Medusoft heeft vandaag een nieuwe website gelanceerd. Daarin is onder meer ruimte gemaakt voor het Security in de Polder blog. Vanaf nu zal ik mijn ideeen over ontwikkelingen en nieuws op gebied van IT Security dan ook op medusoft.eu schrijven, specifiek op de volgende locatie:
https://www.medusoft.eu/category/newsroom/security-landschap/
Op deze locatie blijven de oude berichten nog staan, maar vanaf nu dus geen nieuws meer.
Vaarwel Blogspot!
donderdag 28 juli 2011
woensdag 27 juli 2011
5320 Nederlandse webpagina's gehackt in massale iframe aanval
Op het Armorize Malware Blog is melding gemaakt van een massale iframe aanval waardoor wereldwijd 90000 webpagina's zijn geinfecteerd en het aantal groeit, inmiddels staat de teller op 98200. De desbetreffende websites zijn normaal gesproken misschien betrouwbaar, maar vormen met de door hackers toegevoegde code een groot risico. Vanuit het iframe kan namelijk schadelijke code worden uitgevoerd terwijl de bezoeker het idee heeft een normale betrouwbare site te bezoeken.
Merk op dat de genoemde aantallen betrekking hebben op individuele pagina's en niet op domeinen. Het kan immers zo zijn dat 1 website meerdere keren in zoekresultaten van Google verschijnt.
Een controle of een bepaalde website getroffen is, kan eenvoudig worden uitgevoerd via Google Search. Daaruit blijkt dan ook dat van de (op moment van schrijven) 98200 webpagina's wereldwijd, in totaal 5320 afkomstig zijn uit Nederland, wat in Google Search eenvoudig gefilterd kan worden door aan de linkerkant te filteren op "Pagina's uit Nederland". Kijkend naar de zoekresultaten lijkt het voornamelijk te gaan om relatief kleine webwinkels, maar gezien de omvang is de kans groot dat er 1 bij zit die een willekeurige gebruiker wel eens bezoekt.
Het verdient de voorkeur de toegang tot deze website waar het iframe naar verwijst voorlopig te blokkeren. Het gaat om het domein willysy.com. Dus aan de gateway of liefst ook op endpoints zouden alle connecties naar dit domein moeten worden geblokkeerd. Klanten van Medusoft kunnen contact opnemen met ons voor instrucites.
Wij gaan ondertussen aan de slag om de beheerders van de getroffen websites te benaderen.
(Wijziging 9:22 uur: kanttekening over individuele pagina's vs domeinen toegevoegd)
Merk op dat de genoemde aantallen betrekking hebben op individuele pagina's en niet op domeinen. Het kan immers zo zijn dat 1 website meerdere keren in zoekresultaten van Google verschijnt.
Een controle of een bepaalde website getroffen is, kan eenvoudig worden uitgevoerd via Google Search. Daaruit blijkt dan ook dat van de (op moment van schrijven) 98200 webpagina's wereldwijd, in totaal 5320 afkomstig zijn uit Nederland, wat in Google Search eenvoudig gefilterd kan worden door aan de linkerkant te filteren op "Pagina's uit Nederland". Kijkend naar de zoekresultaten lijkt het voornamelijk te gaan om relatief kleine webwinkels, maar gezien de omvang is de kans groot dat er 1 bij zit die een willekeurige gebruiker wel eens bezoekt.
Het verdient de voorkeur de toegang tot deze website waar het iframe naar verwijst voorlopig te blokkeren. Het gaat om het domein willysy.com. Dus aan de gateway of liefst ook op endpoints zouden alle connecties naar dit domein moeten worden geblokkeerd. Klanten van Medusoft kunnen contact opnemen met ons voor instrucites.
Wij gaan ondertussen aan de slag om de beheerders van de getroffen websites te benaderen.
(Wijziging 9:22 uur: kanttekening over individuele pagina's vs domeinen toegevoegd)
dinsdag 26 juli 2011
Hacker kan Mac gebruikers onvruchtbaar maken
Tijdens mijn laatste vakantie vroegen mijn vrienden mij of er inmiddels ook virussen voor Macbooks zijn. Leken natuurlijk, maar daar neem ik graag de tijd voor, dus zei ik: "Ja, 5000 per dag". Gingen ze lachen. Niet echt een overtuigend argument blijkbaar of ik miste zelf overtuigingskracht... Hoe dan ook, je wilt je goede, zeer goede vrienden natuurlijk behoeden van alle kwaad, dus had ik op dat moment maar geweten waar de laatste dreiging vanuit de hackwereld op Macbooks op gericht is: de batterij... aan de onderkant... de kant het dichtste bij... de "lap"...
Het is het seizoen van de hackerconferenties en dat is het moment dat ze vooraan staan om hun nieuw ontdekte kwetsbaarheden in systemen te openbaren. Hackers, zoals iedereen inmiddels weet, hebben per definitie geen kwade intenties met hun ontdekkingen, maar het naar buiten brengen ervan brengt natuurlijk wel een risico met zich mee. In dit geval doet de "Research Consultant" in kwestie, Charlie Miller van Accuvant Labs, alvast een boekje open over de gevolgen van zijn ontdekking.
Die ontdekking komt er eigenlijk heel simpel op neer dat Apple in al hun Macs wereldwijd maar 2 wachtwoorden gebruikt om intern toegang tot hardware te beveiligen. Veel technischer zal ik het niet maken, maar dit soort belachelijke vormen van beveiliging leiden dus tot de mogelijkheid om toegang te krijgen tot onderdelen zoals de batterij. Richard Miller stelt dat hij op deze manier in staat is om de batterij zodanig te belasten dat deze in brand vliegt of zelfs ontploft. Aangezien een laptop ontworpen is om op je schoot te staan, zou ik dit niet graag meemaken. Overigens: dit probleem is niet beperkt tot Macs, vergelijkbare kwetsbaarheden bestaan ook voor hardware van andere fabrikanten.
De hack van Miller moet nog wel even aangetoond worden op de Black Hat security conferentie overigens, maar als deze kwetsbaarheid werkelijk bestaat, kan het snel overgenomen worden door kwaadwillenden. Die kwetsbaarheid zal dan bijvoorbeeld misbruikt worden door virussen die via schadelijke websites worden verspreid, zoals andere virussen. Kan dus gevaarlijk worden... voor de lap...
Aan de andere kant kan je je afvragen of deze hack in de praktijk werkelijk tot onvruchtbaarheid zal kunnen leiden: Schadelijke websites zijn namelijk doorgaans van het type waar (NSFW) content wordt aangeboden waarbij bezoekers geen ruimte hebben voor een laptop op de schoot...
NB: Oplossing = McAfee VirusScan for Mac, uiteraard verkrijgbaar via Medusoft
Intel en McAfee kondigen hybride security product op de chip aan voor einde 2011
In de bespreking van de Q2 resultaten van Intel, heeft CEO Paul Otellini onder andere aangekondigd dat een eerste product waarin Intel en McAfee technologie zijn geïntegreerd, in de 2e helft van 2011 zal worden gelanceerd.
McAfee turned in a very solid quarter with revenue beating our expectations. It was a second quarter record for McAfee in terms of revenue. Additionally, the number of large deals signed was almost double that of Q1. McAfee is executing very well and the importance of security has never been more evident. We are excited that later this year, Intel and McAfee will be shipping the very first products codeveloped by both companies that will greatly enhance security for computing applications.
This new solution is a combination of enhanced software from McAfee and security instructions built into the hardware from Intel. We look forward to providing more details of this product at our Developer Forum in September.
Het Intel Developer Forum in September vindt plaats in San Francisco en dat zal dus het eerste moment zijn waarop details openbaar zullen worden gemaakt. Voorlopig zijn die details nog in nevelen gehuld en blijft het dus speculeren, maar enige vorm van controle op hardware niveau van een PC zou altijd een enorme vooruitgang betekenen, al is het maar om te bewaken dat een rootkit de beveiliging binnen Windows niet uitschakelt.
Eerder deed voormalig McAfee CEO Dave Dewalt al uitspraken over de reeds aanwezige security technologie in Intel's chips en hoe McAfee al enige tijd werkt aan het benutten daarvan.
zaterdag 9 juli 2011
Elk IP-adres in een netwerk heeft beveiliging nodig.
Systeembeveiliging is van oudsher voornamelijk gericht op computers met besturingssysteem Microsoft Windows. Gebruikers van bijvoorbeeld Macintosh of Linux systemen waanden zich veilig, aangezien er relatief weinig virussen voor die besturingssystemen werden geschreven. Een onterechte conclusie is dat Apple veiliger is dan Windows. Het verschil in virussen zit hem namelijk puur in de factor aandacht. Vroeger was het schrijven van virussen vaak een hobbyklus, en was het doel om het virus zo snel mogelijk de wereld over te laten gaan. Logisch dat je je dan als virusschrijver richt op het besturingssysteem met de grootste dekkingsgraad.
De tijden zijn veranderd. Virusschrijvers hebben tegenwoordig criminele (of zelfs politieke) motieven. Er wordt serieus geld verdiend aan die virussen en het beste resultaat wordt bereikt door een virus zo lang mogelijk ongedetecteerd te laten blijven. Dat betekent weer dat virussen zo uniek mogelijk moeten zijn en dus net zo goed voor Macintosh, Linux of SCADA kunnen worden geschreven als voor Windows. Misschien vergroot die verschuiving van aandacht zelfs alleen maar de kansen voor criminelen aangezien non-Windows systemen vaak veel slechter beveiligd zijn.
Recente berichten in de media tonen aan dat Apple gebruikers de laatste tijd een fors groter risico lopen om geïnfecteerd te raken en dat zelfs industriële machines een risico lopen. Dat laatste is tot nu toe in de vorm van Stuxnet voornamelijk een probleem gebleken voor de kerncentrales van Iran, maar cybercriminelen kunnen het eenvoudig toepassen in een breder scnenario. Nu is een mogelijk verdienmodel voor criminelen om alle data op een computer door middel van een virus te versleutelen. De data is daarna ontoegankelijk voor de gebruiker; toegang vereist een wachtwoord. Het wachtwoord kan dan tegen betaling van losgeld verkregen worden bij de virusschrijver. We spreken hier van "Ransomware". Eenzelfde soort gijzeling zou via een lek in Siemens software kunnen worden toegepast op industriële machines. Laat staan dat op deze manier letterlijk schade aan een productproces kan worden aangebracht, zoals in dit filmpje aangetoond.
De verschuiving van aandacht van criminelen naar systemen anders dan Windows computers, vereist ook een uitbreiding van aandacht vanuit security afdelingen. Het zou naief zijn om nu alleen Macintosh op te nemen in het security beleid. Systemen die draaien op Linux, Android, iOS, Chrome OS, etc. bevatten net zo goed kwetsbaarheden als Windows en OSX. Vandaar de stelling: "Elk IP-adres in een netwerk heeft beveiliging nodig".
Als die stelling geaccepteerd is, dan moet eerst begonnen worden met duidelijk in kaart te brengen welke systemen er achter de IP-adressen in een netwerk schuilgaan, waarna bepaald kan worden op welke manier die allemaal beveiligd kunnen worden.
Voor Macintosh bestaat anti-virus software, voor (Siemens) PLC's is whitelisting wellicht beter, maar voor sommige systemen is systeembeveiliging om welke reden dan ook wellicht niet mogelijk. In dat geval zouden dergelijke systemen in een gescheiden netwerk moeten worden geplaatst ten opzichte van de rest van de systemen, een subnetwerk binnen het totale netwerk dus. Die scheiding kan virtueel of fysiek worden aangebracht, maar hij is broodnodig. Tussen de verschillende netwerken kunt u daarna het toegestane netwerkverkeer tot het noodzakelijke beperken en ook dat verkeer zelfs nog diep inspecteren.
Maar het begint dus met het besef en het herdefiniëren van het doel van netwerk-/en systeembeveiliging.
De tijden zijn veranderd. Virusschrijvers hebben tegenwoordig criminele (of zelfs politieke) motieven. Er wordt serieus geld verdiend aan die virussen en het beste resultaat wordt bereikt door een virus zo lang mogelijk ongedetecteerd te laten blijven. Dat betekent weer dat virussen zo uniek mogelijk moeten zijn en dus net zo goed voor Macintosh, Linux of SCADA kunnen worden geschreven als voor Windows. Misschien vergroot die verschuiving van aandacht zelfs alleen maar de kansen voor criminelen aangezien non-Windows systemen vaak veel slechter beveiligd zijn.
Recente berichten in de media tonen aan dat Apple gebruikers de laatste tijd een fors groter risico lopen om geïnfecteerd te raken en dat zelfs industriële machines een risico lopen. Dat laatste is tot nu toe in de vorm van Stuxnet voornamelijk een probleem gebleken voor de kerncentrales van Iran, maar cybercriminelen kunnen het eenvoudig toepassen in een breder scnenario. Nu is een mogelijk verdienmodel voor criminelen om alle data op een computer door middel van een virus te versleutelen. De data is daarna ontoegankelijk voor de gebruiker; toegang vereist een wachtwoord. Het wachtwoord kan dan tegen betaling van losgeld verkregen worden bij de virusschrijver. We spreken hier van "Ransomware". Eenzelfde soort gijzeling zou via een lek in Siemens software kunnen worden toegepast op industriële machines. Laat staan dat op deze manier letterlijk schade aan een productproces kan worden aangebracht, zoals in dit filmpje aangetoond.
De verschuiving van aandacht van criminelen naar systemen anders dan Windows computers, vereist ook een uitbreiding van aandacht vanuit security afdelingen. Het zou naief zijn om nu alleen Macintosh op te nemen in het security beleid. Systemen die draaien op Linux, Android, iOS, Chrome OS, etc. bevatten net zo goed kwetsbaarheden als Windows en OSX. Vandaar de stelling: "Elk IP-adres in een netwerk heeft beveiliging nodig".
Als die stelling geaccepteerd is, dan moet eerst begonnen worden met duidelijk in kaart te brengen welke systemen er achter de IP-adressen in een netwerk schuilgaan, waarna bepaald kan worden op welke manier die allemaal beveiligd kunnen worden.
Voor Macintosh bestaat anti-virus software, voor (Siemens) PLC's is whitelisting wellicht beter, maar voor sommige systemen is systeembeveiliging om welke reden dan ook wellicht niet mogelijk. In dat geval zouden dergelijke systemen in een gescheiden netwerk moeten worden geplaatst ten opzichte van de rest van de systemen, een subnetwerk binnen het totale netwerk dus. Die scheiding kan virtueel of fysiek worden aangebracht, maar hij is broodnodig. Tussen de verschillende netwerken kunt u daarna het toegestane netwerkverkeer tot het noodzakelijke beperken en ook dat verkeer zelfs nog diep inspecteren.
Maar het begint dus met het besef en het herdefiniëren van het doel van netwerk-/en systeembeveiliging.
donderdag 30 juni 2011
Blokkeer DDOS aanvallen op basis van afkomst
In het NRC van 29 juni wordt beschreven hoe de Rabobank zich in het verleden beschermd heeft en in de toekomst wil beschermen tegen DDOS aanvallen. In het artikel stelt NRC redacteur Mark Hijink dat het blokkeren van verkeer uit bepaalde landen mogelijk uitkomst had geboden tegen recente aanvallen. Een dergelijke reactie lijkt wellicht iets wat altijd alleen in samenwerking met de Internet Service Provider kan worden ingezet, maar dat is niet per sé het geval.
De nieuwste generatie firewalls ("Next Generation Firewalls") is namelijk in staat om op basis van het IP-adres van de aanvaller diens afkomst te bepalen. Zo kan eenvoudig en snel een regel worden ingesteld dat alle verbindingen vanuit een bepaald land of bepaalde regio zonder meer moeten worden geblokkeerd. De eenvoudigste modellen van firewalls die dit soort technologie bevatten, kosten slechts een fractie van de 15.000 euro die in het NRC artikel vermeld staat. Daarmee is weliswaar geen 100% oplossing tegen DDOS aanvallen in het algemeen getroffen, maar het is, zoals het artikel aangeeft, wel een echt paardenmiddel in geval van calamiteiten.
Voor een uitgebreidere discussie over een zo compleet mogelijke oplossing tegen DDOS aanvallen zijn wij graag beschikbaar!
De nieuwste generatie firewalls ("Next Generation Firewalls") is namelijk in staat om op basis van het IP-adres van de aanvaller diens afkomst te bepalen. Zo kan eenvoudig en snel een regel worden ingesteld dat alle verbindingen vanuit een bepaald land of bepaalde regio zonder meer moeten worden geblokkeerd. De eenvoudigste modellen van firewalls die dit soort technologie bevatten, kosten slechts een fractie van de 15.000 euro die in het NRC artikel vermeld staat. Daarmee is weliswaar geen 100% oplossing tegen DDOS aanvallen in het algemeen getroffen, maar het is, zoals het artikel aangeeft, wel een echt paardenmiddel in geval van calamiteiten.
Voor een uitgebreidere discussie over een zo compleet mogelijke oplossing tegen DDOS aanvallen zijn wij graag beschikbaar!
donderdag 23 juni 2011
Schrijvers van nep Anti-Virus verdienen 52 miljoen euro
De FBI heeft bekend gemaakt een bende opgerold te hebben die actief was in het schrijven van nep anti-virus software (ook wel FakeAV of Scareware genoemd). Dit soort software geeft een gebruiker de indruk geïnfecteerd te zijn en biedt direct de oplossing, ... tegen betaling uiteraard! Meer dan een miljoen computergebruikers wereldwijd zijn er helaas in getrapt.
Voorbeeld: Fake AV ziet er ontzettend herkenbaar uit.
Wij worden regelmatig gevraagd wat nu de intentie van een virusschrijver is. Vroeger was dat voornamelijk de "kick", maar tegenwoordig wordt er serieus geld verdiend aan het schrijven van malware. Denk aan het verhuren van een Botnet om spam te versturen of een ddos aanval uit te voeren en het verkopen van een "Malware Toolkit". Dat laatste is iets waar zelfs de EU zich druk over maakt. Het FakeAV-businessmodel is een trend van de laatste jaren, en blijkt erg succesvol. Het is zelfs aan te nemen dat er in veel gevallen uiteindelijk sprake is van een gevoelsmatige win-win situatie. Het slachtoffer betaalt en heeft daarna een "virus-vrije" PC.
Klassieke Anti-Virus software heeft de grootste moeite om de ontwikkeling van nieuwe FakeAV varianten bij te houden. Dat betekent dat gebruikers een redelijke kans hebben tegen een nieuwe variant aan te lopen als ze zicht te vrij op het internet begeven. De introductie van nieuwe varianten op het internet gaat in een moordend tempo, en vereist een extra, meer pro-actieve manier van beveiliging.
Proactief beveiliging van uw internetverkeer kan bijvoorbeeld op de volgende manieren:
1. URL Filtering; blokkeer schadelijke sites
De meest eenvoudige manier om het internetgebruik aan banden te leggen, is door te bepalen welk type websites voor u een zakelijk karakter hebben, of anders gezegd: gewenst zijn. Bijkomend voordeel is minder afleiding en dus verhoogde productiviteit alhoewel er al snel een discussie kan ontstaan over wat zakelijk en niet-zakelijk, bijvoorbeeld als het gaat om Social Media. Feit is dat het bijna noodzakelijk is om een bepaald niveau van URL filtering toe te passen. Het zal nooit een probleem zijn als websites met een schadelijke reputatie worden geblokkeerd. Een heel simpele "quick-win" en het hoeft niet duur te zijn.
Ons Advies: endpoint / gateway
2. Intrusion Prevention
De Nep Virusscanners worden vaak (automatisch) geïnstalleerd wanneer een gebruiker op een schadelijke website komt. Dat automatische zit hem in het misbruiken van een beveiligingslek in bijvoorbeeld Internet Explorer. Internet Explorer wordt in voorbeelden van beveiligingslekken vaak aangehaald, maar het is een feit dat Adobe (Flash Player, Acrobat Reader, etc.) en Java tegenwoordig steeds vaker worden aangevallen. Wanneer al die (internet-gerichte) software op elk moment volledig up-to-date is met de laatste beveiligingspatches, dan is de kans op besmetting vele malen kleiner. Echter: het is haast niet te doen om dat voor al die software onder controle te houden, om maar niet te spreken over de tijd en dus geld die je daarvoor uit zou moeten trekken.
Een oplossing voor dit probleem is Intrusion Prevention (IPS). Die technologie kent de lekken op het systeem en plaatst daar een virtueel vangnet voor. We spreken dan wel van "Virtual Patching": u patcht niet, maar bent toch veilig.
Wanneer FakeAV en soortgelijke programma's geen gebruik kan maken van dit soort lekken, dan zal de infectiekans bij toekomstige versie afnemen - of ze nu wel of niet als zodanig herkend worden door Anti-Virus.
Ons advies: endpoint / gateway.
3. User Awareness
En natuurlijk niet te onderschatten is om begrip te kweken bij gebruikers. Dit gaat echter hand in hand met technologie want de aanvallen zijn dusdanig dat gebruikersinteractie soms niet eens nodig is om geïnfecteerd te raken of dat zelfs de systeembeheerders erin zouden kunnen trappen.
Het is natuurlijk belangrijk dat gebruikers gewaarschuwd worden voor dit soort trucs. Laat hen zien welk merk Anti-Virus u gebruikt. Druk hen op het hart dat zij alleen van dat merk Anti-Virus serieuze meldingen zullen ontvangen en zeg dat ze nooit - maar dan ook nooit - zelfstandig in moeten gaan op verzoeken om te betalen voor software.
Extra Uitleg
Goede uitleg over "Scareware" is hier te vinden, inclusief een video. Weliswaar in het Engels.
Voorbeeld: Fake AV ziet er ontzettend herkenbaar uit.
Wij worden regelmatig gevraagd wat nu de intentie van een virusschrijver is. Vroeger was dat voornamelijk de "kick", maar tegenwoordig wordt er serieus geld verdiend aan het schrijven van malware. Denk aan het verhuren van een Botnet om spam te versturen of een ddos aanval uit te voeren en het verkopen van een "Malware Toolkit". Dat laatste is iets waar zelfs de EU zich druk over maakt. Het FakeAV-businessmodel is een trend van de laatste jaren, en blijkt erg succesvol. Het is zelfs aan te nemen dat er in veel gevallen uiteindelijk sprake is van een gevoelsmatige win-win situatie. Het slachtoffer betaalt en heeft daarna een "virus-vrije" PC.
Klassieke Anti-Virus software heeft de grootste moeite om de ontwikkeling van nieuwe FakeAV varianten bij te houden. Dat betekent dat gebruikers een redelijke kans hebben tegen een nieuwe variant aan te lopen als ze zicht te vrij op het internet begeven. De introductie van nieuwe varianten op het internet gaat in een moordend tempo, en vereist een extra, meer pro-actieve manier van beveiliging.
Proactief beveiliging van uw internetverkeer kan bijvoorbeeld op de volgende manieren:
1. URL Filtering; blokkeer schadelijke sites
De meest eenvoudige manier om het internetgebruik aan banden te leggen, is door te bepalen welk type websites voor u een zakelijk karakter hebben, of anders gezegd: gewenst zijn. Bijkomend voordeel is minder afleiding en dus verhoogde productiviteit alhoewel er al snel een discussie kan ontstaan over wat zakelijk en niet-zakelijk, bijvoorbeeld als het gaat om Social Media. Feit is dat het bijna noodzakelijk is om een bepaald niveau van URL filtering toe te passen. Het zal nooit een probleem zijn als websites met een schadelijke reputatie worden geblokkeerd. Een heel simpele "quick-win" en het hoeft niet duur te zijn.
Ons Advies: endpoint / gateway
2. Intrusion Prevention
De Nep Virusscanners worden vaak (automatisch) geïnstalleerd wanneer een gebruiker op een schadelijke website komt. Dat automatische zit hem in het misbruiken van een beveiligingslek in bijvoorbeeld Internet Explorer. Internet Explorer wordt in voorbeelden van beveiligingslekken vaak aangehaald, maar het is een feit dat Adobe (Flash Player, Acrobat Reader, etc.) en Java tegenwoordig steeds vaker worden aangevallen. Wanneer al die (internet-gerichte) software op elk moment volledig up-to-date is met de laatste beveiligingspatches, dan is de kans op besmetting vele malen kleiner. Echter: het is haast niet te doen om dat voor al die software onder controle te houden, om maar niet te spreken over de tijd en dus geld die je daarvoor uit zou moeten trekken.
Een oplossing voor dit probleem is Intrusion Prevention (IPS). Die technologie kent de lekken op het systeem en plaatst daar een virtueel vangnet voor. We spreken dan wel van "Virtual Patching": u patcht niet, maar bent toch veilig.
Wanneer FakeAV en soortgelijke programma's geen gebruik kan maken van dit soort lekken, dan zal de infectiekans bij toekomstige versie afnemen - of ze nu wel of niet als zodanig herkend worden door Anti-Virus.
Ons advies: endpoint / gateway.
3. User Awareness
En natuurlijk niet te onderschatten is om begrip te kweken bij gebruikers. Dit gaat echter hand in hand met technologie want de aanvallen zijn dusdanig dat gebruikersinteractie soms niet eens nodig is om geïnfecteerd te raken of dat zelfs de systeembeheerders erin zouden kunnen trappen.
Het is natuurlijk belangrijk dat gebruikers gewaarschuwd worden voor dit soort trucs. Laat hen zien welk merk Anti-Virus u gebruikt. Druk hen op het hart dat zij alleen van dat merk Anti-Virus serieuze meldingen zullen ontvangen en zeg dat ze nooit - maar dan ook nooit - zelfstandig in moeten gaan op verzoeken om te betalen voor software.
Extra Uitleg
Goede uitleg over "Scareware" is hier te vinden, inclusief een video. Weliswaar in het Engels.
woensdag 22 juni 2011
Cyberstorm III: Overheid niet voorbereid op hackers vanwege ontbreken coördinatie en daadkracht
Een interessant artikel in het AD vandaag over de status van beveiliging bij onze overheid. Blijkbaar is eindelijk eens vastgesteld dat een goed werkende IT beveiliging begint met coördinatie, en dat juist dat stuk ontbreekt bij de overheid. Hear hear!
Medusoft is inmiddels al weer een aardige tijd bezig met het structureel verkondigen van het Security Risk Management proces. Dat is een schematische weergave van hoe idealiter de IT Security zou moeten zijn georganiseerd. Is niet door ons bedacht, maar een algemeen door de industrie geaccepteerde weergave.
SRM begint met het bepalen van beleid, en dat is direct het punt waarop op grote schaal de fout in wordt gegaan. Het security beleid is er namelijk heel vaak niet, is niet up-to-date of is het eigendom van mensen op een laag niveau van de organisatie. Dat laatste sluit overigens aan op een meer algemeen probleem dat laatst nog eens benadrukt werd door Neelie Kroes: namelijk het ontbreken van een "CIO" bij veel organisaties. Iemand die op het allerhoogste niveau de verantwoordelijkheid heeft voor het coördineren van de ICT, en als onderdeel daarvan dus ook de beveiliging.
Stap 1 is dus het bepalen van beleid. Dat beleid mag geschreven worden door een specialist, maar het bestaan ervan moet bekend zijn op het hoogste niveau, en de inhoud ervan moet gedragen worden op datzelfde niveau. Dat biedt namelijk voor het eerst de mogelijkheid aan de IT afdeling om de beveiliging langs bepaalde voorgedefinieerde lijnen in te richten. Uitzonderingen op het beleid kunnen dan ook via het hoogste niveau verlopen: daar wordt dan de verantwoordelijkheid gedragen als iemand vind dat een bepaald systeem bijvoorbeeld geen Anti-Virus software hoeft te hebben. Nu is het vaak zo dat die anti-virus software wordt verwijderd zonder dat iemand verantwoordelijk is voor de potentiele risico's die dat met zich meebrengt. Slechte zaak.
SRM gaat na stap 1 nog een stuk verder, en daar mag je me naar vragen, maar begin maar eens met stap 1. Succes!
Medusoft is inmiddels al weer een aardige tijd bezig met het structureel verkondigen van het Security Risk Management proces. Dat is een schematische weergave van hoe idealiter de IT Security zou moeten zijn georganiseerd. Is niet door ons bedacht, maar een algemeen door de industrie geaccepteerde weergave.
SRM begint met het bepalen van beleid, en dat is direct het punt waarop op grote schaal de fout in wordt gegaan. Het security beleid is er namelijk heel vaak niet, is niet up-to-date of is het eigendom van mensen op een laag niveau van de organisatie. Dat laatste sluit overigens aan op een meer algemeen probleem dat laatst nog eens benadrukt werd door Neelie Kroes: namelijk het ontbreken van een "CIO" bij veel organisaties. Iemand die op het allerhoogste niveau de verantwoordelijkheid heeft voor het coördineren van de ICT, en als onderdeel daarvan dus ook de beveiliging.
Stap 1 is dus het bepalen van beleid. Dat beleid mag geschreven worden door een specialist, maar het bestaan ervan moet bekend zijn op het hoogste niveau, en de inhoud ervan moet gedragen worden op datzelfde niveau. Dat biedt namelijk voor het eerst de mogelijkheid aan de IT afdeling om de beveiliging langs bepaalde voorgedefinieerde lijnen in te richten. Uitzonderingen op het beleid kunnen dan ook via het hoogste niveau verlopen: daar wordt dan de verantwoordelijkheid gedragen als iemand vind dat een bepaald systeem bijvoorbeeld geen Anti-Virus software hoeft te hebben. Nu is het vaak zo dat die anti-virus software wordt verwijderd zonder dat iemand verantwoordelijk is voor de potentiele risico's die dat met zich meebrengt. Slechte zaak.
SRM gaat na stap 1 nog een stuk verder, en daar mag je me naar vragen, maar begin maar eens met stap 1. Succes!
maandag 20 juni 2011
Noodkreet @NL.gov, het is menens!!! #AntiSec komt u halen en u maakt geen schijn van kans...
Hackersgroep LulzSec (omg wat een exposure, GJ) heeft de oorlog verklaard aan overheden, banken en andere grote instanties. "Operation Anti-Security" #AntiSec is gelanceerd in de vorm van een oproep aan iedereen die wil om mee te doen aan een grootschalige en voortdurende poging zoveel mogelijk geheime informatie te verkrijgen. Anonymous doet alvast mee...
Het is een soort Wikileaks 2.0. Waar Julian Assange de informatie aangeleverd kreeg, gaat LulzSec het gewoon halen. En in tegenstelling tot hun eerdere acties niet gewoon-omdat-het-kan (voor de Lulz), maar echt met een ideologische inslag, zo lijkt het. Ik had eerlijk gezegd best een beetje sympathie voor deze beweging. Ze legden feilloos bloot hoe gevaarlijk het internet is, wat inderdaad nodig is omdat mensen het maar niet willen begrijpen. Met deze actie krijgt het wel een iets andere draai en verliest de club mijn sympathie. Ik ben er namelijk van overtuigd dat geheimen soms noodzakelijk zijn en een buitenstaander kan het noodzakelijke niet van het vermijdbare scheiden; althans het lijkt niet eens de bedoeling te zijn het te proberen. Niet van Julian Assange en dus ook niet van LulzSec of Anonymous.
Nu wil ik deze dreiging voor onze overheid eens afzetten tegen een ervaring die ik heel recent had bij 1 van onze ministeries (ik zal maar geen namen noemen om het nog een beetje spannend te houden). Daar stond de beheerder van hun desktop beveiliging op het punt van vertrekken en die had zichzelf afgevraagd wie dat eigenlijk van hem over moest nemen. Hij had zelf dat beheer min of meer er altijd een beetje bij gedaan, wat neerkwam op hooguit 1 controlemoment per week en dat is nog hoog ingeschat. De vraag of dat voldoende aandacht voor endpoint beveiliging is, moest nog beantwoord worden. Even voor de duidelijkheid mijn antwoord: neeneeNEEN! Vooral niet als je zoals bij dit ministerie je gebruikers compleet vrij op het internet laat: geen content-scanning in http, en ook geen url-filtering. De enige beveiliging = anti-virus, die tegenwoordig elke dag 75.000 nieuwe virussen moet leren kennen in de vorm van een update. 1 gemiste update in 2011 staat gelijk aan een half jaar gemiste updates 10 jaar geleden. En dat controleer je dus NIET 1x per 2 weken maar gewoon elke dag, 7 dagen per week, 365 dagen per jaar. Inderdaad ja.
Het controleren van je beveiligingstechnologie is zoals het bekijken van de beelden van een bewakingscamera. Als je niet zeker weet dat die camera het nog doet: wat is dan het nut? Een grove fout is dat men in de IT Security vaak calamiteiten denkt op te lossen door technologie aan te schaffen. Weer in vergelijk met die camera: als je mazzel hebt, wordt ie opgehangen...
Nee NL overheid, u kunt maar beter direct beginnen in actie te komen. Als ze bij de N zijn is het te laat.
Het is een soort Wikileaks 2.0. Waar Julian Assange de informatie aangeleverd kreeg, gaat LulzSec het gewoon halen. En in tegenstelling tot hun eerdere acties niet gewoon-omdat-het-kan (voor de Lulz), maar echt met een ideologische inslag, zo lijkt het. Ik had eerlijk gezegd best een beetje sympathie voor deze beweging. Ze legden feilloos bloot hoe gevaarlijk het internet is, wat inderdaad nodig is omdat mensen het maar niet willen begrijpen. Met deze actie krijgt het wel een iets andere draai en verliest de club mijn sympathie. Ik ben er namelijk van overtuigd dat geheimen soms noodzakelijk zijn en een buitenstaander kan het noodzakelijke niet van het vermijdbare scheiden; althans het lijkt niet eens de bedoeling te zijn het te proberen. Niet van Julian Assange en dus ook niet van LulzSec of Anonymous.
Nu wil ik deze dreiging voor onze overheid eens afzetten tegen een ervaring die ik heel recent had bij 1 van onze ministeries (ik zal maar geen namen noemen om het nog een beetje spannend te houden). Daar stond de beheerder van hun desktop beveiliging op het punt van vertrekken en die had zichzelf afgevraagd wie dat eigenlijk van hem over moest nemen. Hij had zelf dat beheer min of meer er altijd een beetje bij gedaan, wat neerkwam op hooguit 1 controlemoment per week en dat is nog hoog ingeschat. De vraag of dat voldoende aandacht voor endpoint beveiliging is, moest nog beantwoord worden. Even voor de duidelijkheid mijn antwoord: neeneeNEEN! Vooral niet als je zoals bij dit ministerie je gebruikers compleet vrij op het internet laat: geen content-scanning in http, en ook geen url-filtering. De enige beveiliging = anti-virus, die tegenwoordig elke dag 75.000 nieuwe virussen moet leren kennen in de vorm van een update. 1 gemiste update in 2011 staat gelijk aan een half jaar gemiste updates 10 jaar geleden. En dat controleer je dus NIET 1x per 2 weken maar gewoon elke dag, 7 dagen per week, 365 dagen per jaar. Inderdaad ja.
Het controleren van je beveiligingstechnologie is zoals het bekijken van de beelden van een bewakingscamera. Als je niet zeker weet dat die camera het nog doet: wat is dan het nut? Een grove fout is dat men in de IT Security vaak calamiteiten denkt op te lossen door technologie aan te schaffen. Weer in vergelijk met die camera: als je mazzel hebt, wordt ie opgehangen...
Nee NL overheid, u kunt maar beter direct beginnen in actie te komen. Als ze bij de N zijn is het te laat.
donderdag 16 juni 2011
LulzSec legt de ene na de andere website plat. Wat te doen?
Hackersgroep LulzSec heeft zich als doel gesteld om aan te tonen dat de beveiliging van websites vaak zwaar ondermaats is. Zij slagen er dan ook in om de één na de andere website plat te leggen. Het hoogtepunt was afgelopen nacht, toen ze de CIA hebben aangepakt.
Rijst de vraag: wat moeten we hier nu weer mee?
Welnu. De website is bereikbaar op 1 extern ip-adres. Er zijn tal van dienstverleners die in staat zijn om een gedegen Penetration Test (PenTest) uit te voeren op dat ip-adres. Zo'n PenTest resulteert in een rapport waaruit blijkt op welke vlakken het IP-adres, en dan met name de website, kwetsbaar is vanaf het internet. Die kwetsbaarheden worden door een partij als LulzSec gebruikt om hun trucje te doen. Wegnemen van de kwetsbaarheden is dus de sleutel, maar dan moet je wel weten op welke punten je nu feitelijk kwetsbaar bent, en die punten veranderen van dag tot dag. Om de gewenste informatie op dagelijkse basis middels een gemiddelde PenTest te verkrijgen, is nogal kostbaar.
Een dergelijke PenTest zou bijvoorbeeld jaarlijks kunnen worden uitgevoerd, waarbij tussentijds een geautomatiseerd systeem het ip-adres monitort. McAfee biedt een dergelijke geautomatiseerde scan op kwetsbaarheden aan in de vorm van SaaS Vulnerability Assessment. Kosten zijn rond de 415 euro per ip-adres per jaar (commerciële prijzen, gaan omlaag bij meerdere ip-adressen). Vandaag aanschaffen is morgen het eerste rapport.
Interesse in een PenTest of de McAfee service? Contact me!
Rijst de vraag: wat moeten we hier nu weer mee?
Welnu. De website is bereikbaar op 1 extern ip-adres. Er zijn tal van dienstverleners die in staat zijn om een gedegen Penetration Test (PenTest) uit te voeren op dat ip-adres. Zo'n PenTest resulteert in een rapport waaruit blijkt op welke vlakken het IP-adres, en dan met name de website, kwetsbaar is vanaf het internet. Die kwetsbaarheden worden door een partij als LulzSec gebruikt om hun trucje te doen. Wegnemen van de kwetsbaarheden is dus de sleutel, maar dan moet je wel weten op welke punten je nu feitelijk kwetsbaar bent, en die punten veranderen van dag tot dag. Om de gewenste informatie op dagelijkse basis middels een gemiddelde PenTest te verkrijgen, is nogal kostbaar.
Een dergelijke PenTest zou bijvoorbeeld jaarlijks kunnen worden uitgevoerd, waarbij tussentijds een geautomatiseerd systeem het ip-adres monitort. McAfee biedt een dergelijke geautomatiseerde scan op kwetsbaarheden aan in de vorm van SaaS Vulnerability Assessment. Kosten zijn rond de 415 euro per ip-adres per jaar (commerciële prijzen, gaan omlaag bij meerdere ip-adressen). Vandaag aanschaffen is morgen het eerste rapport.
Interesse in een PenTest of de McAfee service? Contact me!
iOS 5 & iCloud = Data Anarchy
Met de release van iOS 5 zal straks definitief het doek vallen voor het gemiddelde bedrijf als het gaat om databeveiliging. Complete anarchie, wanneer de data op zakelijk gebruikte privé iPhones op de servers van Apple zal worden opgeslagen. En om het allemaal nog spannender te maken, vertelt Apple lekker helemaal niks over hoe ze de beveiliging hebben geregeld totdat iedereen de upgrade al gemaakt heeft en de eerste hacks hebben plaatsgevonden. Jaja. De systeembeheerder raakt definitief hopeloos achterop en als er iets mis gaat dan is ie nog de Sjaak ook.
Noem me een doemdenker, maar op dit moment is zowat geen enkele organisatie goed in staat om om te gaan met de nieuwe hype-term "BYOD" (Bring Your Own Device). En "niet goed in staat" betekent natuurlijk: niks geregeld, nooit bij stil gestaan. Dus die prachtige ongeëvenaarde iPhone is lekker de mailbox en documenten van de manager aan het synchroniseren zonder dat men controleert of af kan dwingen dat de iPhone wel is beveiligd met een wachtwoord. Vervolgens kan diezelfde manager nog alle apps installeren op diezelfde iPhone die hij wilt ook. Komt een beetje overeen met iedereen Admin-rechten geven op de PC, zonder wachtwoord. Terug naar de middeleeuwen.
Neenee, we zijn nog niet klaar voor BYOD. En al helemaal niet voor iClouds, Dropboxen en Cloud Drives. Dit gaat fout. Of de mensen die het voor het zeggen hebben moeten HEEEEEEEEEEEEEEL snel het gebruik van die Own Devices gaan reguleren.
Onze oplossing? McAfee Enterprise Mobility Management (EMM).
Noem me een doemdenker, maar op dit moment is zowat geen enkele organisatie goed in staat om om te gaan met de nieuwe hype-term "BYOD" (Bring Your Own Device). En "niet goed in staat" betekent natuurlijk: niks geregeld, nooit bij stil gestaan. Dus die prachtige ongeëvenaarde iPhone is lekker de mailbox en documenten van de manager aan het synchroniseren zonder dat men controleert of af kan dwingen dat de iPhone wel is beveiligd met een wachtwoord. Vervolgens kan diezelfde manager nog alle apps installeren op diezelfde iPhone die hij wilt ook. Komt een beetje overeen met iedereen Admin-rechten geven op de PC, zonder wachtwoord. Terug naar de middeleeuwen.
Neenee, we zijn nog niet klaar voor BYOD. En al helemaal niet voor iClouds, Dropboxen en Cloud Drives. Dit gaat fout. Of de mensen die het voor het zeggen hebben moeten HEEEEEEEEEEEEEEL snel het gebruik van die Own Devices gaan reguleren.
Onze oplossing? McAfee Enterprise Mobility Management (EMM).
woensdag 15 juni 2011
McAfee opent prachtig democentrum in Schiphol-Rijk
Zo ik begreep was de plaatsing van dit centrum in ons landje 1 van de wensen van de nieuwe (Nederlandse) President EMEA, Gert-Jan Schenk. Goed werk!
(sessie bijwonen in het EBC? contact me :))
woensdag 1 juni 2011
Gevolgen Malware Q1 2011: Whitelisting, Mobile Security & Web Regulering
McAfee heeft het rapport uitgebracht over bedreigingen in het eerste kwartaal van 2011. Daaruit blijken een aantal opvallende zaken:
Gemiddeld 65.000 nieuwe malware samples per dag
De telkens terugkerende conclusie is dat Anti-Virus in de klassieke vorm, de strijd gaat verliezen. Het tempo waarin nieuwe virussen vandaag de dag uitkomen leidt tot: steeds grotere kans op non-detectie, virusdatabase groeit in omvang met gevolgen voor performance en distributiesnelheid, steeds grotere kans op false-positives wegens druk op ontwikkeling anti-virussen. HET antwoord op dit probleem: Application Whitelisting.
Groei van malware voor Android
Voor mobile devices worden steeds meer virussen geschreven, en mobile devices die op Android draaien, zijn een steeds populairder doelwit. De beveiliging op dit soort devices is doorgaans beperkt, en ook de bewustwording van gebruikers van Mobiles ligt achter op die van Windows PC's. Logische doelwit is, en langzamerhand begint de noodzaak van security op mobiles toch echt dringende vormen aan te nemen. Onze oplossing: Enterprise Mobility Management.
Toename Fake AV varianten
Ook Social Engineers ala Kevin Mittnick hebben tegenwoordig de automatisering uitgevonden. Resultaat: Fake AV. Dit soort malware kent een interessant verdienmodel en blijft succesvol. Inmiddels worden ook Macintosh gebruikers hiermee bestookt, en is dit fenomeen dus niet meer weg te denken. De verspreiding van Fake AV vindt voornamelijk plaats, net als veel malware natuurlijk, via het internet. Het beveiligingsniveau van alleen Anti-Virus op de Desktop tegen bedreigingen op het internet, is ontoereikend. Gebruik van internet moet dus worden gereguleerd, en de eerste stap is simpelweg blokkeren van websites met een schadelijke reputatie. Aan de gateway middels een Web Gateway. Op de endpoint middels SiteAdvisor.
Groei Schadelijke Websites, daling SPAM
Het oprollen van grote botnets heeft geleid tot een forse neergang van de hoeveelheid Spam. Tegelijkertijd stijgt de hoeveelheid schadelijke content op het internet. Deze verschuiving is om nog een reden verklaarbaar. Waar e-mail vandaag de dag vaak goed beveiligd is en wel door 3 filters heen loopt voordat de ontvanger het te zien krijgt, is Webverkeer vaak nog ongelimiteerd toegestaan en dat weten de malwareschrijvers maar al te goed. De tijd dat dit zonder zorgen mogelijk was is echt wel voorbij. Iedereen trapt in de "scams" die tegenwoordig worden uitgehaald, of kan tegen drive-by downloads aanlopen die misbruik maken van zero-day attacks. Waar "spamberichten" vroeger altijd e-mails waren, zijn sites als Facebook, Twitter, LinkedIN etc. nu veel beter resulterende distributiekanalen. Dus nogmaals en deze keer rijmend: reguleer uw internetverkeer. Aan de gateway middels een Web Gateway. Op de endpoint middels SiteAdvisor.
Het rapport is hier te downloaden:
rp-quarterly-threat-q1-2011.pdf
Gemiddeld 65.000 nieuwe malware samples per dag
De telkens terugkerende conclusie is dat Anti-Virus in de klassieke vorm, de strijd gaat verliezen. Het tempo waarin nieuwe virussen vandaag de dag uitkomen leidt tot: steeds grotere kans op non-detectie, virusdatabase groeit in omvang met gevolgen voor performance en distributiesnelheid, steeds grotere kans op false-positives wegens druk op ontwikkeling anti-virussen. HET antwoord op dit probleem: Application Whitelisting.
Groei van malware voor Android
Voor mobile devices worden steeds meer virussen geschreven, en mobile devices die op Android draaien, zijn een steeds populairder doelwit. De beveiliging op dit soort devices is doorgaans beperkt, en ook de bewustwording van gebruikers van Mobiles ligt achter op die van Windows PC's. Logische doelwit is, en langzamerhand begint de noodzaak van security op mobiles toch echt dringende vormen aan te nemen. Onze oplossing: Enterprise Mobility Management.
Toename Fake AV varianten
Ook Social Engineers ala Kevin Mittnick hebben tegenwoordig de automatisering uitgevonden. Resultaat: Fake AV. Dit soort malware kent een interessant verdienmodel en blijft succesvol. Inmiddels worden ook Macintosh gebruikers hiermee bestookt, en is dit fenomeen dus niet meer weg te denken. De verspreiding van Fake AV vindt voornamelijk plaats, net als veel malware natuurlijk, via het internet. Het beveiligingsniveau van alleen Anti-Virus op de Desktop tegen bedreigingen op het internet, is ontoereikend. Gebruik van internet moet dus worden gereguleerd, en de eerste stap is simpelweg blokkeren van websites met een schadelijke reputatie. Aan de gateway middels een Web Gateway. Op de endpoint middels SiteAdvisor.
Groei Schadelijke Websites, daling SPAM
Het oprollen van grote botnets heeft geleid tot een forse neergang van de hoeveelheid Spam. Tegelijkertijd stijgt de hoeveelheid schadelijke content op het internet. Deze verschuiving is om nog een reden verklaarbaar. Waar e-mail vandaag de dag vaak goed beveiligd is en wel door 3 filters heen loopt voordat de ontvanger het te zien krijgt, is Webverkeer vaak nog ongelimiteerd toegestaan en dat weten de malwareschrijvers maar al te goed. De tijd dat dit zonder zorgen mogelijk was is echt wel voorbij. Iedereen trapt in de "scams" die tegenwoordig worden uitgehaald, of kan tegen drive-by downloads aanlopen die misbruik maken van zero-day attacks. Waar "spamberichten" vroeger altijd e-mails waren, zijn sites als Facebook, Twitter, LinkedIN etc. nu veel beter resulterende distributiekanalen. Dus nogmaals en deze keer rijmend: reguleer uw internetverkeer. Aan de gateway middels een Web Gateway. Op de endpoint middels SiteAdvisor.
Het rapport is hier te downloaden:
rp-quarterly-threat-q1-2011.pdf
dinsdag 24 mei 2011
Google Chromebook veilig zonder Anti-Virus! Oh nee toch niet...
Wat een grap. Googles marketing machine heeft behoorlijk wat onrust in security land veroorzaakt, en nog onterecht ook. In een blog wees Linus Upson twee weken geleden (11 mei) op de geïntegreerde securityfunctionaliteiten van het aangekondigde Chromebook. Ik ga maar even niet uitleggen wat een Chromebook is en hoe die beveiliging eruit ziet, want dat is prima te vinden op Google :).
In het kort stelt Google dat vanwege de sandbox functionaliteit, het auto-herstel proces bij opstart EN het feit dat alle data in de cloud is opgeslagen, een Chromebook geen Anti-Virus nodig heeft. Dapper, en deels misschien ook nog wel waar, maar voor mensen waarvoor Endpoint Security ophoudt bij Anti-Virus betekent een dergelijke stelling waarschijnlijk zoveel als dat je met een Chromebook gegarandeerd veilig bent. FOUT.
Maar goed, voor security-correspondent Andy Greenberg van Forbes was dit blogartikel voldoende om zich af te vragen of het nu gedaan is met Anti-Virus producenten in zijn eigen Blog...
... wat vervolgens weer leidde tot een overhaaste reactie van George Kurtz (CTO, McAfee) dat Anti-Virus misschien niet meer nodig is, maar dat andere vormen van Security (bijv. Application Whitelisting) nog steeds heel bruikbaar zijn...
... wat daarna weer leidde tot een artikel op Security.nl getiteld "Chromebook betekent einde virusscanner"...
Ik ben natuurlijk hierover gaan nadenken en wilde vandaag een reactie schrijven om aan te geven dat volgens mij de sessie van een gebruiker op een Chromebook toch echt gecompromiteerd kan worden. En dat die sessie voldoende kan bieden aan een hacker (passwords, creditcard nrs, etc.) om schade toe te brengen. En ook al draait Chromebook zijn apps op het internet, er zijn altijd lokale applicaties, zoals de browser. Deze discussie komt ook enigszins overeen met de vraag of een Virtual Desktop die telkens terugkeert naar een Golden Image nog Anti-Virus nodig heeft. NEE!, want alle data wordt verwijderd bij terugkeer naar het Golden Image, zeiden de tegenstanders. JA!, want die data kan genoeg schade toebrengen gedurende de sessie van de gebruiker, zeiden de voorstanders.
Het verschil tussen de Chromebook en VDI discussies is dat er evenveel (zo niet meer) vulnerabilities in een Virtual (Windows-based) Desktop bestaan als in een Fysieke (Windows-based) Desktop en dat die dus even actief worden misbruikt. Maar de stelling dat een Chromebook geen vulnerabilties bevat, durft Google denk ik niet aan. Waarom zouden ze anders een auto-herstel functie maken?
Dus ik ging nog eens teruglezen wat de verschillende meningen zijn over deze stelling van Chromebook en kwam daarmee nog even op het artikel van Andy Greenberg, Forbes. En wat blijkt: na publicatie van het artikel heeft meneer Greenberg even een kleine update gedaan (wanneer is niet duidelijk) omdat zijn beweringen toch op wat verweer stuitte. De update:
Fijne nuance is dat. Jammer dat een dergelijke update niet uiteindelijk ook beland bij Security.nl en dat mensen die niet verder lezen dus nog steeds in de veronderstelling zijn dat hun Chromebook onbreekbaar is.
Google valt niets te verwijten, hun stelling is juist: een Chromebook heeft geen Anti-Virus nodig. George Kurtz heeft echter ook gelijk: om ook gedurende de gebruikerssessie misbruik te voorkomen, is Whitelisting nog steeds wel van absolute toegevoegde waarde.
En oh ja dan nog iets: we willen toch niet serieus beweren dat zakelijke gebruikers bewust hun data bij Google gaan opslaan? Als je naar de reacties op Security.nl kijkt in elk geval niet. Ik ben benieuwd hoe IT afdelingen in zakelijke omgevingen voorbereid zijn op de eerste hippe manager die straks aan komt wandelen met zijn Chromebook om even te laten syncen met Exchange. Veel succes daarmee...
In het kort stelt Google dat vanwege de sandbox functionaliteit, het auto-herstel proces bij opstart EN het feit dat alle data in de cloud is opgeslagen, een Chromebook geen Anti-Virus nodig heeft. Dapper, en deels misschien ook nog wel waar, maar voor mensen waarvoor Endpoint Security ophoudt bij Anti-Virus betekent een dergelijke stelling waarschijnlijk zoveel als dat je met een Chromebook gegarandeerd veilig bent. FOUT.
Maar goed, voor security-correspondent Andy Greenberg van Forbes was dit blogartikel voldoende om zich af te vragen of het nu gedaan is met Anti-Virus producenten in zijn eigen Blog...
... wat vervolgens weer leidde tot een overhaaste reactie van George Kurtz (CTO, McAfee) dat Anti-Virus misschien niet meer nodig is, maar dat andere vormen van Security (bijv. Application Whitelisting) nog steeds heel bruikbaar zijn...
... wat daarna weer leidde tot een artikel op Security.nl getiteld "Chromebook betekent einde virusscanner"...
Ik ben natuurlijk hierover gaan nadenken en wilde vandaag een reactie schrijven om aan te geven dat volgens mij de sessie van een gebruiker op een Chromebook toch echt gecompromiteerd kan worden. En dat die sessie voldoende kan bieden aan een hacker (passwords, creditcard nrs, etc.) om schade toe te brengen. En ook al draait Chromebook zijn apps op het internet, er zijn altijd lokale applicaties, zoals de browser. Deze discussie komt ook enigszins overeen met de vraag of een Virtual Desktop die telkens terugkeert naar een Golden Image nog Anti-Virus nodig heeft. NEE!, want alle data wordt verwijderd bij terugkeer naar het Golden Image, zeiden de tegenstanders. JA!, want die data kan genoeg schade toebrengen gedurende de sessie van de gebruiker, zeiden de voorstanders.
Het verschil tussen de Chromebook en VDI discussies is dat er evenveel (zo niet meer) vulnerabilities in een Virtual (Windows-based) Desktop bestaan als in een Fysieke (Windows-based) Desktop en dat die dus even actief worden misbruikt. Maar de stelling dat een Chromebook geen vulnerabilties bevat, durft Google denk ik niet aan. Waarom zouden ze anders een auto-herstel functie maken?
Dus ik ging nog eens teruglezen wat de verschillende meningen zijn over deze stelling van Chromebook en kwam daarmee nog even op het artikel van Andy Greenberg, Forbes. En wat blijkt: na publicatie van het artikel heeft meneer Greenberg even een kleine update gedaan (wanneer is niet duidelijk) omdat zijn beweringen toch op wat verweer stuitte. De update:
A critical response post at Tom’s Tech Blog points out a few issues I missed here. Google is releasing a software development kit for native applications, which could potentially introduce security vulnerabilities. And with regard to Charlie Miller’s quote above, even a hijacked browser could potentially steal a user’s credentials, which could allow access to his or her cloud-stored data. (Though the point remains that this isn’t an issue that necessarily can be fixed by antivirus software.) Apologies for these oversights.
Fijne nuance is dat. Jammer dat een dergelijke update niet uiteindelijk ook beland bij Security.nl en dat mensen die niet verder lezen dus nog steeds in de veronderstelling zijn dat hun Chromebook onbreekbaar is.
Google valt niets te verwijten, hun stelling is juist: een Chromebook heeft geen Anti-Virus nodig. George Kurtz heeft echter ook gelijk: om ook gedurende de gebruikerssessie misbruik te voorkomen, is Whitelisting nog steeds wel van absolute toegevoegde waarde.
En oh ja dan nog iets: we willen toch niet serieus beweren dat zakelijke gebruikers bewust hun data bij Google gaan opslaan? Als je naar de reacties op Security.nl kijkt in elk geval niet. Ik ben benieuwd hoe IT afdelingen in zakelijke omgevingen voorbereid zijn op de eerste hippe manager die straks aan komt wandelen met zijn Chromebook om even te laten syncen met Exchange. Veel succes daarmee...
donderdag 12 mei 2011
Medusoft Security Seminar 2011
Inspirerend om op deze manier met mensen in contact te komen die met hun voeten in de digitale Security staan!
woensdag 11 mei 2011
Web & Removable Storage belangrijkste bron van virusinfecties
Wederom voor de presentatie van morgen, heb ik een onderzoek gedaan naar bronnen van virusdetecties bij onze klanten. Uit de organisaties waar wij het beheer voor McAfee anti-virus software voor doen, heb ik een selectie gemaakt en daar eens door de hele lijst van detecties in het afgelopen jaar heen geploegd.
Management Summary: Removable Storage is de belangrijkste uiteindelijk bron van detecties. Wanneer dat teruggeleid zou worden naar de oorspronkelijk infectiebron, dan is echter alles natuurlijk inmiddels zo goed als zeker afkomstig van het Internet. Op kantoor en daarbuiten moet dus goed worden nagedacht over de beveiliging van internetgebruik. Tevens moet worden nagedacht hoe systemen en removable storage die eerst binnen het netwerk worden gebruikt en dan weer erbuiten, continu worden gemonitoord of het gebruik ervan wordt gereguleerd.
De reden om dit inzichtelijk te maken, is dat het evident wordt voor organisaties om in te zien dat Anti-Virus Software op de Endpoint veel te weinig zekerheid geeft. Dat het daarom nodig is om de plekken waar AV op de Endpoint de enige laag van verdediging is, in kaart te hebben en waar nodig extra te beveiligen.
In totaal hebben in 1 jaar tijd op 18.750 systemen in totaal 3499 unieke detecties voorgedaan. Een unieke detectie is 1 benoemd virus op 1 systeem vanaf 1 lokatie. Meervoudige detecties heb ik dus uitgefilterd.
De volgende bronnen van detectie heb ik onderscheiden:
1. Internet: Detectie in de directories Temp. Internet Files, Downloads of Java cache
2. Remote: Detectie op E:\ t/m Z:\ (dus cd-rom, usb of mapped network)
3. SourceIP: Detectie op C:\ of D:\, rechtstreeks weggeschreven naar dit systeem, vanaf een ander systeem
4. Lokaal: Detectie op C:\ of D:\ schijf, maar ZONDER Source IP
Om commentaar voor te zijn: ik weet heel goed dat deze metingen dus zeker niet waterdicht zijn, maar ze zijn wel consequent toegepast en geven m.i. een redelijk beeld van de verdeling in detecties. De verhoudingen zijn als volgt:
Internet: 9%
De meest eenvoudige manier van verspreiden van Malware is het internet. Waarschijnlijk vinden detecties in de andere categorieën in eerste instantie ook hun oorsprong op internet.
Oplossingen: Filteren van internet is geen keuze meer, maar een absolute noodzaak. Blokkeer toegang tot websites die gewoon bekend zijn met een slechte reputatie. Daar val je echt niemand onnodig mee lastig en levert direct een verhoogd beveiligingsniveau. Daarnaast kan je ook aan de gateway de content van webverkeer scannen zodat je maar 1 device up-to-date hoeft te houden met AV definities voor dat basis niveau van veiligheid. Out-of-date AV op de endpoints is natuurlijk zeer gevaarlijk, maar tegelijkertijd bijna niet voor 100% te voorkomen (ok, met NAC wel). Tenslotte is ook een vervanging van de firewall een quick win. De oude firewalls stonden poort 80 toe omdat het http was. Daar kan je al voldoende discussie over hebben, los van de ontwikkelingen van de laatste tijd waarbij op het internet steeds meer actieve componenten draaien met alle risico van dien. Next Generation Firewalls kunnen bijv Facebook toestaan maar de games/applicaties daarbinnen blokkeren.
Remote: 20%
De meting in dit geval is op basis van driveletter. Alle detecties rechtstreeks op E: t/m Z:, tellen mee. Je zou zeggen dat dit dan removable storage EN mapped network drives kunnen zijn, maar McAfee scant (by default) niet op mapped network drives dus het is toch echt grotendeels removable storage.
Oplossing: Reguleer het gebruik van removable storage middels een stuk port controle software. Laat bijvoorbeeld alleen USB sticks toe die je zakelijk ondersteunt en of een embedded virusscanning engine bevatten. Zet On-Read scanning AAN in je virusscanner!!! Voor detecties die toch plaatsvinden op mapped network drives: ten eerste is dit onhandig want heel vertragend dat je over het netwerk aan het scannen bent. Ten tweede zou je goed moeten kijken of je storage devices zelf ook on-access virusscanning toepassen. McAfee heeft bijvoorbeeld al jaren een perfecte oplossing om systemen als NetApp van virusscanning te voorzien: VirusScan for Storage. Echt een noodzaak zoiets: non-windows storage systemen zijn 1 van de grootste verspreiders van file-infectors zoals het vreselijke Sality virus.
SourceIP: 16%
Dit betekent feitelijk dat een geinfecteerd systeem in het netwerk, op afstand jouw systeem probeert te infecteren. Dat kan een worm zijn, een file-infector, of zelfs een doelbewuste hackpoging.
Oplossing: wormen die misbruik maken van beveiligingslekken kunnen op netwerkniveau geblokkeerd worden door middel van IPS. IPS kan host-based worden ingezet op network-based. Het laatste sluit aan bij een netwerk-segmentatie strategie, en dat juichen wij ten zeerste: Scheid je servers van je desktops (fysiek dan wel middels VLANs) en plaats een IPS tussen je netwerksegmenten. File-Infectors hebben alleen kans van slagen als met de rechten van de aangemelde user, het bestand kan worden weggeschreven naar remote systemen. Voorkom dit in rechtenniveaus dus zoveel mogelijk! Netwerkbeheerders: werk niet met een account dat domain admin is totdat je die functionaliteit echt nodig hebt. Dus een account jantje voor normale werkzaamheden en adm_jantje als je iets in het domein moet doen. Voor doelbewuste hackpogingen EN om wormen te blokkeren is belangrijk dat je weet wat er op je netwerk voorkomt. Als een systeem ingeplugd wordt dat je niet herkend, zou je dat liefst ZSM willen weten. Dat kan eenvoudig middels Rogue System Detection maar dat is dan alleen alarmering. Wil je ook systemen actief van je netwerk afgooien, dan heb je Network Access Control (NAC) nodig.
Lokaal: 55%
Alle overige detecties vinden lokaal hun oorsprong. Daar zitten in de lijst met detecties nog gewoon locaties tussen van minder voor de hand liggende internet-applicaties, zoals internet boekhouden. Maar goed, ik heb ergens de grens getrokken. Lokale detecties zijn het gevolg van een applicatie die iets probeert te openen (maar dan niet vanaf E: t/m Z: of vanaf het internet), OF, en dat is hier veel vaker het geval, van een reeds aanwezige infectie. Rootkit infecties verbergen zich voor het OS en kunnen dus aanwezig zijn zonder dat de AV software het weet. Als die rootkit vervolgens iets lokaal probeert uit te voeren (extra infectie van bijv een keylogger), dan kan dus alsnog worden herkent.
Oplossingen: Een feitelijke infectie kan nog altijd het best worden opgelost middels herinstallatie van een systeem. Zorg er dus voor, dat je goede re-image mogelijkheden voorhanden hebt in geval van calamiteiten.
Management Summary: Removable Storage is de belangrijkste uiteindelijk bron van detecties. Wanneer dat teruggeleid zou worden naar de oorspronkelijk infectiebron, dan is echter alles natuurlijk inmiddels zo goed als zeker afkomstig van het Internet. Op kantoor en daarbuiten moet dus goed worden nagedacht over de beveiliging van internetgebruik. Tevens moet worden nagedacht hoe systemen en removable storage die eerst binnen het netwerk worden gebruikt en dan weer erbuiten, continu worden gemonitoord of het gebruik ervan wordt gereguleerd.
De reden om dit inzichtelijk te maken, is dat het evident wordt voor organisaties om in te zien dat Anti-Virus Software op de Endpoint veel te weinig zekerheid geeft. Dat het daarom nodig is om de plekken waar AV op de Endpoint de enige laag van verdediging is, in kaart te hebben en waar nodig extra te beveiligen.
In totaal hebben in 1 jaar tijd op 18.750 systemen in totaal 3499 unieke detecties voorgedaan. Een unieke detectie is 1 benoemd virus op 1 systeem vanaf 1 lokatie. Meervoudige detecties heb ik dus uitgefilterd.
De volgende bronnen van detectie heb ik onderscheiden:
1. Internet: Detectie in de directories Temp. Internet Files, Downloads of Java cache
2. Remote: Detectie op E:\ t/m Z:\ (dus cd-rom, usb of mapped network)
3. SourceIP: Detectie op C:\ of D:\, rechtstreeks weggeschreven naar dit systeem, vanaf een ander systeem
4. Lokaal: Detectie op C:\ of D:\ schijf, maar ZONDER Source IP
Om commentaar voor te zijn: ik weet heel goed dat deze metingen dus zeker niet waterdicht zijn, maar ze zijn wel consequent toegepast en geven m.i. een redelijk beeld van de verdeling in detecties. De verhoudingen zijn als volgt:
Internet: 9%
De meest eenvoudige manier van verspreiden van Malware is het internet. Waarschijnlijk vinden detecties in de andere categorieën in eerste instantie ook hun oorsprong op internet.
Oplossingen: Filteren van internet is geen keuze meer, maar een absolute noodzaak. Blokkeer toegang tot websites die gewoon bekend zijn met een slechte reputatie. Daar val je echt niemand onnodig mee lastig en levert direct een verhoogd beveiligingsniveau. Daarnaast kan je ook aan de gateway de content van webverkeer scannen zodat je maar 1 device up-to-date hoeft te houden met AV definities voor dat basis niveau van veiligheid. Out-of-date AV op de endpoints is natuurlijk zeer gevaarlijk, maar tegelijkertijd bijna niet voor 100% te voorkomen (ok, met NAC wel). Tenslotte is ook een vervanging van de firewall een quick win. De oude firewalls stonden poort 80 toe omdat het http was. Daar kan je al voldoende discussie over hebben, los van de ontwikkelingen van de laatste tijd waarbij op het internet steeds meer actieve componenten draaien met alle risico van dien. Next Generation Firewalls kunnen bijv Facebook toestaan maar de games/applicaties daarbinnen blokkeren.
Remote: 20%
De meting in dit geval is op basis van driveletter. Alle detecties rechtstreeks op E: t/m Z:, tellen mee. Je zou zeggen dat dit dan removable storage EN mapped network drives kunnen zijn, maar McAfee scant (by default) niet op mapped network drives dus het is toch echt grotendeels removable storage.
Oplossing: Reguleer het gebruik van removable storage middels een stuk port controle software. Laat bijvoorbeeld alleen USB sticks toe die je zakelijk ondersteunt en of een embedded virusscanning engine bevatten. Zet On-Read scanning AAN in je virusscanner!!! Voor detecties die toch plaatsvinden op mapped network drives: ten eerste is dit onhandig want heel vertragend dat je over het netwerk aan het scannen bent. Ten tweede zou je goed moeten kijken of je storage devices zelf ook on-access virusscanning toepassen. McAfee heeft bijvoorbeeld al jaren een perfecte oplossing om systemen als NetApp van virusscanning te voorzien: VirusScan for Storage. Echt een noodzaak zoiets: non-windows storage systemen zijn 1 van de grootste verspreiders van file-infectors zoals het vreselijke Sality virus.
SourceIP: 16%
Dit betekent feitelijk dat een geinfecteerd systeem in het netwerk, op afstand jouw systeem probeert te infecteren. Dat kan een worm zijn, een file-infector, of zelfs een doelbewuste hackpoging.
Oplossing: wormen die misbruik maken van beveiligingslekken kunnen op netwerkniveau geblokkeerd worden door middel van IPS. IPS kan host-based worden ingezet op network-based. Het laatste sluit aan bij een netwerk-segmentatie strategie, en dat juichen wij ten zeerste: Scheid je servers van je desktops (fysiek dan wel middels VLANs) en plaats een IPS tussen je netwerksegmenten. File-Infectors hebben alleen kans van slagen als met de rechten van de aangemelde user, het bestand kan worden weggeschreven naar remote systemen. Voorkom dit in rechtenniveaus dus zoveel mogelijk! Netwerkbeheerders: werk niet met een account dat domain admin is totdat je die functionaliteit echt nodig hebt. Dus een account jantje voor normale werkzaamheden en adm_jantje als je iets in het domein moet doen. Voor doelbewuste hackpogingen EN om wormen te blokkeren is belangrijk dat je weet wat er op je netwerk voorkomt. Als een systeem ingeplugd wordt dat je niet herkend, zou je dat liefst ZSM willen weten. Dat kan eenvoudig middels Rogue System Detection maar dat is dan alleen alarmering. Wil je ook systemen actief van je netwerk afgooien, dan heb je Network Access Control (NAC) nodig.
Lokaal: 55%
Alle overige detecties vinden lokaal hun oorsprong. Daar zitten in de lijst met detecties nog gewoon locaties tussen van minder voor de hand liggende internet-applicaties, zoals internet boekhouden. Maar goed, ik heb ergens de grens getrokken. Lokale detecties zijn het gevolg van een applicatie die iets probeert te openen (maar dan niet vanaf E: t/m Z: of vanaf het internet), OF, en dat is hier veel vaker het geval, van een reeds aanwezige infectie. Rootkit infecties verbergen zich voor het OS en kunnen dus aanwezig zijn zonder dat de AV software het weet. Als die rootkit vervolgens iets lokaal probeert uit te voeren (extra infectie van bijv een keylogger), dan kan dus alsnog worden herkent.
Oplossingen: Een feitelijke infectie kan nog altijd het best worden opgelost middels herinstallatie van een systeem. Zorg er dus voor, dat je goede re-image mogelijkheden voorhanden hebt in geval van calamiteiten.
dinsdag 10 mei 2011
McAfee gaat 60 DAT Updates per dag uitgeven
Oké allereerst: grapje! Ik kwam hierop toen ik gisteren mijn presentatie aan het voorbereiden was voor ons jaarlijks Security Seminar. Daar wilde ik natuurlijk even ingaan op het 10-jarig bestaan van Medusoft, en op wat de ontwikkelingen bij ons bedrijf maar ook in Security in het algemeen zijn geweest in die tijd.
Ik vind het altijd grappig om te vertellen dat McAfee toen ik bij Medusoft begon, nog geen 10 jaar geleden, slechts maandelijks een DAT-file uitbracht. Een update dus om je Anti-Virus software de laatste virussen te kunnen laten herkennen. In 2001, waar we het nu over hebben, zijn ongeveer 155.000 nieuwe virussen ontdekt en aan de DAT-file toegevoegd. Dat betekent dat McAfee elke 13.000 virussen een update uitbracht.
Halverwege ons bestaan, op 8 februari 2005 heeft McAfee naar aanleiding van de hoos aan nieuwe virusvarianten besloten om de updatefrequentie aan te passen naar elke dag. Dus elke dag van de week een DAT-update. Dat was toen nodig omdat de groei van virusvarianten zo extreem was, dat met de wekelijkse DAT-file (want die is er ook geweest) te veel risico ontstond dat gebruikers alsnog besmet raakten. In 2005 zijn een ruime 333.000 virussen uitgekomen. Dus McAfee besloot dat een DAT update vereist was bij 912 nieuwe virussen.
Sinds 2005 is de groei van virusvarianten exponentieel gestegen tot eind 2009. Vanaf dat moment is er sprake van een lineaire groei: 20.000.000 virusvarianten in 2010. Even een ander verhaal. Terugrekenen met een DAT-update elke 912 varianten betekent dus 60 DAT-updates per dag.
Uiteraard een illusie, en vandaar de noodzaak om verder te kijken dan alleen Viruspreventie op de Endpoint. Grappig is echter dat ik mij afvraag of organisaties sinds 2001 de ruimte die nodig is om controle uit te oefenen op DAT-updates hebben bijgewerkt aan de hand van de ontwikkelingen. Mijn ervaring is dat het niveau van deze controle nog steeds anno 2001 is: elke maand controle. Met 20.000.000 virussen per jaar betekent maandelijkse controle dat je in het slechtste geval evenveel virussen achterloopt als in 2001 het hele jaar zijn uitgekomen. Was dat toen acceptabel?
Ik vind het altijd grappig om te vertellen dat McAfee toen ik bij Medusoft begon, nog geen 10 jaar geleden, slechts maandelijks een DAT-file uitbracht. Een update dus om je Anti-Virus software de laatste virussen te kunnen laten herkennen. In 2001, waar we het nu over hebben, zijn ongeveer 155.000 nieuwe virussen ontdekt en aan de DAT-file toegevoegd. Dat betekent dat McAfee elke 13.000 virussen een update uitbracht.
Halverwege ons bestaan, op 8 februari 2005 heeft McAfee naar aanleiding van de hoos aan nieuwe virusvarianten besloten om de updatefrequentie aan te passen naar elke dag. Dus elke dag van de week een DAT-update. Dat was toen nodig omdat de groei van virusvarianten zo extreem was, dat met de wekelijkse DAT-file (want die is er ook geweest) te veel risico ontstond dat gebruikers alsnog besmet raakten. In 2005 zijn een ruime 333.000 virussen uitgekomen. Dus McAfee besloot dat een DAT update vereist was bij 912 nieuwe virussen.
Sinds 2005 is de groei van virusvarianten exponentieel gestegen tot eind 2009. Vanaf dat moment is er sprake van een lineaire groei: 20.000.000 virusvarianten in 2010. Even een ander verhaal. Terugrekenen met een DAT-update elke 912 varianten betekent dus 60 DAT-updates per dag.
Uiteraard een illusie, en vandaar de noodzaak om verder te kijken dan alleen Viruspreventie op de Endpoint. Grappig is echter dat ik mij afvraag of organisaties sinds 2001 de ruimte die nodig is om controle uit te oefenen op DAT-updates hebben bijgewerkt aan de hand van de ontwikkelingen. Mijn ervaring is dat het niveau van deze controle nog steeds anno 2001 is: elke maand controle. Met 20.000.000 virussen per jaar betekent maandelijkse controle dat je in het slechtste geval evenveel virussen achterloopt als in 2001 het hele jaar zijn uitgekomen. Was dat toen acceptabel?
Hello World!
Even voorstellen: mijn naam is Erik Remmelzwaal en ik ben Algemeen Directeur van Medusoft BV. In de 10 jaar dat ons bedrijf nu bestaat, heb ik veel ervaring opgedaan met IT Security in het Nederlands bedrijfsleven. Zo heb ik een vrij helder beeld gekregen van hoe IT Security in de praktijk (al dan niet) wordt toegepast en kan ik actuele problemen en bedreigingen goed vertalen naar acties die passen bij een typisch Nederlands bedrijf.
Vanuit deze optiek vond ik het hoog tijd om eens een plek te creëren waar ik mijn persoonlijke mening geef over nieuws rondom IT Security. Die plek is hier, en mijn berichten starten vandaag. Voel je vrij om je eigen ongezouten reactie te geven als iets je niet zint, ik hou van discussie!
Ciao!
Erik Remmelzwaal
Vanuit deze optiek vond ik het hoog tijd om eens een plek te creëren waar ik mijn persoonlijke mening geef over nieuws rondom IT Security. Die plek is hier, en mijn berichten starten vandaag. Voel je vrij om je eigen ongezouten reactie te geven als iets je niet zint, ik hou van discussie!
Ciao!
Erik Remmelzwaal
Abonneren op:
Reacties (Atom)