Britse overheid: open pdf's met browser en blokkeer ISO-bestanden
Naast het trainen van personeel om alert te zijn op malafide links is het ook belangrijk dat organisaties technische maatregelen nemen, zoals het blokkeren van ISO-bestanden en het openen van pdf-documenten met de browser, zo adviseert de Britse overheid. Het grootste probleem met malafide links zijn phishingsites en malware, aldus het Britse National Cyber Security Centre (NCSC).
Door middel van technische maatregelen kunnen organisaties de kans op een succesvolle aanval aanzienlijk verkleinen, zo claimt de Britse overheidsinstantie. Het gaat dan bijvoorbeeld om het gebruik van e-mailstandaarden als DMARC en SPF om spoofing tegen te gaan en het gebruik van multifactorauthenticatie of wachtwoordloze authenticatie via een FIDO-token.
Om het uitvoeren van kwaadaardige code tegen te gaan wordt allow-listing aangeraden, zodat executables niet kunnen worden uitgevoerd vanuit een directory waar de gebruiker naar toe kan schrijven. Iets dat volgens het NCSC een groot aantal aanvallen zal voorkomen. Verder wordt ook het blokkeren van ISO-bestanden aangeraden en het gebruik van de browser om pdf-documenten te openen. Browsers beschikken over eigen software voor het weergeven van pdf-bestanden die losstaat van specifieke pdf-readers.
Het NCSC benadrukt dat technische maatregelen alleen niet voldoende zijn en het daarom belangrijk blijft om personeel te trainen. Daarnaast is het ook handig als werknemers malafide links en phishingmails herkennen, bijvoorbeeld om die te rapporteren zodat de organisatie weet dat het een doelwit is. Het moet dan ook eenvoudig voor gebruikers zijn om malafide e-mails te rapporteren, zo stelt het NCSC.
zelf een domein registreren wat kwa naam wel van de afzender lijkt te zijn? Dat doet de legitieme afzender zelf meestal ook,
dus er is niemand meer die dat opvalt.
Wel vind ik het opvallend dat browsermakers kennelijk veiliger PDF readers kunnen maken dan PDF reader makers.
Of zou dat te maken hebben met het feit dat browsermakers het updateproces vaak beter voor elkaar hebben?
Browsers hebben hun eigen pdf renderer, die werkt los van een PDF reader (tenzij je een PDR reader hebt geinstalleerd, dan zal idd die plugin door de browser worden gebruikt)
"vroeger" was het inderdaad vaak zo dat in zo'n situatie een plugin van de geinstalleerde PDF-reader werd aangeroepen
door de browser, maar tegenwoordig hoeft dat niet meer (je kunt meestal zelf kiezen wat je wilt).
Overigens is de kern van het probleem het digi-drammen.
Omdat de browser een PDF alleen laat zien en niet allerlei zaken als scripting e.d. ondersteund. 99% van de tijd heb je die ook niet nodig en dus veiliger. daarnaast wordt de browser regelmatig geupdate zonder dat je dat door hebt terwijl b.v. een Adobe Reader dat niet doet.
Indien de PDF-plugin als een geïsoleerd proces goed is afgeschermd door middel van een sandbox, dan maakt het dat voor de aanvaller veel moeilijker om een RCE exploit op het gebruikte besturingssysteem toe te passen.
De PDF-reader in de browser draait in een sandbox net als Javascript op een webpagina en heeft veel minder PDF-features die het ondersteund. De browser is ook veel vaker up to date dan PDF-readers.
Dus ik heb mijn twijfels.
Het is/was een image van CD of DVD (of evt USB stick) .
Ik denk niet dat het bestand speciaal gevaarlijker is, maar waarschijnlijk is de support van AV scanners om in een .iso te scannen een stuk minder verspreid dan om in een .zip bestand te scannen .
Verder kun je waarschijnlijk de .iso "direct" mounten als een virtueel device, en heb je dan ook het autorun-risico dat "echte" USB (of CD) devices hebben , als die autorun optie niet uitgezet is.
(speculatief van mij - ik heb weinig praktijk ervaring met windows gedrag )
De PDF-reader in de browser draait in een sandbox net als Javascript op een webpagina en heeft veel minder PDF-features die het ondersteund. De browser is ook veel vaker up to date dan PDF-readers.
Dus ik heb mijn twijfels.
Dat is denk ik ook wat hier bedoeld wordt: 'Britse overheid: open pdf's met browser....'
Een PDF file is géén executable maar een databestand. Je weet wel heel erg weinig (niets) van IT als je het onderscheid tussen databestand en executable niet kent. Maar als je dat niet weet, waarom zeg je er dan toch iets over? Ik kan daar echt niet bij.
https://nl.m.wikipedia.org/wiki/Executable
Het lijkt mij net een heel slechte zaak dat men die add-ons weg wil. Want nu kan je meerdere pdf-lezers hebben over meerdere platformen, wat uitbuiting iets moeilijker maakt i.v.m. een aantal standaard browsers - waarvan de engine bijna gemeenschappelijk is (ikzelf weiger iets te draaien dat gebruik maakt van de chrome-engine).
Wat is het veiligst? Ik zou niet zomaar durven zwart op wit stellen zoals die britse overheid doet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
