Medusoft heeft vandaag een nieuwe website gelanceerd. Daarin is onder meer ruimte gemaakt voor het Security in de Polder blog. Vanaf nu zal ik mijn ideeen over ontwikkelingen en nieuws op gebied van IT Security dan ook op medusoft.eu schrijven, specifiek op de volgende locatie:
https://www.medusoft.eu/category/newsroom/security-landschap/
Op deze locatie blijven de oude berichten nog staan, maar vanaf nu dus geen nieuws meer.
Vaarwel Blogspot!
donderdag 28 juli 2011
woensdag 27 juli 2011
5320 Nederlandse webpagina's gehackt in massale iframe aanval
Op het Armorize Malware Blog is melding gemaakt van een massale iframe aanval waardoor wereldwijd 90000 webpagina's zijn geinfecteerd en het aantal groeit, inmiddels staat de teller op 98200. De desbetreffende websites zijn normaal gesproken misschien betrouwbaar, maar vormen met de door hackers toegevoegde code een groot risico. Vanuit het iframe kan namelijk schadelijke code worden uitgevoerd terwijl de bezoeker het idee heeft een normale betrouwbare site te bezoeken.
Merk op dat de genoemde aantallen betrekking hebben op individuele pagina's en niet op domeinen. Het kan immers zo zijn dat 1 website meerdere keren in zoekresultaten van Google verschijnt.
Een controle of een bepaalde website getroffen is, kan eenvoudig worden uitgevoerd via Google Search. Daaruit blijkt dan ook dat van de (op moment van schrijven) 98200 webpagina's wereldwijd, in totaal 5320 afkomstig zijn uit Nederland, wat in Google Search eenvoudig gefilterd kan worden door aan de linkerkant te filteren op "Pagina's uit Nederland". Kijkend naar de zoekresultaten lijkt het voornamelijk te gaan om relatief kleine webwinkels, maar gezien de omvang is de kans groot dat er 1 bij zit die een willekeurige gebruiker wel eens bezoekt.
Het verdient de voorkeur de toegang tot deze website waar het iframe naar verwijst voorlopig te blokkeren. Het gaat om het domein willysy.com. Dus aan de gateway of liefst ook op endpoints zouden alle connecties naar dit domein moeten worden geblokkeerd. Klanten van Medusoft kunnen contact opnemen met ons voor instrucites.
Wij gaan ondertussen aan de slag om de beheerders van de getroffen websites te benaderen.
(Wijziging 9:22 uur: kanttekening over individuele pagina's vs domeinen toegevoegd)
Merk op dat de genoemde aantallen betrekking hebben op individuele pagina's en niet op domeinen. Het kan immers zo zijn dat 1 website meerdere keren in zoekresultaten van Google verschijnt.
Een controle of een bepaalde website getroffen is, kan eenvoudig worden uitgevoerd via Google Search. Daaruit blijkt dan ook dat van de (op moment van schrijven) 98200 webpagina's wereldwijd, in totaal 5320 afkomstig zijn uit Nederland, wat in Google Search eenvoudig gefilterd kan worden door aan de linkerkant te filteren op "Pagina's uit Nederland". Kijkend naar de zoekresultaten lijkt het voornamelijk te gaan om relatief kleine webwinkels, maar gezien de omvang is de kans groot dat er 1 bij zit die een willekeurige gebruiker wel eens bezoekt.
Het verdient de voorkeur de toegang tot deze website waar het iframe naar verwijst voorlopig te blokkeren. Het gaat om het domein willysy.com. Dus aan de gateway of liefst ook op endpoints zouden alle connecties naar dit domein moeten worden geblokkeerd. Klanten van Medusoft kunnen contact opnemen met ons voor instrucites.
Wij gaan ondertussen aan de slag om de beheerders van de getroffen websites te benaderen.
(Wijziging 9:22 uur: kanttekening over individuele pagina's vs domeinen toegevoegd)
dinsdag 26 juli 2011
Hacker kan Mac gebruikers onvruchtbaar maken
Tijdens mijn laatste vakantie vroegen mijn vrienden mij of er inmiddels ook virussen voor Macbooks zijn. Leken natuurlijk, maar daar neem ik graag de tijd voor, dus zei ik: "Ja, 5000 per dag". Gingen ze lachen. Niet echt een overtuigend argument blijkbaar of ik miste zelf overtuigingskracht... Hoe dan ook, je wilt je goede, zeer goede vrienden natuurlijk behoeden van alle kwaad, dus had ik op dat moment maar geweten waar de laatste dreiging vanuit de hackwereld op Macbooks op gericht is: de batterij... aan de onderkant... de kant het dichtste bij... de "lap"...
Het is het seizoen van de hackerconferenties en dat is het moment dat ze vooraan staan om hun nieuw ontdekte kwetsbaarheden in systemen te openbaren. Hackers, zoals iedereen inmiddels weet, hebben per definitie geen kwade intenties met hun ontdekkingen, maar het naar buiten brengen ervan brengt natuurlijk wel een risico met zich mee. In dit geval doet de "Research Consultant" in kwestie, Charlie Miller van Accuvant Labs, alvast een boekje open over de gevolgen van zijn ontdekking.
Die ontdekking komt er eigenlijk heel simpel op neer dat Apple in al hun Macs wereldwijd maar 2 wachtwoorden gebruikt om intern toegang tot hardware te beveiligen. Veel technischer zal ik het niet maken, maar dit soort belachelijke vormen van beveiliging leiden dus tot de mogelijkheid om toegang te krijgen tot onderdelen zoals de batterij. Richard Miller stelt dat hij op deze manier in staat is om de batterij zodanig te belasten dat deze in brand vliegt of zelfs ontploft. Aangezien een laptop ontworpen is om op je schoot te staan, zou ik dit niet graag meemaken. Overigens: dit probleem is niet beperkt tot Macs, vergelijkbare kwetsbaarheden bestaan ook voor hardware van andere fabrikanten.
De hack van Miller moet nog wel even aangetoond worden op de Black Hat security conferentie overigens, maar als deze kwetsbaarheid werkelijk bestaat, kan het snel overgenomen worden door kwaadwillenden. Die kwetsbaarheid zal dan bijvoorbeeld misbruikt worden door virussen die via schadelijke websites worden verspreid, zoals andere virussen. Kan dus gevaarlijk worden... voor de lap...
Aan de andere kant kan je je afvragen of deze hack in de praktijk werkelijk tot onvruchtbaarheid zal kunnen leiden: Schadelijke websites zijn namelijk doorgaans van het type waar (NSFW) content wordt aangeboden waarbij bezoekers geen ruimte hebben voor een laptop op de schoot...
NB: Oplossing = McAfee VirusScan for Mac, uiteraard verkrijgbaar via Medusoft
Intel en McAfee kondigen hybride security product op de chip aan voor einde 2011
In de bespreking van de Q2 resultaten van Intel, heeft CEO Paul Otellini onder andere aangekondigd dat een eerste product waarin Intel en McAfee technologie zijn geïntegreerd, in de 2e helft van 2011 zal worden gelanceerd.
McAfee turned in a very solid quarter with revenue beating our expectations. It was a second quarter record for McAfee in terms of revenue. Additionally, the number of large deals signed was almost double that of Q1. McAfee is executing very well and the importance of security has never been more evident. We are excited that later this year, Intel and McAfee will be shipping the very first products codeveloped by both companies that will greatly enhance security for computing applications.
This new solution is a combination of enhanced software from McAfee and security instructions built into the hardware from Intel. We look forward to providing more details of this product at our Developer Forum in September.
Het Intel Developer Forum in September vindt plaats in San Francisco en dat zal dus het eerste moment zijn waarop details openbaar zullen worden gemaakt. Voorlopig zijn die details nog in nevelen gehuld en blijft het dus speculeren, maar enige vorm van controle op hardware niveau van een PC zou altijd een enorme vooruitgang betekenen, al is het maar om te bewaken dat een rootkit de beveiliging binnen Windows niet uitschakelt.
Eerder deed voormalig McAfee CEO Dave Dewalt al uitspraken over de reeds aanwezige security technologie in Intel's chips en hoe McAfee al enige tijd werkt aan het benutten daarvan.
zaterdag 9 juli 2011
Elk IP-adres in een netwerk heeft beveiliging nodig.
Systeembeveiliging is van oudsher voornamelijk gericht op computers met besturingssysteem Microsoft Windows. Gebruikers van bijvoorbeeld Macintosh of Linux systemen waanden zich veilig, aangezien er relatief weinig virussen voor die besturingssystemen werden geschreven. Een onterechte conclusie is dat Apple veiliger is dan Windows. Het verschil in virussen zit hem namelijk puur in de factor aandacht. Vroeger was het schrijven van virussen vaak een hobbyklus, en was het doel om het virus zo snel mogelijk de wereld over te laten gaan. Logisch dat je je dan als virusschrijver richt op het besturingssysteem met de grootste dekkingsgraad.
De tijden zijn veranderd. Virusschrijvers hebben tegenwoordig criminele (of zelfs politieke) motieven. Er wordt serieus geld verdiend aan die virussen en het beste resultaat wordt bereikt door een virus zo lang mogelijk ongedetecteerd te laten blijven. Dat betekent weer dat virussen zo uniek mogelijk moeten zijn en dus net zo goed voor Macintosh, Linux of SCADA kunnen worden geschreven als voor Windows. Misschien vergroot die verschuiving van aandacht zelfs alleen maar de kansen voor criminelen aangezien non-Windows systemen vaak veel slechter beveiligd zijn.
Recente berichten in de media tonen aan dat Apple gebruikers de laatste tijd een fors groter risico lopen om geïnfecteerd te raken en dat zelfs industriële machines een risico lopen. Dat laatste is tot nu toe in de vorm van Stuxnet voornamelijk een probleem gebleken voor de kerncentrales van Iran, maar cybercriminelen kunnen het eenvoudig toepassen in een breder scnenario. Nu is een mogelijk verdienmodel voor criminelen om alle data op een computer door middel van een virus te versleutelen. De data is daarna ontoegankelijk voor de gebruiker; toegang vereist een wachtwoord. Het wachtwoord kan dan tegen betaling van losgeld verkregen worden bij de virusschrijver. We spreken hier van "Ransomware". Eenzelfde soort gijzeling zou via een lek in Siemens software kunnen worden toegepast op industriële machines. Laat staan dat op deze manier letterlijk schade aan een productproces kan worden aangebracht, zoals in dit filmpje aangetoond.
De verschuiving van aandacht van criminelen naar systemen anders dan Windows computers, vereist ook een uitbreiding van aandacht vanuit security afdelingen. Het zou naief zijn om nu alleen Macintosh op te nemen in het security beleid. Systemen die draaien op Linux, Android, iOS, Chrome OS, etc. bevatten net zo goed kwetsbaarheden als Windows en OSX. Vandaar de stelling: "Elk IP-adres in een netwerk heeft beveiliging nodig".
Als die stelling geaccepteerd is, dan moet eerst begonnen worden met duidelijk in kaart te brengen welke systemen er achter de IP-adressen in een netwerk schuilgaan, waarna bepaald kan worden op welke manier die allemaal beveiligd kunnen worden.
Voor Macintosh bestaat anti-virus software, voor (Siemens) PLC's is whitelisting wellicht beter, maar voor sommige systemen is systeembeveiliging om welke reden dan ook wellicht niet mogelijk. In dat geval zouden dergelijke systemen in een gescheiden netwerk moeten worden geplaatst ten opzichte van de rest van de systemen, een subnetwerk binnen het totale netwerk dus. Die scheiding kan virtueel of fysiek worden aangebracht, maar hij is broodnodig. Tussen de verschillende netwerken kunt u daarna het toegestane netwerkverkeer tot het noodzakelijke beperken en ook dat verkeer zelfs nog diep inspecteren.
Maar het begint dus met het besef en het herdefiniëren van het doel van netwerk-/en systeembeveiliging.
De tijden zijn veranderd. Virusschrijvers hebben tegenwoordig criminele (of zelfs politieke) motieven. Er wordt serieus geld verdiend aan die virussen en het beste resultaat wordt bereikt door een virus zo lang mogelijk ongedetecteerd te laten blijven. Dat betekent weer dat virussen zo uniek mogelijk moeten zijn en dus net zo goed voor Macintosh, Linux of SCADA kunnen worden geschreven als voor Windows. Misschien vergroot die verschuiving van aandacht zelfs alleen maar de kansen voor criminelen aangezien non-Windows systemen vaak veel slechter beveiligd zijn.
Recente berichten in de media tonen aan dat Apple gebruikers de laatste tijd een fors groter risico lopen om geïnfecteerd te raken en dat zelfs industriële machines een risico lopen. Dat laatste is tot nu toe in de vorm van Stuxnet voornamelijk een probleem gebleken voor de kerncentrales van Iran, maar cybercriminelen kunnen het eenvoudig toepassen in een breder scnenario. Nu is een mogelijk verdienmodel voor criminelen om alle data op een computer door middel van een virus te versleutelen. De data is daarna ontoegankelijk voor de gebruiker; toegang vereist een wachtwoord. Het wachtwoord kan dan tegen betaling van losgeld verkregen worden bij de virusschrijver. We spreken hier van "Ransomware". Eenzelfde soort gijzeling zou via een lek in Siemens software kunnen worden toegepast op industriële machines. Laat staan dat op deze manier letterlijk schade aan een productproces kan worden aangebracht, zoals in dit filmpje aangetoond.
De verschuiving van aandacht van criminelen naar systemen anders dan Windows computers, vereist ook een uitbreiding van aandacht vanuit security afdelingen. Het zou naief zijn om nu alleen Macintosh op te nemen in het security beleid. Systemen die draaien op Linux, Android, iOS, Chrome OS, etc. bevatten net zo goed kwetsbaarheden als Windows en OSX. Vandaar de stelling: "Elk IP-adres in een netwerk heeft beveiliging nodig".
Als die stelling geaccepteerd is, dan moet eerst begonnen worden met duidelijk in kaart te brengen welke systemen er achter de IP-adressen in een netwerk schuilgaan, waarna bepaald kan worden op welke manier die allemaal beveiligd kunnen worden.
Voor Macintosh bestaat anti-virus software, voor (Siemens) PLC's is whitelisting wellicht beter, maar voor sommige systemen is systeembeveiliging om welke reden dan ook wellicht niet mogelijk. In dat geval zouden dergelijke systemen in een gescheiden netwerk moeten worden geplaatst ten opzichte van de rest van de systemen, een subnetwerk binnen het totale netwerk dus. Die scheiding kan virtueel of fysiek worden aangebracht, maar hij is broodnodig. Tussen de verschillende netwerken kunt u daarna het toegestane netwerkverkeer tot het noodzakelijke beperken en ook dat verkeer zelfs nog diep inspecteren.
Maar het begint dus met het besef en het herdefiniëren van het doel van netwerk-/en systeembeveiliging.
Abonneren op:
Posts (Atom)