaakt van bestaande accounts om spam te verzenden. Punt is: gaat het om een bedrijf waar ik een e-mail van verwacht?
4) Daarbij: verwacht ik een Engelstalige mail met een vaag onderwerp als "Documents"? Waar gaat dit überhaupt over?
5) Waarom is er geen bijlage bijgesloten en moet ik op een link klikken?
6) Gaat het om een link daadwerkelijk naar onedrive.com?

Om vraag 5 zelf te beantwoorden: omdat er dan waarschijnlijk twee virusscanners zijn die het kwaadaardige document kunnen onderscheppen: naast die op het werkstation, een scanner op de ontvangende mailserver. Overigens komt het ook voor dat bijlagen worden gezipped en versleuteld, waarbij de sleutel in de mail zelf staat (soms in een plaatje) om virusscanners op mailservers te passeren. Het is verstandig om gebruikers op dit soort tactieken te wijzen, zodat er alarmbellen bij hen afgaan bij dat soort e-mails.

In https://security.virginia.edu/security-alerts-and-warnings?page=1 vind je aanvullende voorbeelden van dit soort e-mail scams.

Wellicht aardig om te vermelden, in http://www.dnscheck.pro/chfm.com.au lees ik dat "mail.chfm.com.au" zich, bij het opzetten van een smtp verbinding, voorstelt als:
220 server-01.ifishworld.com ESMTP Postfix
Nb. Dat een mailserver zo genoemd is, wil niet zeggen dat deze ook maar iets met het domein "ifishworld.com" te maken heeft - maar in elk geval lijkt er op dit moment niks te antwoorden op hxxps://ifishworld[.]com/ (Google heeft nog 1 pagina gecached, nl. hxxps://ifishworld[.]com/refund-policy/ (zoek naar: site:ifishworld.com).

In die www.dnscheck.pro pagina valt mij verder op dat er geen SPF record lijkt te zijn geregistreerd, iets wat spammers met eigen afzenderdomein vaak wel doen (samen met DKIM, DomainKeys, DMARC en tegenwoordig wellicht ARC) - om spamfilters te omzeilen. Ik heb de huidige situatie niet gecheckt (straks sluit xs4all mij weer af 8-) maar er is vast wel iemand die zo'n onderzoekje wil doen.

Aanvulling: in https://omail.io/leads/dhfs.com.au zie ik dat de volgende, ongetwijfeld FAKE, e-mail accounts worden geassocieerd met een zo te zien legitiem bedrijf in Australië (https://dhfs.com.au/contact-us, mogelijk gehacked geweest):
sales[at]chfm.com.au
spares[at]chfm.com.au
accounts[at]chfm.com.au
info[at]chfm.com.au
09-02-2020, 14:25 door Briolet
ifishworld

Ha ha. Deze hacker heeft wel gevoel voor humor: "I Fish World".
09-02-2020, 15:15 door Erik van Straten
Voor de "blacklisters" en/of "DNS-log-uitpluizers" onder ons: op https://security.virginia.edu/security-alerts-and-warnings?page=1 kwam ik enkele verwijzingen naar "*.moonfruit.com" tegen. Zo te zien is dat een site waaronder je gratis een website kunt publiceren. Iets met strontvliegen en stroop...

Googlen naar site:moonfruit.com owa levert een heel stel hits op. Een aantal pagina's zijn verwijderd, maar een erg strak beleid daarop lijkt non-existent, want zo te zien zijn nog veel phishing pagina's live (o.a. hxxp://owa-bo-1path-options-myaccount11.moonfruit[.]com/ en Franstalig: hxxp://wemaifr.moonfruit[.]com/).

Van Googlen naar variaties daarop (zoals site:moonfruit.com password reset) werd ik ook niet erg vrolijk; sites zoals hxxp://bigpondsupportnumber.moonfruit[.]com/ (nog live) beloven weinig goeds...
09-02-2020, 15:15 door Anoniem
Aangenomen alle updates en patches zijn geinstalleerd.
Dan ben je nog afhankelijk van de veiligheid van de client (browser)
en ook van die van de webserver (out of your hands - vulners en exploits en slechte configuratie)

Dus eer men een link aanklikt van iets vooralsnog onbekends, link even pre-scannen met VT4Browsers.
HTTPs block alle http sites laten blokkeren en alleen deblokkeren als het bovenstaande is gedaan.
Weinig sites hebben al de laatste TLS versie. Op PHP gebaseerde CMS is vaak een "wormendoos".
Bitdefender's Traffic Light pre-scannen.

Gebruik van een degelijke adblocker en schriptblocker combinatie: uBock Origin en uMatrix,
nu ook inde firefox browser voor android.

Vraagt geen rakettechnologie om te leren met bovenstaande extensies om te gaan.

Uitvoerende bestanden laten blokkeren door VoodooShield (op een MS OS).

Dus de houding aannemen van "once bitten, twice shy".
Natuurlijk kun je altijd het ongeluk hebben te worden getroffen door een zero-day,
maar dat is dan pure pech, maar dan zou VoodooShuield ook het runnen van de executable kunnen blokkeren.

In dat geval komt dus besmet raken door waarschuwingen negeren en toch doorgaan,
en dat is in alle gevallen dom gedrag door domheid, onwetendheid, lamlendigheid, desinteresse
(vul in naar gelang van de kwetsbare eindgebruiker en van toepassing).

Maar de onveiligheid in stand gehouden door andere partijen dan de eindgebruikers is ook van belang,
en daar worden veiligheidsslagen niet altijd gemaakt (security is a last resort thing and will cost money- duh).

luntrus
09-02-2020, 17:10 door Anoniem
Door Anoniem: Wat ik mij - al lezend over de Universiteit Maastricht hack - afvraag: er wordt nu steeds gezegd: het belangrijkste is bewustwording onder medewerkers en studenten dat ze niet op foute linkjes klikken. Maar wat ik niet snap: het doel van van phishingmail is toch, dat je code kunt uitvoeren binnen het netwerk, oftewel dat je je binnenin het netwerk bevindt. Maar dat is toch niet zo spannend, dat zijn al die 8000 medewerkers en studenten ook. En op 8000 studenten is er altijd wel iemand die het geinig vind om het netwerk plat te leggen. Maar wat ik mij afvraag: heeft het sturen van phishingmail nog toegevoegde waarde t.o.v. gewoon als medewerker een virus uitrollen? En is hierbij nou gebruik gemaakt van een zeroday, of had de Universiteit de Office updates ook niet op orde, waardoor dit Office virus zich als macro in Excel kon uitrollen?

De titel pas niet bij de inhoud van je posting.
Reactie op de titel: Ja, maar wel afhankelijk van het gebruikte OS.

Reactie op de body:
Uni had de zaken niet op orde op meerdere fronten.
09-02-2020, 19:06 door karma4
Door The FOSS: ...
De link in de phishing e-mail leidde naar een Excel document, dat op 15 oktober 2019 om 14:55:27
onder het gebruikersaccount ******** op werkstation is geopend. In het Excel document beyond zich een macro. Deze macro heeft van een externe server met domeinnaam windows-en-us-update. com en IP-adres 185.225.17.99, de zogenaamde SDBBot malware opgehaald, en uitgevoerd op het werkstation
….
Je leesvaardigheid is beperkt tot wat je wilt zien. Lees nog eens goed en beter.
Dit was de manier om als gebruiker met gebruikersrechten binnen te komen. Dezelfde rechten als welke andere student.
Er lopen er 18.000 van rond, er hoeft er maar één met dubieuze bedoelingen of een niet zo handige ingeving te zijn.
De morrison worm was een voorbeeld van net iets meer weten en een niet zo handige ingeving.

Het werkelijke doel is het bereiken van de rechten van een admin account. Dit gebeurde anderhalve maand later toen zo'n iemand kennelijk even een probleempje op die machine moest oplossen.
Een VM die niet opgeschoond is en een admin die daarop gaat aanloggen. Het is de sudo root gedachte dat niets kwaad zou kunnen. Nog vreemder dat het wel gemeld en opgemerkt was maar men dacht dat het hetzelfde was.

Met jou redenatie trant kan ik altijd de schuld op Linux en OSS afschuiven, routers en firewalls die niet goed waren.

Nog een stap die raar is dat het een macro zou zijn. Die hoort dicht te staan voor externe bestanden en de machines horen gemonitored te worden op vreemd gedrag. Dat is net zo goed een eis als met BSD ofwel het citrix lek. Ook daar is er hetzelfde advies van fox-ti geldig.
09-02-2020, 19:55 door The FOSS - Bijgewerkt: 09-02-2020, 19:56
Door karma4:
Door The FOSS: ...
De link in de phishing e-mail leidde naar een Excel document, dat op 15 oktober 2019 om 14:55:27
onder het gebruikersaccount ******** op werkstation is geopend. In het Excel document beyond zich een macro. Deze macro heeft van een externe server met domeinnaam windows-en-us-update. com en IP-adres 185.225.17.99, de zogenaamde SDBBot malware opgehaald, en uitgevoerd op het werkstation
….
Je leesvaardigheid is beperkt tot wat je wilt zien. Lees nog eens goed en beter.

Je hebt het over andermans leesvaardigheid maar je bent zelf niet eens in staat om de schrijver van een quote correct te identificeren. Hint: ik heb het mij hierboven toegedichte niet geschreven.
13-02-2020, 06:22 door Anoniem
Antwoord op de topic vraag: Ja, mits, dus afhankelijk van de kwaadaardigheid achter de link die men onverhoeds aanklikt.
Dus dom om zo maar een link aan te klikken. Dat is niet zo slim. Maar de mens is van origine een niet zo slim wezen, dus ....
omdat ie als mens niet altijd rationeel reageert en ook wel eens emotioneel en dan het meest kwetsbaar is.

luntrus
19-02-2020, 02:20 door Anoniem
Door Anoniem: Er zijn allerlei factoren die het risico op ongelukken vergroten. Op foute links klikken, met de impliciete aanname dat de vervolghandeling van het toestaan dat de code wordt uitgevoerd is inbegrepen, is er een van. Dat er ook andere risicofactoren bestaan doet er niets aan af dat dit er ook een is.

Wat jij in mijn ogen doet is zoiets als vragen waarom je nog licht op je fiets zou moeten hebben in het donker als je toch al rode stoplichten negeert en dus toch al risico loopt. Risico is geen aan/uit-schakelaar, het is iets dat hoger of lager kan zijn, en alles wat je kan doen dat risico lager maakt verhoogt de kans dat het goed gaat en is dus een verbetering.

Dat is het soort flauwekul verkondigd door pseudo security "professionals". Ik wordt moe om aan mensen uit te leggen dat klikken op een link in een email op zich niet gevaarlijk is.

Hier blijkt ook weer dat er een macro, en dat is dus uitvoerbare code, de oorzaak is. Waar die vandaan komt doet er niet toe. Het is niet gevaarlijker zo'n bestand te downloaden via een link dan in een email dan via een bijlage die je ongevraagd in je mailbox kunt ontvangen en dus al hebt "gedownload" tegelijk met je email.

Het is dus niet de link, maar het openen van het bestand en daarbij ook nog het uitvoeren daarvan. Hiervoor waarschuwt Office bij standaardinstellingen.

Deze handelingen zijn nodig:
1. Link openen (niet gevaarlijk)
2. Bestand downloaden (niet gevaarlijk)
3. Bestand openen (in dit geval niet direct gevaarlijk)
4. Editen aanzetten (in dit geval niet direct gevaarlijk)
5. Toestemming geven de macro uit te voeren of zelf de macro starten (gevaarlijk)

Als het een uitvoerbaar bestand is (exe, executable) dan is de volgorde:
1. Link openen (niet gevaarlijk)
2. Bestand downloaden (niet gevaarlijk)
3. Bestand openen (in dit geval niet direct gevaarlijk, Windows waarschuwt)
4. Toestemming geven voor uitvoeren (gevaarlijk)

Laten we dus stoppen met het verkopen van onzin over het klikken van een link. Als dat een bestand uitvoert is er sprake van een ongepatche kwetsbaarheid. Een goede beheerder neemt maatregelen om ervoor te zorgen dat die dreiging wordt geadresseerd.

Er blijft nog een mogelijkheid over: een zero day. Zero days zijn zeldzaam en kostbaar. Dat wordt bijna alleen toegepast door hackers in dienst van staten. In dat geval komen ze op een andere manier ook wel binnen. Als je doelwit bent, zorg dan dat je geen internettoegang hebt vanaf werkplekken. Internettoegang moet je dan isoleren van alle data in een demilitarized zone.

---

Office 2010 waarschuwt iets te vaak naar mijn smaak, wat het effect van die waarschuwing laat verwateren. Als je die vraag elke keer krijgt, ga je automatisch op openen klikken, dat doen mensen nu eenmaal. Ik denk dat Microsoft teveel naar juristen heeft geluisterd en te weinig pragmatisch hier gekeken heeft. Overigens kunnen gebruikers macros uitvoeren ook als dat is uitschakeld, door het handmatig uit te voeren. De Trust Center instelling doet dus niet wat het zegt (disable all macros).
19-02-2020, 10:43 door Anoniem
inzake:
"Dat is het soort flauwekul verkondigd door pseudo security "professionals". Ik wordt moe om aan mensen uit te leggen dat klikken op een link in een email op zich niet gevaarlijk is."

Het kan wel degelijk gevaarlijk zijn om zomaar op een linkje te klikken. Deze linkjes kunnen worden geroute naar een executable. Een doorsnee-gebruiker gebruikt altijd zijn account met admin-rechten ( keboem keboem ) en afhankelijk of UAC is uitgeschakeld heb je jouw "kadobon" binnen.
19-02-2020, 11:11 door Anoniem
Door Anoniem: inzake:
"Dat is het soort flauwekul verkondigd door pseudo security "professionals". Ik wordt moe om aan mensen uit te leggen dat klikken op een link in een email op zich niet gevaarlijk is."

Het kan wel degelijk gevaarlijk zijn om zomaar op een linkje te klikken. Deze linkjes kunnen worden geroute naar een executable. Een doorsnee-gebruiker gebruikt altijd zijn account met admin-rechten ( keboem keboem ) en afhankelijk of UAC is uitgeschakeld heb je jouw "kadobon" binnen.

Klikken op links blijft gevaarlijk. Ook met alle updates en diverse virusscanners.
Er zijn ook nog zaken als 0-days. In Maastricht is dan wel gebruik gemaakt van een onjuist gepatchte server. Voor hetzelfde geld hadden de aanvallers een storing veroorzaakt waardoor een beheerder op die werkplek in had moeten loggen. Dan is een aanvaller gelijk weer een stap verder.

En Clop, de ransomware die in Maastricht is gebruikt, werd pas begin deze maand door Microsoft Defender gedetecteerd.

Peter
19-02-2020, 13:04 door Anoniem
Door Briolet: In tegenstelling wat ik overal lees, heeft het klikken van een verkeerde link niet tot de problemen in Maastricht geleid. Dat is alleen wat journalisten er van maken.

Dus een link is niet gevaarlijk als hij vanalles download ? Ik denk dat als je op een link drukt die iets gaat downloaden, dat het dan dus wel gevaarlijk is. Op een link klikken is altijd gevaarlijk, want achter de link van een zeroday exploit hangen ! Dus links zijn altijd gevaarlijk als ze onbekend zijn.
19-02-2020, 13:54 door Anoniem
Door Anoniem: inzake:
"Dat is het soort flauwekul verkondigd door pseudo security "professionals". Ik wordt moe om aan mensen uit te leggen dat klikken op een link in een email op zich niet gevaarlijk is."

Het kan wel degelijk gevaarlijk zijn om zomaar op een linkje te klikken. Deze linkjes kunnen worden geroute naar een executable. Een doorsnee-gebruiker gebruikt altijd zijn account met admin-rechten ( keboem keboem ) en afhankelijk of UAC is uitgeschakeld heb je jouw "kadobon" binnen.

Downloaden staat niet gelijk aan uitvoeren. De link zelf is niet schadelijk en erop klikken ook niet. Als de code in de geladen pagina een download start, dan nog is dat op zich niet gevaarlijk. Het voert geen executable code uit zonder toestemming van de ontvanger. Pas als de gebruiker toestemming geeft is het wel gevaarlijk. Zo werkte drive-by aanvallen op websites ook.

UAC is bij een doorsnee gebruiker niet uitgeschakeld. Die heeft geen idee dat dat kan en hoe dat zou moeten.

Rond 20 jaar geleden was het wel gevaarlijk om op links te klikken aangezien die wel code konden uitvoeren via slecht beveiligde ActiveX en andere exploits. Dat probleem is er lang niet meer.
19-02-2020, 14:04 door Anoniem
Door Anoniem:
Door Anoniem: Er zijn allerlei factoren die het risico op ongelukken vergroten. Op foute links klikken, met de impliciete aanname dat de vervolghandeling van het toestaan dat de code wordt uitgevoerd is inbegrepen, is er een van. Dat er ook andere risicofactoren bestaan doet er niets aan af dat dit er ook een is.

Wat jij in mijn ogen doet is zoiets als vragen waarom je nog licht op je fiets zou moeten hebben in het donker als je toch al rode stoplichten negeert en dus toch al risico loopt. Risico is geen aan/uit-schakelaar, het is iets dat hoger of lager kan zijn, en alles wat je kan doen dat risico lager maakt verhoogt de kans dat het goed gaat en is dus een verbetering.

Dat is het soort flauwekul verkondigd door pseudo security "professionals". Ik wordt moe om aan mensen uit te leggen dat klikken op een link in een email op zich niet gevaarlijk is.

Hier blijkt ook weer dat er een macro, en dat is dus uitvoerbare code, de oorzaak is. Waar die vandaan komt doet er niet toe. Het is niet gevaarlijker zo'n bestand te downloaden via een link dan in een email dan via een bijlage die je ongevraagd in je mailbox kunt ontvangen en dus al hebt "gedownload" tegelijk met je email.

Het is dus niet de link, maar het openen van het bestand en daarbij ook nog het uitvoeren daarvan. Hiervoor waarschuwt Office bij standaardinstellingen.

Deze handelingen zijn nodig:
1. Link openen (niet gevaarlijk)
2. Bestand downloaden (niet gevaarlijk)
3. Bestand openen (in dit geval niet direct gevaarlijk)
4. Editen aanzetten (in dit geval niet direct gevaarlijk)
5. Toestemming geven de macro uit te voeren of zelf de macro starten (gevaarlijk)

Als het een uitvoerbaar bestand is (exe, executable) dan is de volgorde:
1. Link openen (niet gevaarlijk)
2. Bestand downloaden (niet gevaarlijk)
3. Bestand openen (in dit geval niet direct gevaarlijk, Windows waarschuwt)
4. Toestemming geven voor uitvoeren (gevaarlijk)

Laten we dus stoppen met het verkopen van onzin over het klikken van een link. Als dat een bestand uitvoert is er sprake van een ongepatche kwetsbaarheid. Een goede beheerder neemt maatregelen om ervoor te zorgen dat die dreiging wordt geadresseerd.

Er blijft nog een mogelijkheid over: een zero day. Zero days zijn zeldzaam en kostbaar. Dat wordt bijna alleen toegepast door hackers in dienst van staten. In dat geval komen ze op een andere manier ook wel binnen. Als je doelwit bent, zorg dan dat je geen internettoegang hebt vanaf werkplekken. Internettoegang moet je dan isoleren van alle data in een demilitarized zone.

---

Office 2010 waarschuwt iets te vaak naar mijn smaak, wat het effect van die waarschuwing laat verwateren. Als je die vraag elke keer krijgt, ga je automatisch op openen klikken, dat doen mensen nu eenmaal. Ik denk dat Microsoft teveel naar juristen heeft geluisterd en te weinig pragmatisch hier gekeken heeft. Overigens kunnen gebruikers macros uitvoeren ook als dat is uitschakeld, door het handmatig uit te voeren. De Trust Center instelling doet dus niet wat het zegt (disable all macros).

Dus jij legt je medemens uit dat ze wel op een link mogen klikken maar vervolgens moeten kijken naar het bestand wat ze downloaden of zelfs openen? Risicomanagement is niet bepaald jouw vak lijkt mij. En security werkbaar maken lukt je vast ook niet, omdat je alleen maar bangmakerij praat.
19-02-2020, 14:55 door Bitje-scheef
Je moet het voor gebruikers afbakenen in hapklare brokken. Ook al is de link opzich niet gevaarlijk de eerste stap is dan al genomen, de tweede volgt dan min of meer automatisch. (Psychologisch).
19-02-2020, 15:17 door Anoniem
[quoteDownloaden staat niet gelijk aan uitvoeren. De link zelf is niet schadelijk en erop klikken ook niet.[/quote]
Ik zou de gegevens van het stuxnet virus maar eens bekijken, alleen een map openen met een .lnk extensie was al voldoende om besmet te raken. Daarbij doet de gebruiker niks starten. Alles wat een executable kan worden doordat het door de beveiligingslaag komt, is gevaarlijk. Soms hoeft je niks te doen om geinfecteerd te raken zoals het Nimba worm. Kortom..., dat klikken niet gevaarlijk is, is onzin !
19-02-2020, 15:36 door Anoniem
Door Bitje-scheef: Je moet het voor gebruikers afbakenen in hapklare brokken. Ook al is de link opzich niet gevaarlijk de eerste stap is dan al genomen, de tweede volgt dan min of meer automatisch. (Psychologisch).

Ik snap de redenatie wel, maar daarmee ("niet klikken op links!!") maak je mensen bang voor alle links, ook de goede. Dat leidt tot onnodige overlast en schade voor betrokkenen. Daarbij klopt het niet, het gaat niet om de link, het gaat om eventuele malware* die niet moet worden uitgevoerd - waartegen je als beheerder een reeks andere maatregelen kunt nemen, bijvoorbeeld blokkeren van uitvoerbare bestanden. Je moet de waarheid vertellen en uitleggen wat gevaarlijk is en wat niet.

* of phish (= gegevens die het slachtoffer verstrekt)

Adviseer dus wel om nooit naar een bank te gaan door te klikken op een link in een email, maar adviseer niet om nooit op een link te klikken. Dat gaat te ver.

In het geval van Maastricht is het logisch dat de aanvaller gekozen heeft voor macro-gebaseerde malware omdat die vaak niet geblokkeerd worden (ten onrechte, je zou tenminste de macro kunnen strippen). Wat kennelijk niet is gelukt is de configuratie van Office zodat het beveiligd is tegen uitvoeren van niet vertrouwde macro's. Je moet als gebruiker veel moeite doen om een macro alsnog uit te voeren. Dat moet je uitleggen, want doorsnee gebruikers weten niet dat macro's gevaarlijk zijn. Ook aan de kant van Microsoft is er veel te verbeteren.
19-02-2020, 20:42 door Anoniem
Een gezegde uit de luchtvaart is dat een ramp nooit door één oorzaak veroorzaakt wordt maar door meerdere tegelijk.
Dat is ook het geval geweest bij de UM. Dat weten we nu dankzij het publiek gemaakte Fox-IT rapport.
20-02-2020, 09:36 door Anoniem
Door Anoniem:
Door Anoniem: inzake:
"Dat is het soort flauwekul verkondigd door pseudo security "professionals". Ik wordt moe om aan mensen uit te leggen dat klikken op een link in een email op zich niet gevaarlijk is."

Het kan wel degelijk gevaarlijk zijn om zomaar op een linkje te klikken. Deze linkjes kunnen worden geroute naar een executable. Een doorsnee-gebruiker gebruikt altijd zijn account met admin-rechten ( keboem keboem ) en afhankelijk of UAC is uitgeschakeld heb je jouw "kadobon" binnen.

Downloaden staat niet gelijk aan uitvoeren. De link zelf is niet schadelijk en erop klikken ook niet. Als de code in de geladen pagina een download start, dan nog is dat op zich niet gevaarlijk. Het voert geen executable code uit zonder toestemming van de ontvanger. Pas als de gebruiker toestemming geeft is het wel gevaarlijk. Zo werkte drive-by aanvallen op websites ook.

UAC is bij een doorsnee gebruiker niet uitgeschakeld. Die heeft geen idee dat dat kan en hoe dat zou moeten.

Rond 20 jaar geleden was het wel gevaarlijk om op links te klikken aangezien die wel code konden uitvoeren via slecht beveiligde ActiveX en andere exploits. Dat probleem is er lang niet meer.


De uitspraak om toch zomaar op linkjes te klikken is echt van een FTU. Ik zou zeggen blijf klikken op linkjes en vooral op websites klikken die malware droppen.
20-02-2020, 14:06 door Anoniem
En om nog even terug te komen op
Is klikken op een foute link ook destrastreus met alle updates?
:
Het installeren van updates beschermt je niet tegen malware. Het is verstandig om updates te installeren (meestal dan), maar bedenk goed dat de software die je nu draait "met alle updates" volgende maand weer een belangrijke update mist en daardoor vulnerable is. Diezelfde software is dus nu ook al vulnerable.
Updates installeren is net als een virus scanner gebruiken: leuk om te documenteren dat je je best hebt gedaan, leuk als CYA als het fout gaat, maar een bescherming is het niet.
20-02-2020, 14:20 door Anoniem
Maar wat ik mij afvraag: heeft het sturen van phishingmail nog toegevoegde waarde t.o.v. gewoon als medewerker een virus uitrollen?

Hoeveel groter denk je dat de pakkans wordt indien ransomware makers gaan werken bij hun slachtoffers, om daar de boel te besmetten ? Denk je dat anonieme phishing mails via proxy/vpn/tor, vanuit een land waar weinig of geen samenwerking mee is juridisch, denk je niet vele malen ''veiliger'' voor de crimineel ? ;)
20-02-2020, 14:21 door Anoniem
Downloaden staat niet gelijk aan uitvoeren. De link zelf is niet schadelijk en erop klikken ook niet. Als de code in de geladen pagina een download start, dan nog is dat op zich niet gevaarlijk. Het voert geen executable code uit zonder toestemming van de ontvanger. Pas als de gebruiker toestemming geeft is het wel gevaarlijk. Zo werkte drive-by aanvallen op websites ook.

UAC is bij een doorsnee gebruiker niet uitgeschakeld. Die heeft geen idee dat dat kan en hoe dat zou moeten.

Rond 20 jaar geleden was het wel gevaarlijk om op links te klikken aangezien die wel code konden uitvoeren via slecht beveiligde ActiveX en andere exploits. Dat probleem is er lang niet meer.

Meest absurde advies wat je maar kan verzinnen.
20-02-2020, 15:36 door Anoniem
Door Anoniem:Meest absurde advies wat je maar kan verzinnen.

Mooi zo, anoniem, zonder enige onderbouwing. Het is geen advies, ik vraag geen onzin te vertellen aan gebruikers over links.

@Gisteren, 15:17 door Anoniem
Als je mijn bericht ( Gisteren, 02:20 door Anoniem) echt had gelezen had je gezien dat zero days vooral worden gebruikt door staatsaanvallers, zoals het geval waar jij op doelt waarbij betrokkenheid van een aantal staten wordt vermoed. Dat soort aanvallen is een andere tak van sport in security en in zulke gevallen moet je aanvullende maatregelen nemen. Gewone gebruikers zullen zo'n zero day niet tegenkomen. Zero days zijn veel te kostbaar voor gewone hackers en internetcriminelen. Iemand die zo'n exploit ontdekt kan veel geld verdienen door hem niet te gebruiken (als het een black hat is) en in plaats daarvan te verkopen aan bedrijven die daar in handelen of aan overheden.
21-02-2020, 09:09 door Anoniem
Door Anoniem:
Door Anoniem:Meest absurde advies wat je maar kan verzinnen.

Mooi zo, anoniem, zonder enige onderbouwing. Het is geen advies, ik vraag geen onzin te vertellen aan gebruikers over links.

@Gisteren, 15:17 door Anoniem
Als je mijn bericht ( Gisteren, 02:20 door Anoniem) echt had gelezen had je gezien dat zero days vooral worden gebruikt door staatsaanvallers, zoals het geval waar jij op doelt waarbij betrokkenheid van een aantal staten wordt vermoed. Dat soort aanvallen is een andere tak van sport in security en in zulke gevallen moet je aanvullende maatregelen nemen. Gewone gebruikers zullen zo'n zero day niet tegenkomen. Zero days zijn veel te kostbaar voor gewone hackers en internetcriminelen. Iemand die zo'n exploit ontdekt kan veel geld verdienen door hem niet te gebruiken (als het een black hat is) en in plaats daarvan te verkopen aan bedrijven die daar in handelen of aan overheden.

Mag ik er dan wel op reageren dat het het meest absurde advies is? Jouw 'advies' is met geen mogelijkheid in Jip en Janneke taal uit te leggen aan de gemiddelde pc-gebruiker. Het voorkomen van hacks/datalekken/incidenten is een kwestie van het risico mitigeren.

Het op de link klikken is inderdaad niet meteen schadelijk, maar alles wat erachter zit is dat wel. En al die gevaren beginnen bij het klikken op een link. Als je je medewerkers hierop traint, het herkennen van kwaadaardige links en het niet zomaar klikken op links, dan kunnen de gevolgen ervan ook niet plaatsvinden.
21-02-2020, 09:40 door Anoniem
Door Briolet:Maar ook zonder mail, had natuurlijk iedere hacker een vliegtuigticket kunnen kopen en zelf met een laptop naar de universiteit kunnen gaan. Hun netwerk zal veel toegankelijker zijn voor buitenstaanders dan een gemiddeld bedrijfsnetwerk. En de kosten van zo'n vliegticket zijn peanuts in vergelijk met de te verwachten verdienste. Twee ton in dit geval.

Dat wel, maar het schaalt slecht op. Voor de uren in het vliegtuig kan je duizenden organisaties mailen en houd je nog tijd over om alvast met een Ferrari te gaan proefrijden ook. Dat is het aantrekkelijke van cyberaanvallen, het is wat moeilijker dan fysieke, maar het schaalt geweldig op.
21-02-2020, 10:14 door Briolet
Door Anoniem: Het op de link klikken is inderdaad niet meteen schadelijk, maar alles wat erachter zit is dat wel. En al die gevaren beginnen bij het klikken op een link. Als je je medewerkers hierop traint, het herkennen van kwaadaardige links en het niet zomaar klikken op links, dan kunnen de gevolgen ervan ook niet plaatsvinden.

Het moet er al mee beginnen dat serieuze bedrijven geen dubieuze links blijven gebruiken.

Ik kreeg gisteren b.v. een mailtje van een mij onbekend bedrijf dat mij vraagt een vragenlijst in te vullen namens mijn bank. Ook de link naar die vragenlijst bevat een mij onbekende url.

Ik verwacht dat de mail legitiem was omdat hij refereert naar een werkelijk gevoerd gesprek met een specifieke medewerker van die bank. Maar ik kan de afzender zelf niet linken aan mijn bank. Waarom die link niet via een url van mijn bank laten lopen? Dat maakt zo'n mail controleerbaar. Nu gaat die bij mij rechtstreeks naar de prullenbak door de dubieuze link.
21-02-2020, 10:50 door Anoniem
Door Briolet:
Door Anoniem: Het op de link klikken is inderdaad niet meteen schadelijk, maar alles wat erachter zit is dat wel. En al die gevaren beginnen bij het klikken op een link. Als je je medewerkers hierop traint, het herkennen van kwaadaardige links en het niet zomaar klikken op links, dan kunnen de gevolgen ervan ook niet plaatsvinden.

Het moet er al mee beginnen dat serieuze bedrijven geen dubieuze links blijven gebruiken.

Ik kreeg gisteren b.v. een mailtje van een mij onbekend bedrijf dat mij vraagt een vragenlijst in te vullen namens mijn bank. Ook de link naar die vragenlijst bevat een mij onbekende url.

Ik verwacht dat de mail legitiem was omdat hij refereert naar een werkelijk gevoerd gesprek met een specifieke medewerker van die bank. Maar ik kan de afzender zelf niet linken aan mijn bank. Waarom die link niet via een url van mijn bank laten lopen? Dat maakt zo'n mail controleerbaar. Nu gaat die bij mij rechtstreeks naar de prullenbak door de dubieuze link.

Zeker waar! Ik had laatst een melding gemaakt bij Tele 2 omdat zij mij ook een link stuurden via SMS. Maar ze deden er niks mee.
21-02-2020, 17:26 door souplost - Bijgewerkt: 21-02-2020, 17:26
Het bezoeken van een website met code (exploit kit) verstopt in een iframe (bv een advertentie) is voldoende zonder tussenkomst van de gebruiker, o.a. Javascript doet de rest. Dit heet een drive-by download infectie.
Er wordt shellcode (ge-encrypt in een ciphertext) in geheugen geïnjecteerd (dropper)
Het enige wat deze dropper hoeft te doen is een reverse SSH Tunnel in RAM opzetten (bestandsloze infectie om de meeste virusscanners te omzeilen)
Hiermee heeft een attacker een terminal ter beschikking om commando's (thuis) te kunnen uitvoeren terwijl de firewall van buiten dicht staat. De enige eis is dat de werkplek een internetverbinding naar buiten heeft (verandering van ip nummer maakt niet uit)

Je kan beter script-blockers installeren zoals NoScript/uBlock in je browser dan een virusscanner (geldklopperij). Javascript uitzetten nog beter maar dan werkt bijna geen enekele website meer.
Een default windowsinistallatie levert een argeloze thuisgebruiker op met admin rechten. Dat is killing,
Daarnaast is een gepatched systeem niet genoeg. Als je een reverse tunnel (ook met powershell) kan opzetten omzeil je elke firewall.
Je hebt ook snuggere gebruikers die vie een chrome desktop vanuit huis overal bijkunnen. Je kan die service ook huren bv https://packetriot.com/
23-02-2020, 15:43 door mitm
Het gevaar van op links klikken schuilt 'm o.a. in het uitbuiten van een kwetsbaarheid via de parameters in de URL; een cross-site-scripting bug of "XSS". Er wordt vaak onterecht gedacht dat interne intranetapplicaties niet kwetsbaar zijn "omdat de aanvaller dan al binnen moet zitten", maar als die je per e-mail zover kan krijgen om bepaalde acties op die intranetsite uit te voeren door een bepaalde combinatie van URL parameters, dan kan dat wel eens heel snel heel fout gaan. (<-- eigenlijk zouden GET calls alleen leesacties mogen uitvoeren; dat is één van de redenen dus. Via een phishing link kan je alleen maar een GET call uitlokken)

Informatie over welke (soms verouderde) software er door systeembeheerders wordt gebruikt vind je heel gemakkelijk op openbare fora zoals die van SpiceWorks, alsook :het gebruik van SpiceWorks in een netwerk is in principe al een behoorlijk maatstaf voor amateurisme van de IT staff.
23-02-2020, 17:40 door [Account Verwijderd] - Bijgewerkt: 23-02-2020, 17:40
Door souplost:
...Een default windowsinistallatie levert een argeloze thuisgebruiker op met admin rechten. Dat is killing...

@souplost, Dank voor de kapstok die je me aanbiedt, want Ik licht dat er even uit, met respect voor je - met opzet - weggelaten andere quotes in je post, want hier haal je wel een héél persistente achilleshiel aan!

"Killing" is inderdaad de juiste classificatie.

Al jaren aan een stuk verbaas ik mij intens over deze lacune in het Windows desktop installatieproces dat de Microsoft installer niet aandringt op het maken van een gebruikersacoount.

Wat is daar nu de valide reden voor? Ik peins daar mijn kop al jaren suf over. Is er een valide reden? Zo graag zou ik die eens horen!

Ik kan gewoon niet geloven dat zo 'n gat in de security van een OS maar gelaten wordt voor wat het is... en toch IS het zo. Bizar.
Maar het is niet alleen Microsoft.
Voor zover ik mij kan herinneren: tot en met MacOS 10.4 (Tiger) drong Apple ook niet aan op het maken van een user acoount, Standaard zit je daar ook doodleuk te werken in een beheerders-account... Let wel, ik schrijf dit onder een belangrijk voorbehoud: hoe dat nu is m.b.t. MacOS, 14 jaar verder, weet ik niet... Indien wèl, dan mijn oprechte excuses aan de MacOs liefhebbers!
23-02-2020, 22:19 door souplost
Door Threnology:
Door souplost:
...Een default windowsinistallatie levert een argeloze thuisgebruiker op met admin rechten. Dat is killing...

@souplost, Dank voor de kapstok die je me aanbiedt, want Ik licht dat er even uit, met respect voor je - met opzet - weggelaten andere quotes in je post, want hier haal je wel een héél persistente achilleshiel aan!

"Killing" is inderdaad de juiste classificatie.

Al jaren aan een stuk verbaas ik mij intens over deze lacune in het Windows desktop installatieproces dat de Microsoft installer niet aandringt op het maken van een gebruikersacoount.

Wat is daar nu de valide reden voor? Ik peins daar mijn kop al jaren suf over. Is er een valide reden? Zo graag zou ik die eens horen!

Ik kan gewoon niet geloven dat zo 'n gat in de security van een OS maar gelaten wordt voor wat het is... en toch IS het zo. Bizar.
Maar het is niet alleen Microsoft.
Voor zover ik mij kan herinneren: tot en met MacOS 10.4 (Tiger) drong Apple ook niet aan op het maken van een user acoount, Standaard zit je daar ook doodleuk te werken in een beheerders-account... Let wel, ik schrijf dit onder een belangrijk voorbehoud: hoe dat nu is m.b.t. MacOS, 14 jaar verder, weet ik niet... Indien wèl, dan mijn oprechte excuses aan de MacOs liefhebbers!
Waar ik mij ook over verbaas is de luiheid van sommige windowsbeheerders. Ik heb ze gezien die mensen admin rechten gaven om een netwerkprinter werkend te krijgen. // no offense
23-02-2020, 23:13 door Anoniem
Door souplost: Het bezoeken van een website met code (exploit kit) verstopt in een iframe (bv een advertentie) is voldoende zonder tussenkomst van de gebruiker, o.a. Javascript doet de rest. Dit heet een drive-by download infectie.
Er wordt shellcode (ge-encrypt in een ciphertext) in geheugen geïnjecteerd (dropper)

Scripting is geen bedreiging zonder een beveiligingslek. Meestal een oude beveiligingslek. Als je up to date bent hoef je je daar geen zorgen over te maken. Windows 10 is tegenwoordig gedwongen up to date voor de meeste gewone gebruikers.

@ Vandaag, 17:40 door Threnology - Bijgewerkt: Vandaag, 17:40
Volgens mij heb je standaard geen adminrechten actief. Dat is alleen zo als je daar uitdrukkelijk voor kiest. Het is ook geen gat, Linux is wat dat betreft nog minder veilig (inloggen als root).

Wat wel zo is, is dat server versies van Windows standaard zonder UAC werken. Dat is wel erg gevaarlijk als je de server gebruikt om eens wat te gaan browsen. Maar dan heb je al veel fouten gemaakt. Toch zijn (domein)beheerders de grootste beveiligingsbedreiging. Zij zorgen ervoor dat malware zich kan verspreiden overal in het Windows netwerk.
24-02-2020, 11:06 door Anoniem
Door souplost:

[..]
Waar ik mij ook over verbaas is de luiheid van sommige windowsbeheerders. Ik heb ze gezien die mensen admin rechten gaven om een netwerkprinter werkend te krijgen. // no offense

Niet bekend met Windows, maar een aantal jaren geleden is Linus (heel terecht) ook erg boos geworden op de security zeikstralen waarbij 'vanwege security' overal root nodig is.

https://www.theregister.co.uk/2012/02/29/torvalds_tantrum_opensuse/

Dit ging over OpenSuse, en het probleem dat z'n dochter root nodig had om een printer op school toe te voegen.
Net als root voor het veranderen van tijd(zone), of het toevoegen van een wireless netwerk.
24-02-2020, 15:22 door Briolet
Door Anoniem: …Dit ging over OpenSuse, en het probleem dat z'n dochter root nodig had om een printer op school toe te voegen.
Net als root voor het veranderen van tijd(zone), of het toevoegen van een wireless netwerk.

Ik werk op een mac. Daar heb je admin privileges nodig om een printer toe te voege of om de tijd aan te passen. Geen root, maar ook vervelend als je zelf altijd als user werkt.

Vooral een printer zou een user moeten kunnen kiezen om op een externe locatie iets uit te kunnen printen op een locale printer.. Een admin kan wel instellen dat de tijdzone zich automatisch aanpast aan de locatie.
24-02-2020, 17:26 door [Account Verwijderd]
Door Anoniem:

@ Vandaag, 17:40 door Threnology - Bijgewerkt: Vandaag, 17:40
Volgens mij heb je standaard geen adminrechten actief. Dat is alleen zo als je daar uitdrukkelijk voor kiest. Het is ook geen gat, Linux is wat dat betreft nog minder veilig (inloggen als root).

Bedoel je Windows? De laatste die ik gebruikte was 7.
Die heb ik een paar keer opnieuw geïnstalleerd en je was daarin gewoon admin, tenzij je na installatie een gebruikers-account ging aanmaken.

M.b.t Linux een correctie. Je bent na een installatie een gebruiker. Je hebt geen root bevoegdheid bij een standaardsessie. Om als root in te loggen moet je herstarten en eenmaal in het inlogscherm bij gebruikersnaam 'root' invullen (zonder aanhalingstekens) Daaronder je rootwachtwoord dat je moet instellen na installatie van een distributie (distro voor ingewijden) Op een standalone Linux computer is het wel handig om voor zowel gebruiker als root hetzelfde wachtwoord te gebruiken, maar ik ben een beetje een purist en raadt dat af; waarom onveilig doen als het veiliger kan??
24-02-2020, 22:32 door souplost - Bijgewerkt: 24-02-2020, 22:35
Door Anoniem:
Door souplost: Het bezoeken van een website met code (exploit kit) verstopt in een iframe (bv een advertentie) is voldoende zonder tussenkomst van de gebruiker, o.a. Javascript doet de rest. Dit heet een drive-by download infectie.
Er wordt shellcode (ge-encrypt in een ciphertext) in geheugen geïnjecteerd (dropper)

Scripting is geen bedreiging zonder een beveiligingslek. Meestal een oude beveiligingslek. Als je up to date bent hoef je je daar geen zorgen over te maken. Windows 10 is tegenwoordig gedwongen up to date voor de meeste gewone gebruikers.

@ Vandaag, 17:40 door Threnology - Bijgewerkt: Vandaag, 17:40
Volgens mij heb je standaard geen adminrechten actief. Dat is alleen zo als je daar uitdrukkelijk voor kiest. Het is ook geen gat, Linux is wat dat betreft nog minder veilig (inloggen als root).

Wat wel zo is, is dat server versies van Windows standaard zonder UAC werken. Dat is wel erg gevaarlijk als je de server gebruikt om eens wat te gaan browsen. Maar dan heb je al veel fouten gemaakt. Toch zijn (domein)beheerders de grootste beveiligingsbedreiging. Zij zorgen ervoor dat malware zich kan verspreiden overal in het Windows netwerk.
Natuurlijk heb je voor een drive-by download infectie een vulnerability nodig. Dat zou wat zijn zeg!
Ook van een Linux (gnome) distro heb je niet veel begrepen. Je kan per default niet grafisch inloggen als root en je hebt standaard als gebruiker ook geen sudo rechten. Enterprise server beheerders gooien het root account ook dicht. Je mag alleen maar met een ssh-key inloggen. Bij sommige servers mag je helemaal niet meer inloggen. Alleen nog maar via een Ansible user.
24-02-2020, 22:57 door [Account Verwijderd]
Door souplost:
Door Anoniem:
Door souplost: Het bezoeken van een website met code (exploit kit) verstopt in een iframe (bv een advertentie) is voldoende zonder tussenkomst van de gebruiker, o.a. Javascript doet de rest. Dit heet een drive-by download infectie.
Er wordt shellcode (ge-encrypt in een ciphertext) in geheugen geïnjecteerd (dropper)

Scripting is geen bedreiging zonder een beveiligingslek. Meestal een oude beveiligingslek. Als je up to date bent hoef je je daar geen zorgen over te maken. Windows 10 is tegenwoordig gedwongen up to date voor de meeste gewone gebruikers.

@ Vandaag, 17:40 door Threnology - Bijgewerkt: Vandaag, 17:40
Volgens mij heb je standaard geen adminrechten actief. Dat is alleen zo als je daar uitdrukkelijk voor kiest. Het is ook geen gat, Linux is wat dat betreft nog minder veilig (inloggen als root).

Wat wel zo is, is dat server versies van Windows standaard zonder UAC werken. Dat is wel erg gevaarlijk als je de server gebruikt om eens wat te gaan browsen. Maar dan heb je al veel fouten gemaakt. Toch zijn (domein)beheerders de grootste beveiligingsbedreiging. Zij zorgen ervoor dat malware zich kan verspreiden overal in het Windows netwerk.
Natuurlijk heb je voor een drive-by download infectie een vulnerability nodig. Dat zou wat zijn zeg!
Ook van een Linux (gnome) distro heb je niet veel begrepen. Je kan per default niet grafisch inloggen als root en je hebt standaard als gebruiker ook geen sudo rechten. Enterprise server beheerders gooien het root account ook dicht. Je mag alleen maar met een ssh-key inloggen. Bij sommige servers mag je helemaal niet meer inloggen. Alleen nog maar via een Ansible user.

@Souplost, Lees mijn post van 23 februari 17:40 uur gisteren en van vandaag 17:26 nog eens door.
In de eerste post schrijf ik niets over linux! En in de tweede post reageer ik heel stoïcijns over een bijdrage van een Anoniem van 23 februari 23:13 uur die complete onzin m.b.t. 'root' over Linux verkoopt, die ik weerspreek, net als jij, en - nog erger - mij aanhaalt voor een bijdrage van mij die niet bestaat! maar hii/zijzelf uit zijn duim zuigt!
24-02-2020, 23:41 door souplost
Door Threnology:
Door souplost:
Door Anoniem:
Door souplost: Het bezoeken van een website met code (exploit kit) verstopt in een iframe (bv een advertentie) is voldoende zonder tussenkomst van de gebruiker, o.a. Javascript doet de rest. Dit heet een drive-by download infectie.
Er wordt shellcode (ge-encrypt in een ciphertext) in geheugen geïnjecteerd (dropper)

Scripting is geen bedreiging zonder een beveiligingslek. Meestal een oude beveiligingslek. Als je up to date bent hoef je je daar geen zorgen over te maken. Windows 10 is tegenwoordig gedwongen up to date voor de meeste gewone gebruikers.

@ Vandaag, 17:40 door Threnology - Bijgewerkt: Vandaag, 17:40
Volgens mij heb je standaard geen adminrechten actief. Dat is alleen zo als je daar uitdrukkelijk voor kiest. Het is ook geen gat, Linux is wat dat betreft nog minder veilig (inloggen als root).

Wat wel zo is, is dat server versies van Windows standaard zonder UAC werken. Dat is wel erg gevaarlijk als je de server gebruikt om eens wat te gaan browsen. Maar dan heb je al veel fouten gemaakt. Toch zijn (domein)beheerders de grootste beveiligingsbedreiging. Zij zorgen ervoor dat malware zich kan verspreiden overal in het Windows netwerk.
Natuurlijk heb je voor een drive-by download infectie een vulnerability nodig. Dat zou wat zijn zeg!
Ook van een Linux (gnome) distro heb je niet veel begrepen. Je kan per default niet grafisch inloggen als root en je hebt standaard als gebruiker ook geen sudo rechten. Enterprise server beheerders gooien het root account ook dicht. Je mag alleen maar met een ssh-key inloggen. Bij sommige servers mag je helemaal niet meer inloggen. Alleen nog maar via een Ansible user.

@Souplost, Lees mijn post van 23 februari 17:40 uur gisteren en van vandaag 17:26 nog eens door.
In de eerste post schrijf ik niets over linux! En in de tweede post reageer ik heel stoïcijns over een bijdrage van een Anoniem van 23 februari 23:13 uur die complete onzin m.b.t. 'root' over Linux verkoopt, die ik weerspreek, net als jij, en - nog erger - mij aanhaalt voor een bijdrage van mij die niet bestaat! maar hii/zijzelf uit zijn duim zuigt!
Er is iets misgegaan met copy&paste sorry
25-02-2020, 07:17 door The FOSS - Bijgewerkt: 25-02-2020, 07:19
Door Threnology: ...
M.b.t Linux een correctie. Je bent na een installatie een gebruiker. Je hebt geen root bevoegdheid bij een standaardsessie. Om als root in te loggen moet je herstarten en eenmaal in het inlogscherm bij gebruikersnaam 'root' invullen (zonder aanhalingstekens)

Ho, ho, herstarten? Niet nodig (het is geen Windows). En grafisch inloggen als root wordt eigenlijk altijd afgeraden want je voert dan veel te veel software als root uit. Als je text based werkt wordt er veel minder gestart. Persoonlijk vind ik een GUI-laag installeren op een server ook overbodig want onveiliger, maar dat is een andere discussie want we hebben het hier niet over servers.

Gewoon ingelogd blijven als gebruiker en vanuit een shell venster met sudo werken. Als dat niet is ingesteld dan evt. met su. En je kan altijd naar een virtuele terminal overschakelen met Ctrl+Alt+F1 (of F2 t/m F6) en terminal based (text only) inloggen als root of een andere gebruiker. Terug naar je grafische omgeving met Ctrl+Alt+F7.

Je kan meestal zelfs een tweede grafische omgeving starten (die komt dan normaliter op 'F8') en schakelen ertussen.

In tegenstelling tot Windows is bij Linux de grafische omgeving gewoon een nette afzonderlijke laag bovenop een text based omgeving en kan je het naar believen helemaal niet installeren (servers) of tijdelijk zonder werken.

P.S. Altijd ander wachtwoord voor root anders heb je de veiligheidsvoordelen van een apart gebruikersaccount deels tenietgedaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.