illegale software, phishing mails, social engineering, porno websites zonder adblocker, we kunnen even doorgaan.

mañana mañana

Weer wat geleerd.
Ik dacht toch echt dat er op Curacao helemaal geen belasting werd betaald, vandaar al die NL pensionados daar.
En ook de regelmatige financiele hulp vanuit NL leert dat als er een belastingdienst zou zijn, deze niet echt effectief werkt...
En nu dan ook nog eens IT-problemen:-(
/sarcasme uit

Ja dat moet je onder windows echt niet doen ivm driveby download infecties.

Driveby-download-infecties zijn een zeldzaamheid geworden (sinds we nauwelijks nog te maken hebben met uitvoering van code in brakke Java sandboxes binnen browsers, en extreem kwetsbare browser-plug-ins zoals Flash, PDF Reader, MS Office en andere ActiveX zooi).

Wat resteert voor driveby malware zijn vooral kwetsbaarheden in browsers. Maar als criminelen of "statelijke actoren" daar op wat grotere schaal misbruik van maken, wordt dat vaak snel ontdekt, gerepareerd en worden updates gedistribueerd. Daarom worden dit soort aanvallen hooguit bij zeer gerichte aanvallen ingezet.

Phishing daarentegen is uitermate succesvol: misbruik maken van kwetsbaarheden in mensen - terwijl slachoffers de middelen, om nep te herkennen, wordt onthouden (en zowel virusscanners als block lists in de praktijk hopeloos achter de feiten aanlopen).

Omdat het gedogen van cybercrime alle big tech aanzienlijke inkomsten oplevert, willen zij (big tech) géén enkele verandering waardoor internetters nep beter van authentiek kunnen onderscheiden - integendeel.

Fix: https://security.nl/posting/898889.

Aanvulling 13:14: zie ook (OMG) https://security.nl/posting/899270/baby-carrots+en+belastingdienst.

een corrupte bende

Naweeen van Tromp-gate op Curacao, de kwestie in 2010 misschien?

Of de VDC (Curacaose AIVD) die het eilandregime omver wilden werpen, dat was 2012.

Dit soort vetes tussen criminele organisaties onderling, kunnen hele lange staarten hebben.

Maar wat is crimineel. Is dat wat gewone mensen onder crimineel verstaan, of meer in de betekenis van dat zoutje dat door de commercie als "crimineel lekker" was benoemd.

Maar goed, ransomeware dus. Door criminelen of statelijke actoren. Beneden- en bovenwindse eilanden.

Heeft Windows al een naam aan de threat actor gegeven, of is dat in deze fase nog dé running gag onder de politie- aivd-mivd collegae, en anders wel hun (nog?) niet opgepakte criminele counterparts.

Tromp-gate:
https://nl.wikipedia.org/wiki/Politieke_crisis_Cura%C3%A7ao

Je verwart Curaçao met de Kaaimaneilanden. Daar betaal je inderdaad geen inkomstenbelasting, vennootschapsbelasting, vermogensbelasting, onroerendgoedbelasting, loonbelasting of bronbelasting op dividenden, royalty’s en technische servicekosten.

Wel moet je als bedrijf jaarlijkse registratie- en verlengingsvergoeding betalen, bijvoorbeeld 850 Kaaiman-dollar voor registratie en 450 Kaaiman-dollar jaarlijks voor verlenging, afhankelijk van het type onderneming.

Driveby download infecties (het grote windows syndroom) zijn helemaal niet zeldzaam geworden. Het bezoeken van een geïnfecteerde site of openen van een mail attachment is al veldoende om de malware te downloaden en te executeren (wat alleen onder windows zo makkelijk gaat zonder tussenkomst van de gebruiker). Het is wel zo dat er nog een vulnerability in de browser of andere software beschikbaar moet zijn om de ransomware effectief te kunnen runnen. Elke patch dinsdag blijkt dat dat kan. Het positieve is dat dit nog niet aangetoond is op een Linux desktop, om de eenvoudige reden dat malware als readonly wordt gedownload en niet geëxecuteerd kan worden zonder dat de gebruiker het x bitje zet. Daarnaast kan een Linux $HOME en /tmp etc met noexec flag gemount worden. Alleen malware die alleen in memory rondhangt is gevaarlijk. Aan dit probleem wordt nog gewerkt. Daarnaast is Fedora CoreOS wel interessant omdat de applicaties containerized zijn.

@Anoniem 22:12: Al jaren vormen mensen de zwakste schakel.

Maar als jij het beter weet: kom dan maar met een lijstje van "succesvolle" recente drive-by malware in browsers onder Windows (in non-targeted attacks). Nb. een kwaadaardige e-mail openen vind ik géén drive-by aanval; de tijd dat je nu.nl opende en een foute adverteerder jouw browser een Java applet liet downloaden en uitvoeren (dat kon ook op Linux trouwens) ligt ver achter ons. Bovendien kunnen bugs in de browser zelf onafhankelijk zijn van het gebruikte besturingssysteem.

Desgewenst zal ik, nadat jij zo'n lijstje hebt gepost, een lijstje maken van recente malware waarmee Linux draaiende systemen werden gecompromitteerd (één van de redenen waarom er óók voor Linux systemen regelmatig updates nodig zijn).

Dat er veel meer malware voor Windows bestaat dan voor Linux, komt in de eerste plaats omdat er op desktops/laptops veel vaker Windows wordt gebruikt. Bovendien speelt het soort mensen dat voor Linux kiest ook een rol: meestal is dat omdat ze meer van computers weten dan gemiddeld en zo'n systeem vaak niet zien als een irritant stuk gereedschap dat je helaas nodig hebt om je werk te kunnen doen.

Verder scheren we niemand over één kam. Toch?

Je kan ook stellen dat IT zelf de zwakke schakel vormt omdat het niet geschikt is voor die mensen.

Toen ik halverwege de jaren '80 de IT (toen nog: automatisering) in rolde in een mainframe-omgeving konden "gebruikers" daar niets dat ze niet uitdrukkelijk was toegestaan, en automatiseerders trouwens ook niet, en dat was niet de beperking die het nu zou zijn omdat we nog geen internet, geen grafische besturingssystemen en dat soort dingen hadden. Ik ga zeker niet beweren dat zo'n omgeving foutloos was, gezien vanuit een hedendaagse beveiligings-oogpunt, en ook niet dat ik terug zou willen naar toen, maar het wel qua security wel effectief onverwoestbaar.

Toen kwamen in de jaren '90 grafische besturingssystemen, Windows 95 met name, en pc-privé-projecten (vaak aangezwengeld door enthousiaste werknemers) waarbij via de werkgever voordelig een pc voor thuis werd aangeschaft. Ik deed ook mee, en vond het tegelijk cool en verbijsterend slecht. Cool omdat het een grafisch besturingssysteem was, verbijsterend slecht omdat in de Windows 9x-lijn beveiliging ongeveer afwezig was, en ik had die mainframe-omgeving als maatstaf. Ik vond het ook verbijsterend hoe volledig Microsoft kritiek op dat vlak (die er wel degelijk was) volledig negeerde, terwijl malware op Windows explosief steeg.

Ook verbijsterend vond ik hoe de marketing van Microsoft het voorspiegelde alsof alles intuïtief was en iedereen het vanzelf wel kon, terwijl bleek dat het gros van de mensen het alleen "snapte" in de zin dat ze handelingen leerden maar qua werkelijk begrip niet verder kwamen dan "snappen" wat ze op hun beeldscherm konden zien gebeuren. Een kennis van me in die tijd was op haar werk ongeveer de wizard die computers snapte, en van haar merkte ik op een gegeven moment dat ze niet door had dat de file-open-dialoog in Wordperfect dezelfde directory-structuur liet zien als de Explorer toonde, om maar een voorbeeld te noemen. In het land der blinden is eenoog koning, en er zullen heel wat organisaties zijn geweest die op dat niveau met computers werkten — en nog steeds.

Het komt erop neer dat vrijwel de hele wereldbevolking in het diepe is gegooid zonder dat ze eerst in het ondiepe hebben leren zwemmen. Van slechte zwemmers verzuipen er relatief veel, het is een vaardigheid die mensen moeten leren. En (in ieder geval) Microsoft heeft dat probleem consequent "opgelost" door te proberen de complexiteit af te dekken met extra abstractielagen om mensen dingen uit handen te nemen. Dat werkt niet omdat die abstractielagen feitelijk complexiteit toevoegen: als er iets misgaat loop je toch aan tegen wat was afgedekt en is het alleen maar nog ondoorgrondelijker gemaakt omdat je het normaal niet te zien krijgt. Mensen die alleen smartphones gebruiken begrijpen niet eens meer wat een directory is — dat is er wel maar het is afgedekt.

Ik kanker hierboven op Microsoft, omdat dat bedrijf in de jaren '90 de consumentenmarkt heeft weten te veroveren en van daaruit de zakelijke markt, want werknemers pikten het niet dat ze op hun werk met iets moesten werken dat veel minder gelikt was dan wat ze thuis hadden, daar is echte druk van uitgegaan; maar als het Microsoft niet was geweest was het wel een ander geweest, dit is vooral een indrukwekkende marketing-exercitie geweest.

En dus zitten we met IT die in hoge mate ontwikkeld is op de aantrekkingskracht voor kopers, en veel minder op wat die kopers aankunnen. Als het niet zo extreem door winstbejag was gedreven hadden we vermoed ik een beduidend tragere ontwikkeling gezien, met veel robuustere IT die door veel meer mensen gesnapt werd als resultaat. Vanuit die gedachte stel ik dat IT wel eens de zwakke schakel kan zijn, en niet de mensen die het gebruiken.

Met de rest van jouw reactie ben ik het grotendeels eens (ik heb vergelijkbare ervaringen, ook zo'n 40 jaar bezig met ICT), maar bovenstaand punt vind ik wat lastig.

Voor veel mensen zijn begrippen als bestanden en mappen te abstract. Mensen die met hangmappen in archiefkasten hebben gewerkt, hebben nooit mappen in mappen gestopt. Als je niet zelf stevig geprogrammeerd hebt, zeggen "bits" en "bytes" je niets. Met de DOS commandline te zijn opgegroeid helpt enorm, maar wie is dat nog tegenwoordig?

Programmeurs en UX-ontwerpers hebben hun best gedaan om het, ondanks gebrekkige of ontbrekende basiskennis, zo eenvoudig mogelijk te maken. Maar zoals je schreef, als er ook maar iets anders gaat dan verwacht, zitten mensen met hun handen in het haar.

De meeste mensen zijn lui. Dat bedoel ik niet negatief; als ze een kunstje kunnen afkijken en daarmee gedaan krijgen wat hun werkgever en/of zijzelf willen, is dat simpelweg efficiënt. Zo'n aanpak is menselijk, en dat doen mensen beslist niet alleen bij het verwerken van digitale informatie.

Een klein deel van de mensen is anders. Zij willen weten hoe alles "onder de motorkap" werkt. Zij besteden bakken tijd aan het verzamelen van bergen kennis, zonder op dat moment te weten waarom. Ze konden een uur op de plee zitten met een computertijdschrift. Ze kopen een Raspberry Pi zonder te weten wat ze daarmee gaan doen. Ze helpen bovenmatig vaak anderen met het oplossen van computerproblemen, waardoor zij kennis verzamelen (en bovendien gewaardeerd worden, dat geeft een kick). Daardoor kunnen zij verbanden leggen en ontbrekende puzzelstukjes erbij redeneren.

Ik vind niet dat je makers van besturingssystemen en toepassingssoftware er de schuld van kunt geven dat zij het "luie" mensen zo eenvoudig mogelijk proberen te maken - door (toenemende) complexiteit te verhullen. Denk aan het verstoppen van bestandsnaamextensies, browsers die https:// en www. weglaten, en mappen zoals "Bureablad" en "Mijn Documenten" (die C:\Users\inlognaam\My Documents\ o.i.d. blijken te zijn).

Waarom mag je nog steeds geen van de tekens "?*|" in bestandsnamen opnemen, hoezo leiden plusjes en spaties soms toch nog tot problemen, evenals soms gedonder met een te lang "pad" + bestandsnaam? En probeer maar eens in een paar regels uit te leggen hoe domeinnamen in elkaar zitten of wat het doel van een https websitecertificaat is (om op security.nl een lading mensen over je heen te krijgen die stellen dat ik het niet snap en zij wel).

Kortom, software kan maar in beperkte mate complexiteit verbergen. Je hebt wel een punt als je het een probleem vindt dat te veel mensen, met feitelijk te weinig kennis, met computers werken - en daardoor met allerlei (voor henzelf) onbekende en dus onvermoede problemen te maken kunnen krijgen (meestal op momenten dat het beslist niet uitkomt).

Ik denk dus dat mensen ook hier de zwakke schakel zijn - omdat zij ingewikkelde ICT niet (kunnen en/of willen) doorgronden.