Anti-virus software verergert MyDoom epidemie
Het MyDoom virus is de nieuwste worm waarmee Windows gebruikers te maken krijgen en weet tevens complete netwerken te verstoppen, maar dat is slechts een deel van het probleem. Anti-virus software op mail servers produceert namelijk net zoveel verkeer, door voor elke besmette e-mail een melding te sturen. Dit veroorzaakt zoveel extra verkeer dat dit het probleem serieus verergert. Het is dan ook een zeer irrirtant, bijna spam-achtig probleem, dat anti-virus software zomaar mensen gaat waarschuwen dat hun systeem mogelijk geinfecteerd is, aldus Marc Maiffret van eEye Digital Security. Het probleem is dat virussen de afzender vervalsen, waardoor mensen denken e-mail van een bekende te krijgen. Het zou een simpele aanpassing voor anti-virus fabrikanten zijn om te controleren of de afzender daadwerkelijk besmet is. Zo zou voorkomen kunnen worden dat niet besmette computers toch een waarschuwings e-mail ontvangen, zo gaat Maiffret verder in dit artikel over anti-virus software.
instellen voor welke virussen zo'n melding niet verstuurd
moet worden (de zogenaamde silent list)
en uiteraard heb je ook een optie om het helemaal uit te zetten.
Na mate het meer standaard wordt dat wormen gebruik gaan
maken van gespoofde afzender adressen, zou je zo'n optie om
kunnen draaien (zeg maar
een shout list).
Het probleem ligt misschien meer bij de SMTP servers die
iedereen uit hun domein maar laten mailen met een
willekeurig afzender adress. Als je SMTP authenticatie zou
kunnen vereisen met een gevalideerd afzender adres vang je
twee vliegen in een klap (wormen en SPAM).
mailserver dat mailtjes met wormen gewoon direct verwijderd worden. De
ontvanger heeft sowieso toch niks aan die mailtjes, dus ook niet aan een
mailtje met gecleande worm. Gewoon wissen, dan krijg je als IT afdeling
ook geen vragen over die voor gebruikers "vreemde" mailtjes waarin wordt
gemeld dat er een virus is onderschept.
Nou, lees ik bovenstaande artikelen en krijg een gevoel van "wat nu weer
een virusje en Nederland staat weer op tilt?" Ik hoop het niet.
Zeker gezien de reactie op de Anti-Virus software op de mail-server. Een
professionele organisatie kan een leidraad vinden in ISO 17799. Echter,
met de juiste besteding van het IT budget is het ook mogelijke voor kleine
organisatie's een hoge(re) gradatie van beveiling en veiligheid te
bewerkstelligen. Als voorbeeld zie ik het maken van afspraken met
gebruikers over internet toegang. Dit betreft ook alle outbound verkeer.
Het inregelen van een professionel firewall (Checkpoint FW1 of Raptor
Firewall (SEF)), stop alle wormen spoofed spam en gerouteerde mail. De
toegestane mail komt de viruswall binnen en vervolgens gerouteerd naar
de mailserver met of zonder AV (wist u dat de meeste mailservers op een
windows OS staan) Zonder reclame te maken voor Antigen of NAI en alle
andere windows based Anti-Virussen, U hoeft de gebruikers geen bericht
te sturen over de gang of voortgang van de mail stroom. Indien een virus
toch een werkstation bereikt en inderdaad door een niet courante lokaal
AV programma mass-mail gaat versturen, dan komt Uw of de
Systeembeheerder zijn heldere kijk op zaken naar voren. De werkstations
kunnen ondanks het feit van de email client geen smtp direct naar buiten
versturen, geen [.bat, .exe, .pif, .cmd, .scr] en alle niet noodzakelijke
bestanden ontvangen. Daarnaast een beperking op de hoeveelheid mail
dat u mag versturen. En gaat U zo maar door. Ik sluit af met het volgende
MailScanner een Open Source AV voor het Linux platform is echt niet aan
te raden gezien de mate van updates er ver uit elkaar liggen. Denk ruim,
denk licht. Bedenk verder dat een goed gepland en ingericht netwerk U dit
bespaard U kopzorgen.
worden netje alle foute mails tegengehouden. Echt een zegen, want
een extra regel en alle MyDoom-meuk "verdwijnt" ;-)
### knip
Ik sluit af met het volgende MailScanner een Open Source AV
voor het Linux platform is echt niet aan te raden gezien de
mate van updates er ver uit elkaar liggen. Denk ruim, denk
licht.
Bedenk verder dat een goed gepland en ingericht netwerk U
dit bespaard U kopzorgen.
Wij draaien MailScanner nu ruim een jaar op een relatief
grote site (enkele Gigabytes aan e-mail per dag), zonder
problemen. Het is makkelijk te installeren en te
configureren en we draaien het volledig redundant (gewoon
twee servers die dezelfde MX waarde hebben).
Het maakt gebruik van een commerieele antivirus engine die
door MailScanner aangeroepen wordt (wij gebruiken Sophos &
die wordt om het uur gecheckt voor updates) en SpamAssassin
voor de spam tagging.
Alles is configureerbaar en support is snel en kwalitatief
erg goed dmv de mailinglist.
We hebben hiervoor naar commercieele producten gekeken, maar
niks kwam in de buurt (om over de kosten maar te zwijgen).
virusmeldingen naar onschuldige omstanders te versturen,
maar bounced gewoon het volledige virus terug.
Daar wordt je vrolijk van...
Wanadoo krijgt het zelfs voor elkaar om niet alleen
virusmeldingen naar onschuldige omstanders te versturen,
maar bounced gewoon het volledige virus terug.
Daar wordt je vrolijk van...
Nu ik dat plaats bedenk ik pas wat voor heerlijk
Droste-effect dit teweeg kan brengen. Als de geforgde
afzender @wanadoo.nl is wordt dat erg leuk.....
verkeer, door voor elke besmette e-mail een melding te sturen.
Onzin, de omvang van het bericht als gestuurd door het virus is ca. 33
KB. Waarschuwing zijn doorgaans veel kleiner. De omvang van het
verkeer is helemaal geen zwaarwegende reden om tegen zulke
waarschuwingsberichten te zijn. Geen enkele mail server of mail
scanner zal daar een probleem mee hebben.
Waarschuwingen sturen naar afzenders mag alleen gebeuren indien de
afzender 100% zeker niet is vervalst. Anti-virus bedrijven hebben de
morele plicht daar een optie voor te maken en die als default in te
stellen.
Het moet erg moeilijk of onmogelijk gemaakt worden om vervalste
afzenders te informeren.
De schade van het zenden van valse beschuldigingen is veel groter dan
een eventueel positief effect. Een flink aantal ontvangers zullen geloven
dat het waar is dat hun computer besmet is. Bij pogingen om het niet
aanwezige virus te verwijderen worden regelmatig harde schijven
geformatteerd en besturingssystemen opnieuw geinstalleerd.
Zoals al eerder geadviseerd in deze thread: verwijder berichten met
virussen en stuur geen waarschuwingen.
Cleanen is net zo'n zinloze actie. Onthoudt dat het bericht door een virus
is verstuurd en niet door een mens. Een mens heeft geen behoefte aan
een door een virus verstuurd bericht.
"Ja, maar er zijn ook Word virussen die wel door mensen zijn verstuurd"
hoor ik vaak als weerwoord. Waar, maar Office virussen maken minder
dan 1 promille uit van het totaal. Je wilt toch niet 999 mensen lastig
vallen met valse waarschuwingen om er 1 te waarschuwen?
De verzender is en blijft ten allen tijde verantwoordelijk voor het virusloos
versturen van documenten. Het is alleen aan zijn eigen schuld te wijten
als dat document met virus niet aankomt. Had hij maar een virus
scanner of Office virus protectie moeten gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
