image

Britse overheid: open pdf's met browser en blokkeer ISO-bestanden

dinsdag 20 december 2022, 10:36 door Redactie, 14 reacties
Laatst bijgewerkt: 20-12-2022, 11:12

Naast het trainen van personeel om alert te zijn op malafide links is het ook belangrijk dat organisaties technische maatregelen nemen, zoals het blokkeren van ISO-bestanden en het openen van pdf-documenten met de browser, zo adviseert de Britse overheid. Het grootste probleem met malafide links zijn phishingsites en malware, aldus het Britse National Cyber Security Centre (NCSC).

Door middel van technische maatregelen kunnen organisaties de kans op een succesvolle aanval aanzienlijk verkleinen, zo claimt de Britse overheidsinstantie. Het gaat dan bijvoorbeeld om het gebruik van e-mailstandaarden als DMARC en SPF om spoofing tegen te gaan en het gebruik van multifactorauthenticatie of wachtwoordloze authenticatie via een FIDO-token.

Om het uitvoeren van kwaadaardige code tegen te gaan wordt allow-listing aangeraden, zodat executables niet kunnen worden uitgevoerd vanuit een directory waar de gebruiker naar toe kan schrijven. Iets dat volgens het NCSC een groot aantal aanvallen zal voorkomen. Verder wordt ook het blokkeren van ISO-bestanden aangeraden en het gebruik van de browser om pdf-documenten te openen. Browsers beschikken over eigen software voor het weergeven van pdf-bestanden die losstaat van specifieke pdf-readers.

Het NCSC benadrukt dat technische maatregelen alleen niet voldoende zijn en het daarom belangrijk blijft om personeel te trainen. Daarnaast is het ook handig als werknemers malafide links en phishingmails herkennen, bijvoorbeeld om die te rapporteren zodat de organisatie weet dat het een doelwit is. Het moet dan ook eenvoudig voor gebruikers zijn om malafide e-mails te rapporteren, zo stelt het NCSC.

Reacties (14)
20-12-2022, 10:40 door Anoniem
Tja je kunt spoofing van een bekend domein wel voorkomen met DMARC en SPF, maar wat nou als de spoofers gewoon
zelf een domein registreren wat kwa naam wel van de afzender lijkt te zijn? Dat doet de legitieme afzender zelf meestal ook,
dus er is niemand meer die dat opvalt.

Wel vind ik het opvallend dat browsermakers kennelijk veiliger PDF readers kunnen maken dan PDF reader makers.
Of zou dat te maken hebben met het feit dat browsermakers het updateproces vaak beter voor elkaar hebben?
20-12-2022, 10:51 door Cornelius
Maar als je een PDF in de browser opent, dan wordt toch gewoon je PDF-reader plugin aangesproken? Wat zou dat veiliger maken dan? Benieuwd of iemand hier weet welk risico wegneemt als je PDF's in je browser opent.
20-12-2022, 10:56 door Anoniem
Door Cornelius: Maar als je een PDF in de browser opent, dan wordt toch gewoon je PDF-reader plugin aangesproken? Wat zou dat veiliger maken dan? Benieuwd of iemand hier weet welk risico wegneemt als je PDF's in je browser opent.

Browsers hebben hun eigen pdf renderer, die werkt los van een PDF reader (tenzij je een PDR reader hebt geinstalleerd, dan zal idd die plugin door de browser worden gebruikt)
20-12-2022, 11:26 door Anoniem
Door Cornelius: Maar als je een PDF in de browser opent, dan wordt toch gewoon je PDF-reader plugin aangesproken? Wat zou dat veiliger maken dan? Benieuwd of iemand hier weet welk risico wegneemt als je PDF's in je browser opent.
Nou als je bijvoorbeeld Edge of Chrome of Firefox een PDF laat openen dan heb je geen PDF-reader nodig, dat kan hij zelf.
"vroeger" was het inderdaad vaak zo dat in zo'n situatie een plugin van de geinstalleerde PDF-reader werd aangeroepen
door de browser, maar tegenwoordig hoeft dat niet meer (je kunt meestal zelf kiezen wat je wilt).
20-12-2022, 11:26 door Anoniem
Mogelijkerwijs een microsoft adept die denkt dat de file extension vernaggelt kan worden en daarmee executables zich als pdf file kunnen voordoen: je denkt een pdf file te 'openen' en start in de echte wereld een executable. 'In de browser' zou dat moeten struikelen. Theoretisch.

Overigens is de kern van het probleem het digi-drammen.
20-12-2022, 12:23 door Anoniem
Door Cornelius: Maar als je een PDF in de browser opent, dan wordt toch gewoon je PDF-reader plugin aangesproken? Wat zou dat veiliger maken dan? Benieuwd of iemand hier weet welk risico wegneemt als je PDF's in je browser opent.

Omdat de browser een PDF alleen laat zien en niet allerlei zaken als scripting e.d. ondersteund. 99% van de tijd heb je die ook niet nodig en dus veiliger. daarnaast wordt de browser regelmatig geupdate zonder dat je dat door hebt terwijl b.v. een Adobe Reader dat niet doet.
20-12-2022, 12:49 door Anoniem
Door Cornelius: Benieuwd of iemand hier weet welk risico wegneemt als je PDF's in je browser opent.

Indien de PDF-plugin als een geïsoleerd proces goed is afgeschermd door middel van een sandbox, dan maakt het dat voor de aanvaller veel moeilijker om een RCE exploit op het gebruikte besturingssysteem toe te passen.
20-12-2022, 15:03 door Anoniem
Door Anoniem: Mogelijkerwijs een microsoft adept die denkt dat de file extension vernaggelt kan worden en daarmee executables zich als pdf file kunnen voordoen: je denkt een pdf file te 'openen' en start in de echte wereld een executable.
Een PDF file IS een executable! Als het goed is kan ie alleen op een canvas kladderen en niks in het OS doen, maar dat moet je dan maar hopen...
20-12-2022, 15:12 door Anoniem
PDF reader van Adobe, oid. veiliger dan de PDF-reader in de browser ?

De PDF-reader in de browser draait in een sandbox net als Javascript op een webpagina en heeft veel minder PDF-features die het ondersteund. De browser is ook veel vaker up to date dan PDF-readers.

Dus ik heb mijn twijfels.
20-12-2022, 15:40 door Anoniem
Wat is er gevaarlijk aan iso bestanden? Ik begrijp dat het een container bestand is (ik ken het alleen maar van computer spelletjes), maar is dit gevaarlijker dan een rar of zipje?
20-12-2022, 17:01 door Anoniem
Door Anoniem: Wat is er gevaarlijk aan iso bestanden? Ik begrijp dat het een container bestand is (ik ken het alleen maar van computer spelletjes), maar is dit gevaarlijker dan een rar of zipje?

Het is/was een image van CD of DVD (of evt USB stick) .
Ik denk niet dat het bestand speciaal gevaarlijker is, maar waarschijnlijk is de support van AV scanners om in een .iso te scannen een stuk minder verspreid dan om in een .zip bestand te scannen .

Verder kun je waarschijnlijk de .iso "direct" mounten als een virtueel device, en heb je dan ook het autorun-risico dat "echte" USB (of CD) devices hebben , als die autorun optie niet uitgezet is.
(speculatief van mij - ik heb weinig praktijk ervaring met windows gedrag )
20-12-2022, 19:53 door Anoniem
Door Anoniem: PDF reader van Adobe, oid. veiliger dan de PDF-reader in de browser ?

De PDF-reader in de browser draait in een sandbox net als Javascript op een webpagina en heeft veel minder PDF-features die het ondersteund. De browser is ook veel vaker up to date dan PDF-readers.

Dus ik heb mijn twijfels.


Dat is denk ik ook wat hier bedoeld wordt: 'Britse overheid: open pdf's met browser....'
23-12-2022, 08:34 door Anoniem
Door Anoniem:
Door Anoniem: Mogelijkerwijs een microsoft adept die denkt dat de file extension vernaggelt kan worden en daarmee executables zich als pdf file kunnen voordoen: je denkt een pdf file te 'openen' en start in de echte wereld een executable.
Een PDF file IS een executable! Als het goed is kan ie alleen op een canvas kladderen en niks in het OS doen, maar dat moet je dan maar hopen...

Een PDF file is géén executable maar een databestand. Je weet wel heel erg weinig (niets) van IT als je het onderscheid tussen databestand en executable niet kent. Maar als je dat niet weet, waarom zeg je er dan toch iets over? Ik kan daar echt niet bij.

https://nl.m.wikipedia.org/wiki/Executable
01-01-2023, 18:31 door Anoniem
Een pdf openen in een browser, is even gevaarlijk als het openen van een PDF in een addon. Zolang die PDFlezer javascript kan uitvoeren, of buffer overruns kan bevatten, links kan uitvoeren - gaat het onveilig zijn.
Het lijkt mij net een heel slechte zaak dat men die add-ons weg wil. Want nu kan je meerdere pdf-lezers hebben over meerdere platformen, wat uitbuiting iets moeilijker maakt i.v.m. een aantal standaard browsers - waarvan de engine bijna gemeenschappelijk is (ikzelf weiger iets te draaien dat gebruik maakt van de chrome-engine).
Wat is het veiligst? Ik zou niet zomaar durven zwart op wit stellen zoals die britse overheid doet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.