Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Extensies, Add-ons en meer
13-11-2012, 16:43 door AdVratPatat, 14 reacties
Hallo allemaal, ik had een vraagstelling mbt een discussie (gesprek) met de collega's over browser-extensies, vooral bij particulier gebruik. Het gaat me er bij voorbaat niet om de discussie te winnen, enkel omdat ik me afvraag wat nou precies waar is over welke extensie...
(Het phone-home gebeuren wilden we er even buiten laten.)
De vraagstelling is simpel, is de betreffende extensie een aanvulling tegen MALWARE, en zo ja, hoe dan exact?
Wij hadden als casus de veelbesproken exploited iFrames die de ad-host van NRC.nl vandaag getroffen heeft.
De door ons besproken extensies, aanvullingen zijn natuurlijk altijd welkom:
AdBlock (Plus)
(Houdt JS tegen, de vraag is of malware ook geladen wordt vóór het wordt tegengehouden)
NotScript
(Blokkeert JS volledig, maar net als AdBlock, wanneer precies? Ik snap dat het al-dan-niet-blokkeren zelf van de instellingen af hangt...)
(Better) Pop-Up Blocker
(Laad en sluit de pop-up pagina direct daarna weer, is dit voldoende om malware te laden?)
WOT
(Blokkeert toegang tot pagina's, maar ik krijg toch echt het idee dat ze gewoon geladen worden met een frame er over)
Iemand met ervaringen, analyses of gefundeerde meningen toevallig?
Bedankt alvast!
(Het phone-home gebeuren wilden we er even buiten laten.)
De vraagstelling is simpel, is de betreffende extensie een aanvulling tegen MALWARE, en zo ja, hoe dan exact?
Wij hadden als casus de veelbesproken exploited iFrames die de ad-host van NRC.nl vandaag getroffen heeft.
De door ons besproken extensies, aanvullingen zijn natuurlijk altijd welkom:
AdBlock (Plus)
(Houdt JS tegen, de vraag is of malware ook geladen wordt vóór het wordt tegengehouden)
NotScript
(Blokkeert JS volledig, maar net als AdBlock, wanneer precies? Ik snap dat het al-dan-niet-blokkeren zelf van de instellingen af hangt...)
(Better) Pop-Up Blocker
(Laad en sluit de pop-up pagina direct daarna weer, is dit voldoende om malware te laden?)
WOT
(Blokkeert toegang tot pagina's, maar ik krijg toch echt het idee dat ze gewoon geladen worden met een frame er over)
Iemand met ervaringen, analyses of gefundeerde meningen toevallig?
Bedankt alvast!
Reacties (14)
NoScript en Adblock Plus (onder Firefox) werken allebei zo dat ze de geblokkeerde adressen niet laden.
Er wordt dus zelfs geen netwerkverzoek gedaan. Daarom heb je ook geen last van slome advertentienetwerken
die het laden van een pagina vertragen. Zie ook http://adblockplus.org/nl/faq_internal#policies
Noscript kan voor plugins ook gewoon het downloaden (en dus uitvoeren) blokkeren tot je erop klikt.
Ooit werkte adblockers als een soort behang over advertenties, maar dat is voor Firefox jaren geleden.
Er wordt dus zelfs geen netwerkverzoek gedaan. Daarom heb je ook geen last van slome advertentienetwerken
die het laden van een pagina vertragen. Zie ook http://adblockplus.org/nl/faq_internal#policies
Noscript kan voor plugins ook gewoon het downloaden (en dus uitvoeren) blokkeren tot je erop klikt.
Ooit werkte adblockers als een soort behang over advertenties, maar dat is voor Firefox jaren geleden.
14-11-2012, 09:31 door
ITAFG
Beste AdVratPatat!
Ik kan je een ding zeggen Add-ons beschermt je niet 100 % maar beschermt je wel veel.
Over NotScript kan je zelf misschien even naar dit videootje kijken is weliswaar in duist maar wordt wel goed uitgelegd!
https://www.youtube.com/watch?v=ybzP0oftI4c&feature=relmfu
Ik kan je een ding zeggen Add-ons beschermt je niet 100 % maar beschermt je wel veel.
Over NotScript kan je zelf misschien even naar dit videootje kijken is weliswaar in duist maar wordt wel goed uitgelegd!
https://www.youtube.com/watch?v=ybzP0oftI4c&feature=relmfu
14-11-2012, 09:45 door
ITAFG
Nog even flashblokker is ook een goeie word veel flash advertentie geblokkeerd.
Zoals je misschien weet word veel advertentie in op basis van flash gemaakt.
Zoals je misschien weet word veel advertentie in op basis van flash gemaakt.
14-11-2012, 10:04 door
0101
Door AdVratPatat: Is de betreffende extensie een aanvulling tegen MALWARE, en zo ja, hoe dan exact?
Ik zet het even op een rijtje.Door AdVratPatat: AdBlock (Plus)
(Houdt JS tegen, de vraag is of malware ook geladen wordt vóór het wordt tegengehouden)
Voorkomt dat advertenties geladen worden (de kwaadaardige code wordt dus niet eens gedownload). Werkt alleen als de kwaadaardige advertentie in de filterlijst voorkomt.(Houdt JS tegen, de vraag is of malware ook geladen wordt vóór het wordt tegengehouden)
Door AdVratPatat: NotScript
(Blokkeert JS volledig, maar net als AdBlock, wanneer precies? Ik snap dat het al-dan-niet-blokkeren zelf van de instellingen af hangt...)
Als No(t)Script zo is ingesteld dat JavaScript uitgeschakeld is voor de URL van het kwaadaardige script, zal het niet uitgevoerd worden.(Blokkeert JS volledig, maar net als AdBlock, wanneer precies? Ik snap dat het al-dan-niet-blokkeren zelf van de instellingen af hangt...)
Door AdVratPatat: (Better) Pop-Up Blocker
(Laad en sluit de pop-up pagina direct daarna weer, is dit voldoende om malware te laden?)
Helpt niet, de malware wordt in een iframe (https://en.wikipedia.org/wiki/HTML_element#Frames) geladen, niet een popup.(Laad en sluit de pop-up pagina direct daarna weer, is dit voldoende om malware te laden?)
Door AdVratPatat: WOT
(Blokkeert toegang tot pagina's, maar ik krijg toch echt het idee dat ze gewoon geladen worden met een frame er over)
Of pagina's echt geblokkeerd worden of alleen achter een overlay verstopt hangt van je instellingen af.(Blokkeert toegang tot pagina's, maar ik krijg toch echt het idee dat ze gewoon geladen worden met een frame er over)
WOT is echter niet geschikt om te waarschuwen voor betrouwbare websites waarop kwaadaardige code is geplant, omdat een website dan vaak al een solide reputatie heeft die maar met zeer veel moeite aangepast kan worden.
Om je een voorbeeld te geven, recent was er een website van een Spaanse universiteit waarop de BlackHole Exploit Kit geplaatst was.
Deze website had een (donkergroene) Excellent rating en een zeer hoge rating reliability.
Nadat een bericht op het forum was geplaatst hebben ~4-5 leden van de WOT gemeenschap met een zeer hoge reputatie de website een lage rating gegeven. Binnen een dag was de reputatie van de website gewijzigd in Good (lichtgroen).
Het is niet de fout van WOT dat dit niet sneller aangepast kan worden; WOT is hier simpelweg niet voor gemaakt. Bij WOT gaat het over het verwerven van reputatie op de lange termijn.Uiteindelijk is het toch het belangrijkst om al je software up-to-date te houden. Veiliger programma's, zoals Chrome met z'n sandbox helpen ook in de beveiliging.
14-11-2012, 10:53 door
ITAFG
Goed uitgelegd 0101!
14-11-2012, 11:05 door
AdVratPatat
Door ITAFG: Beste AdVratPatat!
https://www.youtube.com/watch?v=ybzP0oftI4c&feature=relmfu
Bedankt voor je reactie ITAFG, helaas is Duits niet mijn beste kant.https://www.youtube.com/watch?v=ybzP0oftI4c&feature=relmfu
Ik ga nog wel weer wat verder Googlen vanavond, maar er is zo veel tegenstrijdige info te vinden, dat ik echt serieus twijfel aan 90% van de informatie.
Door ITAFG:
Nog even flashblokker is ook een goeie word veel flash advertentie geblokkeerd.
OK bedankt, met een bepaalde extensie ervaring toevallig?Nog even flashblokker is ook een goeie word veel flash advertentie geblokkeerd.
14-11-2012, 11:40 door
AdVratPatat
Door 0101:
Bedankt 0101, die uitleg was een 10(10)!Door AdVratPatat: Is de betreffende extensie een aanvulling tegen MALWARE, en zo ja, hoe dan exact?
Ik zet het even op een rijtje.Door AdVratPatat: AdBlock (Plus)
(Houdt JS tegen, de vraag is of malware ook geladen wordt vóór het wordt tegengehouden)
Voorkomt dat advertenties geladen worden (de kwaadaardige code wordt dus niet eens gedownload). Werkt alleen als de kwaadaardige advertentie in de filterlijst voorkomt.(Houdt JS tegen, de vraag is of malware ook geladen wordt vóór het wordt tegengehouden)
Door AdVratPatat: NotScript
(Blokkeert JS volledig, maar net als AdBlock, wanneer precies? Ik snap dat het al-dan-niet-blokkeren zelf van de instellingen af hangt...)
Als No(t)Script zo is ingesteld dat JavaScript uitgeschakeld is voor de URL van het kwaadaardige script, zal het niet uitgevoerd worden.(Blokkeert JS volledig, maar net als AdBlock, wanneer precies? Ik snap dat het al-dan-niet-blokkeren zelf van de instellingen af hangt...)
Door AdVratPatat: (Better) Pop-Up Blocker
(Laad en sluit de pop-up pagina direct daarna weer, is dit voldoende om malware te laden?)
Helpt niet, de malware wordt in een iframe (https://en.wikipedia.org/wiki/HTML_element#Frames) geladen, niet een popup.(Laad en sluit de pop-up pagina direct daarna weer, is dit voldoende om malware te laden?)
Door AdVratPatat: WOT
(Blokkeert toegang tot pagina's, maar ik krijg toch echt het idee dat ze gewoon geladen worden met een frame er over)
Of pagina's echt geblokkeerd worden of alleen achter een overlay verstopt hangt van je instellingen af.(Blokkeert toegang tot pagina's, maar ik krijg toch echt het idee dat ze gewoon geladen worden met een frame er over)
Ik wist helemaal niet dat je WOT op die manier kan instellen, misschien toch maar een accountje aanmaken met temp-mail dan. Dat het user-based en niet specifiek gericht is tegen gehackte site's is duidelijk, NRC.nl heeft ook nog steeds een goede rating trouwens, dus dat was duidelijk een slecht voorbeeld van me. Bedankt voor de verheldering in ieder geval.
Dat een pop-up blocker niet helpt in deze casus is helemaal duidelijk, maar in gevallen dat de pop-up-url die aangeroepen wordt wél besmet is, of desnoods een (gekoppeld) besmet iFrame bevat?
Maar in het kort komt het dus op neer dat zowel AdBlock als NotScript daadwerkelijk voorkomen dat data wordt gedownload op basis van url/inhoud en dus een effectief en vooral betrouwbaar beveiligings-laagje tegen malware kunnen zijn, al zij het specifiek? Da's wel mooi dan :]
Door 0101: Uiteindelijk is het toch het belangrijkst om al je software up-to-date te houden.
Ja duidelijk regel 1, kan niet vaak genoeg gezegd worden.Verder zat ik wel te denken om gewoon even wat te gaan prullen met wat pakketjes thuis, maar da's stiekem toch weer best veel log-lees-werk als je het echt goed wil doen (ik ken mezelf inmiddels...).
Ik hoopte dat iemand het al wist, dus nogmaals, bedankt voor je verhelderende uitleg 0101 :]
14-11-2012, 12:57 door
Spiff has left the building
Door AdVratPatat:
WOT (Blokkeert toegang tot pagina's, maar ik krijg toch echt het idee dat ze gewoon geladen worden met een frame er over)
WOT (Blokkeert toegang tot pagina's, maar ik krijg toch echt het idee dat ze gewoon geladen worden met een frame er over)
Door 0101:
Of pagina's echt geblokkeerd worden of alleen achter een overlay verstopt hangt van je instellingen af.
Of pagina's echt geblokkeerd worden of alleen achter een overlay verstopt hangt van je instellingen af.
Door AdVratPatat:
Ik wist helemaal niet dat je WOT op die manier kan instellen, misschien toch maar een accountje aanmaken met temp-mail dan.
Als ik me niet vergis bedoelt 0101 niet iets waarvoor je moet inloggen met een WOT-account, maar instelling viaIk wist helemaal niet dat je WOT op die manier kan instellen, misschien toch maar een accountje aanmaken met temp-mail dan.
WOT-icoontje in je browser > Settings > Warnings
Onder die tab Warnings kun je door het omzetten van de 'Behavior schakelaars' kiezen voor Warning dan wel Blocking.
Het is daartoe niet nodig in te loggen met een WOT-account.
14-11-2012, 12:58 door
0101
Door AdVratPatat: Ik wist helemaal niet dat je WOT op die manier kan instellen
Dit kun je als volgt doen:WOT knop > Settings > Warnings
en daarna achter de categorieën die je wilt blokkeren de knop op Blocking zetten.Door AdVratPatat: misschien toch maar een accountje aanmaken met temp-mail dan.
In principe heb je geen account nodig om de add-on te gebruiken. Die heb je alleen nodig als je reacties wil achterlaten op scorecards, edits wilt maken in de wiki en posts op het forum wilt plaatsen. Overigens heeft WOT een uitstekend privacy beleid en is je WOT account eenvoudig te verwijderen.Edit @Spiff; je was me net voor.
14-11-2012, 13:44 door
AdVratPatat
Door Spiff: Als ik me niet vergis bedoelt 0101 niet iets waarvoor je moet inloggen met een WOT-account, maar instelling via
WOT-icoontje in je browser > Settings > Warnings
Onder die tab Warnings kun je door het omzetten van de 'Behavior schakelaars' kiezen voor Warning dan wel Blocking.
Het is daartoe niet nodig in te loggen met een WOT-account.
+WOT-icoontje in je browser > Settings > Warnings
Onder die tab Warnings kun je door het omzetten van de 'Behavior schakelaars' kiezen voor Warning dan wel Blocking.
Het is daartoe niet nodig in te loggen met een WOT-account.
Door 0101:
Bedankt heren, had ik toch wat meer click-happy moeten zijn in dit geval :pDoor AdVratPatat: Ik wist helemaal niet dat je WOT op die manier kan instellen
Dit kun je als volgt doen:WOT knop > Settings > Warnings
en daarna achter de categorieën die je wilt blokkeren de knop op Blocking zetten.In FF heb ik het gevonden en gewijzigd.
Chrome vermeld de functie enkel in de uitleg, zonder dat deze daadwerkelijk aanwezig is. Apart...
Misschien toch maar een temp-boxje doen dan?
14-11-2012, 14:18 door
Spiff has left the building
Door AdVratPatat:
Bedankt heren
Of wie weet dames.Bedankt heren
Je weet uiteraard nooit wie er achter 0101, Spiff, of wélke profielnaam dan ook zit.
Door AdVratPatat:
Chrome vermeld de functie enkel in de uitleg, zonder dat deze daadwerkelijk aanwezig is. Apart...
Misschien toch maar een temp-boxje doen dan?
Inderdaad nogal apart.Chrome vermeld de functie enkel in de uitleg, zonder dat deze daadwerkelijk aanwezig is. Apart...
Misschien toch maar een temp-boxje doen dan?
Zelf heb ik echter geen ervaring met WOT voor Chrome.
Maar dat je voor het aanpassen van de genoemde instellingen zou moeten inloggen met een WOT-account, dat zou me vreemd lijken. Want zoals 0101 al aangaf, zo'n WOT-account heb je alleen nodig als je reacties wil achterlaten op scorecards, edits wilt maken in de wiki en posts op het forum wilt plaatsen.
Ik hoop dat iemand anders hier weet hoe je in Chrome die WOT Warning/Blocking instellingen kunt aanpassen.
14-11-2012, 14:39 door
0101
Door AdVratPatat: Chrome vermeld de functie enkel in de uitleg, zonder dat deze daadwerkelijk aanwezig is.
Ik vermoed dat dit komt omdat de API voor het programmeren van Chrome-extensies door het permissiemodel wat beperkter is qua mogelijkheden. (In vergelijking met Firefox.)Het afvangen en in dit geval door het eerst ophalen van de reputatie ook kort vertragen van URLs zou waarschijnlijk extra permissies vereisen of is in het geheel niet mogelijk.
15-11-2012, 09:53 door
AdVratPatat
Door Spiff:
Je weet uiteraard nooit wie er achter 0101, Spiff, of wélke profielnaam dan ook zit.
Hmmm.., correct.., aannames... aannames...Door AdVratPatat:
Bedankt heren
Of wie weet dames.Bedankt heren
Je weet uiteraard nooit wie er achter 0101, Spiff, of wélke profielnaam dan ook zit.
Vooral als je meerekent dat ik soms niet eens kan volgen wie (of wat) er achter mijn profielnaam schuilgaat :p
Door Spiff:
Zelf heb ik echter geen ervaring met WOT voor Chrome.
Maar dat je voor het aanpassen van de genoemde instellingen zou moeten inloggen met een WOT-account, dat zou me vreemd lijken. Want zoals 0101 al aangaf, zo'n WOT-account heb je alleen nodig als je reacties wil achterlaten op scorecards, edits wilt maken in de wiki en posts op het forum wilt plaatsen.
Ik hoop dat iemand anders hier weet hoe je in Chrome die WOT Warning/Blocking instellingen kunt aanpassen.
+Door AdVratPatat:
Chrome vermeld de functie enkel in de uitleg, zonder dat deze daadwerkelijk aanwezig is. Apart...
Misschien toch maar een temp-boxje doen dan?
Inderdaad nogal apart.Chrome vermeld de functie enkel in de uitleg, zonder dat deze daadwerkelijk aanwezig is. Apart...
Misschien toch maar een temp-boxje doen dan?
Zelf heb ik echter geen ervaring met WOT voor Chrome.
Maar dat je voor het aanpassen van de genoemde instellingen zou moeten inloggen met een WOT-account, dat zou me vreemd lijken. Want zoals 0101 al aangaf, zo'n WOT-account heb je alleen nodig als je reacties wil achterlaten op scorecards, edits wilt maken in de wiki en posts op het forum wilt plaatsen.
Ik hoop dat iemand anders hier weet hoe je in Chrome die WOT Warning/Blocking instellingen kunt aanpassen.
Door 0101: Ik vermoed dat dit komt omdat de API voor het programmeren van Chrome-extensies door het permissiemodel wat beperkter is qua mogelijkheden. (In vergelijking met Firefox.)
Het afvangen en in dit geval door het eerst ophalen van de reputatie ook kort vertragen van URLs zou waarschijnlijk extra permissies vereisen of is in het geheel niet mogelijk.
Bedankt Spiff en 0101 voor het actief meedenken.Het afvangen en in dit geval door het eerst ophalen van de reputatie ook kort vertragen van URLs zou waarschijnlijk extra permissies vereisen of is in het geheel niet mogelijk.
Ik heb gisteren een temp-mail-boxje en een WOT-accountje aangemaakt en bij WOT ingelogd om e.e.a. even zelf te testen. Zoals al eerder door jullie vermeld, maakt het ingelogd zijn of niet geen verschil in het gebruik van de WOT-extensie, maar enkel op de WOT-site. Dit geld voor zowel FF als Chrome.
Ik heb dus ook maar een mailtje opgesteld met eerder genoemde observatie, maar tot op heden geen reactie ontvangen.
Van het weekend / binnenkort nog wel even met WireShark en VMWare aan de gang waarschijnlijk, maar dan moet het wel slecht weer worden.., als er wat nieuws te melden valt kom ik dat nog wel even doen.
Nogmaals mijn dank voor de goede reacties!
15-11-2012, 11:23 door
0101
Door AdVratPatat: Ik heb dus ook maar een mailtje opgesteld met eerder genoemde observatie, maar tot op heden geen reactie ontvangen.
Dat is niet zo vreemd. Eén zoekopdracht had je kunnen vertellen dat dit een bekend probleem is: https://search.mywot.com/?q=site%3Amywot.com+inurl%3Aforum+test#q=site%3Amywot.com%20inurl%3A%22forum%22%20chrome%20extension%20block&page=1&type=web&sl=nl&country=nl&cs=&ab=Door AdVratPatat: Nogmaals mijn dank voor de goede reacties!
Graag gedaan.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.