Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Besmet! En dan.

29-04-2015, 17:19 door Eric-Jan H te D, 22 reacties
Veelal wordt als ultieme remedie bij een besmetting herinstallatie aangeraden. De laatste tijd duiken echter verhalen op over besmette firmware van USB-sticks. Omdat ik nog geen oplossing voor dat probleem ken zou ik het herinstalleren willen uitbreiden met:
- Gooi je USB-sticks ook maar weg
- En misschien wel alle via USB verbonden apparaten
- En vergeet vooral je modem/router niet naar fabrieksinstellingen te resetten en van een nieuw wachtwoord voor toegang en WiFi te voorzien.

Nu zou ikzelf (Hollandse zuinigheid) de eerste twee maatregelen pas treffen wanneer ik duidelijke aanwijzingen zou hebben dat de bedoelde apparaten daadwerkelijk voor problemen zorgden.

De laatste maatregel is redelijk eenvoudig en goedkoop uit te voeren. Die zou ik dus beslist nemen.
Reacties (22)
29-04-2015, 17:35 door Anoniem
Mijn advies zou zijn, ZOEK HULP.

http://uniteagainstmalware.com/
Onderaan staan aangesloten sites, gratis advies van erkende helpers voor particulieren (en het MKB).
De enige nadelen zijn, dat de voertaal Engelands is, en het wat langer duurt dan een her-installatie.
De voordelen zijn legio, van individuele hulp, aansluitend advies om herhaling te voorkomen, het aanpakken van (andere / gevolg-)problemen, tot GRATIS.

Als je weet waar je mee bezig bent, is her-installatie maar zéér zelden nodig...
29-04-2015, 23:00 door Anoniem
Die duidelijke aanwijzingen (voor de eerste twee maatregelen) zouden moeten komen uit het gedetecteerde virus. Men vergeet nogal eens dat een virusscanner meestal prima instaat is om te vertellen wat de besmetting is, en wat/hoe het infecteert en verder verspreidt.

Die derde actie lijkt me dan in het algemeen weer redelijk onnodig. In principe, als je dus al geen standaardinstellingen/wachtwoorden/ssid/tkip toepast op je router, dan kan een stukje malware op een client niet zomaar je router binnendringen. Ja, een stuk malware kan mogelijk wel je wifi wachtwoord hebben uitgelezen, maar daar heeft een aanvaller (die waarschijnlijk ergens in Rusland vertoeft en dus niet naast je woont) dus helemaal niks aan.
29-04-2015, 23:24 door [Account Verwijderd]
Als je aanneemt dat de firmware van je USB-sticks besmet is vanwege een malware besmetting van je PC, en je deze weggooit, zou je dan niet ook moeten aannemen dat de firmware van de harde schijf van de PC besmet is, en die dus moeten vernietigen?
29-04-2015, 23:46 door superglitched - Bijgewerkt: 29-04-2015, 23:55
Het is wel goed dat mensen weten dat er risico's zijn verbonden aan USB toetsenborden, muizen en Android telefoons omdat deze allemaal een soortgelijke USB controller hebben die met een beetje pech geïnfecteerd kan worden.

Echter, om nu al te adviseren om USB apparaten weg te gooien vind ik buitensporig en onnodig. Het is nog geen jaar geleden dat onderzoekers malware hebben weten te installeren op USB apparaten in een situatie waar de producent het heeft laten afweten. Dit was echter een vrij artificieel gemaakte situatie met alle parameters correct PID/VID & serienummers. Slechts een proof of concept.

Als we praten over cyberespionage en high profile hacks zal het zeker gebeuren, maar thuis computers hebben nog weinig te vrezen momenteel.

Dit is puur paniekzaaien en mensen verkeerd adviseren naar mijn mening. Als het een bewustzijn/awareness motivatie had, had ik nog beetje inlevingsvermogen gehad. Maar dit slaat echt helemaal nergens op. Schaam jezelf (en informeer jezelf)
30-04-2015, 00:05 door Eric-Jan H te D - Bijgewerkt: 30-04-2015, 00:06
Door Anoniem:Die derde actie lijkt me dan in het algemeen weer redelijk onnodig. .

Allerlei instellingen zijn via de browserinterface van het modem/router te wijzigen. Er zouden dus poorten opengezet kunnen worden in de firewall van de router. En misschien is er zelfs via telnet richting de router nog veel meer te verstieren. Dus dat advies blijft nog wel even staan. Vooral omdat het niks kost. En baat het niet dan schaadt het ook niet.

Je USB-spulletjes weggooien is natuurlijk wel wat overdreven. maar zou een uiterste consequentie kunnen zijn indien de virusproblemen blijven terugkeren na het aansluiten van deze apparaten. .
30-04-2015, 00:38 door Anoniem
Door Eric-Jan H te A:
Door Anoniem:Die derde actie lijkt me dan in het algemeen weer redelijk onnodig. .

Allerlei instellingen zijn via de browserinterface van het modem/router te wijzigen. Er zouden dus poorten opengezet kunnen worden in de firewall van de router. En misschien is er zelfs via telnet richting de router nog veel meer te verstieren. Dus dat advies blijft nog wel even staan. Vooral omdat het niks kost. En baat het niet dan schaadt het ook niet.

Je USB-spulletjes weggooien is natuurlijk wel wat overdreven. maar zou een uiterste consequentie kunnen zijn indien de virusproblemen blijven terugkeren na het aansluiten van deze apparaten. .
Leuk om je verse interesse voor malware te zien, ook in andere topics.
Het punt is wel, dat het wat lastig is om iemand serieus te nemen, die de term "virus" te pas en te onpas gebruikt.
Zeker op een forum als dit...

http://www.howtogeek.com/174985/not-all-viruses-are-viruses-10-malware-terms-explained/
http://vlaurie.com/computers2/Articles/malware-definitions.htm
30-04-2015, 09:49 door Profeet
Ja als je totale zekerheid wil hebben: Koop alles nieuw, ooh nee zelfs dat is tegenwoordig geen garantie meer. ;).

Maar serieus, alle usb weggooien gaat ver. Zoals andere al aangeven, hoe zit het dan met rootkits of malware in zaken als je harde schijf. Dan moet je praktisch na iedere besmetting totaal nieuwe hardware kopen.
30-04-2015, 10:45 door Anoniem
Omdat ik nog geen oplossing voor dat probleem ken zou ik het herinstalleren willen uitbreiden met:

- Gooi je USB-sticks ook maar weg
- En misschien wel alle via USB verbonden apparaten
- En vergeet vooral je modem/router niet naar fabrieksinstellingen te resetten en van een nieuw wachtwoord voor toegang en WiFi te voorzien.

Hmm. Dus ik moet nu mijn USB sticks weggooien, als ook onder meer mijn smart phone, mijn navigatie, en mijn usb bureau lampje.

Zonder daarbij na te denken over de vraag of het virus waarover je het hebt bedoelt is voor windows, linux, macosx, iphone, android, en ga zo maar door. De vraag of mijn navigatie (laat staan mijn usb lampje) uberhaupt besmet kunnen worden door malware, die slaan we ook maar over.

Je beseft je dat je virusscanner geen 100% bescherming biedt, en dat je dus ook besmet zou kunnen zijn, zonder dat je daar iets van weet of merkt ? Misschien is het tijd om maar alle je elektronica weg te gooien, wel zo zeker ? ;)
30-04-2015, 10:46 door Anoniem
Allerlei instellingen zijn via de browserinterface van het modem/router te wijzigen. Er zouden dus poorten opengezet kunnen worden in de firewall van de router. En misschien is er zelfs via telnet richting de router nog veel meer te verstieren. Dus dat advies blijft nog wel even staan. Vooral omdat het niks kost. En baat het niet dan schaadt het ook niet.

Is de vraag of bovenstaande zinnig/nodig is, niet sterk afhankelijk van de vraag wat voor malware er op de PC staat, en welke risico's je daarbij loopt; i.e. een remote access trojan geeft andere risico's dan een malafide bitcoin miner.
30-04-2015, 13:33 door Tubamaniak
De beste remedie is natuurlijk alle usb apparaten één voor één aan te sluiten op een 50V spanningsbron om zodoende alle circuits door te branden, zodat virussen en malware geen kans meer hebben, net als de toepassing die van origine was bedoeld. Dan is alles schoon. Een heerlijk gevoel. :-)
Kleine bijkomstigheid, mineur naar mijn idee, is dat er ook niets meer werkt. Maar ach, een kleinigheid houd je....

Alle gekheid op een stokje : bijna alle apparatuur die werkt op software en van buitenaf bereikbaar is verbonden door een touwtje of door de lucht, is op die manier te manipuleren, te infecteren of te vernielen.
Wanneer je omgeving niet perfect is geïsoleerd van de buitenwereld, doe je daar geen donder aan.
Terug naar analoog is vaak geen optie.

Voorzie dus je computers van bij je os passende antivirus en antimalware programma's, zorg dat je recente kopiën hebt van je werk en je gegevens, zorg wellicht voor backups en houd je installatiebestanden paraat en bij de tijd, voor het ultieme geval.

Software, ook malware "dieper gelegen" is vrijwel altijd wisbaar, mits je de juiste tools voorhanden hebt. De software is nl. ooit een keer voor de eerste keer ingeladen in een lege chip. Dat dit niet een eenvoudig proces is, zal ik niet ontkennen. En wellicht voor normale consumenten ook niet bereikbaar. Misschien een nieuwe stap in het service proces van leveranciers ?
30-04-2015, 16:43 door Eric-Jan H te D
Door Anoniem:die de term "virus" te pas en te onpas gebruikt.

De hele wereld heeft het over antivirus-programmatuur, terwijl de ouderwetse computervirussen bijna niet meer bestaan.

De meeste nog in het wild voorkomende IT-bedreigingen zijn van het type Trojan en Worm, wanneer je het over het infectiemechanisme hebt. Maar om een virus nu slechts te categoriseren als iets dat zich aan een andere exe hecht lijkt me wat kort door de bocht. Kun je iets dat zich aan een besturingssysteem hecht en als een Worm zich van systeem naar systeem verplaats dan geen Virus meer noemen. Zo bekeken hadden we computervirussen nooit als zodanig hebben kunnen benoemen.

Het eerste door u gelinkte stuk maakt er bovendien een hutspot van door infectiemechanismen en uitwerking op één hoop te gooien. Een virus/worm/trojan kunnen allen spyware/adware/keyloggers/randsomware/etc zijn. En als u op uw computer een legitiem programma installeert en dat programma is door een virus geïnfecteerd is het dan niet gelijk een Trojan. En natuurlijk zijn er ook nog allerlei hybride mengvormen

Dat te pas en te onpas laat ik maar voor uw rekening. De goed verstaander .....
01-05-2015, 11:33 door Anoniem
Door Eric-Jan H te A:
Door Anoniem:die de term "virus" te pas en te onpas gebruikt.

De hele wereld heeft het over antivirus-programmatuur, terwijl de ouderwetse computervirussen bijna niet meer bestaan.

De meeste nog in het wild voorkomende IT-bedreigingen zijn van het type Trojan en Worm, wanneer je het over het infectiemechanisme hebt. Maar om een virus nu slechts te categoriseren als iets dat zich aan een andere exe hecht lijkt me wat kort door de bocht. Kun je iets dat zich aan een besturingssysteem hecht en als een Worm zich van systeem naar systeem verplaats dan geen Virus meer noemen. Zo bekeken hadden we computervirussen nooit als zodanig hebben kunnen benoemen.

Het eerste door u gelinkte stuk maakt er bovendien een hutspot van door infectiemechanismen en uitwerking op één hoop te gooien. Een virus/worm/trojan kunnen allen spyware/adware/keyloggers/randsomware/etc zijn. En als u op uw computer een legitiem programma installeert en dat programma is door een virus geïnfecteerd is het dan niet gelijk een Trojan. En natuurlijk zijn er ook nog allerlei hybride mengvormen

Dat te pas en te onpas laat ik maar voor uw rekening. De goed verstaander .....
De goede verstaander spreekt dan dus ook over malware.

Een virus zal niet snel software infecteren, maar richt zich over het algemeen direct op een OS.
Zodra software is geïnfecteerd met malware (trojan, backdoor, adware, etc), is het (in >99.99% vd gevallen, backdoor is de uitzondering die de regel bevestigt) niet legitiem meer...
Wormen komen ook vrijwel nooit meer voor overigens, dat verder terzijde.

De grootste dreiging voor consumenten zijn vooral drive-by's (EK's), phishing, dat soort zaken.
Trojans zijn meestal "eigen schuld dikke bult" (want illegale software of gebrek aan inzicht),

Het verschil tussen een virus en worm is, dat een virus zich reproduceert via gedeelde bestanden, en een worm via netwerkverbindingen.
Dus nee, je kunt een virus geen worm noemen, zolang het geen actieve netwerkverbindingen opzet tenminste.

Ik gaf die 2 links voor de duidlijkheid, dat aanvalsvector en uitwerking niet duidelijk gescheiden zijn is wel even wat anders dan definities te pas en te onpas door elkaar gebruiken, of zie ik dat verkeerd?
"U" is overigens nergens voor nodig hoor, maar dat moet u helemaal zelf weten.

Geef mij een linkje naar iemand met verstand van zaken, die virus en malware door elkaar gebruikt, dan neem ik mijn woorden direct terug...


Happy hunting!
01-05-2015, 16:39 door Eric-Jan H te D
Door Anoniem:De grootste dreiging voor consumenten zijn vooral drive-by's (EK's),

It is "all in de eye of the beholder". Drive-by's worden vaak gerealiseerd via webpagina's waaraan het zich hecht. HTTP kan je met het grootste recht een programmeertaal noemen en de geproduceerde web-pagina dus een programma. De drive-by kopieert zich zelf weer niet letterlijk naar het aangevallen systeem dus zou ik toch zeggen geen virus

Wat ik vooral wil zeggen: "het is allemaal niet zo scherp te snijden". Virus is bovendien lekker kort en ook nog goed Nederlands. Ziekwaar of Slechtwaar bekt lang zo lekker niet.

Maar in een artikel door elkaar halen van infectiemechanismen en werking (payload) draagt echt niet aan het begrip bij.
Ik wens u een fijn weekeinde ;-)
02-05-2015, 19:31 door Anoniem
Door Anoniem: Mijn advies zou zijn, ZOEK HULP.
het beste advies voor TS :P
02-05-2015, 20:34 door Eric-Jan H te D
Door Anoniem:
Door Anoniem: Mijn advies zou zijn, ZOEK HULP.
het beste advies voor TS :P

Ik zou wel willen, maar ik weet niet waar. Louter Anonimuizen.
02-05-2015, 21:40 door regenpijp
Door Eric-Jan H te A:
Door Anoniem:
Door Anoniem: Mijn advies zou zijn, ZOEK HULP.
het beste advies voor TS :P

Ik zou wel willen, maar ik weet niet waar. Louter Anonimuizen.

Is een typemachine en een alu-hoedje misschien een oplossing?
02-05-2015, 21:58 door Eric-Jan H te D
Door regenpijp:Is een typemachine en een alu-hoedje misschien een oplossing?

Ik weet het niet hoor. Wat zou jij daar dan mee willen doen.

Dat hoedje zou je misschien goed staan op 5 mei. En voor de schrijfmachine raad ik je aan om er
vooral niet te veel reacties mee te typen. De linten zijn volgens mij nog al moeilijk verkrijgbaar.
29-05-2015, 18:19 door Eric-Jan H te D
Door Anoniem:Als je weet waar je mee bezig bent, is her-installatie maar zéér zelden nodig...

https://www.security.nl/posting/430081/Zweedse+overheid+adviseert+herinstallatie+na+grote+virusuitbraak
29-05-2015, 20:55 door Anoniem
Er is momenteel geen ontsmettingswijze voor besmette USB firmware. Niks doen is geen optie, voorkomen is dus het beste. Dat kan door gebruik te maken van firmware die hardwarematig niet meer kan worden aangepast of door het signeren van de geinstalleerde firmware (dat vereist wel een goede implementatie).

Wat beheerders sowieso zouden moeten doen is uitsluitend gebruik maken van USB keys die een fysieke write protect hebben. Dat is dus een schakelaar die echt het schrijven direct uitschakeld (dus niet zoals een SD card, waar het alleen een flag is, maar schrijven niet wordt verhinderd). Voorbeelden van zulke flash keys zijn Kanguru flash keys en TrekStor CS. Deze zijn in centraal Europa verkrijgbaar. Chinese bedrijven maken ze ook, zoek naar "usb 3.0 write protect switch".

Ik ken maar 1 USB flash key die signing gebruikt als bescherming tegen een firmware flash (Kanguru FlashTrust). Ik ken er geen die firmware updates hardwarematig uitschakelen. Dat zou echt standaard moeten worden gedaan bij elk USB apparaat.

Met de Kanguru FlashTrust zou je momenteel geinfecteerde computers kunnen ontsmetten zonder risico. Dat is dus een essentieel onderdeel in de gereedschapskist van systeembeheerders, vooral als de organisatie een mogeljjk doelwit is van "sophisticated targeted attacks".
30-05-2015, 13:06 door Anoniem
Mijn advies zou zijn, ZOEK HULP.

http://uniteagainstmalware.com/
Onderaan staan aangesloten sites, gratis advies van erkende helpers voor particulieren (en het MKB).
De enige nadelen zijn, dat de voertaal Engelands is, en het wat langer duurt dan een her-installatie.
De voordelen zijn legio, van individuele hulp, aansluitend advies om herhaling te voorkomen, het aanpakken van (andere / gevolg-)problemen, tot GRATIS.

Als je weet waar je mee bezig bent, is her-installatie maar zéér zelden nodig...

Met UNITE heb ik een aantal slechte ervaringen, ik heb het idee dat niet iedereen die daar rondloopt kundig is op het gebied van malware. Een aantal andere security-fora (ik zal geen namen noemen) waar ik wel eens op kijk claimen sommige schrijvers ook bij UNITE te zijn aangesloten, maar hun niveau op het gebied van malwarebestrijding en kennis, komt naar mijn inziens lager uit.

En nu even ontopic: Bij een zware infectie, gewoon herinstalleren, geen tijd aan verspillen. is het een browserkapertje ofzo kan je best een virusscanner draaien en je browser resetten. Maar waar 1 virus zit, zitten er meer... Heb je een cryptolocker of een rootkit ofzo opgelopen, direct herinstalleren, dan weet je waar je mee bezig bent.
30-05-2015, 21:39 door Anoniem
Door Eric-Jan H te A:
Door Anoniem:De grootste dreiging voor consumenten zijn vooral drive-by's (EK's),

It is "all in de eye of the beholder". Drive-by's worden vaak gerealiseerd via webpagina's waaraan het zich hecht. HTTP kan je met het grootste recht een programmeertaal noemen en de geproduceerde web-pagina dus een programma. De drive-by kopieert zich zelf weer niet letterlijk naar het aangevallen systeem dus zou ik toch zeggen geen virus

Wat ik vooral wil zeggen: "het is allemaal niet zo scherp te snijden". Virus is bovendien lekker kort en ook nog goed Nederlands. Ziekwaar of Slechtwaar bekt lang zo lekker niet.

Maar in een artikel door elkaar halen van infectiemechanismen en werking (payload) draagt echt niet aan het begrip bij.
Ik wens u een fijn weekeinde ;-)
HTTP is geen taal maar een communicatie- en overdrachtsprotocol.
Bedoelde je soms HTML? Ook dat is geen programmeertaal: ML staat voor Markup Language, dus een beschrijving van het uiterlijk van de pagina.
31-05-2015, 21:52 door Eric-Jan H te D
Door Anoniem: [Bedoelde je soms HTML? Ook dat is geen programmeertaal: ML staat voor Markup Language, dus een beschrijving van het uiterlijk van de pagina.

Natuurlijk bedoelde ik HTML. En waar programeertalen beginnen en waar ze eindigen is een uitzichtloze discussie denk ik.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.