Security Professionals - ipfw add deny all from eindgebruikers to any

Unsafe "safe" links

01-01-2023, 23:59 door Erik van Straten, 46 reacties
Laatst bijgewerkt: 02-01-2023, 00:11
TL;DR: Safe links, zoals URL's die beginnen met https://clicksafe.symantec.com of https://nam02.safelinks.protection.outlook.com/ (waarbij nam02 vanalles kan zijn, zoals eur01), bieden schijnveiligheid en vormen inbreuken op jouw privacy.

Phishing mails
Vandaag heb ik de spamfolder van een van mijn mailboxes opgeruimd. Daarin kwam ik een aantal mails tegen met als onderwerp iets als "je pakket is onderweg". Deze mails hadden incorrecte MIME-headers waardoor ze er niet uitzien, en op m'n iPhone waren de links corrupt. In Thunderdbird op mijn PC werkten de links wel en zagen er (in de mail) ruwweg uit als volgt:

https://clicktime.symantec.com/3AHVGgwCrpa5NGukgG5SXBa7Vc?u=45.0x8E6933/<lange_BASE64_tekst>

Met andere woorden, je hebt geen idee naar welke URL je gestuurd wordt als je klikt. Uit https://clicktime.symantec.com/:
This service is part of Symantec's advanced threat protection service. Symantec clicktime protection safeguards you against targeted phishing attacks.

You may have received links that begin with https://clicktime.symantec.com, when you click on these links, Symantec will inspect that webpage and ensure that it is safe. If the webpage is clean, you will be automatically redirected, if something malicious was detected, then you will be notified, preventing the webpage from delivering malicious content to you.
Die belofte (bescherming tegen "foute" websites) wordt totaal niet waargemaakt, want deze is eenvoudig te omzeilen. Zo stuurt de "Symantec's advanced threat protection service" je gewoon naar hxxps://lnkshort.ru/DKICILCJ/ [1] als de volgende link klikbaar zou zijn en je erop zou klikken:

hxxps://clicktime.symantec.com/3AHVGgwCrpa5NGukgG5SXBa7Vc?u=lnkshort.ru/DKICILCJ/

[1] Nog steeds live en niet geblokkeerd door Google Safe Browsing, zie https://www.security.nl/posting/778987/Kerstactie+AH+%28lnkshort_ru%29.

Ook scanners op mailservers om de tuin geleid
Niet alleen een ontvanger van een e-mail (of SMS of chat-bericht) heeft zo geen idee waar je naar toe gaat als je klikt (dat heb je ook niet bij bijvoorbeeld een bit.ly link, maar zo'n link suggereert niet veilig te zijn). Ook voor ontvangende mailservers wordt scannen op kwaadaardige links flink bemoeilijkt door voorgevoegde "link verifiers". Het vertrouwen kan onterecht groot zijn dat een link, die begint met de URL's genoemd in de TL:DR-sectie bovenaan deze pagina, vast wel safe is.

Obfuscatie
In de laatstgenoemde "clicksafe" is de domeinnaam te herkennen, maar wat is "45.0x8E6933" uit de eerder genoemde clicksafe link? Een nslookup daarvan geeft een foutmelding. De adresbalk van een webbrowser kan hier echter wel wat mee: de browser zet dit namelijk om in het IP-adres 45.142.105.51.

Omgekeerd, het IP-adres van security.nl is 82.94.191.110, dus als je op de volgende link klikt kom je op deze site uit:

https://clicktime.symantec.com/3AHVGgwCrpa5NGukgG5SXBa7Vc?u=82.94.191.110/

Als ik de laatste 3 bytes van dat IP-adres omzet in hexadecimaal wordt de link:

https://clicktime.symantec.com/3AHVGgwCrpa5NGukgG5SXBa7Vc?u=82.0x5ebf6e/

Daarop zijn nog meer variaties mogelijk, waaronder octale getallen (die met een '0' i.p.v. '0x' beginnen). Met andere woorden, de doelsite kan nauwelijks of niet herkenbaar zijn als je zo'n link bekijkt. Belangrijk is ook om je niet te laten foppen door een herkenbare domeinnaam in zo'n link, zoals bijvoorbeeld:

https://clicktime.symantec.com/3AHVGgwCrpa5NGukgG5SXBa7Vc?u=82.0x5ebf6e/https://mijn.ing.nl/login

Ook daarmee kom je uit op security.nl; als security.nl een phishing-site zou zijn, en deze een kopie van https://mijn.ing.nl/login/ zou tonen, zou je kunnen denken dat je op de echte https://mijn.ing.nl/login/ zat.

Redirects en knoppen
Scammers weten natuurlijk dat als hun website als kwaadaardig wordt beschouwd, die website snel geblokkeerd zal worden. Wat zij daarom doen is één of meer "jump-sites" maken, waarbij er bijvoorbeeld een social media pagina op een normaal gesproken vertrouwde website tussenzit die niet snel op een blocklist terech zal komen, of een onbekende website met een knop waar je op moet klikken om verder te gaan naar een volgende website. De site met die knop is zelf niet kwaadaardig, waardoor deze niet snel op blocklists zal komen.

Dat laatste is hier ook het geval, mits de "<lange_BASE64_tekst>" ongewijzigd is (die laat ik hier weg omdat deze, met mij onbekende codering, ongetwijfeld mijn e-mailadres bevat). M.a.w. als je "kaal" hxxp://45.142.105.51/ opent, is daar niks kwaadaardigs te zien (als je Javascript toestaat voor die site verschijnen o.a. een stel "Lorem ipsum ..." regels).

Als de volledige URL klopt wordt jouw browser doorgestuurd via mannaw.com en unrespxe.com naar accumulfa.com (met, de afgelopen maanden, vooral Let's Encrypt certificaten). Op die site zie je o.a. een knop met "Volg uw pakket". Als je daarop klikt blijkt dat je €2 aan verzendkosten moet betalen, met een nieuwe knop om dat te doen. Als je daarop klikt lijk je op verschillende phishing-sites uit te kunnen komen waarop je eerst jouw naam, adres, e-mailadres en telefoonnummer in moet voeren voordat je "mag" betalen en mogelijk jouw bankrekening of creditcard geplunderd wordt (ik ben daar gestopt met m'n onderzoekje). De eerdergenoemde site accumulfa.com lijkt zelf dus niet kwaadaardig.

Kortom, door een dwaalspoor aan redirects naar een site (met knoppen) die zelf niet kwaadaardig is, is de kans dat zo'n "clicksafe" link je beschermt, minimaal - vooral tijdens weekends en vakantiedagen.

Unsafe "*.safelinks.protection.outlook.com"
Afgelopen september schreef IronScales in https://ironscales.com/blog/vendor-spoof-attack-exposes-business-email-credentials een m.i. interessante blog over geavanceerde phishing-aanvallen waarbij de aanvallers in tweede instantie misbruik maakten van *.safelinks.protection.outlook.com links (de aanvallers gebruikten ook "evil proxies" om, naast user-ID en wachtwoord, ook 2FA/MFA codes te onderscheppen).

Als je er goed naar zoekt, vind je meer van dit soort incidenten met Outlook "safe links", bijvoorbeeld:
https://www.steijvers.com/2021/09/16/mijnoverheid-phishing/

https://blogs.k-state.edu/scams/2021/08/02/phishing-scam-08-02-2021-reminder-invoice-21034-from-alliance-power-inc/

Privacy/datalek
Als de doelwebsite wel veilig is, vormen dit soort links gewoon datalekken. Immers, in genoemde gevallen weet Symantec of Microsoft dat, en wanneer precies, jij op een link geklikt hebt. Zie https://www.cursor.tue.nl/opinie/boudewijn-van-dongen/veiligheidsdienst-of-datalek/ met een mening van een ander hierover.

Je komt "safe links" zelfs (per ongeluk?) tegen in webpagina's, zoals in
https://arstechnica.com/information-technology/2022/09/mystery-hackers-are-hyperjacking-targets-for-insidious-spying/
en in
https://www.rtlnieuws.nl/nieuws/nederland/artikel/5298907/roundup-kleurt-akkers-geel-van-het-gif-hoe-schadelijk-het-nou.

Conclusie
"Safe links" zijn niet safe: ze doen meer kwaad dan goed doordat ze te omzeilen zijn, de eerstvolgende website onherkenbaar kan worden (zowel voor eindgebruikers als voor scannende mailservers) en ze vormen een inbreuk op de privacy van op dat soort links klikkende ontvangers van e-mails of andere berichten.
Reacties (46)
02-01-2023, 08:01 door Anoniem
Zijn ze echt unsafe?
Je kunt de URL misschien manipuleren, echter zodra er troep achter zit, kan de link direct geblokkeerd worden.
Natuurlijk zit hier wel een vertraging is.


Privacy kan je ook aanpassen, zodat Microsoft niet tracing doet van de geklikte URLs.
02-01-2023, 08:22 door Bitje-scheef
Conclusie
"Safe links" zijn niet safe: ze doen meer kwaad dan goed doordat ze te omzeilen zijn, de eerstvolgende website onherkenbaar kan worden (zowel voor eindgebruikers als voor scannende mailservers) en ze vormen een inbreuk op de privacy van op dat soort links klikkende ontvangers van e-mails of andere berichten.

Ja. Maar mocht blijken dat er toch iets anders achter zit, dan kan dit door Symantec worden geblokkeerd. In een echte situatie zonder deze tussenstap, kan het best een tijdje duren. Het is denk ik ook geen oplossing voor "experts".

Is het ideaal ? Nee zeker niet. Inbreuk op de privacy ? Mwah...
02-01-2023, 09:40 door Anoniem
Dus dan maar weer in een reactie dit 'downplayen', want veroordelen en aanpakken van Big Tech-gefasciliteerde narigheid, dat moet het grote publiek liever niet wakker maken.

Zijn dit nu overheids- of Big Tech trollen, die 'mwah' reageerders?

Oh, komt een beetje op hetzelfde neer. Voor de smeer likt de kat de kandeleer en voor de 'mesjomme' (groot geld) wijkt het geweten.

#webproxy
02-01-2023, 10:40 door Bitje-scheef
Door Anoniem: Dus dan maar weer in een reactie dit 'downplayen', want veroordelen en aanpakken van Big Tech-gefasciliteerde narigheid, dat moet het grote publiek liever niet wakker maken.

Zijn dit nu overheids- of Big Tech trollen, die 'mwah' reageerders?

Oh, komt een beetje op hetzelfde neer. Voor de smeer likt de kat de kandeleer en voor de 'mesjomme' (groot geld) wijkt het geweten.

#webproxy

Nee hoor, misschien wel mensen die snappen dat privacy zeer belangrijk is maar geen heilige graal.
Het is ook hoe Symantec omgaat met de gegevens. Geanonimiseerd kun je hier prima de gegevens gebruiken.
Ik ben niet per sé tegen big-tech, ook big-tech bedrijven kunnen zich prima aan de AVG houden
Kijk ik kritisch naar big-tech, zeker. Maar dat betekent niet dat big-tech bij voorbaat fout is.
02-01-2023, 11:42 door Anoniem
Zie: https://www.fixallthreats.com/five-minutes-to-get-rid-of-lnkshort-ru-completely/

Dit terwijl sommige scanners dit niet als onveilig aangeven.

luntrus
02-01-2023, 11:56 door Anoniem
Ik zou gewoon https://clicksafe.symantec.com/ vervangen door mijn eigen, nog veiliger, safelink service. Een paar moeilijke hex characters erachter en 99% van de internetgebruikers trapt erin. Gebruikers worden getraind in het onveilig gebruik van internet. Het begon al met het verbergen van het path in de URL en zelfs het hangslotje zelf. Dat is namelijk veel te moeilijk voor gebruikers en daarom moet het simpeler.
02-01-2023, 13:16 door Anoniem
Check eens hier. Verhelderend.
https://www.bromite.org/detect

#webproxy

Bromite is een ungoogled Android browser.
02-01-2023, 14:02 door Anoniem
Browsers met 16 verschillende manieren om de eindgebruiker te kunnen fingerprinten en dan zo'n browser Avast privacy browser noemen bijvoorbeeld?!?. PryvacyWall browser uitgezonderd, maar die komt met geavanceerde script blokkering.

Hoe ver ga je om je user base te willen 'misleiden'?

En DDG browser en Ghostery browser van hetzelfde tracking- en profilering-laken een pak.

Wanneer gaat men hier de waarheid eens vertellen over tracking, profiling, total control en total surveillance, die Big Brother en hun machthebbers nastreven en voor een heel groot gedeelte al onveranderlijk bijkans hebben gerealiseerd?

Wie geloven er allemaal nog in de sprookjes van Linux en de open software ridders? Alles deel van een en hetzelfde pn*wed systeem.

Laat me niet lachen, als het niet zo in-droevig zou zijn en er zovelen willens en wetens hiermee willen collaboreren. De 'untouchables' niet te na gesproken uiteraard en die zijn hier ook te vinden.

#obserwator
02-01-2023, 14:03 door Erik van Straten
GEVAARLIJK ADVIES

Uit die scareware-site:
Lnkshort.ru is categorized as a Trojan infection which will ruin your system and give you financial loss. It is distributed through hacked websites, vulnerable Trojan, malicious third-party program and spam email attachments.
Hoewel ik niet kan uitsluiten dat je, op sommige systemen (ik kan niet alles testen) via de website lnkshort.ru malware kunt oplopen, is mijn inschatting dat het puur om phishing en wellicht juist om een scareware site gaat die je laat denken dat jouw device gehacked is - als je die site hebt geopend in jouw webbrowser.

Wat echt onverstandig is, is om lukraak vanaf vage sites scanners te downloaden en te starten, die claimen al jouw aangepraatte problemen op te zullen lossen. Dat doen dat soort scanners zelden! In plaats daarvan kunnen dat soort programma's jouw echte probleem worden. Problemen die echt groter kunnen zijn dan jij aanvankelijk dacht te hebben.

Waarom zou iemand een gratis malware-scanner en -remover voor jou maken, en elke keer updaten bij nieuwe malware? In dit geval lijkt de scanner (Spyhunter) gratis, maar is dat -zo te zien- niet: https://www.enigmasoftware.com/support/cancel-spyhunter-trial/. Aan de andere kant: hoe veilig is de website die luntrus noemt? Wat als het aanvallers lukt om de aangeboden scanner op zo'n site door een malware-versie te vervangen?

Gebruik een gerenommeerde virusscanner, waarbij ook geldt dat gratis meestal betekent dat je betaalt met jouw privacy (omgekeerd heb je geen garanties dat als je wel betaalt en jouw niet herkende bestanden naar zo'n partij worden geüpload "ter analyse" en/of dat je met uitgebreide telemetrie "in jouw eigen belang" bespioneerd wordt).

En als je er ingetrapt bent, en bijvoorbeeld iets als "Spyhunter-installer.exe" hebt gedownload en gestart en daar spijt van hebt, staan de volgende sites alweer klaar "om jouw nieuwe problemen op te lossen", zoals https://www.solvusoft.com/en/files/error-virus-removal/exe/windows/blue-phantom-marketing-inc/spyhunter-spyware-detection-tool/spyhunter-installer-exe/ - etcetera etcetera.

Laat je niet gek maken, vermijd in elk geval paniek en ondoordachte acties!
02-01-2023, 14:37 door Anoniem
Niet klikken op wat je niet kent is ook altijd wel handig.
02-01-2023, 14:39 door Anoniem
Het is een verdienmodel net als alles.
02-01-2023, 15:06 door Bitje-scheef
Door Anoniem: Browsers met 16 verschillende manieren om de eindgebruiker te kunnen fingerprinten en dan zo'n browser Avast privacy browser noemen bijvoorbeeld?!?. PryvacyWall browser uitgezonderd, maar die komt met geavanceerde script blokkering.

Hoe ver ga je om je user base te willen 'misleiden'?

En DDG browser en Ghostery browser van hetzelfde tracking- en profilering-laken een pak.

Wanneer gaat men hier de waarheid eens vertellen over tracking, profiling, total control en total surveillance, die Big Brother en hun machthebbers nastreven en voor een heel groot gedeelte al onveranderlijk bijkans hebben gerealiseerd?

Wie geloven er allemaal nog in de sprookjes van Linux en de open software ridders? Alles deel van een en hetzelfde pn*wed systeem.

Laat me niet lachen, als het niet zo in-droevig zou zijn en er zovelen willens en wetens hiermee willen collaboreren. De 'untouchables' niet te na gesproken uiteraard en die zijn hier ook te vinden.

#obserwator

Aan wie is dit gericht ? Wie moet dan de waarheid vertellen ?
Geschreeuw in de ruimte ?
Het aanspreken van een soort ongedefinieerde vijand ?.

Altijd een beetje moeite met dit soort vage posts.
02-01-2023, 15:15 door Erik van Straten - Bijgewerkt: 02-01-2023, 15:30
Aanvulling:
Op diezelfde pagina kun je ook "WiperSoft" downloaden, en dit vertellen ze erbij (in oranje tekst):
(Warning! If your computer have already installed another anti-malware software such as MalwareBytes, they may block this download due to False Positive detection. Please shut down these software or just uninstall it, then come back here and click to download again. It will work. )
NIET DOEN!

Zie https://www.virustotal.com/gui/file/1b2b76deaeec05b76cec9389be16cb2082edfbb4e9ea92c323f78a70ff34e208
02-01-2023, 15:21 door Erik van Straten - Bijgewerkt: 02-01-2023, 15:22
Door Anoniem: Niet klikken op wat je niet kent is ook altijd wel handig.
Eens!

Probleem: *.symantec.com en *.outlook.com ken ik wel, en zij zeggen dat het veilig is (want zij checken). En een leek ziet echt niet waar die link vervolgens naar toe gaat.
02-01-2023, 15:43 door Anoniem
@Bitje-scheef

Geen geschreeuw in de ruimte maar een duidelijke reactie op de gegeven bromite detect scan link en de resultaten die dit oplevert in diverse zogenaamde veilige(r) browsers.

16 soorten fingerprinting gedetecteerd in een zogeheten privacy browser betekent dat het algemene publiek qua tracking en profilering flink in de boot genomen worden net als tegenwoordig door de politiek, die zich nergens meer voor schaamt.

Dus downplayen maar, ridiculiseren en de boodschapper afschilderen als nitwit. Voor wie doe je dat eigenlijk?

#webproxy
02-01-2023, 17:19 door Erik van Straten - Bijgewerkt: 02-01-2023, 17:23
Door Anoniem: Zijn ze echt unsafe?
Als een URL door voldoende gerenommeerde "antivirus"-bedrijven als unsafe is beoordeeld, klopt dat vaak (maar niet altijd en het kan, na het cleanen van een gehackte site, lang duren voordat deze van blocklists wordt afgehaald).

Het omgekeerde probleem is vele malen groter: wat is het waard als zo'n linkchecker geen risico's detecteert?

M.b.t. de lnkshort.ru URL zegt bijvoorbeeld "Check je Linkje" in https://checkjelinkje.nl/check/?u=https%3A%2F%2Flnkshort.ru%2FDKICILCJ%2F (ik heb "https" vervangen door "hxxps"):
Dit hebben wij ontdekt
Als je de link volgt kom je waarschijnlijk hier terecht:
hxxps://lnkshort.ru/DKICILCJ/
[...]
De link gebruikt SSL.
Google acht deze link veilig.
Ja duh. Dit oordeel geeft je een vals gevoel van veiligheid.

Ook heb ik een van de volledige links uit de (bovenaan deze pagina genoemde) spammails gecontroleerd. De uitkomst was hetzelfde als bij https://checkjelinkje.nl/check/?u=https%3A%2F%2Fclicktime.symantec.com%2F3AHVGgwCrpa5NGukgG5SXBa7Vc%3Fu%3D45.0x8E6933%2FdkxWaBlaBlaBla_:
Dit hebben wij ontdekt
Als je de link volgt kom je waarschijnlijk hier terecht:
hxxp://45.0x8e6933/dkxWaBlaBlaBla_
[...]
Google acht deze link veilig.
Wat heb je hier in vredesnaam aan? Deze scanner stopt al bij de eerste de beste hindernis...

Overigens was één van de feitelijke phishing-sites waar ik op uitkwam campaign.eoffers.club (https://crt.sh/?q=campaign.eoffers.club - DV-certs van Let's Encrypt). Kennelijk waren de scammers eerder actief op de Italiaanse markt, want de site waar ik op uitkwam zag eruit zoals in dit plaatje, alleen met nederlandse teksten: https://www.tgsoft.it/immagini/news/phishing_202210/20221004_CLS_Sito_Dati_personali_Smishing.png.

(Voor mensen die beter zijn in Italiaans dan ik, dat plaatje is te vinden in deze pagina: https://www.tgsoft.it/news/news_archivio.asp?id=1351).

Een probleem (voor betere scanners) is sowieso dat webbrowsers, gevraagd en ongevraagd, allerlei informatie meesturen (voorbeeld: https://www.security.nl/posting/779806/Mozilla+wijzigt+user-agent+Firefox+wegens+verkeerde+IE11-detectie+websites).

Elke "onderweg" bezochte webserver kan beslissingen nemen op basis van die informatie en het IP-adres van de bezoeker (beide gebeuren daadwerkelijk in de praktijk). Bovendien kunnen webservers beslissingen nemen op basis van interacties van levende gebruikers: drukken ze een knop in, en hoe lang duurt het voordat zij dat doen, of "drukt" een scanner op een decoy knop die onzichtbaar is voor de gebruiker, etc.

Daardoor is het erg eenvoudig om geautomatiseerde scanners om de tuin te leiden, en dat is precies wat de makers van kwaadaardige webites doen - om te voorkomen dat zij door o.a. Google Safe Browsing worden geblokkeerd, of om dat zo lang mogelijk uit te stellen.

Door Anoniem: Je kunt de URL misschien manipuleren, echter zodra er troep achter zit, kan de link direct geblokkeerd worden.
Dat gebeurt vaak niet, of met enorme vertraging (vooral tijdens feestdagen).

Door Anoniem: Natuurlijk zit hier wel een vertraging is.
Wat heb je eraan als dat weken duurt? De scammers schakelen dan onmiddellijk over naar nieuwe sites - waarvoor ze alle tijd hebben gehad om deze te prepareren.

Privacy kan je ook aanpassen, zodat Microsoft niet tracing doet van de geklikte URLs.
Zoals hier: https://www.security.nl/posting/779064/Minister%3A+Microsoft+365+gewoon+te+gebruiken+door+Nederlandse+scholen?
02-01-2023, 17:52 door Anoniem
Kijk, ik begrijp het. Erik legt het duidelijk en onweerlegbaar uit.

Als je het zo uitgelegd krijgt, zie je dat wat ze vertellen niet altijd zo is of iets anders in elkaar zit dan het voorgesteld wordt.
- Gebruik dat dan ook als leermoment -.

Ook de gevaarlijke info bevat leermomenten, zoals de installatie verzoeken naar spyhunter scare-/scamware etc., verpakt samen met wat juiste info. Dus nooit spyhunter installeren en gebruiken.

Google safebrowing detecteert ook niet alles, net zo als adblockers betalende ads toch doorlaten. Bijv. ABP. Dank, Erik voor de heads-up.

#webproxy
03-01-2023, 01:48 door Erik van Straten
Door Anoniem (#webproxy): [...] 16 soorten fingerprinting gedetecteerd in een zogeheten privacy browser betekent dat het algemene publiek qua tracking en profilering flink in de boot genomen worden [...]
Niet alleen browsers zijn het probleem: websites, besturingssystemen, applicatiesoftware/apps en "smart" devices bespioneren eindgebruikers voortdurend en lijken onverzadigbaar.

Je hebt nauwelijks keuzes als je geen kluizenaar zonder internet wilt zijn. Maar dat ik concessies doe, betekent niet dat ik het allemaal prima vind. En als iets mij niet aanstaat waarvan ik in detail denk te weten hoe het zit, schrijf ik daarover.

Dat niet iedereen het vervolgens met mij eens is, vind ik helemaal niet erg, integendeel: ook ik maak fouten; critici kunnen gelijk hebben en ik niet. Maar als goede tegenargumenten ontbreken, versterkt dat juist mijn mening.

Meer on topic: ik begrijp niet waarom je achter https://clicktime.symantec.com/3AHVGgwCrpa5NGukgG5SXBa7Vc?u= elke gewenste URL kunt plakken; hiermee is dit een ordinaire (spionerende) open redirect (vergelijkbaar met URL-verkorters, die leven van de privacy van klikkers). Aanvankelijk dacht ik dat in die "3AHVGgwCrpa5NGukgG5SXBa7Vc" een (salted) hash van de daaropvolgende URL zou zitten, maar in de spams zag ik dat de URL's daarachter iets verschilden. Een test met een geheel andere URL toonde aan dat dit sowieso een blunder is van dit beveiligingsbedrijf.

Ten slotte nog een nadeel van dit soort services: zodra een leverancier ermee stopt, zijn alle ooit op deze wijze verzonden (en/of gepubliceerde) links in één klap onbruikbaar.
03-01-2023, 10:04 door Erik van Straten
Dat ik fouten maak blijkt maar weer eens, in de TL;DR: bovenaan deze pagina schreef ik:
https://clicksafe.symantec.com/
De link hierboven is FOUT.

De door Symantec gebruikte links beginnen echter met:
https://clicktime.symantec.com/

Excuses voor mijn vergissing!
03-01-2023, 11:22 door Anoniem
Door Erik van Straten:
Door Anoniem (#webproxy): [...] 16 soorten fingerprinting gedetecteerd in een zogeheten privacy browser betekent dat het algemene publiek qua tracking en profilering flink in de boot genomen worden [...]
Niet alleen browsers zijn het probleem: websites, besturingssystemen, applicatiesoftware/apps en "smart" devices bespioneren eindgebruikers voortdurend en lijken onverzadigbaar.

Maar er zit ook een flink deel "tussen de oren". Tuurlijk, alle webservers loggen by default de requests. En veel andere
systemen ook. Maar dat betekent nog niet dat je privacy in het geding is. Je denkt toch niet dat er bij symantec mensen
werken die "eens even gaan kijken waar die Erik van Straten de hele dag zoal op klikt"?
Er worden logs verzameld en vast ook wel geanalyseerd, maar dan op het nivo van "welke safe links die achteraf toch
niet zo safe waren zijn er geklikt" zodat men die info kan gebruiken om het systeem te verbeteren. Gedetailleerde
persoonsgebonden gegevens verzamelen heeft daarbij geen zin.

Het lijkt er op dat sommige mensen denken dat ze de hele dag in een bos vol roofdieren zitten, waarin er achter iedere
boom een beer staat die zijn ogen strak op hen gericht heeft en die klaar staat om aan te vallen.
Ik denk dat dit een waanidee is. Die bedrijven die gegevens verzamelen moeten allemaal afwegen wat ze verzamelen,
wat het kost om met de verzamelde informatie wat te doen, en wat het oplevert. Het zijn commerciele bedrijven die
niets hebben aan het ongebreideld besteden van geld aan analyses die geen nut hebben.
03-01-2023, 13:19 door Anoniem
Als anoniem van 11:22 gelijk zou hebben, dan hadden we Snowden helemaal niet nodig gehad toch? Want allemaal waanideeën immers?

Er zijn twee soorten tracking, namelijk een vanwege big data commerce en een niet-openlijke ten behoeve van het volgen van.

Denk recentelijk aan mensen die niet klakkeloos het beleid volgden
en bijvoorbeeld aangegeven werden door hun eigen assistenten.

Zo lang zulk verwerpelijk 'verlinken' gebeurt is bewustmaking ervan een geboden iets. Niemand heeft behoefte aan meer Stasi- of NSB-achtig gedrag. Machthebbers zijn er ter dienste van het volk en beslist niet andersom, zoals de geschiedenis steeds weer leert. Ja ook online helaas.

We zitten geen elkenlange advertentie-blokken te kijken online. Het gaat meer onderhuids en geniepiger digitaal. Zo ook met de informatie verstrekking en manipulatie en het weghouden van sommige info. De bewuste Internet bezoeker moet heel goed blijven opletten.

Als zoiets niet meer openlijk mag worden aangekaart, zit je al aardig op weg naar of midden in een info-dictatuur. Niet alle, maar sommige webbeacons, content-tracking is ongewenst, scam, fraude etc. Punt, uit.

Heel veel IT leeft al veel te lang en veel te heftig hand in voet met de big data waterhandel via Alphabet, Meta, Cloud & Co., Amazon.

Sommigen, zoals ik, zijn anti-ad en anti-smut, adepten van FRAVIA (r.i.p.), etc. Mogen we?

Erik heeft gelijk met zijn bewustmaking dienaangaande en ik heb een hekel aan mensen, die alles willen downplayen en bagatelliseren.

Deel niet met Internet wat je voor jezelf wil houden.

Weet goed waar je geen kritiek op mag hebben, daar zitten je ware vijanden. En online zijn er al te veel staats- of Big Tech-trol, helaas.

#webproxy
03-01-2023, 15:11 door Bitje-scheef - Bijgewerkt: 03-01-2023, 15:12
Maar er zit ook een flink deel "tussen de oren". Tuurlijk, alle webservers loggen by default de requests. En veel andere
systemen ook. Maar dat betekent nog niet dat je privacy in het geding is. Je denkt toch niet dat er bij symantec mensen
werken die "eens even gaan kijken waar die Erik van Straten de hele dag zoal op klikt"?
Er worden logs verzameld en vast ook wel geanalyseerd, maar dan op het nivo van "welke safe links die achteraf toch
niet zo safe waren zijn er geklikt" zodat men die info kan gebruiken om het systeem te verbeteren. Gedetailleerde
persoonsgebonden gegevens verzamelen heeft daarbij geen zin.

Het lijkt er op dat sommige mensen denken dat ze de hele dag in een bos vol roofdieren zitten, waarin er achter iedere
boom een beer staat die zijn ogen strak op hen gericht heeft en die klaar staat om aan te vallen.
Ik denk dat dit een waanidee is. Die bedrijven die gegevens verzamelen moeten allemaal afwegen wat ze verzamelen,
wat het kost om met de verzamelde informatie wat te doen, en wat het oplevert. Het zijn commerciele bedrijven die
niets hebben aan het ongebreideld besteden van geld aan analyses die geen nut hebben.

Exact. Dit is geen downplayen zoals #webproxy, het voorstelt. Maar gezonde dosis realiteit.
Als iets veel meer kost dan het ooit oplevert...

Zelfs de bijzondere overheidsdiensten hebben een beperkte scope. Anders kun je ieder jaar aardig de storage vermenigvuldigen. Gewoon onhaalbaar.
03-01-2023, 15:14 door Anoniem
Maar beste anoniem, kun jij de tracking met goede en kwade bedoelingen altijd wel onderscheiden?

Daarom blokkeren we.

En als je niets te verbergen hebt voor de trackers, leef je vast een oninteressant leven en moet je daar iets aan veranderen.

Ik ben het 'roep de een boe, roept de ander bah' tweedeling der maatschappij van de afgelopen drie jaar echt al een beetje zat.

Ik weet dat het een klein groepje wel heel goed uitkomt, maar het moet ook geen vanzelfsprekendheid worden.

Het laat ons echt niet tegenhouden wit wit en zwart zwart te noemen. Wij gaan hiermee door.
03-01-2023, 15:37 door Anoniem
Dit voornemen staat hier wel haaks op je scope antwoord
.
Zie: https://www.security.nl/posting/779973/Proton-ceo+zeer+bezorgd+over+scanplannen+Europese+Commissie

#webproxy
03-01-2023, 19:42 door Anoniem
Privacy van dit soort links is op nog een heel andere manier ook nog een probleem viel mij zojuist op.

Kreeg toevallig net een mailtje van iemand met daarin zo een standaard handtekening van een bedrijf.
Wat schets mijn verbazing? De link naar de bedrijfswebsite is voorzien van een 'safe link', waar het mailadres in zit van - wat ik aanneem op basis van het adres - de vormgever van die handtekening. Die vormgever heeft vast eens gewoon copy/paste gedaan en de linkjes daarna niet nog eens bekeken.

Dus ik weet nu wie hun vormgever is. Lekker dan.

Dit viel mij op omdat mijn spamfilter aangaf dat die link al foute boel was:
MailScanner has detected a possible fraud attempt from "(bedrijfssite)" claiming to be "(safelink aanbieder)".

Wat is eigenlijk het nut van dit soort linkjes-aanpassers (op serverniveau i.p.v. gewoon in de client) en breken ze niet ook bijvoorbeeld DKIM / PGP-signatures omdat ze het op server niveau doen?
03-01-2023, 22:12 door Anoniem
Zoiets noemen we ongewenste info- of data-proliferatie.

Goed voor de data-slurper en anderen spelers, met eveneens niet zo duidelijke intenties (van organisaties met bepaalde interessen tot werkelijke kwaadwillenden).

We kunnen dus niet zomaar iets aannemen, zonder er op bedacht te moeten zijn... dat eventueel .... enz. Trust is niet meer vanzelfsprekend.

Juist mensen als Erik van Straten kennen de infrastructuur en de eventuele pitfalls beter dan gemiddeld. Hoe moet het de gemiddelde eindgebruiker dan vergaan? Wrakhout op digitaal hoogoplopende zeeën of zoiets? Poëtisch geduid dan.

Who will clean the digital swamp? Of heeft men een heel ander plan met het eens zo 'vrije' internet, dat steeds meer gaat lijken op een houtje touwtje oplossing vol gaten. Wanneer komt het bordje met het opschrift, 'This is the end of Interwebz', in zicht?

Ik blijf hier voorlopig maar lezen. Meer geleerd dan waar elders ook. Dank hiervoor, dank.

#webproxy
03-01-2023, 23:11 door Anoniem
Kijk ook eens met AmIUnique naar jouw unieke browser specificaties. Trouwens via extensies als UMatrix, NoScript, etc. is ook vrij goed eventuele tracking in beeld te brengen of kijk eens naar webbeacons etc. via hackingthehackers.

Vaak gebeurt het ook nog eens eer scriptblockers e.d. erop kunnen ingrijpen. Goggles e.a. doet dit o.a.

Tenslotte een gewaarschuwde 'bladeraar' telt voor twee.

#webproxy
03-01-2023, 23:17 door Erik van Straten
Door Anoniem:
Door Erik van Straten:
Door Anoniem (#webproxy): [...] 16 soorten fingerprinting gedetecteerd in een zogeheten privacy browser betekent dat het algemene publiek qua tracking en profilering flink in de boot genomen worden [...]
Niet alleen browsers zijn het probleem: websites, besturingssystemen, applicatiesoftware/apps en "smart" devices bespioneren eindgebruikers voortdurend en lijken onverzadigbaar.

Maar er zit ook een flink deel "tussen de oren". Tuurlijk, alle webservers loggen by default de requests. En veel andere
systemen ook. Maar dat betekent nog niet dat je privacy in het geding is. Je denkt toch niet dat er bij symantec mensen
werken die "eens even gaan kijken waar die Erik van Straten de hele dag zoal op klikt"?
Nee, dat gebeurt geautomatiseerd.

Als je https://symantec.com/ opent om hun privacy policy te lezen, kom je uit bij Broadcom (zij hebben Symantec opgeslokt). Lees hun privacy policy eens zou ik zeggen: https://www.broadcom.com/company/legal/privacy/policy.

Kers op de slagroomtaart: met Javascript toegestaan voor broadcom.com, maar geblokkeerd voor llnw.net (geen idee wat dat is) en de supergluurders cookielaw.org en googletagmanager.com, klikte ik in die privacy-policy-pagina op "Cookie policy" en kwam uit op https://www.broadcom.com/company/legal/privacy/cookie-policy. Daaruit (ik neem letterlijk alle zichtbare tekst in die pagina over):
\n\n\n\n\n\n
\n
Please enable cookies.
\n
\n
\n
Sorry, you have been blocked
\n
You are unable to access www.broadcom.com
\n
\n\n
\n
\n
\n \n \n \n
\n
\n
\n\n
\n
\n
\n
Why have I been blocked?
\n\n

This website is using a security service to protect itself from online attacks. The action you just performed triggered the security solution. There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.
\n
\n\n
\n
What can I do to resolve this?
\n\n

You can email the site owner to let them know you were blocked. Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.
\n
\n
\n
\n\n
\n

\n Cloudflare Ray ID: 783ee245ec86c4d7\n •\n \n Performance & security by Cloudflare\n \n
\n \n
\n\n\n
\n
\n\n \n\n\n\n"; var gStatus = "200"; var gCopyright = "2023";
LOL

Maar als jij of Bitje-scheef denkt dat je, op internet en door de meeste software, niet voortdurend bespioneerd wordt, vooral voor marketing doeleinden (met het risico dat jouw gegevens in verkeerde handen vallen), droom lekker verder. Of druk eens op F12 in jouw browser en/of installeer Wireshark en leer daar mee werken (schrik niet).
04-01-2023, 00:07 door Erik van Straten
Door Anoniem: breken ze niet ook bijvoorbeeld DKIM / PGP-signatures omdat ze het op server niveau doen?
Als een mailserver een in de client digitaal ondertekende link wijzigt, dan maakt dat die handtekening ongeldig. Maar er zijn meer oorzaken van ongeldige handtekeningen onder e-mails, en bijna niemand checkt ze, dus who cares? (Okay, da's sarcastisch).

Ook een DKIM signature (inclusief op de body) gaat natuurlijk stuk als een link in die body wordt gewijzigd nadat de server de DKIM signature heeft gezet. Echter, indien dat zo is, zal die volgorde wijzigen in de praktijk niet heel moeilijk zijn - hoop ik. Maar ook DKIM kan stukgaan onderweg. Bijvoorbeeld mails van de cryptography maillijst die door de afzender van DKIM zijn voorzien, plempt mijn ISP in een spambox waarbij het onderwerp het voorvoegsel "DKIM " krijgt. Dat DKIM stukgaat is logisch, de maillijst-server vervangt het "Return-path" (om SPF heel te houden) en moet (om DMARC heel te houden) de afzender wijzigen in een "on behalf of" mailadres - wat DKIM sloopt. Als ik hier verder op in ga, dwaal ik m.i. teveel af van het topic.

Je hebt natuurlijk wel een punt: als een mailserver een bericht inhoudelijk wijzigt, is dat bericht niet authentiek meer.

Ik bedenk me trouwens nog een voordeel van linkcheckers voor scammers: als hun eerste website (na bijvoorbeeld clicktime.symantec.com) checkt of de referrer (aka referer) clicktime.symantec.com luidt, kan deze, als dat niet zo is, met voorbeeldig nette content of een 404 antwoorden. Een andere scanner (waarvan velen te vinden zijn op virustotal.com), die niet exact die referrer meestuurt bij het checken van zo'n scammersite, wordt dan op het verkeerde been gezet.
04-01-2023, 08:42 door Anoniem
Je hoeft maar een keer je mail account te hebben gecompromitteerd en je controleert daarna heus wel tot in de afgrond. Maar dan is het vaak te laat. Ook zit de vijand soms al binnen in de vorm van onbetrouwbare IT (kanspareltjes die beter hadden kunnen gaan gamen).

Anders kan het wel eens een dure grap worden voor jou.

Link checken pays off in real time. Maar niet werkende spam- en scamfilters bij je provider account kunnen je ook de das omdoen en alles wordt steeds meer onbetrouwbaar, etc.

#webproxy
05-01-2023, 14:05 door Anoniem
Wat denken we dan hier van?
https://isc.sans.edu/diary/29376

Google safebrowsing dat soms helemaal niet zo safe is als aangegeven.

#obserwator
05-01-2023, 16:36 door Anoniem
Door Anoniem: Wat denken we dan hier van?
https://isc.sans.edu/diary/29376

Google safebrowsing dat soms helemaal niet zo safe is als aangegeven.

#obserwator

isc sans edu? Wat is dat voor rommel? Ik zie niks bekends.
Geen normaal mens die daar zomaar op klikt.
05-01-2023, 17:56 door Anoniem
Door Anoniem:
Door Anoniem: Wat denken we dan hier van?
https://isc.sans.edu/diary/29376

Google safebrowsing dat soms helemaal niet zo safe is als aangegeven.

#obserwator

isc sans edu? Wat is dat voor rommel? Ik zie niks bekends.
Geen normaal mens die daar zomaar op klikt.

SANS is een van de grote trainingsclubs in de wereld van de security. Je kent ze van GSEC, GMOB, GXPN, de SANS top-20,etc.etc.. De ISC is hun Internet Storm Center, waar zelfs Nederlanders dagelijks hun best doen de wereld veilig te houden.
Ondanks dat ik die link niet poste zou ik die dan weer wel vertrouwen :P
05-01-2023, 23:05 door Anoniem
Het gaat om het gepubliceerde via deze link.
De link zelf is 'above board', dus veilig.
Of moet dat ook aangegeven worden?

Als ik een verdachte link hier zou plaatsen,
breek ik die natuurlijk als -http:// of hxtp:// etc.

We zitten hier op een beveiligingsforum
Dan post je geen live links, die niet deugen.
Dat is rule 1: stay secure.
Dat mag je van deze poster hier verwachten.

#webproxy
06-01-2023, 01:29 door Erik van Straten
Als aanvulling op wat Anoniem @17:56 en Anoniem ("#webproxy) @23:05 schreven: het is verstandig om niet "zomaar" [1] op links met (voor jou) onbekende domeinnamen te klikken.

Aan de andere kant, als je van de gebruikte PC, tablet of smartphone het besturingssysteem en de browser up-to-date houdt, zijn de risico's klein dat je meteen gehacked wordt door het openen van een webpagina.

Daarbij helpt het als de browser redelijk veilig is geconfigureerd en je je niet meteen laat verleiden om actie te nemen op basis van getoonde informatie, bijv. in popups. Ook verklein je de risico's als je, vooraf, zoveel mogelijk andere browsertabs (en/of -vensters) sluit - met name van websites waar je op bent ingelogd. Een add-on zoals NoScript helpt enorm zolang je JavaScript niet aanzet voor de betreffende site (maar soms zie je dan niks, dan wordt het gokken of je JavaScript aanzet voor die site, en eventueel voor welke domeinen naast die site zelf).

[1] Wat is "zomaar"? Toegegeven, het volgende lijkt op forensisch onderzoek en zal niet voor iedereen zijn weggelegd. Bovendien heeft dit nauwelijks zin als je niet regelmatig zulke checks uitvoert, om er gevoel voor te krijgen wat normaal is (waarschijnlijk veilig) en wat niet.

Je kunt, vóórdat je klikt, proberen informatie over de reputatie van een website (diens domeinnaam) te verkrijgen, en waar die website in grote lijnen "over gaat". Met als voorbeeld https://isc.sans.edu/diary/29376, kun je in bijvoorbeeld Duckduckgo of Google zoeken naar (en/of):
1) site:isc.sans.edu
2) "isc.sans.edu" (let op: inclusief die dubbele aanhalingstekens)
3) "isc.sans.edu" phishing
4) "isc.sans.edu" malware

Met 1) zie je door de zoekmachine gecachte informatie van de site (ook subdomeinen). Als je geen resultaten krijgt is het meestal geen bekende site, en zou ik deze minder vertrouwen.

Met 2) zie je vooral door welke andere partijen deze site genoemd wordt. Door de zoekresultaten te lezen (zonder op links te klikken) kun je vaak al een aardige indruk krijgen hoe anderen denken over het domein waar je in geïnteresseerd bent.

Met 3) en 4) kun je een indicatie krijgen of die site ooit met phishing of malware is geassocieerd. In dit specifieke geval zullen die laatste twee véél hits kunnen geven omdat er op security sites veel over phishing en malware geschreven kan zijn (zoals in dit geval). Weinig of geen hits garandeert geen veiligheid, maar als zo'n site is opgenomen in blocklists dan wil je er wellicht wegblijven.

Je kunt ook zoeken met https://www.virustotal.com/gui/domain/isc.sans.edu. Géén waarschuwingen is niet gegarandeerd safe, en één of twee kunnen valspositieven zijn, maar meer is meestal foute boel. Virustotal is overigens van (ooit overgenomen door) Google.

Door https://www.virustotal.com/gui/home/url te openen en een URL in te vullen zoals https://isc.sans.edu/ krijg je vaak net wat andere informatie. Soms kun je dan ook informatie vinden over het gebruikte https servercertificaat (waarom niet altijd, weet ik niet). Ook kun je dan, in het meest linker tabblad (Engelse titel: Summary) opnieuw laten scannen (zinvol als het mogelijk om een recentelijk gehackte website gaat die, voor het laatst, vóór of kort na de hack is gescand).

Nb. virustotal.com zelf kun je checken zoals ik eerder beschreef.

Door https://crt.sh/?q=isc.sans.edu te openen krijg je een indruk van de https servercertificaten die ooit voor dat domein zijn uitgegeven, dus vooral sinds wanneer. Het bestaan van "gaten" (een tijd geen geldig certificaat) kan duiden op een malware- of phishing-domein dat een tijd "uit de lucht" is geweest (of mogelijk nog is, zoals https://crt.sh/?q=keepas.org - dat was een nepsite). Een site die nog maar kort bestaat is vaak ook geen goed teken.

Nb. crt.sh is een site van certificaatuitgever Sectigo die https servercertificaten laat zien die met "certificate transparency" zijn uitgegeven. Zo te zien zijn zij in 2013 begonnen, oudere certificaten zie ik niet. LET OP: soms ontbreken servercertificaten op crt.sh. Soms helpt het dan om naar de zo kort mogelijke domeinnaam te zoeken, dus zonder "www." of in dit geval: https://crt.sh/?q=sans.edu.

Terzijde, opvallend aan isc.sans.edu is dat het https servercertificaat tevens "op naam" staat van "imperva.com", een cloud-beveiliger die kennelijk door sans.edu in de arm is genomen (isc.sans.edu is nogal eens ge-ddos'ed omdat cybercriminelen niet op prijs stellen waar zij over schrijven). Ook viel mij op dat isc.sans.edu tevens Let's Encrypt certificaten aanvraagt, mogelijk als fall-back mocht er een probleem onstaan met hun standaard certificaat-leverancier (zoals destijd met Diginotar het geval was).
06-01-2023, 12:14 door Anoniem
Maar ook bij het kennelijk vertrouwen hebben in Google Playstore applicaties, moet je oppassen dat ze niet besmet zijn met een trojaan als Harley of Joker (b.v. bij een spel of beeldbewerking appl.).

Kijk eens wat Blokada allemaal weghoudt van je Androidje.

Juist daar waar 'Google z'n keukenlepel door de kastjes laat gaan', bij wijze van spreken.

Maar wel vijf keer alarmeren als je een viewer als Bromite wil installeren. Is die trouwens veilig? Iemand hier met ervaring met de apk file download van de Bromite browser.

Ben wel heel tevree met PrivacyWall als browser op Android, deze browser blokkeert echt heel veel. Van zooi, die je feitelijk niet hoeft of wenst binnen te krijgen.

AV applicaties daarentegen tracken en profileren net zo hard mee als bij Big Tech zelf..ik beschouw ze als een soort 'horigen' van de grote data-slurpers. We kennen die allemaal.

#obserwator
08-01-2023, 12:51 door Anoniem
Maar hoe denk je over het blokkeren van sleeknote pop-up campagnes? Ik blokkeer dit soort marketing uitingen.

#webproxy
09-03-2023, 17:30 door Erik van Straten
Ik ontving gisteren weer twee spams met https://clicktime.symantec.com/ links erin, relevante headers van de eerste:
Return-Path: <return+[verwijderd]@infacts.org>
[...]
X-KPNSH2SCL: Yes
X-KPN-SpamVerdict: e1=100;e11=;e2=;e3=;e4=;e5=;e6=;e7=;e9=(e5=10;e11=10;e1=10;e3=10;e2=11;e4=10;e7=10;e6=10;e9=10);Grey
Received: from 87.232.235.167.clients.your-server.de (static.87.232.235.167.clients.your-server.de [167.235.232.87])
by mx.kpnmail.nl (Halon) with ESMTP
id bcbf7abc-bdc8-11ed-9fce-0050569973b7;
Wed, 08 Mar 2023 16:48:57 +0100 (CET)
[...]
Date: Wed, 08 Mar 2023 16:48:58 +0100
Subject: [SPAM] Bespaar op je nieuwe energiecontract bij Frank Energie!
From: "Groene Energie " <noreply@na-kd.com>
Reply-To: "NA-KD.com" <noreply@na-kd.com>
To: [verwijderd]@xs4all.nl

In de HTML body komt 4x voor:
https://clicktime.symantec.com/[verwijderd]?u=3D192.0x6D.165.0341/[verwijderd_type_1]

En 1x een hidden pixel van 1x1:
https://clicktime.symantec.com/[verwijderd]?u=3D192.0x6D.165.0341/[verwijderd_type_2]

In de spam van ca. 1 uur later hetzelfde, met iets andere strings achter het "verhaspelde" IP-adres:
In de HTML body komt 4x voor:
https://clicktime.symantec.com/[verwijderd]?u=3D192.0x6D.165.0341/[verwijderd_type_3]

En 1x een hidden pixel van 1x1:
https://clicktime.symantec.com/[verwijderd]?u=3D192.0x6D.165.0341/[verwijderd_type_4]

Het "verhaspelde" IP-adres 192.0x6D.165.0341 is 192.109.165.215 (0x6D is hexadecimaal, dus 6x16 + 13 = 109, en 0341 is octaal, dus 8x8x3 + 8x4 + 1 = 225).

Volgens [1] was http://192.109.165.215:80 een "Free Proxy" met een 302 antwoord, maar meer recente antwoorden zie ik niet op die (zo te zien Russische) site.

[1] https://proxysource.org/en/freeproxies/2020-10-19

De strings "verwijderd_type_1" t/m 4 lijken BASE64. Als ik ze decodeer leidt dat tot een nieuwe string die op BASE64 lijkt (netjes ASCII) maar als ik dat resultaat opnieuw decodeer komt er "binaire onzin" uit (waar ik geen chocola van kan maken). Mogelijk is 192.109.165.215 nog steeds een http proxy, maar ondertussen betaald - en heb je een soort "sleutel" nodig om er gebruik van te kunnen maken.

M.b.t. infacts.org in "Return-Path:":
Voor zover ik kan vinden mag 167.235.232.87 geen mail verzenden namens infacts.org [2].

[2] https://mxtoolbox.com/SuperTool.aspx?action=spf%3ainfacts.org&run=toolpage

M.b.t. na-kd.com in "From:" (als website gaat het om dameskleding, met "Free climate compensated shipping"):
In principe wordt er voor na-kd.com geen SPF-lookup gedaan [3]. Gebeurt dat wel, dan leidt dat waarschijnlijk tot een foutmelding [4], want met 11 zijn er meer dan 10 "includes".

De DMARC-policy van na-kd.com is "quarantine" [5].

[3] Uit https://www.rfc-editor.org/rfc/rfc7960#section-4.1.1.1:
o MTAs handling multiple domains may choose to change RFC5321.MailFrom to align with RFC5322.From to improve SPF usability for DMARC.

[4] https://mxtoolbox.com/SuperTool.aspx?action=spf%3ana-kd.com&run=toolpage

[5] https://mxtoolbox.com/SuperTool.aspx?action=dmarc%3ana-kd.com&run=toolpage
10-03-2023, 00:21 door Erik van Straten
Ook leuk voor phishing: https://go.microsoft.com/fwlink/p/?LinkId=187566

Via https://blog.identityjunkie.com/, een domein dat Microsoft kennelijk liet verlopen, kom je uit op https://joakim.uddholm.com/posts/claiming-a-microsoft-shorturl-for-an-easy-phish/. Naar verluidt een week geleden gerapporteerd aan Microsoft - die niets doet met zo'n melding.

Zero trust (in) Microsoft...

Bron: https://infosec.exchange/@tethik/109995737166767873
10-03-2023, 19:41 door Anoniem
Door Anoniem: @Bitje-scheef

Geen geschreeuw in de ruimte maar een duidelijke reactie op de gegeven bromite detect scan link en de resultaten die dit oplevert in diverse zogenaamde veilige(r) browsers.

16 soorten fingerprinting gedetecteerd in een zogeheten privacy browser betekent dat het algemene publiek qua tracking en profilering flink in de boot genomen worden net als tegenwoordig door de politiek, die zich nergens meer voor schaamt.

Dus downplayen maar, ridiculiseren en de boodschapper afschilderen als nitwit. Voor wie doe je dat eigenlijk?

#webproxy

Jezus Christus, hoe zie je nou of hij aan het downplayen is? Ik snap niet hoe jij dat ervaart...

tjeesus

Het is maar gewoon een forum waar mensen dingen op typen, anoniem, dus je moet 99% met een korrel zout nemen (of een hele trog zout). Er zullen vast mensen hier op zitten die lopen te trollen voor vermaak of andere redenen.

Joost
10-03-2023, 23:52 door Anoniem
@ anoniem (Joost),

Er kan ook wel sprake zijn van een serieuze reactie, aangaande bijvoorbeeld de privacy-vriendelijke browser
als Bromite en de tracking, die overal de spuigaten uitloopt als de eindgebruiker het product dient te zijn.
Feit of geen feit?

Maar dat is dan weer een reactie, die mensen met de "geaccepteerde, conservatieve, zeg maar officiële visies',
kunnen bestempelen als getrol, als wappie-praat, etc.

In de verdeel- en heerscultuur van het ogenblik met Big Tech overal aan de knoppen, is dat niet gek,
dat dit gebeurt en degenen, die het aankaarten, zijn om zo maar eens uit te drukken,
niet geliefd en dat blijkt dan uit de rectie van o.a. een BitjeScheef,
die niet voor de eerste keer zo op deze of andere anoniem reageert.

Trouwens in het beheersen van de corona-pandemie-palaver kon hij er ook wat van.
Hij steunde bij voorkeur blindelings het verhaal van de autoriteiten
en die hadden het met de toeslagenaffaire en de Groningse gasdrama afhandeling ook nog al eens mis.

Maar dat gaan ze natuurlijk nooit toegeven. De eindconclusies komen zogenaamd even hard aan,
maar de afhandeling van e,.e.a. kan nog wel een jaar of 8 a 10 vooruitgeschoven,
totdat niemand er meer actieve herinnering aan heeft.
15-03-2023, 15:25 door Anoniem
Door Erik van Straten:
Door Anoniem: Niet klikken op wat je niet kent is ook altijd wel handig.
Eens!

Probleem: *.symantec.com en *.outlook.com ken ik wel, en zij zeggen dat het veilig is (want zij checken). En een leek ziet echt niet waar die link vervolgens naar toe gaat.

mee eens,
Maar ik ben ook zelf nog steeds beter instaat om het te lezen dan dat een of andere scanner van MS of Symantec dat doet. Want een site als postnl.nl kan dan veilig zijn en kan ik gerust op klikken. maar als de link naar postnl.ergens.post.ru gaat weet ik wel dat ik daar niet op moet klikken, maar als het verborgen word door MS maar niet herkend en die wel gewoon door laat ben je nergens. dan je nergens meer op klikken
15-03-2023, 16:03 door Anoniem
Wat ook altijd, na mijn exercities website foutenjagen, aan te raden valt, is even de boel onderzoeken als je voor het eerst iets gaat bezoeken of een link even 'voorscannen'. Hoe zegt men dat?
Once bitten twice shy.

luntrus
30-03-2023, 14:54 door Erik van Straten
Zijn de "recent additions to the SafeLinks feature" een nieuwe nagel aan de doodskist of juist niet?

Onderaan https://www.theregister.com/2023/03/29/microsoft_defender_url_alerts/ staat het volgende over de false positives die Microsoft Defender gisteren veroorzaakte bij allerlei URL's:
Door Jeff Burt: [...]
Updated to add
Microsoft this afternoon figured out that changes to SafeLinks, which scans incoming email for malicious hyperlinks and attachments, caused the problem.

"We determined that recent additions to the SafeLinks feature resulted in the false alerts and we subsequently reverted these additions to fix the issue," the company tweeted (https://twitter.com/MSFT365Status/status/1641147963270365203).

@Microsoft fans: lees niet de reacties op die tweet.

@Niet-Microsoft fans: interessant, uit https://twitter.com/VRantakokko/status/1641415876267192325:
Veikko Rantakokko | @VRantakokko
Replying to @MSFT365Status

I am getting ssl protocol errors when opening safelinks, can the current issues cause that?

2:23 PM · Mar 30, 2023
31-03-2023, 10:23 door Anoniem
Wat was ik blij met de scanning van MBAM (Malware Bytes free) gisteren, toen ik dit las.

Wat of wie kun je tegenwoordig eigenlijk nog vertrouwen?
Je overheid, je av-vendor, je OS-vendor, Big Tech? Online advies altijd?

Nou ja, Erik van Straten in elk geval wel, al enige tijd hier en hierboven bewezen overigens.
Dank daarvoor.

Dus luitjes neem ook zo'n grondhouding aan, vertrouw het pas als het bewezen te vertrouwen is.
En de laatste tijd is ons algemeen vertrouwen nogal behoorlijk gedaald en beschadigd.

Ze hebben ons al geruime tijd en feitelijk te lang al 'bij de beer' gehad.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.