Schade Mydoom in Nederland verwaarloosbaar
Het Mydoom-virus dat op 26 januari voor het eerst werd waargenomen en zich binnen 24 uur wereldwijd verspreidde, heeft in Nederland niet tot noemenswaardige schade geleid. Dit blijkt uit onderzoek van KPMG en de Universiteit van Amsterdam onder IT-managers en securitymanagers van middelgrote en grote bedrijven en instellingen in Nederland naar de schade van het virus. Mydoom wordt algemeen gezien als het zich snelst verspreidende virus ooit. De geschatte schade die wereldwijd uiteenliep van 200 miljoen euro tot zo’n 30 miljard euro, bleef in Nederland beperkt. Het hoogste schadebedrag door een Nederlands bedrijf wordt geraamd op zo’n 24.000 euro. Volgens KPMG en de Universiteit van Amsterdam is de beperkte schade een bewijs dat Nederlandse bedrijven in instellingen goed beveiligd zijn tegen dit soort calamiteiten.
“Mydoom blijkt weliswaar overal druk aan de poort te hebben gerammeld, maar heeft vrijwel nergens tot schade van enige omvang geleid”, constateert Edo Roos Lindgreen van KPMG Information Risk Management. “In bijna alle gevallen werden mailberichten met Mydoom-bijlage door een firewall onderschept. In enkele gevallen was sprake van een infectie, die binnen korte tijd kon worden bestreden. Enkele bedrijven ondervonden schade doordat internetaanbieders uit de lucht waren, zodat het mailverkeer stil kwam te liggen en geen orders via internet binnenkwamen. Het hoogste, geschatte schadebedrag bedraagt zo’n 24.000 euro. Veel bedrijven geven aan dat een extra inspanning nodig was om te controleren of de bescherming afdoende was”.
De grote internetaanbieders blijken meer last te hebben ondervonden van het virus. Zij onderschepten honderdduizenden besmette mailberichten. Zij waren gedwongen tijdelijk extra capaciteit in te zetten om de mailberichten op te slaan van klanten die de verbinding even hadden afgesloten om hun virussoftware bij te werken. De ervaringen van bedrijven met het Mydoom-virus staan in schril contrast met eerdere schattingen over de schade. Roos Lindgreen: “Die liepen wereldwijd uiteen van honderden miljoenen tot tientallen miljarden euro’s. De afgelopen jaren hebben virussen, zoals Melissa, I love you, Bugbear, Slammer, Blaster en Sobig.behoorlijke schade aangericht. Daardoor staan veel bedrijven op scherp”.
De beperkte schade door het virus wijst er volgens Roos Lindgreen op dat Nederlandse bedrijven goed beschermd zijn tegen virussen. “Het geld dat we met z’n allen uitgeven aan virusbestrijding – naar schatting zo’n 50 euro per werkplek per jaar – blijkt duidelijk goed besteed. Zonder deze maatregelen was er ongetwijfeld sprake geweest van aanzienlijke schade”.
Reacties (16)
“In bijna alle gevallen werden mailberichten met Mydoom-bijlage door
een firewall onderschept. "
Firewall????? tsktsk KPMG, waarschijnlijk werd het virus in de meeste
gevallen toch echt door een virus-scanner onderschept...
een firewall onderschept. "
Firewall????? tsktsk KPMG, waarschijnlijk werd het virus in de meeste
gevallen toch echt door een virus-scanner onderschept...
Ik heb de vraagstelling van KPMG gezien. Ik was niet onder de indruk van
de wetenschappelijke juistheid daarvan. Je kunt op basis van dit
onderzoek geen gefundeerde conclusies trekken.
de wetenschappelijke juistheid daarvan. Je kunt op basis van dit
onderzoek geen gefundeerde conclusies trekken.
Los van de vraagstelling...Er is maar 1 echt slachtoffer van MyDoom
geweest en dat is www.sco.com....
geweest en dat is www.sco.com....
Edo Roos Lindgren is anders wel hoogleraar postdoctoraal EDP audit.
Of hij goed is? Ik weet het niet. Ik zag hem nooit op m'n dure college, dan
stuurt tie telkens een paar yuppen om namens hem de sheets op te
lezen. Zonde van zo'n dure opleiding. Nu is tie van de VU naar de UVA
overgestapt, zal tie wel weer hetzelfde doen. Bah.
Maar laten we eerlijk zijn, hij heeft wel gelijk: vrijwel elk groot bedrijf heeft
tegenwoordig virusscan software op de werkplek met wekelijkse update.
En een virusscan op de gateway.
Of hij goed is? Ik weet het niet. Ik zag hem nooit op m'n dure college, dan
stuurt tie telkens een paar yuppen om namens hem de sheets op te
lezen. Zonde van zo'n dure opleiding. Nu is tie van de VU naar de UVA
overgestapt, zal tie wel weer hetzelfde doen. Bah.
Maar laten we eerlijk zijn, hij heeft wel gelijk: vrijwel elk groot bedrijf heeft
tegenwoordig virusscan software op de werkplek met wekelijkse update.
En een virusscan op de gateway.
Beste anoniem,
Graag even iets rechtzetten.. als dat mag.. was geen hoogleraar
aan de VU maar tot ca 2001 gastdocent aan de postdoctorale EDP-
audit opleiding; colleges cryptografie en datacommunicatie zijn in
2001 door andere docenten overgenomen.. ik stuur eigenlijk nooit
yuppen om sheets voor te lezen.. jammer dat u dat destijds zo
ervaren hebt.
vwb het onderzoek: ben zeer geïnteresseerd in voorbeelden van
bedrijven die wel grote schade hebben ondervonden van Mydoom..
wij hebben ze niet kunnen vinden.
groet, Edo Roos Lindgreen
Graag even iets rechtzetten.. als dat mag.. was geen hoogleraar
aan de VU maar tot ca 2001 gastdocent aan de postdoctorale EDP-
audit opleiding; colleges cryptografie en datacommunicatie zijn in
2001 door andere docenten overgenomen.. ik stuur eigenlijk nooit
yuppen om sheets voor te lezen.. jammer dat u dat destijds zo
ervaren hebt.
vwb het onderzoek: ben zeer geïnteresseerd in voorbeelden van
bedrijven die wel grote schade hebben ondervonden van Mydoom..
wij hebben ze niet kunnen vinden.
groet, Edo Roos Lindgreen
07-02-2004, 17:05 door
Frans Egberink
Ik vraag mij af Edo in hoeverre bedrijven bereid zijn toe te geven dat ze
door een virus worden getroffen en wat de consequenties en de kosten
daarvan waren.
Uit ervaring weet ik dat de directie van bedrijven die een accountant met
omvang van KMPG nodig hebben daar liever helemaal niet over praten.
Mijn persoonlijke ervaring is dat IT managers na een virusinfectie gaan
zitten rommelen met uren die voor de deinfectie van het netwerk nodig
waren om het allemaal maar niet zo erg te laten lijken. Dat snap ik dus
niet. Die kosten zijn juist de kleinste kostenpost bij een infectie. Het lijkt
wel of door de trainingen die bij veel grote bedrijven ieder voor zijn eigen
hachje aan he knokken is.
Wat je bij veel bedrijven ook ziet is dat er direct na het constateren niet
voldoende hulp wordt ingeroepen om de boel te infecteren waardoor het
bedrijfsnetwerk langer als nodig plat ligt.
En wat dachten jullie van de indirecte schade. Hoe ga je die waarderen?
Bij sommige virussen worden dokumenten of delen daarvan verstuurd
die in verkeerde handen nog jarenlang voor schade kunnen zorgen.
ALs ik alleen al kijk van welke bedrijven ik die mailtjes kreeg dan zijn er
beslist meer als alleen dat ene bedrijf besmet geraakt met dat virus en
loopt het aantal besmette nederlandse bedrijven in de 10 zoniet 100
tallen.
West Europa heeft gewoon verschrikkelijk veel mazzel gehad met het
tijdstip (maandag 26-1 22:00) waarop het virus zich begon te verspreiden.
Frans Egberink
door een virus worden getroffen en wat de consequenties en de kosten
daarvan waren.
Uit ervaring weet ik dat de directie van bedrijven die een accountant met
omvang van KMPG nodig hebben daar liever helemaal niet over praten.
Mijn persoonlijke ervaring is dat IT managers na een virusinfectie gaan
zitten rommelen met uren die voor de deinfectie van het netwerk nodig
waren om het allemaal maar niet zo erg te laten lijken. Dat snap ik dus
niet. Die kosten zijn juist de kleinste kostenpost bij een infectie. Het lijkt
wel of door de trainingen die bij veel grote bedrijven ieder voor zijn eigen
hachje aan he knokken is.
Wat je bij veel bedrijven ook ziet is dat er direct na het constateren niet
voldoende hulp wordt ingeroepen om de boel te infecteren waardoor het
bedrijfsnetwerk langer als nodig plat ligt.
En wat dachten jullie van de indirecte schade. Hoe ga je die waarderen?
Bij sommige virussen worden dokumenten of delen daarvan verstuurd
die in verkeerde handen nog jarenlang voor schade kunnen zorgen.
ALs ik alleen al kijk van welke bedrijven ik die mailtjes kreeg dan zijn er
beslist meer als alleen dat ene bedrijf besmet geraakt met dat virus en
loopt het aantal besmette nederlandse bedrijven in de 10 zoniet 100
tallen.
West Europa heeft gewoon verschrikkelijk veel mazzel gehad met het
tijdstip (maandag 26-1 22:00) waarop het virus zich begon te verspreiden.
Frans Egberink
Door Anoniem
vwb het onderzoek: ben zeer geïnteresseerd in voorbeelden van
bedrijven die wel grote schade hebben ondervonden van Mydoom..
wij hebben ze niet kunnen vinden.
vwb het onderzoek: ben zeer geïnteresseerd in voorbeelden van
bedrijven die wel grote schade hebben ondervonden van Mydoom..
wij hebben ze niet kunnen vinden.
Misschien omdat sommige grote bedrijven alle mail blokkeren waarin het
woord Mydoom/Novarg in voorkomt? Een spoedonderzoek via e-mail
komt dan niet ver. Voor degenen die het niet weten: Mydoom heeft voor
een vloed aan ongewenste virus notificaties gezorgd. Daarbij kwam ook
nog eens een groot aantal non delivery meldingen, die voor sommige
gebruikers met een bepaalde naam voor de apestaart voor extreem grote
overlast zorgt.
Dat leidt tot ongeruste gebruikers die een massa van zulke mail op hun
mailbox zagen komen, overtuigd raken dat ze zelf de besmettingsbron zijn
en daarover soms in paniek raken. Vandaar dat mail over mydoom
handmatig gefilterd wordt of helemaal niet binnenkomt. Voeg daarbij
incapable locale beheerders en een gevaarlijke mix komt tot stand
waarbij afsluiten van mail servers e.d. tot de mogelijkheden behoort.
Heeft er dan een besmetting plaatsgevonden? Nee, maar er is wel
indirecte schade.
Bij virusbestrijding dien je eerst definities neer te zetten van wat nou
precies schade is en wat niet. Zijn de kosten van anti-virus pakket
schade? Nee? Misschien dan de beheerders die de updates voor de
virus hebben ingezet? Ook niet? Etc.
Als je geen definities neerzet krijg je resultaten van mensen die uit gegokt
hebben wat KPMG nou precies wilde weten. En dat kan nooit leiden tot
een betrouwbaar resultaat.
Overigens, iedere anti-virus deskundige weet dat Mydoom een SMTP
virus is, het zal zich niet verspreiden bij de meeste bedrijven. Die draaien
veelal Microsoft Exchange, Lotus Notes of Novell GroupWise. behalve een
geschikte mail server zijn er nog een aantal voorwaarden nodig (DNS
instellingen, MX records, rechten, verbindingen) om dit virus te laten
verspreiden.
Virussen als Mydoom zijn dus vooral schadelijk in een open organisatie
zoals ISP's (en haar klanten), universiteiten of bedrijven die ook intern
volledig SMTP ondersteunen.
Dat is te voorspellen zonder onderzoek naar specifiek dit virus. Als je zegt
dat je geen bedrijf hebt kunnen vinden met veel schade ga je er impliciet
vanuit dat dit wel tot de mogelijkheden behoort. Ik heb daar mijn twijfels
over.
Frans noemt de indirecte schade maar specificeert die niet.
Veel mensen zijn van hun werk gehouden doordat ze een of meer
mailtjes kregen met de mededeling dat hun PC besmet was. Dat
heeft vermoedelijk tot heel wat calls naar helpdesks geleid, wat
in veel gevallen ongetwijfeld tot extra oponthoud leidde doordat
de helpdesk in gesprek was.
Het probleem daarbij is dat zo'n helpdeskmedewerker eigenlijk
niet uit mag sluiten dat er echt iets aan de hand is, want die
fantastische AV mailtjes met "uw PC is besmet" (in allerlei talen)
laten, behalve dat ze meestal stomweg onjuist zijn, ook aan
duidelijkheid vaak veel te wensen over (bijv. in veel gevallen
onbreken headers van de oorsponkelijke message, en als die
er al bij zitten maar op bijv. een Exchange bak zijn gegenereerd,
zijn veel headers aanwezig, maar niet de essentieele met het
originator IP adres).
Het is lastig deze schade in te schatten, maar reken maar dat
die "geleden is".
De positieve kant van MyDoom is dat mensen die nu "achter
een virusscanner zitten" zich er hopelijk van bewust worden dat
hun wereld veiliger lijkt dan hij is. En misschien, als er in een
tijdvenster (tussen uitbraak en virusdefs) weer eens een paar
virussen doorheen slippen (zoals ook bij ons gebeurd is), niet
zonder meer .pif , .zip etc. bijlagen openen.
Een negatief aspect is dat mensen steeds banger worden om
bijlagen te openen, en admins steeds meer typen attachments
gaan blokkeren. Hoewel velen "er maar op los mailen" wat best
eens wat minder zou mogen, is het de vraag of genoemde
maatregelen de hoeveelheid "gewenste" emails zullen
verminderen. Ik vermoed dat mensen gewoon naar andere
oplossingen gaan zoeken (denk aan .rar i.p.v. .zip waardoor
de recipient weer nieuwe decompressiesoftware nodig heeft).
Een wellicht belangrijker nadelig aspect is vervolgschade. Bij
het eerstvolgende virus dat het afzender emailadres niet
vervalst, zullen lusers en helpdesks deze AV waarschuwings-
mailtjes massaal negeren.
Erik van Straten
Veel mensen zijn van hun werk gehouden doordat ze een of meer
mailtjes kregen met de mededeling dat hun PC besmet was. Dat
heeft vermoedelijk tot heel wat calls naar helpdesks geleid, wat
in veel gevallen ongetwijfeld tot extra oponthoud leidde doordat
de helpdesk in gesprek was.
Het probleem daarbij is dat zo'n helpdeskmedewerker eigenlijk
niet uit mag sluiten dat er echt iets aan de hand is, want die
fantastische AV mailtjes met "uw PC is besmet" (in allerlei talen)
laten, behalve dat ze meestal stomweg onjuist zijn, ook aan
duidelijkheid vaak veel te wensen over (bijv. in veel gevallen
onbreken headers van de oorsponkelijke message, en als die
er al bij zitten maar op bijv. een Exchange bak zijn gegenereerd,
zijn veel headers aanwezig, maar niet de essentieele met het
originator IP adres).
Het is lastig deze schade in te schatten, maar reken maar dat
die "geleden is".
De positieve kant van MyDoom is dat mensen die nu "achter
een virusscanner zitten" zich er hopelijk van bewust worden dat
hun wereld veiliger lijkt dan hij is. En misschien, als er in een
tijdvenster (tussen uitbraak en virusdefs) weer eens een paar
virussen doorheen slippen (zoals ook bij ons gebeurd is), niet
zonder meer .pif , .zip etc. bijlagen openen.
Een negatief aspect is dat mensen steeds banger worden om
bijlagen te openen, en admins steeds meer typen attachments
gaan blokkeren. Hoewel velen "er maar op los mailen" wat best
eens wat minder zou mogen, is het de vraag of genoemde
maatregelen de hoeveelheid "gewenste" emails zullen
verminderen. Ik vermoed dat mensen gewoon naar andere
oplossingen gaan zoeken (denk aan .rar i.p.v. .zip waardoor
de recipient weer nieuwe decompressiesoftware nodig heeft).
Een wellicht belangrijker nadelig aspect is vervolgschade. Bij
het eerstvolgende virus dat het afzender emailadres niet
vervalst, zullen lusers en helpdesks deze AV waarschuwings-
mailtjes massaal negeren.
Erik van Straten
Goede discussie. Een korte toelichting.
Onder schade hebben wij in dit onderzoek verstaan: directe en indirecte
schade als gevolg van Mydoom. Denk daarbij aan: uitval van systemen of
netwerkverbindingen, extra inspanning van beheerders, inkomstenderving,
enz. Kosten van preventieve maatregelen en reguliere
beheerwerkzaamheden vallen hier niet onder.
Over het onderzoek: het was een bliksemonderzoek, geen fundamentele
wetenschappelijke studie. (Dat was ook niet gelukt in drie dagen!) Ons team
heeft ca 150 IT-managers en security managers gebeld en persoonlijk
gesproken. Van nog eens ca 50 respondenten kregen we de antwoorden via
e-mail. We hebben twee simpele vragen gesteld. Heeft uw organisatie last
gehad van Mydoom? Zo ja, hoe groot was de schade? Tijdens het onderzoek
ontstond een consistent en voor ons verrassend beeld. De meeste bedrijven
hielden het virus buiten de poort; de paar infecties die er waren konden snel
bestreden worden. We gaan volgende week proberen de resultaten van het
onderzoek te "vertalen" naar cijfers over het totale aantal infecties en de
daaruit voortvloeiende schade. Dat is nog niet zo eenvoudig. Zie dan
http://www.kpmg.nl/irm.
Wij hebben niet de indruk dat respondenten mooi weer hebben gespeeld,
maar naar waarheid hebben geantwoord. Anonimiteit was gewaarborgd.
Dezelfde groep respondenten heeft al eerder meegedaan aan een ander
onderzoek (over identity management) en nam toen geen blad voor de mond.
Meten is weten. Als iemand goede suggesties heeft, tegenvoorbeelden, of
andere relevante informatie, graag.
groeten van Edo
Onder schade hebben wij in dit onderzoek verstaan: directe en indirecte
schade als gevolg van Mydoom. Denk daarbij aan: uitval van systemen of
netwerkverbindingen, extra inspanning van beheerders, inkomstenderving,
enz. Kosten van preventieve maatregelen en reguliere
beheerwerkzaamheden vallen hier niet onder.
Over het onderzoek: het was een bliksemonderzoek, geen fundamentele
wetenschappelijke studie. (Dat was ook niet gelukt in drie dagen!) Ons team
heeft ca 150 IT-managers en security managers gebeld en persoonlijk
gesproken. Van nog eens ca 50 respondenten kregen we de antwoorden via
e-mail. We hebben twee simpele vragen gesteld. Heeft uw organisatie last
gehad van Mydoom? Zo ja, hoe groot was de schade? Tijdens het onderzoek
ontstond een consistent en voor ons verrassend beeld. De meeste bedrijven
hielden het virus buiten de poort; de paar infecties die er waren konden snel
bestreden worden. We gaan volgende week proberen de resultaten van het
onderzoek te "vertalen" naar cijfers over het totale aantal infecties en de
daaruit voortvloeiende schade. Dat is nog niet zo eenvoudig. Zie dan
http://www.kpmg.nl/irm.
Wij hebben niet de indruk dat respondenten mooi weer hebben gespeeld,
maar naar waarheid hebben geantwoord. Anonimiteit was gewaarborgd.
Dezelfde groep respondenten heeft al eerder meegedaan aan een ander
onderzoek (over identity management) en nam toen geen blad voor de mond.
Meten is weten. Als iemand goede suggesties heeft, tegenvoorbeelden, of
andere relevante informatie, graag.
groeten van Edo
Sorry dat mijn post van 18:42 veel lijkt op de post van Anoniem
van 18:04! Toen ik tegen 18:00 begon te schijven "was die er
nog niet", en er kwam bij mij even wat tussendoor waardor ik
er nogal lang over gedaan heb.
Erik van Straten
van 18:04! Toen ik tegen 18:00 begon te schijven "was die er
nog niet", en er kwam bij mij even wat tussendoor waardor ik
er nogal lang over gedaan heb.
Erik van Straten
07-02-2004, 19:57 door
Frans Egberink
Edo schreef:
A)
Frans noemt de indirecte schade maar specificeert die niet.
B)
Tijdens het onderzoek ontstond een consistent en voor ons verrassend
beeld. De meeste bedrijven hielden het virus buiten de poort; de paar
infecties die er waren konden snel bestreden worden
A)
Frans noemt de indirecte schade maar specificeert die niet.
B)
Tijdens het onderzoek ontstond een consistent en voor ons verrassend
beeld. De meeste bedrijven hielden het virus buiten de poort; de paar
infecties die er waren konden snel bestreden worden
A)
Ik heb bv bij vorige virusuitbraken virus-mailtjes voorbij zien komen met
interne discussies tussen research en inkoopafdeling van een bedrijf
waarbij een grondstof werd besproken die als enigste goed toe te
passen was in een product van dat bedrijf. De inkoper werd opgedragen
alvast contact op te nemen met de leverancier van die grondstof om te
onderhandelen over afnamehoeveelheden en prijs.
Kun je je voorstellen hoe blij die leverancier zou zijn met dat virus-
mailtjes en wat de gevolgen zouden kunnen zijn voor de prijs van die
grondstof voor dat bedrijf.
Ik ben er nooit achter gekomen of die leverancier dat mailtje ook heeft
gehad maar de kans is erg groot omdat zijn adres in het adresboek van
die inkoper stond en de pc van inkoper ook besmet was met virus.
Verder heb ik mailtjes met vertrouwlijke informatie van projectmakelaars
voorbij zien komen over percelen die nog aangekocht moesten worden
voordat met de realisatie van het projekt gestart kon worden.
Ook daar kun je je toch wel een voorstelling van maken van de gevolgen
als de eigenaar van zo'n perceel die informatie in handen krijgt.
Onder jullie klanten bevinden zich veel beursgenoteerde bedrijven.......
Oef daar moet je toch niet aan denken he.
B)
Maar was dat te danken denk je aan de kundigheid van de IT afdelingen
in het Nederlandse bedrijfsleven ???
Zou het ook kunnen zijn dat de meeste bedrijven gesloten waren toen het
virus om 22:00 uitbrak. Om 5:15 kwam de update pas beschikbaar voor
bv McAfee. Het Nederlandse bedrijfsleven had weer geluk. Het sliep toen
nog. Toen het bedrijfsleven weer begon waren op de meeste bedrijven
de antivirus updates al automatisch geinstalleerd.
Azie, Australie en Amerika hadden minder geluk. Daar was het
bedrijfsleven in volle gang.
Conclussie: Daar waar het bedrijfleven aan he werk is tijdens de uitbraak
van een virus als MyDoom, daar is de schade groot.
Wil je het echt weten welke bedrijven schade hebben dan moet je de
logfiles op de mail-servers van je klanten gaan onderzoeken.
1) Maak een programma dat de 1e receive regel van elke besmette e-
mail die niet van een mailserver afkomstig is opslaat in een bestand.
2) Bied dat programma aan bij je klanten en vraag ze om het gemaakte
bestand terug te sturen.
3) Onderzoek de IP adressen van de bestanden en kijk welke IP
adressen van een nederlands bedrijf zijn.
In princiepe kun je dat onderzoek van die bestanden helemaal
automatiseren en whala je hebt een lijst van bedrijven die besmet waren.
Ik zou zeggen bellen maar met die bedrijven die uit die lijst komen en ze
confronteren met het harde bewijs.
Horen we dit nog even van je .........?
Frans, even rechtzetten:
> Frans noemt de indirecte schade maar specificeert die niet.
Niet Edo, maar ondergetekende heeft dat geschreven.
Jouw andere punten herken ik (Sircam vermoed ik), zie mijn post
van gisteren op http://www.security.nl/article/6614/1
Edo zou contact op kunnen nemen met Peter Olsthoorn. Wellicht
heeft hij zijn verzameling van 20000 virii nog, en is daar uit te
halen of er veel NL afzenders bijzaten. Het is mogelijk dat Peter's
"vangst" maar een beperkt aantal afzenders betrof; MyDoom lijkt
op sommige plaatsen zeer veel, en op andere bijna geen schade
te hebben aangericht. Ook zou het totale aantal besmette PC's
wel eens mee kunnen vallen, maar door de gespoofede afzenders
(weinigen snappen dat dit kan, zie ook onderaan deze post).
Het artikel van Peter Olsthoorn staat hier:
http://www.netkwesties.nl/editie80/artikel1.php
Wellicht dat sites als Postini en MessageLabs statistieken over
NL afzenders zouden willen verschaffen (dit soort dienstverleners
worden steeds vaker ingezet voor het fliteren van email voor
bekende grote bedrijven, en zien dus erg veel voorbijkomen).
Postini: http://www.postini.com/stats/menu.html
Klik "View Geographical Origins", dan rechtsonder "More Maps",
dan "Enlarge Map" voor het type email dat je wilt. Een Flash
browserplugin is helaas vereist. De plaatjes zijn erg mooi maar
of ze geografisch correct zijn weet ik niet (credit aan Computable
van vorige week die zo'n plaatje toonde).
MessageLabs heeft momenteel problemen met het tonen van
grafieken, meer info:
http://www.messagelabs.com/viruseye/threats/default.asp
Op http://www.brightmail.com kon ik helemaal geen
grafieken vinden.
M.b.t. gespoofde afzenderadressen (de meeste spam wordt zo
verzonden, en veel virussen waaronder MyDoom), hier is wat
onze bijdetijdse vrienden aanraden:
http://www.microsoft.com/security/articles/spam.asp
[knip]
> Report junk e-mail and its senders
> Get active. Put spammers on the defensive and report junk
> e-mail:
>
> Forward spam to the originating ISP. Most ISPs and
> e-mail services have a complaint address to help eliminate
> junk e-mail from their systems. If you get unwanted mail, the
> sender's address will show the ISP name after the at (@) sign.
> If it came from MSN.com, forward the entire e-mail, with
> headers, to [email]abuse@msn.com[/email]. If the spam originated from
> another ISP, forward it directly to the postmaster or abuse
> alias at that ISP.
[knip]
Laten we dat vooral doen - dan krijg ik op m'n server naast de
160000 spam-bounces per maand wellicht ook nog een dergelijk
aantal klachten op m'n abuse adres (voor spam en MyDooms die
vanaf willekeurige PC's wereldwijd worden verzonden).
Tip: mocht u spam of een virus van een willekeurig Nederlands
email adres hebben ontvangen, forward dat dan uitsluitend naar
[email]abuse@msn.nl[/email] (of zoek in de headers naar het originating IP
adres en stuur naar de bijbehorende ISP - maar dat is niet zo
eenvoudig als het soms lijkt).
Sorry voor de dwaling, maar dit zit me behoorlijk dwars.
Erik van Straten
> Frans noemt de indirecte schade maar specificeert die niet.
Niet Edo, maar ondergetekende heeft dat geschreven.
Jouw andere punten herken ik (Sircam vermoed ik), zie mijn post
van gisteren op http://www.security.nl/article/6614/1
Edo zou contact op kunnen nemen met Peter Olsthoorn. Wellicht
heeft hij zijn verzameling van 20000 virii nog, en is daar uit te
halen of er veel NL afzenders bijzaten. Het is mogelijk dat Peter's
"vangst" maar een beperkt aantal afzenders betrof; MyDoom lijkt
op sommige plaatsen zeer veel, en op andere bijna geen schade
te hebben aangericht. Ook zou het totale aantal besmette PC's
wel eens mee kunnen vallen, maar door de gespoofede afzenders
(weinigen snappen dat dit kan, zie ook onderaan deze post).
Het artikel van Peter Olsthoorn staat hier:
http://www.netkwesties.nl/editie80/artikel1.php
Wellicht dat sites als Postini en MessageLabs statistieken over
NL afzenders zouden willen verschaffen (dit soort dienstverleners
worden steeds vaker ingezet voor het fliteren van email voor
bekende grote bedrijven, en zien dus erg veel voorbijkomen).
Postini: http://www.postini.com/stats/menu.html
Klik "View Geographical Origins", dan rechtsonder "More Maps",
dan "Enlarge Map" voor het type email dat je wilt. Een Flash
browserplugin is helaas vereist. De plaatjes zijn erg mooi maar
of ze geografisch correct zijn weet ik niet (credit aan Computable
van vorige week die zo'n plaatje toonde).
MessageLabs heeft momenteel problemen met het tonen van
grafieken, meer info:
http://www.messagelabs.com/viruseye/threats/default.asp
Op http://www.brightmail.com kon ik helemaal geen
grafieken vinden.
M.b.t. gespoofde afzenderadressen (de meeste spam wordt zo
verzonden, en veel virussen waaronder MyDoom), hier is wat
onze bijdetijdse vrienden aanraden:
http://www.microsoft.com/security/articles/spam.asp
[knip]
> Report junk e-mail and its senders
> Get active. Put spammers on the defensive and report junk
> e-mail:
>
> Forward spam to the originating ISP. Most ISPs and
> e-mail services have a complaint address to help eliminate
> junk e-mail from their systems. If you get unwanted mail, the
> sender's address will show the ISP name after the at (@) sign.
> If it came from MSN.com, forward the entire e-mail, with
> headers, to [email]abuse@msn.com[/email]. If the spam originated from
> another ISP, forward it directly to the postmaster or abuse
> alias at that ISP.
[knip]
Laten we dat vooral doen - dan krijg ik op m'n server naast de
160000 spam-bounces per maand wellicht ook nog een dergelijk
aantal klachten op m'n abuse adres (voor spam en MyDooms die
vanaf willekeurige PC's wereldwijd worden verzonden).
Tip: mocht u spam of een virus van een willekeurig Nederlands
email adres hebben ontvangen, forward dat dan uitsluitend naar
[email]abuse@msn.nl[/email] (of zoek in de headers naar het originating IP
adres en stuur naar de bijbehorende ISP - maar dat is niet zo
eenvoudig als het soms lijkt).
Sorry voor de dwaling, maar dit zit me behoorlijk dwars.
Erik van Straten
Zit de MKB sector ook in het onderzoek? De middelgrote bedrijven en
daarboven zijn doorgaans goed beveiligd tegen virussen, dus op dit punt
vertrouw ik het onderzoek. Over het MKB maak ik me wel zorgen. En vele
kleine schades maken toch een grote schade.
En overheidsinstellingen? Het is in die omgevingen geen uitzondering
als virusupdates ouder dan 3 maanden zijn. Ik heb me suf zitten typen op
VIR'94 info beveiligingsplannen, ik hoop dat er iets mee gebeurd is.
daarboven zijn doorgaans goed beveiligd tegen virussen, dus op dit punt
vertrouw ik het onderzoek. Over het MKB maak ik me wel zorgen. En vele
kleine schades maken toch een grote schade.
En overheidsinstellingen? Het is in die omgevingen geen uitzondering
als virusupdates ouder dan 3 maanden zijn. Ik heb me suf zitten typen op
VIR'94 info beveiligingsplannen, ik hoop dat er iets mee gebeurd is.
07-02-2004, 23:24 door
Frans Egberink
Erik schreef:
> Frans noemt de indirecte schade maar specificeert die niet.
Niet Edo, maar ondergetekende heeft dat geschreven.
Jouw andere punten herken ik (Sircam vermoed ik), zie mijn post
van gisteren op http://www.security.nl/article/6614/1
> Frans noemt de indirecte schade maar specificeert die niet.
Niet Edo, maar ondergetekende heeft dat geschreven.
Jouw andere punten herken ik (Sircam vermoed ik), zie mijn post
van gisteren op http://www.security.nl/article/6614/1
sorry erik ik zie het nu ook.
Dat eerste voorbeel dat ik gaf betrof bugbear. Die 2e weet ik zo niet meer
maar maakt ook niet zoveel uit want er zijn nog veel meer voorbeelden te
noemen die ik gezien heb.
Een beetje crimineel hoeft tegenwoordig alleen maar achter zijn PC te
gaan zitten en dat soort mailtjes af te wachten en hij kan gelijk in het
bedrijfsspionage en verkoop van bedrijfsgeheimen instappen.
Wat Peter Olsthoorn betreft kijk ik daat niet van op. Als je een adres als
peter at planet.nl hebt kun je inderdaad veel MyDooms verwachten. Ik kijk
er niet vreemd van op als hij zijn adres gaat veranderen binnenkort :)
Door Frans Egberink
sorry erik ik zie het nu ook.
Dat eerste voorbeel dat ik gaf betrof bugbear. Die 2e weet ik zo niet meer
maar maakt ook niet zoveel uit want er zijn nog veel meer voorbeelden te
noemen die ik gezien heb.
Een beetje crimineel hoeft tegenwoordig alleen maar achter zijn PC te
gaan zitten en dat soort mailtjes af te wachten en hij kan gelijk in het
bedrijfsspionage en verkoop van bedrijfsgeheimen instappen.
Wat Peter Olsthoorn betreft kijk ik daat niet van op. Als je een adres als
peter at planet.nl hebt kun je inderdaad veel MyDooms verwachten. Ik kijk
er niet vreemd van op als hij zijn adres gaat veranderen binnenkort :)
Erik schreef:
> Frans noemt de indirecte schade maar specificeert die niet.
Niet Edo, maar ondergetekende heeft dat geschreven.
Jouw andere punten herken ik (Sircam vermoed ik), zie mijn post
van gisteren op http://www.security.nl/article/6614/1
> Frans noemt de indirecte schade maar specificeert die niet.
Niet Edo, maar ondergetekende heeft dat geschreven.
Jouw andere punten herken ik (Sircam vermoed ik), zie mijn post
van gisteren op http://www.security.nl/article/6614/1
sorry erik ik zie het nu ook.
Dat eerste voorbeel dat ik gaf betrof bugbear. Die 2e weet ik zo niet meer
maar maakt ook niet zoveel uit want er zijn nog veel meer voorbeelden te
noemen die ik gezien heb.
Een beetje crimineel hoeft tegenwoordig alleen maar achter zijn PC te
gaan zitten en dat soort mailtjes af te wachten en hij kan gelijk in het
bedrijfsspionage en verkoop van bedrijfsgeheimen instappen.
Wat Peter Olsthoorn betreft kijk ik daat niet van op. Als je een adres als
peter at planet.nl hebt kun je inderdaad veel MyDooms verwachten. Ik kijk
er niet vreemd van op als hij zijn adres gaat veranderen binnenkort :)
Dit is inderdaad reeds ruim een week geleden gebeurd. Inmiddels staat
de teller van de webmail op 38.000, plus die eerder 20.000 en
ondertussen van de server verwijderde circa 10.000 maakt 68.000. Dit zijn
voornamelijk meldingen van Planet-marketing in de vorm van: "We
hebben er voor u een virus uit weten te vissen. Bent u daar niet vreselijk
blij om dat wij dat voor u hebben gedaan!" en dan slipten er - althans
volgens de lokale McAfee scanner, heb ik niet kunnen verifieren - nog
eens tientallen Mydooms door het centrale filter heen. Inderdaa de straf
voor eenmakkelijk e-mail adres, een soort van kleptrocratentax zal ik maar
zeggen. Overigens hielp de overgang naar e-mail bij een zusterbedrijf me
ook direct van een soort van e-mail verslaving af; want de regulierer
hoeveelheid mail was ook een belasting geworden.
Met het beperkt verspreiden van het nieuwe adres kom je op een soort
van whitelisting. Daar gaan we misschien toch naar toe met e-mail, maar
dat is een andere discussie.
Het onderzoek van Roos Lindgreen was niet prepresentatief, maar wel
indicatief. Lees en luister ook bij:
http://www.planet.nl/planet/show/id=118880/contentid=443971/sc=8e6c30
Overigens goeie discussie hier, zinnig!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.