"E-mailproviders moeten ZIP-bijlagen blokkeren"
E-mailproviders zouden standaard e-mailbijlages met ZIP- en andere gevaarlijke bestanden moeten blokkeren om internetgebruikers tegen malware te beschermen. Dat laat Wolfgang Kandek, CTO bij beveiligingsbedrijf Qualys, tegenover Security.NL weten.
Uit cijfers van andere beveiligingsbedrijven blijkt dat veel aanvallen plaatsvinden via e-mails die van een ZIP-bestand zijn voorzien. De ZIP-bestanden bevatten weer de malware die het systeem infecteert als de gebruiker het bestand opent. Aanvallers kiezen voor ZIP-bestanden omdat de inhoud niet altijd door e-mailscanners wordt gescand.
Op dit moment verspreidt de zeer agressieve CryptoLocker-ransomware zich onder andere via e-mail. Er moet dan ook gekeken worden of dit soort bijlages automatisch kunnen worden geblokkeerd, stelt Kandek. Veel providers hebben echter de houding dat ze er alleen zijn om ongefilterde e-mail af te leveren of alleen de internetverbinding verzorgen.
"Ik zou graag zien dat internet- en e-mailproviders inzien dat hun mechanismes worden misbruikt en dat ze hier stappen tegen ondernemen", merkt Kandek op. De beveiligingsexpert pleit voor een systeem waarbij bepaalde bijlagen standaard worden geblokkeerd, zoals uitvoerbare bestanden en ZIP-bestanden, maar dat gevorderde gebruikers via een instellingenmenu kunnen aangeven welke bijlagen ze nog meer willen blokkeren of toestaan.
Privacy
Het filteren van bijlagen is een afweging tussen veiligheid en privacy gaat Kandek verder. Er zijn bijvoorbeeld tools om de inhoud van een PDF-bestand te analyseren om te kijken of er verdachte code in zit verstopt, bijvoorbeeld een PDF-document dat een Flash-object bevat wat voor een aanval kan worden gebruikt. Gebruikers zouden dan de optie moeten hebben om aan te geven dat PDF-bestanden zijn toegestaan, maar niet met scripts of Flash-objecten erin.
"Je wilt dat niemand naar je PDF-bestanden kijkt, maar als het een programma is dat dit doet en er garanties zijn dat het niet door mensen wordt bekeken, dan kan dit zeker helpen", merkt Kandek op. Daarnaast hebben e-mailproviders al toegang tot het e-mailverkeer van hun gebruikers. Als ze kwaad in de zin hebben kunnen ze de PDF-documenten al bekijken. Een geautomatiseerd systeem dat bestanden analyseert en van een goed privacybeleid is voorzien zou dit risico niet vergroten.
Internetproviders
Het proactief beschermen van gebruikers hoeft zich niet alleen tot e-mailproviders te beperken, ook internetproviders zouden abonnees kunnen waarschuwen als ze een kwaadaardige link bezoeken of onderdeel van een botnet zijn. Volgens Kandek zijn er allerlei lijsten met bekende Command & Control-servers van botnets bekend. Internetgebruikers die hiermee communiceren en dus besmet zijn zouden door hun provider hierop gewezen moeten worden. "Het probleem is hoe je dit ziet en communiceert."
Het houdt namelijk in dat de provider bijvoorbeeld naar bezochte IP-adressen of DNS-requests moeten kijken. Ook hier is sprake van een afweging tussen veiligheid en privacy. Eerder dit jaar werd bekend dat Microsoft links in Skype-berichten analyseerde, wat voor een golf van kritiek zorgde. De softwaregigant stelde dat het de links bezocht om te controleren of het niet om spam- of phishingsites ging of dat er malware werd verspreid.
Schoon
Het proactief beschermen van gebruikers kan echter zeer effectief zijn. Kandek wijst naar een Finse internetprovider die tot één van de schoonste providers ter wereld behoort. Het security-team van de provider, bestaande uit zo'n vier man, waarschuwt geïnfecteerde abonnees via e-mail of telefoon. Om te bepalen of abonnees besmet zijn kijkt deze provider naar het verkeer.
"Het is belangrijk dat je abonnees duidelijk uitlegt dat bijvoorbeeld een PDF niet door mensen maar door een programma wordt geanalyseerd. Of dat er niet naar de inhoud van het internetverkeer wordt gekeken, maar alleen of het niet naar bekende kwaadaardige IP-adressen gaat. Dat is wat internet- en e-mailproviders moeten aanbieden", laat Kandek weten.
Firewall
Het onderliggende probleem volgens Kandek is dat de beveiligingsindustrie in vergelijking met andere industrieën nog vrij onvolwassen is. "We weten nog niet precies wat correct is, daar zijn we nog over aan het discussiëren. Iedereen heeft een andere mening en er is nog geen consensus."
Wat betreft het strenger filteren ziet hij een vergelijking met de introductie van Service Pack 2 op Windows XP. Windows XP beschikte over een firewall, maar die stond standaard uitgeschakeld. Service Pack 2 schakelde de firewall standaard in. "Het wordt tijd dat e-mailproviders hun firewall inschakelen, dus geen ZIP- en EXE-bestanden meer."
Bijlagen verbieden is het paard achter de wagen spannen. Je moet de gebruikers leren om niet zomaar bijlagen te openen.
Gaat zoiets op verzoek van de gebruiker dan is het geen gedwongen privacyinbreuk en hoef je niet te hannesen met "afweging tussen veiligheid en privacy" en meer van dat soort geneuzel... wat uiteindelijk altijd weer uitmondt in censuur.
Dat zo'n CTO van een kompjoeterbeveiligingsbedrijf zoiets simpels niet snapt, zegt boekdelen over hem, zijn bedrijf, en zelfs de industrie waarin hij werkzaam is. Helemaal gefocust op de kleine details, en geen flauw benul van hoe zijn fijne ideetjes netjes in het grotere plaatje te passen. Hier bouwen we de toekomst niet mee.
als ik documenten verstuur naar iemand zip ik ze, want ik ga geen 15MB bestanden versturen als het met 3MB ook kan.
waarom niet meteen Email verbieden, of het internet meteen opheffen, dan kunnen er ook geen virussen verspreid worden.
(laatste was dus sarcastisch bedoelt)
Doe een pop up met "let op, ZIP bestanden kunnen gevaarlijk zijn, kent u de verzender?" en probeer aan awareness te werken. Dat is het enige dat ooit gaat werken. Ik zie preventie campagnes voor veilig verkeer, tabak, alcohol etc. Doe dat ook maar eens voor veilig surfen.
Dit soort voorstellen zouden in de echte wereld die iedereen begrijpt direct worden weggelachen, het komt dan neer op het volgende advies: 'Om inbrekers buiten te houden is het verstandig om al je ramen en deuren dicht te metselen'.
1 zip file en je hebt alles verzonden.
De inhoud van een zipbestand is eenvoudig te scannen. Doen wij hier ook. Iedere volwassen virusscanner doet dit al automagisch (nee, geen spelfout).
Wellicht dat het in de bulk wat moeilijker wordt, dat weet ik niet. Maar wat kan dat kan.
Enige echte oplossing is, dat je mensen leert om een bestand nooit te openen, maar alleen op de schijf op te slaan. Vervolgens moet iedere virusscanner maar zorgen, dat hij ook in gecomprimeerde pakketten kan scannen, zodat we weten of ze veilig zijn.
En de meeste klanten hebben geen zin om hun data te delen met de NSA shared files providers a-la dropbox enzo.
Maar je, daar faalt onze (duurbetaalde?) AV-industrie.
"Het probleem is alleen dat prividers dan ook de inhoud van emails moet gaan onderzoeken. Maar dat is een privacy-schending. Providers moeten gewoon mijn emails met rust laten en erop vertrouwen dat ik weet wat ik doe..."
Je wilt dat providers ophouden met anti-spam en anti-virus oplossingen op de mail server ?
Ik wil zeer zeker niet dat zij dit doen, en ik voel niet dat mijn privacy wordt geraakt wanneer geautomatiseerde systemen scannen op kenmerken van bestaande malware en spam mailings.
Waarschijnlijk besef je je niet dat je provider dit al lang doet, en ik ben benieuwd of je blij zou zijn met een vertienvoudiging van het aantal emails wat je ontvangt wanneer er geen gebruik gemaakt wordt van dergelijke filtering.
Dat een privé bedrijf dan ook al gaat "controleren" wat wij schrijven is ronduit gevaarlijk.
Hoe meer men van u opslaat in databases hoe groter de kans dat die info misbruikt kan worden. Dat ze ooit misbruikt zal worden is gewoon een kwestie van tijd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.