Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Windows 11 plus Thunderbird veiligheids vraagje

24-02-2023, 11:49 door Anoniem, 11 reacties
Hallo security ninjas ik heb een vraagje.

Als je Windows 11 pc helemaal up2date is en je Thunderbird email client ook, is het dan mogelijk om een besmetting op te lopen als Thunderbird nieuwe emails binnen haalt?

En eigenlijk de vervolg vraag:

Ik zie dus nieuwe email klaar staan maar ik moet het openen (aan klikken van de subject) om het te bekijken of het wat is of niet. Is dit genoeg om een besmetting op te kunnen lopen?

Ik bedoel dus niet openen van het mailtje om vervolgens op links daarin te klikken naar mogelijke phising sites.
Reacties (11)
24-02-2023, 14:17 door Anoniem
Onafhankelijk van OS of e-mail client, is het in beide gevallen in theorie mogelijk besmet te worden.

In de praktijk is een infectie door het binnenhalen van e-mail onwaarschijnlijk.

Het openen van een mail (of dit nu in preview weergave of 'echt' openen maakt geen verschil) is al wat waarschijnlijker, maar nog niet zo waarschijnlijk als door op linkjes te gaan klikken.

Dat laatste risico kun je wel mitigeren door je e-mail client berichten standaard in plain text weergave te laten openen. Dan kun je naar HTML weergave schakelen als je de boel vertrouwd.
24-02-2023, 14:53 door Anoniem
Zeker, als er onbekende exploits voor bestaan.

Maar je risico is zeer laag. tijd om je over veel belangrijkere risico's zorgen te maken.
24-02-2023, 15:23 door Anoniem
Door Anoniem: Onafhankelijk van OS of e-mail client, is het in beide gevallen in theorie mogelijk besmet te worden.

In de praktijk is een infectie door het binnenhalen van e-mail onwaarschijnlijk.

Het openen van een mail (of dit nu in preview weergave of 'echt' openen maakt geen verschil) is al wat waarschijnlijker, maar nog niet zo waarschijnlijk als door op linkjes te gaan klikken.

Dat laatste risico kun je wel mitigeren door je e-mail client berichten standaard in plain text weergave te laten openen. Dan kun je naar HTML weergave schakelen als je de boel vertrouwd.
Helemaal niet onafhankelijk van OS. Daar vroeg de vraagsteller ook niet om. Met Linux/Thunderbird is dit niet mogelijk.
24-02-2023, 15:36 door Anoniem
Door Anoniem:
Door Anoniem: Onafhankelijk van OS of e-mail client, is het in beide gevallen in theorie mogelijk besmet te worden.

In de praktijk is een infectie door het binnenhalen van e-mail onwaarschijnlijk.

Het openen van een mail (of dit nu in preview weergave of 'echt' openen maakt geen verschil) is al wat waarschijnlijker, maar nog niet zo waarschijnlijk als door op linkjes te gaan klikken.

Dat laatste risico kun je wel mitigeren door je e-mail client berichten standaard in plain text weergave te laten openen. Dan kun je naar HTML weergave schakelen als je de boel vertrouwd.
Helemaal niet onafhankelijk van OS. Daar vroeg de vraagsteller ook niet om. Met Linux/Thunderbird is dit niet mogelijk.
Tuurlijk wel. Ik noem onafhankelijk van OS of client, omdat de gebruikte OS en client voor de vraagstelling niet zo relevant is.

TS vraagt niet of er exploits bekend zijn die hierin faciliteren, TS vraagt of het mogelijk is. En we kunnen de mogelijkheid niet uitsluiten, we kunnen enkel zeggen dat er geen bekende exploits zijn.

Net als het feit dat van de 30 auto's in mijn straat er niet een rood is, niet betekent dat rode auto's niet bestaan.
24-02-2023, 16:06 door Anoniem
Door Anoniem:

Ik zie dus nieuwe email klaar staan maar ik moet het openen (aan klikken van de subject) om het te bekijken of het wat is of niet. Is dit genoeg om een besmetting op te kunnen lopen?

Die kans is altijd aanwezig. Hier test-/virtualisatietool Sandboxie tbv het draaien van mail clients, browsers en andere potentieel 'gevaarlijke apps' in een geïsoleerde omgeving op Windows OS: https://sandboxie-plus.com/
Desgewenst kun je de apps iedere keer 'vers' draaien door na gebruik de sandbox te legen mits de app buiten betreffende sandbox geïnstalleerd is.
25-02-2023, 08:56 door Anoniem
Je kunt thunderbird ook nog in een unpriviliged container draaien met lxc.
Bijna al mijn gebruikerssoftware draait in een eigen container.
25-02-2023, 10:53 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Onafhankelijk van OS of e-mail client, is het in beide gevallen in theorie mogelijk besmet te worden.

In de praktijk is een infectie door het binnenhalen van e-mail onwaarschijnlijk.

Het openen van een mail (of dit nu in preview weergave of 'echt' openen maakt geen verschil) is al wat waarschijnlijker, maar nog niet zo waarschijnlijk als door op linkjes te gaan klikken.

Dat laatste risico kun je wel mitigeren door je e-mail client berichten standaard in plain text weergave te laten openen. Dan kun je naar HTML weergave schakelen als je de boel vertrouwd.
Helemaal niet onafhankelijk van OS. Daar vroeg de vraagsteller ook niet om. Met Linux/Thunderbird is dit niet mogelijk.
Tuurlijk wel. Ik noem onafhankelijk van OS of client, omdat de gebruikte OS en client voor de vraagstelling niet zo relevant is.

TS vraagt niet of er exploits bekend zijn die hierin faciliteren, TS vraagt of het mogelijk is. En we kunnen de mogelijkheid niet uitsluiten, we kunnen enkel zeggen dat er geen bekende exploits zijn.

Net als het feit dat van de 30 auto's in mijn straat er niet een rood is, niet betekent dat rode auto's niet bestaan.
Der vraagsteller vroeg of het op een up2date windows mogelijk was. OS is zeker van belang want windows is geen POSIX inplementatie.
25-02-2023, 11:11 door Anoniem
Ik draai binnen Sandboxie POP Peeper, waarbij de mail is ingesteld op IMAP.
25-02-2023, 19:53 door Anoniem
Door Anoniem: Als je Windows 11 pc helemaal up2date is en je Thunderbird email client ook, is het dan mogelijk om een besmetting op te lopen als Thunderbird nieuwe emails binnen haalt?
Voor zover ik weet laadt Thunderbird geen afbeeldingen die niet in de e-mail zelf zijn meegestuurd (en die dus van een webserver moeten worden opgehaald) en voert het ook geen scripts in e-mails uit. Daarmee is Thunderbird ontworpen om dit soort risico's te ondervangen.

Alleen: malware en het beveiligen ertegen vormen een wapenwedloop. Stel dat in de code die Thunderbird gebruikt om JPG-afbeeldingen te tonen een bug zit die het mogelijk maakt om code uit te voeren die in een geprepareerde JPG-afbeelding is opgenomen, dan is het mogelijk voor een aanvaller om zo'n afbeelding als bijlage bij een e-mail rond te sturen, en dan kan iedere Thunderbird-gebruiker besmet raken.

Maar dit soort aanvallen worden typisch snel ontdekt, en dan worden er security updates uitgerold om het te ondervangen. Er bestaat altijd een zeker risico dat jij net een van de pechvogels bent die zo'n e-mail ontvangt voordat de security update is uitgerold. Maar als je zorgt dat al je software up-to-date is dan is de kans veel groter dat je beschermd bent voordat de aanval jou bereikt.

Helaas is het niet zo dat als je X gebruikt en Y doet je absoluut veilig bent. Veiligheid is namelijk geen product maar een proces dat voortdurend gevolgd moet worden. En als je dat doet bereik je daar niet mee dat je systeem absoluut waterdicht is maar dat je de kans op ellende klein houdt. Maar nooit helemaal nul, zo simpel is het helaas niet.

Als je Windows en Thunderbird, en andere software op je systeem, heel actief up-to-date houdt, dan is denk ik de kans dat je via Thunderbird ellende oploopt behoorlijk klein. Maar niet nul, het is nooit nul. Je kan je kans op ellende verder verkleinen door een bericht alleen maar in het berichtvenster te tonen als je zeker weet dat je het wilt zien, na de afzender en het onderwerp beoordeeld te hebben — en dan weet ik niet genoeg van Thunderbird om je te kunnen vertellen hoe, mogelijk moet je berichten altijd in een apart venster openen en geen berichtenvenster in de indeling van je hoofdvenster opnemen.

Maak ook serieus werk van het maken van backups: doe de moeite om uit te zoeken hoe je die op jouw systeem makkelijk maakt en weer kan terugzetten. Dat ze makkelijk te maken zijn is belangrijk: als het omslachtig is dan kan het heel makkelijk in het slop raken. Omslachtige dingen nalaten is niet meer dan menselijk, en ontken je menselijkheid in dat opzicht niet, het is echt geen schande om niet perfect te zijn. Backups zijn essentieel als je de botte pech hebt dat het toch misgaat — met malware of simpelweg omdat je HDD of SSD het opeens begeeft, of als je huis afbrandt of wordt leeggeroofd.

Persoonlijk maak ik back-ups op drie versleutelde externe harde schijven, waarvan er altijd één op een ander adres ligt, bij vrienden bij wie ik sowieso regelmatig over de vloer kom, en dan is het verwisselen van backupschijven een vast ritueel. Van de twee overige backupschijven heb ik er altijd een bij me als ik de deur uit ga, in een vakje in het rugzakje dat ik altijd bij me heb (en ik heb het rugzakje mede vanwege die backup altijd bij me). Er moet heel wat misgaan voor ik mijn data kwijt ben, met andere woorden.

Ik kan je geen tips geven van hoe je dit in Windows 11 opzet, omdat ik zelf Linux gebruik en al meer dan 20 jaar niet meer thuis ben in Windows, daar heb ik geen actuele kennis meer van. En hoe ik het opzet (externe harde schijven, geen cloud) is niet de enige mogelijkheid. Maar hopelijk snap je de gedachtegang erachter, en is dat een basis om een opzet te vinden die zowel voor jou als persoon als voor het systeem dat je gebruikt (Windows 11) goed werkt. Het gaat er uiteindelijk om dat je de kans op dataverlies (door malware of andere calamiteiten) klein houdt en de kans groot houdt dat als het je toch overkomt je ervan kan herstellen, en dat wat daarvoor nodig is in de praktijk niet teveel moeite kost om het ook vol te houden. Succes daarmee!
27-02-2023, 22:30 door Anoniem
wat in ieder geval helpt is om de Word Viewer te gebruiken i.p.v. MS-Word, omdat die geen script kan uitvoeren.

Ook voor PDFs kan je beteer SumatraPDF als standaard viewer gebruiken dan Adobe Acrobat om dezelfde reden
28-02-2023, 14:01 door Anoniem
Door Anoniem: wat in ieder geval helpt is om de Word Viewer te gebruiken i.p.v. MS-Word, omdat die geen script kan uitvoeren.

Ook voor PDFs kan je beteer SumatraPDF als standaard viewer gebruiken dan Adobe Acrobat om dezelfde reden
Tips: blokkeer altijd software die niet online hoeft in jouw firewall, dus ook Word. En waarom je beter geen Adobe kunt gebruiken; kijk eens wat daarvan automatisch mee opstart.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.