Een security tool die er prat op gaat ook nog op XP te draaien, de ironie...

"Een security tool die er prat op gaat ook nog op XP te draaien, de ironie..."

Wat is daar ironisch aan..... Of wil je dat iedereen XP negeert, om systemen op dat OS nog kwetsbaarder te maken ? Volgens mij snap je weinig van beveiliging, indien je meent dat hier iets ironisch aan is.

Feit is immers dat er nog altijd veel draait op XP, en dat dat niet snel genoeg zal veranderen, en met die situatie leven wij nu. XP de wereld uitwensen en negeren zal weinig bijdragen aan de veiligheid op internet.

Wil jij beveiliging afstemmen op de realiteit, of op iets anders ?...............

lol

Kom op zeg, het gaat om steve gibson van grc. Dat was een prutser, dat is een prutser, en, raad eens, hij zal altijd een prutser blijven....

Nou ja zeg! De beste man heeft een aantal eigenaardigheden en doet wel eens rare dingen, maar is een pionier op het gebied van computerbeveiliging en heeft aan de wieg gestaan van een aantal zeer nuttige toepassingen. Dus als je iemand uit wil maken voor prutser doe dat dan op z'n minst met een beetje een toelichting erbij.

"Kom op zeg, het gaat om steve gibson van grc. Dat was een prutser, dat is een prutser, en, raad eens, hij zal altijd een prutser blijven...."

En dat zegt de wereldberoemde beveiligingsonderzoeker EJ ? Laat me niet lachen.

Als je nu eerst eens begon met wat research naar meneer Gibson... meneer de wereldberoemde anoniem.

"We doen een poortscan bij u. Ja, u bent veilig, alle 5 de poorten staan dicht. O, nee, toch niet, want u reageert op ping! Dat is heel gevaarlijk". En meer van dat soort volstrekte onzin. Levensgevaarlijke onzin, want mensen hebben er voor hun beveiliging op vertrouwd. Je was alleen veilig als je 'stealth' was. Yeah right.

Nee, Gibson heeft niet aan de wieg gestaan van een veiliger internet. Dat bestreed ik indertijd (toen hij opgang deed in een aantal nieuwsgroepen), en dat doe ik nog steeds. Een vals gevoel van veiligheid is nog veel gevaarlijker dan weten dat het niet veilig is.

Hahaha, Ej.

jij zult nooit veilig zijn. Maar alleen weten dat je onveilig bent. Want wanneer je niet weet dat je onveilig bent, zou je kunnen denken dat je veilig bent. Maar dat is een vals gevoel van veiligheid.... LOL

Tja, als iemand zo A-technisch is dat hij/zij de betrekkelijkheid van de woorden van meneer Gibson niet op waarde kan schatten, dan kun je je er beter ook maar niet mee inlaten zou ik zo zeggen. Maar dat betekent beslist niet dat Steve een prutser is. Zijn "Spinrite" software van enkele decennia geleden was voor die tijd ongeëvenaard en behoorlijk sophisticated,
en heeft vele mensen hun data teruggeschonken, dan wel hun HDD gerepareerd. Ik ben getuige geweest.
Tegenwoordig heb je er minder aan, omdat de HDD's en de techniek ervan zoveel beter zijn geworden, terwijl SSD-schijven nu een hele andere techniek gebruiken.
En voor wat betreft die poortscan: wees blij dat er überhaupt iemand een kosteloze test aanbiedt die in de basis controleert of je poorten in "stealth" mode staan, ook al ben ik het met je eens dat dit tegenwoordig niet direct alles zegt. Maar het is in elk geval een fundamenteel begin. Het is trouwens ook een behoorlijk oude tool, en stamt nog uit de tijd dat hackers hun potentiële slachtoffers meestal met een "ping" probeerden te vinden.

Grapjas. Zo a-technisch?

Heb je enig idee hoe Steve in de beveiligingswereld wordt gewaardeerd? Juist. Helemaal niet. En als hij wat met harddisks heeft gedaan, dan heeft dat hoegenaamd niets met beveiliging te maken. Laat dit onderwerp (en zelfs deze hele website: security.nl) over beveiliging gaan...

Het is niet alleen een oude tool, hij misleidt. Er is weinig gevaarlijker dan een vals gevoel van veiligheid. Hij testte veel te weinig poorten, en dan alleen nog maar op tcp. Als je dan je publiek wijs maakt dat je alleen veilig bent als je niet antwoordt op een icmp type 8, dan weet je niet waar het over gaat. Even voor de goede orde voor de niet techneuten die hier blijkbaar zitten: hij gooide icmp (alle types) op 1 hoop, en heeft werkelijk geen idee waar het over gaat.

Hij geniet echt alleen aanzien bij mensen die geen idee hebben waar beveiliging over gaat, daar maakt hij indruk. Hij maakt geen indruk bij professionals. Geen enkele.

Aan EJ en de andere (helaas anonieme) reageerders: zal ik een boksring opzetten ergens en jullie dan laten bepalen wie er gelijk heeft? Dan verkoop ik wel de kaartjes.

Als relatieve leek heb ik natuurlijk helemaal niks aan de discussie (nou ja, discussie... over en weer wat moddersmijten) die zich hier ontvouwt. Met feiten en argumenten ben ik veel meer geholpen. Daarom bezoek ik ook deze site, om feiten te leren, niet om een heleboel meningen te lezen.

Nee, A-technisch. Met een hoofdletter. Want die maken meer indruk, omdat ze niet zo snel naast hun schoenen lopen.

Maar nou eens even wat meer to the point:
de tool waar het in dit security-bericht oorspronkelijk om ging wordt niet door Steve Gibson gedistribueerd,
maar door het beveiligingsbedrijf Crowdstrike, en is bedoeld om op de heartbeat kwetsbaarheid te controleren.
En daar hoor ik niemand over.
Wat is je oordeel over deze heartbeat-tool? Gaat je hart er sneller van kloppen?
Oftewel: heb jij of iemand van de andere lezers het kunnen testen, en doet die tool voldoende wat het zou moeten doen?

Hé ej__ je richt je op Shields Up en merkt terecht op dat die meuk misleidend is. Zijn gedoe over PING en reverse DNS record is ronduit misleidend en zorgt voor paniek bij de sukkelaar die denkt dat 'true stealth' de manier is om internet te overleven. Er is genoeg over die man te zeggen wat hem totaal de grond in kan boren (en wellicht heeft hij het er zelf naar gemaakt) echter wordt hij her en der zo enorm de grond in geboord dat men dreigt de vergeten dat hij vroegah begonnen is aan programma's die verre van perfect zijn (al noemt hij ze zelf wel zo) maar die wel een gat opvulden.

Het gros van de mensen die niets dan kritiek op hem uiten tonen zelf geen enkele vonk van inspiratie om iets te creëren wat inspeelt op een behoefte. SpinRite is daar een mooi voorbeeld van en hoort zeker thuis op een Security site als deze waar het ook gaat over data recovery. OptOut was één van de eerste anti-malware oplossingen en deed het best goed. Zo heeft hij nog meer van dat soort tools ontwikkeld die een op dat moment hot issue konen aanpakken of aantonen. Ja, met wisselend resultaat. We hebben allemaal gelachen om zijn beschuldigingen richting Microsoft en de XP Christmas of Death...

Regelmatig is hij de weg behoorlijk kwijt, maar je kunt niet alles van hem op één grote hoop gooien en de fik erin steken. Je zou op z'n minst kunnen erkennen dat hij soms geniaal is (geweest).

Ja, sorry voor al die consternatie.

Via via kwamen we dus uit bij een heel ander "security-tool" genaamd "Shields Up" van Steve Gibson op
https://www.grc.com/x/ne.dll?bh0bkyd2
Het is weliswaar een zijspoor, maar als het in een behoefte voorziet dan hierbij wat uitleg.

Wat gebeurt er namelijk als je bovengenoemde webpagina van grc.com bezoekt?
Zoals iedere webserver kan ook de server van grc.com gewoon je IP-adres lezen.
grc.com voert hier vervolgens een zogenaamde "reverse-DNS" op uit. Is ook al niets bijzonders.
Normaal type je een url in je browser in, bijv. www.security.nl, en dan geeft DNS je het IP-adres dat daar bij hoort.
Maar andersom kan dus ook. Dit heet "reverse-DNS".
Dus IP-adres "213.156.0.246" heeft als de "reverse-DNS" uitkomst: "www.security.nl".

Als je dit doet met het IP-adres van een simpele burger zonder eigen domein, dan kan daar bijv. iets uitkomen
met een hexadecimale notatie van je IP adres, en de naam van je internetprovider.
Bijvoorbeeld "XXXXXXXX.dynamic.ziggo.nl" waarbij XXXXXXXX je IP-adres is, maar in hexadecimale notatie.
Dat verhult het IP-adres een beetje. Maar als je bekend bent met hexadecimaal dan zie je het zo.

Jouw "reverse DNS" zie je met grote blauwe letters in het midden van de "Shields-Up" startpagina staan
met veel blabla uitleg erbij die misschien wat schrik aanjaagt. Vooral als je niet alles begrijpt.
Maar er gebeurt niets abnormaals: iedere website die je bezoekt kan dit zo achterhalen.
Maar de meeste websites gaan dat niet aan jou tentoonstellen.
Maar dit betekent dus wel, dat je in principe herkenbaar zult zijn indien jouw IP altijd gelijk blijft.
En dat men dus zondermeer ook direct kan zien wie je provider is, en vanuit welk land je opereert.
So what.... Misschien nog steeds geen big deal.

Maar het is een koud kunstje om software te schrijven dat bijv. bijhoudt welke producten je bekijkt in een
webshop etc., en dat men dit koppelt aan jouw IP-adres om het daarna op de webserver of in de cloud op te slaan.
Dit functioneert dan dus als een soort "supercookie" waar je zelf geen enkele grip op hebt.
Je weet zelfs niet eens hoeveel er van die "supercookies" eventueel al bestaan.

De meeste simpele gebruikers zijn zich er niet van bewust dat zoiets überhaupt kan.
Voorwaarde is wel, dat je IP dan niet steeds moet veranderen. Want als je steeds wisselt van IP (=dynamisch IP)
dan lukt het natuurlijk niet. En Steve Gibson probeert ons hier dus bewust van te maken in zijn uitleg.
Nu is het nog niet meteen gezegd dat iedere website zoiets stiekem doet. En als men het doet is het
niet meteen gezegd dat het schadelijk is. Maar als je IP-adres nooit verandert, dan is het wel mogelijk.
En met de groeiende trend van "BIG DATA" verzamelen, meestal t.b.v. de commercie, neemt de tendens toe.
En dat komt de privacy niet ten goede, die hoe je het ook wendt of keert een link heeft
met de veiligheid. Soms werkt het ten goede, soms ten kwade.
(er bestaan trouwens nog wel meer truuks om je PC te herkennen als men dat perse zou willen.
Zoiets mag dacht ik officieel (nog) niet volgens de Nederlandse wet. Maar wie controleert het?...)

Dan nu naar het echte onderdeel van "Shields Up": de poortscan achter de "proceed" knop.
Het doel ervan is het helpen beschermen tegen spontane hackers die het internet afstruinen naar slachtoffers,
of zoals de documentatie op grc.com het noemt: "random scans which continually sweep through the Internet."
Zo'n type hacker kan pas succes boeken als hij een open poort vindt achter jouw IP-adres.
Maar pas op: er zijn uiteraard meer methoden om te hacken, zoals via malware die je oploopt via een website die
je bewust of onbewust zelf hebt bezocht, of via een "leuk computerspelletje voor je PC" dat je gratis ergens kreeg, etc.
Dit zijn dreigingen van een andere soort, en daar dient de "Shields up!"-test niet zozeer voor.
Hooguit merk je met Shields Up! achteraf dat er opeens een poort openstaat, maar dan is het kwaad eigenlijk al geschied.

Er zijn 65536 verschillende poorten, die met verschillende protocollen benaderd kunnen worden.
De meest gebruikte communicatieprotocollen zijn: TCP, UDP en ICMP, maar er bestaan meer.
Elk protocol kent zijn eigen methode van communiceren.

Een poort kan zich in één van deze drie toestanden bevinden: open, dicht of "stealth".
Zie https://www.grc.com/su/portstatusinfo.htm voor meer info over deze drie toestanden.
De poortscan probeert uit te vinden in welke toestand een poort zich op het moment van de scan bevindt:
open of dicht of "stealth"?
(let op: het is dus maar een MOMENTOPNAME... en dat is een eerste beperking van de test)
Dat verklaart ook waarom meerdere scans niet altijd consistent hoeven te zijn.
Als de eerst scan "stealth" aangeeft, dan kan er bij een tweede scan best een open poort zijn.
Een computer is immers een dynamisch systeem, en kan wanneer de programmatuur dat dicteert
poorten openen en sluiten of in "stealth" zetten en weer terug.
In routers zit evengoed een computer, en daar gaat ook wel eens een poort open bij de WAN,
bijv. om netwerktijd op te halen, of om automatisch voor nieuwe firmware te checken, ook al doe je verder niks.
En met ook nog al die "even aan mijn moeder vragen"-requests van moderne systemen, wordt er
regelmatig communicatie opgestart en afgesloten met zich openende en weer afsluitende poorten.
Dat was in de tijd dat deze tool ontwikkeld werd nauwelijks of niet aan de orde.
Dus of je het ongerief van deze inconsistenties nu de maker van de tool moet gaan aanrekenen?...
Zou ik niet doen.

Een tweede beperking van deze "Shields Up" test is dat je over internet binnen een redelijke wachttijd
niet alles door en door en door kunt testen.
Het valt nog te bezien hoe de scan exact zijn werk doet. Maar ik zou in eerste instantie verwachten
dat er een "ping" (=ICMP type 8) gebruikt wordt om te bepalen of een poort wel of niet in stealth staat,
en ook een "SYN" (TCP) om bovendien te testen of er connectie kan worden gemaakt met een open poort of niet.
En dat zou dan op alle 65536 poorten liefst meerdere malen in een scan moeten gebeuren.
Het kan best nog anders gebeuren hoor. Zo diep ben ik daar nog niet ingedoken, dus hang me er niet aan op.
Misschien kom ik er nog eens aan toe om dit haarfijn uit te zoeken. Meten is weten.

Je kunt in "Shields Up" ook zelf een poort of poort-range opgeven, dus alle 65536 poorten zijn te testen.
Een poort die continue open staat, zal ongetwijfeld door de mand vallen.
Er wordt trouwens niet hardop gezegd dat dit "heel gevaarlijk" zou zijn, maar je doet er goed aan om te controleren
waar het vandaan komt wanneer een poort steeds open staat, en of dat wel de bedoeling is.
En dat lijkt me een goed advies, tenminste voor mensen die iets van computers weten en dit na kunnen trekken.

De conclusie mag wat mij betreft zijn dat het eigenlijk best een aardige tool is
maar dan *** ALLEEN VOOR HET DOEL WAAR HIJ VOOR IS GEMAAKT ***.
Namelijk om je te helpen beschermen tegen gelegenheidshackers die het internet afstruinen
zoals uit de documentatie op grc.com ook wel blijkt.

"Shields Up!" helpt dus weinig of niet tegen malware-types in je PC die een poort maar heel af en toe even openen.
want dat wordt uiteraard lang niet altijd gedetecteerd.
Nee, het is puur bedoeld om je beter te kunnen wapenen tegen "random scans which continually sweep through the Internet".
En dan hebben we het dus uitsluitend en alleen over bewapening tegen SPONTAAN INKOMEND(!) TCP/IP -verkeer.
Uitgaand TCP/IP verkeer naar het internet toe houd je met deze specifieke techniek niet tegen.
En bij netwerkverkeer dat van binnenuit het internet op wil, worden poorten natuurlijk automatisch (even) opengezet.
Ook als malware dit doet.

Wanneer dus alle 65536 poorten bij de WAN voortdurend in een degelijke "stealth" mode zouden staan,
dan zal ieder ping (ECHO request) of SYN (TCP communicatie openen request) die vanaf het internet binnenkomt,
"niet thuis" geven. En dan lijkt het alsof er niets aanwezig is om te hacken, want er reageert niets.
(Vandaar de naam "stealth": jouw apparaat is onzichtbaar voor de vijand)
De gelegenheidshacker gaat dan meestal snel voorbij aan het netwerk achter jouw WAN-IP, op zoek naar een ander slachtoffer.
Want hij heeft minimaal een open poort nodig om van buitenaf iets uit te kunnen proberen.
Of er moet wel sprake zijn van een bijzonder exotische bug in de apparatuur, maar dat zijn uitzonderingen.

Conclusie:

"Shields Up!" is hoofdzakelijk een tool om poorten te detecteren die voor langere tijd luisterend "open" staan
en die hierdoor enig risico lopen om gehackt te worden vanaf het internet door een gelegenheidshacker.
Hoe langer een poort open staat, des te groter is de kans dat een hacker dit eens detecteert, en er misbruik van
probeert te maken. Of dit hem ten slotte wel of niet lukt, en in welke mate, hangt dan vooral nog af van de kwaliteit
van de software (firmware in geval van routers) en het OS, en natuurlijk van kunst, kunde en tools van de hacker.

Je kunt de risico's op dit front minimaliseren door alle poorten van de WAN-aansluiting zoveel mogelijk
in "stealth" te houden. (dan lijkt het voor gelegenheidshackers dat er geen apparaat aanwezig is om te hacken)
Of anders in closed. (dan ziet een hacker weliswaar dat er een apparaat aanwezig is, maar hij kan er (nog) niet in.
Maar hij kan dan wel onthouden dat er op dit IP-adres een apparaat zit, en nog meer poorten gaan testen.
Of het later nog eens proberen)

Indien "Shields Up!" je attent maakt op een open poort, dan kun je verder onderzoeken hoe je dat stukje risico
zoveel mogelijk kunt beperken, en zo mogelijk passende maatregelen treffen.
Dat biedt nog geen bescherming op alle fronten, maar werkt wel effectief tegen ongewenst SPONTAAN inkomend TCP/IP-verkeer.
Dit zou ook met een geschikte firewall kunnen. Maar die zou eens kunnen falen (door een bug of verkeerde instelling of zo).
Als je daarbij ook goed op de toestand van de poorten let, dan heb je een nog veiligere "2-factor" bescherming.
Deze techniek biedt niet opeens een volle 100% bescherming tegen alle soorten dreigingen of zo,
net zoals een goed antivirusprogramma en/of een goede firewall je nog geen 100% bescherming tegen alle dreigingen biedt.
(sommige mensen denken dat wel eens, en maken de fabrikant dan voor alles en nog wat uit als het mis gaat...)
Maar als je alle security maatregelen bij elkaar optelt, dan kom je wel steeds dichter bij die 100%.

En in het algemeen: als je eerst goed onderzoekt waar iets voor bedoeld is, en hoe de vork in de steel zit
door alle documentatie goed door te nemen, dan hoeft ook niemand zich verder misleid of bedrogen te voelen.

Er is nogal wat te melden over Heartbleed, alle handjes in de lucht - paniek - vrouwen en kinderen eerst! - maar het feit is wel dat de eindgebruiker hier zelf weinig aan kan doen. De uitzondering hierop is het hebben van apparatuur die onafhankelijk van de pc/computer/etc. verbindingen aangaat met het WWW, zoals NAS, printer/scanners, etc.

Een mooi overzicht van de dreiging, de gevolgen en de verschillende tools om hierop te testen is inmiddels op Wikipedia te vinden: https://en.wikipedia.org/wiki/Heartbleed


Heartbeat is een (Cisco) server-extensie, Heartbleed is de kwetsbaarheid. Just saying ;)


Dat GRC de bron is van een podcast zou m.i. geen aanleiding moeten zijn om ShieldsUP! op de korrel te nemen, ik zie althans niet in waarom de boodschapper afgeschoten moet worden vanwege een tool (van een andere partij) die met SSL te maken heeft.

Wat begrijpt men niet aan : de ondersteuning is gestopt?
http://www.microsoft.com/en-us/windows/enterprise/end-of-support.aspx

Thanks anoniem van 13:59 voor deze toelichting om de zaken correct in perspectief te zetten.

Voor alle duidelijkheid meld ik nog even dat de naam "heartbleed" een wat dubbelzinnige benaming is:

het onderdeel van OpenSSL dat faalt, is namelijk een mechanisme dat met nodige regelmaat de SSL-verbinding controleert. Zo'n regelmatig vitaal proces noemt men in vaktermen wel de "heartbeat" van een systeem.

Omdat het lek van OpenSSL nu juist zit in een stukje programmatuur dat die "heartbeat" verzorgt,
heeft men de kwetsbaarheid heel toepasselijk de dubbelzinnige naam "heartbleed" gegeven.
(elk "heartBEAT"(hartslag)-mechanisme dat lek is, krijgt namelijk last van "heartBLEED"... ;)
En een "bloedend hart" (ook wel: LUDUVUDU...) is doorgaans een ernstige kwaal, die veel ellende veroorzaakt.

"HeartBLEED" is in feite dus de benaming voor een technische "heartBEAT kwetsbaarheid" in OpenSSL,
en deze benaming draagt wat dubbelzinnig in zich mee, dat er een ernstig lek aanwezig is in het heartBEAT-mechanisme.

In dit perspectief moet men ook mijn eerdere bericht lezen, waarin ik opzettelijk "heartbeat" schreef en niet "heartbleed". Wat gekscherend voegde ik er toen aan toe "Gaat je hart er sneller van kloppen?"
M.a.w: kunnen jullie enthousiast worden van deze door CrowdStrike aangeboden tool?
(voor zover iemand in de gelukkige omstandigheden verkeert om dit te KUNNEN testen)


1. Denk eens aan overheidsinstanties die nog steeds extended support van Microsoft op XP krijgen. ;)
2. Je bent niet verplicht om deze Heartbleed-tool met XP te gaan gebruiken. Het is slechts een optie.
Immers er staat: "Supported Operating Systems: ...... XP *** AND ABOVE!!! ***"
(b.t.w.: het feit dat deze tool op XP kan werken, wil niet automatisch zeggen dat je opeens allerlei XP-risico's
gaat lopen als je deze tool op een nieuwer OS dan XP zou gaan installeren) ;)
3. XP is voor bepaalde toepassingen nog altijd voldoende veilig te gebruiken, als je maar goed weet wat je doet,
en goed onderlegd bent om alle risico's goed in te schatten en te overzien, en je jezelf daarbij niet overschat.