image

Verbeter je security: 12 tips van goeroe Bruce Schneier

zaterdag 11 december 2004, 20:19 door Redactie, 21 reacties

Security goeroe Bruce Schneier wordt regelmatig gevraagd wat men kan doen om zichzelf tegen allerlei dreigingen te beschermen. Zijn antwoord is meestal: "niets, je bent kansloos". Maar dat is niet helemaal waar, de werkelijkheid ligt iets gecompliceerder, zo laat Schneier weten. Je bent namelijk pas kansloos als je niks doet om jezelf te beschermen. Er zijn echter veel dingen die je kunt doen om je security op het internet te verbeteren. Twee jaar geleden publiceerde Schneier een lijst met aanbevelingen waarin thuisgebruikers wordt uitgelegd wat voor actie ze kunnen ondernemen. De security goeroe heeft nu een update van de lijst gemaakt:

  1. Zet de PC uit als je hem niet gebruikt.
  2. Behandel je laptop alsof het je portemonnee is.
  3. Maak regelmatig backups.
  4. Gebruik bij voorkeur geen Windows, maar Mac of Linux. Gebruik je wel Windows, schakel dan Automatische Updates in en verwijder de bestanden "command.com" en "cmd.exe."
  5. Beperk het aantal applicaties op de PC.
  6. Gebruik geen Microsoft Internet Explorer, punt.
  7. Denk na voordat je zaken doet met een website.
  8. Verzin goede, lange en moeilijk te raden wachtwoorden.
  9. Zet HTML uit in de e-mail.
  10. Gebruik anti-virus en anti-spyware software
  11. Gebruik een Firewall.
  12. Gebruik encryptie.
Reacties (21)
11-12-2004, 22:15 door Anoniem
Ik vindt het altijd wel een goedkoop "advies" om te zeggen dat je een ander
product moet kiezen, i.p.v. tips te geven hoe je er het beste mee om kunt
gaan. Want dat is namelijk altijd mogelijk.
11-12-2004, 22:42 door Anoniem
13. Gebruik geen internet., punt
11-12-2004, 23:05 door [Account Verwijderd]
[Verwijderd]
11-12-2004, 23:23 door bustersnyvel

Ikzelf zou dit niet zo snel toepassen op eigen pc, cmd is
veel te handig :)

Wat je ook kan doen is Cygwin installeren en Bash gebruiken.
Het is ff een steile leer-curve, maar dan heb je een shell
die veel krachtiger is dan cmd. En daarbij is de kans klein
dat je een exploit aantreft die Bash op Windows gebruikt ;-)
12-12-2004, 01:40 door [Account Verwijderd]
[Verwijderd]
12-12-2004, 02:12 door Anoniem
Twee opvallende tips:
"4. Gebruik bij voorkeur geen Windows, maar Mac of Linux."
"6. Gebruik geen Microsoft Internet Explorer, punt."
Als een gewone sterveling zoiets roept hier, dan heb je de
poppen aan het dansen. Nu roept een guru het ...
Puntje 1 scheelt ook nog wat stroom trouwens :-)
12-12-2004, 03:56 door Anoniem
Hij zegt ook... behandel het als je protomonee!!!! :-(
Nou, ik ga niet op m'n Laptop zitten hoor -)
12-12-2004, 05:25 door Anoniem
Tja en als je achter een routertje of multipc modem hangt?
of achter bedrijftsfirewall?

is gewoon een kwestie wat heeft toegang en wat niet... maar
ja jan lul en maria kuttje willen plug en pray!
12-12-2004, 14:29 door Anoniem
Dit is echter SUPER BASIS, en vrijwel nutteloos omdat de
meeste mensen dit weten...
12-12-2004, 14:56 door Anoniem
Door Anoniem
Dit is echter SUPER BASIS, en vrijwel nutteloos omdat de
meeste mensen dit weten...
Nou, gezien de discussies hier soms valt dat te betwijfelen.
12-12-2004, 15:45 door Anoniem
> verwijder de bestanden "command.com" en "cmd.exe."

Zou ik niet doen. Ik kan me Internet Explorer updates herinneren
waarbij na de reboot en eerste logon een boxje oppopte dat zeer
waarschijnlijk een DOS-box was, dus sommige updates zullen
misschien niet goed meer worden uitgevoerd. Ter vergelijking:
ik heb op mijn systemen mshta.exe heroemd, maar daardoor
werken onder XP sommige eenvoudige systeemtaken niet meer.

Daarnaast, voor rescue operaties is cmd.exe onmisbaar; denk bijv.
aan "boot with command prompt only" (tip: overigens werkt dan de
windows file protection niet en kun je ongestraft files uit de winnt
c.w. windows en dllcache directories verwijderen of vervangen).

Op zaterdag 11 dec. 23:05 schreef NielsT onder meer hierover:
> Ik zou het eerder met permissions aanpakken.

Dat heeft natuurlijk alleen zin als je voor normaal gebruik van je
systeem niet met administrator rechten inlogt, maar dat doet
natuurlijk niemand die deze site bezoekt :)

Serieus, als je dat doet, verwijder dan niet alleen de execute
permissie maar ook de leesrechten. Er zijn gevallen bekend waarbij
een bestand toch uitvoerbaar bleek ondanks ontbrekende execute
permissie; andere VM's dan Win32 negeren deze voor zover ik weet.
Met command.com (16bits) kun je zo uitsluitend readable bestanden
starten, maar dit zal ook wel gelden voor bijv. Posix.

Nog een probleem: als men door een exploit SYSTEM privileges
verkrijgt helpen permissies waarschijnlijk ook weinig.

Conclusie: prima tips behalve 4 v.w.b. verwijderen van command.com
en cmd.exe. Daarnaast, tip 12 lijkt me zinloos voor doorsnee gebruikers
(maar is wel een begrijpelijke tip uit de mond van Bruce).

Mijn tip 13: benut voor dagelijks gebruik een account dat geen lid is
van de Administrators groep, en schroef zomogelijk permissies op,
maar dit vereist wel diepgaande kennis om een non-bootable PC te
voorkomen. Zelf heb ik bijv. geen schrijfrechten in de root van C:
waar veel exploits een "x.exe" o.i.d. proberen te schrijven. Deze tip
is natuurlijk niet van toepassing op Win9X/ME systemen, en onder
XP-home blijft het tobben door eruit gesloopte functionaliteit - m.i.
een blunder van MS, dit hadden ze van mij met SP2 mogen fixen.

Erik van Straten
12-12-2004, 15:57 door Anoniem
Door Anoniem
Dit is echter SUPER BASIS, en vrijwel nutteloos omdat de
meeste mensen dit weten...

FYI, ik heb deze punten even aan mijn papa voorgelegd. Hij gebruikt al
jaren Windows. Zijn reacties:


Zet de PC uit als je hem niet gebruikt. - Ach, dat beetje stroom...

Behandel je laptop alsof het je portemonnee is. - Ik heb geen laptop.

Maak regelmatig backups. - Doe ik nooit, weet eigenlijk niet eens hoe dat
moet.

Gebruik bij voorkeur geen Windows, maar Mac of Linux. Gebruik je wel
Windows, schakel dan Automatische Updates in en verwijder de
bestanden "command.com" en "cmd.exe." - Waar vindt ik die?

Beperk het aantal applicaties op de PC. - Ik heb Word en Davilex.

Gebruik geen Microsoft Internet Explorer, punt. - Waarom niet?

Denk na voordat je zaken doet met een website. - hmhm

Verzin goede, lange en moeilijk te raden wachtwoorden. - Waarvoor?

Zet HTML uit in de e-mail. - Waarom?

Gebruik anti-virus en anti-spyware software. Ik heb Norton geloof ik.

Gebruik een Firewall. - Ach, dat zal mijn provider toch wel hebben?

Gebruik encryptie. - Wat is dat nou weer?

Ik vermoed dat 80% van de mensen zo reageert.

dus....
12-12-2004, 17:08 door Anoniem
Door _stuffie_
FYI, ik heb deze punten even aan mijn papa voorgelegd. Hij
gebruikt al jaren Windows. Zijn reacties:

...

Ik vermoed dat 80% van de mensen zo reageert.
dus....
Dat 80% van de mensen zo reageert geloof ik zomaar. Ik denk
zelfs dat 80% erg voorzichtig geschat is. Maar ik denk dat
ook 80% van de mensen last heeft van spywaren en andere zooi.
Dat 80% van de mensen reageert als jouw papa, betekent toch
niet dat de adviezen slecht zijn? Ze zijn alleen niet
voldoende beargumenteerd en er worden te weinig concrete
alternatieven aangedragen.
dus.....
12-12-2004, 17:56 door Anoniem
Door _stuffie_
Door Anoniem
Dit is echter SUPER BASIS, en vrijwel nutteloos omdat de
meeste mensen dit weten...

FYI, ik heb deze punten even aan mijn papa voorgelegd. Hij gebruikt al
jaren Windows. Zijn reacties:


Zet de PC uit als je hem niet gebruikt. - Ach, dat beetje stroom...

Behandel je laptop alsof het je portemonnee is. - Ik heb geen laptop.

Maak regelmatig backups. - Doe ik nooit, weet eigenlijk niet eens hoe dat
moet.

Gebruik bij voorkeur geen Windows, maar Mac of Linux. Gebruik je wel
Windows, schakel dan Automatische Updates in en verwijder de
bestanden "command.com" en "cmd.exe." - Waar vindt ik die?

Beperk het aantal applicaties op de PC. - Ik heb Word en Davilex.

Gebruik geen Microsoft Internet Explorer, punt. - Waarom niet?

Denk na voordat je zaken doet met een website. - hmhm

Verzin goede, lange en moeilijk te raden wachtwoorden. - Waarvoor?

Zet HTML uit in de e-mail. - Waarom?

Gebruik anti-virus en anti-spyware software. Ik heb Norton geloof ik.

Gebruik een Firewall. - Ach, dat zal mijn provider toch wel hebben?

Gebruik encryptie. - Wat is dat nou weer?

Ik vermoed dat 80% van de mensen zo reageert.

dus....
alsof ik m'n eigen reactie lees................... kom toevallig op deze site en
dacht.....................dit is voor gevorderden.............als ik dit allemaal ga doen
kan ik een helpdesk bellen.........(sorry beginner!!!)
13-12-2004, 09:34 door Peter_
Ik zou eerder cscript en wscript verwijderen dan de cmd en command. wscript/cscript wordt vele malen vaker gebruikt dan cmd/command.

Door Anoniem
Hij zegt ook... behandel het als je protomonee!!!! :-(
Nou, ik ga niet op m'n Laptop zitten hoor -)


Als je op je protomonee zit heb je het op de verkeerde plek.
Zakkenrollers hebben deze zo uit je achterzak gejat.. Stop
je protomonee in je voorbroekzak. Daar komen ze bijna nooit.
En zien ze het ook niet zo snel zitten.
13-12-2004, 09:38 door Anoniem
Zet de PC uit als je hem niet gebruikt. - Ach, dat beetje
stroom...
> Omdat u ook de lichten 's avonds uit doet of ze op een
tijdsschakelaar hebt. Bovendien sluit u ook de ramen doet de
deur op slot indien je weggaat. Doe dit dus ook indien u
niet achter de computer zit. Lock desnoods je computer met
ctrl+alt+delete => lock computer. (onder windows 95,98 Me
kan dit niet)

Behandel je laptop alsof het je portemonnee is. - Ik heb
geen laptop.
Of andere mobiele apparaten, berg ze veilig op.

Maak regelmatig backups. - Doe ik nooit, weet eigenlijk niet
eens hoe dat
moet.
>Kwestie van de belangrijke data (wat moet ik hebben indien
mijn computer morgen niet meer opstart) op andere media te
kopieren, floppie, usb key, cd/dvd, externe / verwisselbare
harde schijf.

Gebruik bij voorkeur geen Windows, maar Mac of Linux.
Gebruik je wel
Windows, schakel dan Automatische Updates in en verwijder de
bestanden "command.com" en "cmd.exe." - Waar vindt ik die?
> Met het gebruik van Mac of linux ben ik het niet eens.
> start => zoeken => bestanden en mappen => cmd.exe; command.exe
> persoonlijk stel ik voor deze bestanden te kopieren naar
een nieuwe map.
En indien NT4; Windows 2000, XP of Windows 2003 gebruikt de
ntfs permissies aan te passen.
Hoe? :
http://gathering.tweakers.net/forum/list_messages/834407

Beperk het aantal applicaties op de PC. - Ik heb Word en
Davilex.
start => instellingen => configuratie scherm => toevoegen
verwijderen software.

Gebruik geen Microsoft Internet Explorer, punt. - Waarom niet?
> http://help.mozbrowser.nl/firefox/faq-antw.html#why
> Omdat het lastig is om Internet Explorer in te stellen
zodat er veilig kan worden gesurft.
> Snel toegang tot zoekmachines als google.

Denk na voordat je zaken doet met een website. - hmhm
> Ga na of het bedrijf al lang bestaat.
> Of de fysieke locatie te achterhalen is, kvk nummer,
financiele informatie.
> Kijk of er goede referenties te vinden zijn over het
bedrijf met een zoekmachine als google.

Verzin goede, lange en moeilijk te raden wachtwoorden. -
Waarvoor?
> Omdat een computer niet weet wie erachter zit, dezelfde
reden als een identiteitskaart / paspoort.
> U kunt worden beschuldigd van midaden die u niet heeft
gedaan. En hoewel dit recht kan worden gezet kan het veel
problemen voor u geven zoals afsluiting van het account.

Zet HTML uit in de e-mail. - Waarom?
>HTML kan scripts bevatten en automatisch virussen activeren
bij het openen van een e-mailtje.
>Ook kan de zender controleren of u de e-mail heeft gelezen
en met spam lijkt me het geen goed idee dat ze weten dat uw
e-mail adres actief gebruikt wordt.

Gebruik anti-virus en anti-spyware software. Ik heb Norton
geloof ik.
>Norton is geen anti spyware.
>Beter is het om downloads / bijlagen niet te accepteren
indien u er niet expliciet om heeft gevraagd.
> Spyware is een andere reden om niet Internet Explorer te
gebruiken.

Gebruik een Firewall. - Ach, dat zal mijn provider toch wel
hebben?
>Veronderstellen dat iets wel gebeurt is een slechte
instelling, bel ze eens op.
>Het gebruik van persoonlijke firewalls raadt ik ten
sterkste af, het is beter dan hier een aparte pc/apparaat
voor wordt gebruikt. En indien u hier zelf geen verstand van
heeft bel de provider eens op.

Gebruik encryptie. - Wat is dat nou weer?
> Versleuteling van gegevens, omdat alles wat op uw harde
schijf staat en u over internet verstuurt in principe af te
lezen is.
> Dit is niet handig bij het versturen van account namen en
wachtwoorden, of andere geheimen als creditcard / pincode
nummers.
> Let dus goed op of de site met https:// begint indien u
zaken wilt doen.
> Harde schijven met belangrijke informatie , niet bij het
grof vuil zetten (ook als de pc het echt niet meer doet)
maar gewoon in de nieuwe computer laten inbouwen.
13-12-2004, 11:26 door Anoniem
Tips 4 en 6: belachelijk. 99% gebruikt die software en het advies is dus om
het maar niet meer te gebruiken? Het wachten is op een grote klapper die
schade aanricht aan Mac en/of Linux en/of Firefox installatie. Ik neem aan
dat onze guru de lijst dan weer aanpast? Moeten we dan FreeBSD gaan
gebruiken? Ik heb ook wat tips, die volgens mij nog niet genoemd staan
hierboven:

1) Hernoem "administrator" naar iets minder voor de hand liggend,
bijvoorbeeld "gast12" o.i.d.
2) Disable "gast12". "Maar nu kan ik er niet meer in als local admin?"
Jawel, start maar in "safe mode" op, dan lukt het.
3) Maak dummy account "administrator" aan met weinig rechten (bijv.
guest) en verzin een heel moeilijk en lang wachtwoord. Mogen de hackers
daar hun tanden op stuk bijten.
4) Werk zelf als gewone user (browsen, tekstverwerken enz.)
5) Maak een "werkadmin" aan (met een niet voor de hand liggende naam)
en voeg die toe aan administrators. Gebruik deze een keer per week om
updates te checken via IE. Ga niet naar allerlei andere sites met deze
admin. Gebruik deze ook om software te installeren.
6) Je werkt dus als gewone gebruiker, maar let op:
zonder beheersrechten zijn de meeste autostarts niet meer voor
virusprogramma's bereikbaar
maar een gebruiker mag ook een paar autostarts inrichten:

c:documents and settings<gebruikersnaam>menu
startprogramma'sautostart
c:documents and settingsall usersmenu startprogramma'sautostart

hkcusoftwaremicrosoftwindowscurrentversionrun
hkcusoftwaremicrosoftwindowscurrentversionrunonce
hkcusoftwaremicrosoftwindows ntcurrentversionwindows

geef eerst schrijfrechten om e.e.a. in te richten en ontneem daarna
schrijfrechten
denk ook aan owner rechten - te bereiken via 'advanced'
7) Heb ja maar één pc? Zorg ervoor dat alleen tcp/ip op de
netwerkverbinding aan staat en disable: Client for MS networks, File and
Printsharing, QoS packet scheduler.
8) Schakel scripting host uit (tenzij je het zelf gebruikt natuurlijk):
hklmsoftwaremicrosoftwindows script hostsettingsenabled=0
enabled is een dword
13-12-2004, 13:52 door tifkap
Door Anoniem
Ik vindt het altijd wel een goedkoop "advies" om te zeggen dat je een ander

product moet kiezen, i.p.v. tips te geven hoe je er het beste mee om kunt
gaan. Want dat is namelijk altijd mogelijk.

MIsschien, maar het is wel het beste advies. Vergelijk het met een auto.
Als je een auto hebt die elke autodief op elke mogelijk manier kan stelen,
dan kun je veel geld gaan besteden aan alarm-systemen, een tracking
systeem, etc, maar de meest makkelijke en efficiente manier is eigenlijk om
doodgewoon een andere auto te kopen die niet alleen zelf beter is, maar
ook minder bekend. Als iedereen dat doet dan verlies je het voordeel dat
er minder van bekend is, maar dan nog heb je een auto die qua. security
minder makelijk te stelen is omdat je nieuwe auto gewoon beter is.
13-12-2004, 16:37 door Anoniem
Door tifkap
MIsschien, maar het is wel het beste advies. Vergelijk het met een auto.
Als je een auto hebt die elke autodief op elke mogelijk manier kan stelen,
dan kun je veel geld gaan besteden aan alarm-systemen, een tracking
systeem, etc, maar de meest makkelijke en efficiente manier is eigenlijk
om
doodgewoon een andere auto te kopen die niet alleen zelf beter is, maar
ook minder bekend. Als iedereen dat doet dan verlies je het voordeel dat
er minder van bekend is, maar dan nog heb je een auto die qua. security
minder makelijk te stelen is omdat je nieuwe auto gewoon beter is.
Ik rij zelf in een VW Golf zonder alarm. Als ik nu overstap in een nieuwe Kia
met alarm, dan heb ik wellicht minder kans dat die auto gestolen wordt. In
die Kia rij ik binnen 5 minuten weg, ik ben er zo aan gewend.

Dat verhaal gaat echter niet op voor het OS van een pc. Als ik de analogie
aanhoudt, dan is het advies dus: neem het vliegtuig (Linux), dan wordt je
auto (Windows) niet gestolen. Maar dan moet ik wel eerst een brevet halen
en dat kost me een paar jaar. Bovendien moet ik mijn werkgever ervan
overtuigen om naast de parkeerplaats een landingsbaan aan te leggen. Er
ontstaan twee problemen: ik ben veel tijd kwijt een nieuw systeem te leren
en ik ben daarna bovendien niet meer compatibel met de rest van de
wereld. Dus puur technisch bekeken is het misschien een zinnig advies,
maar er komt veel meer bij kijken dan alleen techniek.
14-12-2004, 17:45 door Anoniem
Door _stuffie_
Door Anoniem
Dit is echter SUPER BASIS, en vrijwel nutteloos omdat de
meeste mensen dit weten...

FYI, ik heb deze punten even aan mijn papa voorgelegd. Hij gebruikt al
jaren Windows. Zijn reacties:


Zet de PC uit als je hem niet gebruikt. - Ach, dat beetje stroom...

Behandel je laptop alsof het je portemonnee is. - Ik heb geen laptop.

Maak regelmatig backups. - Doe ik nooit, weet eigenlijk niet eens hoe dat
moet.

Gebruik bij voorkeur geen Windows, maar Mac of Linux. Gebruik je wel
Windows, schakel dan Automatische Updates in en verwijder de
bestanden "command.com" en "cmd.exe." - Waar vindt ik die?

Beperk het aantal applicaties op de PC. - Ik heb Word en Davilex.

Gebruik geen Microsoft Internet Explorer, punt. - Waarom niet?

Denk na voordat je zaken doet met een website. - hmhm

Verzin goede, lange en moeilijk te raden wachtwoorden. - Waarvoor?

Zet HTML uit in de e-mail. - Waarom?

Gebruik anti-virus en anti-spyware software. Ik heb Norton geloof ik.

Gebruik een Firewall. - Ach, dat zal mijn provider toch wel hebben?
Deze termen komen mij langzamerhand bekend voor: maar wat betekenen
deze, geef toe; ben een leek, maar wat meer kennis is nooit weg. Hoe kom
ik daaraan?
Gebruik encryptie. - Wat is dat nou weer?

Ik vermoed dat 80% van de mensen zo reageert.

dus....
14-12-2004, 19:35 door Anoniem
Door Anoniem
Ik rij zelf in een VW Golf zonder alarm. Als ik nu overstap
in een nieuwe Kia
met alarm, dan heb ik wellicht minder kans dat die auto
gestolen wordt. In
die Kia rij ik binnen 5 minuten weg, ik ben er zo aan gewend.

Dat verhaal gaat echter niet op voor het OS van een pc. Als
ik de analogie
aanhoudt, dan is het advies dus: neem het vliegtuig (Linux),
dan wordt je
auto (Windows) niet gestolen. Maar dan moet ik wel eerst een
brevet halen
en dat kost me een paar jaar. Bovendien moet ik mijn
werkgever ervan
overtuigen om naast de parkeerplaats een landingsbaan aan te
leggen. Er
ontstaan twee problemen: ik ben veel tijd kwijt een nieuw
systeem te leren
en ik ben daarna bovendien niet meer compatibel met de rest
van de
wereld. Dus puur technisch bekeken is het misschien een
zinnig advies,
maar er komt veel meer bij kijken dan alleen techniek.

Je doet nu net alsof linux het moeilijkste systeem op deze
aardbol is, en windows de hemel van gebruikersvriendelijkheid.
Mijn stelling: PC's zijn complexe appararen, OS'en
(daardoor?) complexe software. Voor iemand die er niets
vanaf weet is het allemaal even moeilijk.

Ook met de compatibaliteit ben ik het niet eens, het ligt er
namelijk aan van waar je het bekijkt. Windows is alleen
compatible met zichzelf, en linux ook met de rest.

O, ja, beetje off-topic: Ik heb wel eens gelezen dat vliegen
makkelijker is dan autorijden :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.