Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ransomware voor PZ

08-12-2016, 00:22 door Erik van Straten, 31 reacties
Laatst bijgewerkt: 08-12-2016, 00:23
Naar verluidt ([1], [2], [3]) zijn vandaag Duitse bedrijven, om precies te zijn de afdeling personeelszaken, gespamd met nepsollicitaties waarvan de bijlagen ransomware kunnen downloaden en starten. Daarbij bevatten de mails opvallend veel correcte gegevens van de geadresseerde waardoor deze betrouwbaar over (kunnen) komen.

Wellicht is het een goed idee om medewerkers van een dergelijke afdeling in jouw bedrijf te waarschuwen; het ligt voor de hand dat een vergelijkbare golf binnenkort Nederland aandoet.

Zoals de laatste tijd gebruikelijk is de kans dat een virusscanner de bijlage in een kort geleden (tot enkele uren) verzonden e-mail als kwaadaardig herkent, minimaal. Daarbij gaat het om een zogenaamde dropper die de feitelijke ransomware downloadt (en verder zelden andere kwaadaardige eigenschappen heeft). Detectie is slecht doordat verzenders voortdurend hun obfuscatietechniek in de toegepaste scripts aanpassen. Vaak duurt het een dag voordat de helft van de virusscanners op VirusTotal zo'n dropper als kwaadaardig bestempelt. Gewoon 1 dag wachten met het openen van e-mail verkleint dus je risico's!

De detectiekans van de uiteindelijke malware is nog kleiner. Want hoewel IP-adressen van sites waar die uiteindelijke malware vandaan gedownload wordt (door de dropper) na een tijdje op blacklists belanden, wijzigen de cybercriminelen de DNS gegevens zodra dat gebeurt. Bovendien bevatten droppers meestal een vijftal domainnames die allemaal worden geprobeerd waardoor de download vaak toch wel lukt. De te downloaden malware zelf wordt ook regelmatig door de cybercriminelen aangepast, namelijk zodra deze door te veel virusscanners wordt herkend. M.a.w. als je zo'n dropper een paar uur later nogmaals zou starten, zul je vaak zien dat deze vanaf andere IP-adressen andere malware downloadt.

Bijvoorbeeld de in [1] genoemde Goldeneye ransomware werd omstreeks 19:00 vanavond door 40 van 56 virusscanners herkend [4]. Aanvankelijk (toen deze malware voor het eerst werd aangeboden aan Virustotal, namelijk 6 december om ca. 09:30) werd deze maar door 3 van de 56 scanners herkend. En daarbij gaat het om scanners die in Duitsland en in Nederland nauwelijks worden gebruikt, namelijk Baidu, Qihoo-360 en Yandex [5]. Je kunt er donder op zeggen dat om 19:00 vanavond deze versie op de downloadsites van de cybercriminelen (vaak gehackte webservers) allang vervangen was door gewijzigde malware met net zulke slechte detectie als de eerdergenoemde versie aanvankelijk had.

Het Duitstalige document van BSI [6] (bron: [7]) bevat aanwijzingen voor preventie. In dit soort gevallen kan vooral waakzaamheid van potentiële ontvangers de risico's aanzienlijk verlagen.

P.S. voordat je roept dat whitelisting de heilige graal is: naast dat dit normaal werken lastiger maakt, blokkeer je hier geen malware mee die versleuteld wordt gedownload en op je schijf gezet, in het geheugen wordt ontsleuteld als DLL code en vervolgens in een gewhitelisted (vertrouwd) proces wordt geïnjecteerd zoals in [8] beschreven door Didier Stevens. Of de onderhavige ransomware dit ook doet, weet ik niet.

[1] https://www.heise.de/security/meldung/Goldeneye-Ransomware-Die-Bedrohung-erkennen-Mitarbeiter-warnen-Infektion-verhindern-3564252.html
[2] https://www.heise.de/security/meldung/Goldeneye-Ransomware-greift-gezielt-Personalabteilungen-an-3562281.html
[3] https://twitter.com/certbund/status/806104277039058944
[4] https://virustotal.com/en/file/b5ef16922e2c76b09edd71471dd837e89811c5e658406a8495c1364d0d9dc690/analysis/1481133664/
[5] https://virustotal.com/en/file/b5ef16922e2c76b09edd71471dd837e89811c5e658406a8495c1364d0d9dc690/analysis/1481016535/
[6] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf
[7] https://twitter.com/Timo_Steffens/status/806124411422208000
[8] https://isc.sans.edu/forums/diary/Hancitor+Maldoc+Bypasses+Application+Whitelisting/21683/
Reacties (31)
08-12-2016, 08:26 door Anoniem
Ik heb nooit begrepen dat sommige bedrijven een DOC-document eisen bij het doen van een sollicitatie. Ik geef liever een PDF-document en document scanners kunnen die ook prima lezen.
08-12-2016, 09:36 door Anoniem
Door Anoniem: Ik heb nooit begrepen dat sommige bedrijven een DOC-document eisen bij het doen van een sollicitatie. Ik geef liever een PDF-document en document scanners kunnen die ook prima lezen.

De posting van Erik heeft niets te maken met .doc (vs .pdf) , en alles met semi-targeted aanvallen op werkplekken waar men mail van onbekende afzenders _moet_ ontvangen en bijlagen (in het ene of andere formaat) daarvan openen normaal is .
08-12-2016, 11:11 door Ron625 - Bijgewerkt: 08-12-2016, 11:12
Door Anoniem:werkplekken waar men mail van onbekende afzenders _moet_ ontvangen en bijlagen (in het ene of andere formaat) daarvan openen normaal is .
Gewoon OpenStandaarden (volgens de EU richtlijn) eisen, net als de overheid, dan ben je in één keer klaar.
08-12-2016, 14:39 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb nooit begrepen dat sommige bedrijven een DOC-document eisen bij het doen van een sollicitatie. Ik geef liever een PDF-document en document scanners kunnen die ook prima lezen.

De posting van Erik heeft niets te maken met .doc (vs .pdf) , en alles met semi-targeted aanvallen op werkplekken waar men mail van onbekende afzenders _moet_ ontvangen en bijlagen (in het ene of andere formaat) daarvan openen normaal is .

Jawel daar heeft het alles mee te maken.
.doc of docx zijn namelijk de formaten waar over het algemeen sollicitatiebrieven en c.v.'s in worden opgesteld en verstuurd.

Waar dit mooie betoog een beetje (geheel) aan voorbij gaat zijn de standaard wijzen van infectie routes.
Wanneer je een dergelijk (semi) ms-office document binnenkrijgt is er (over het algemeen) namelijk (volgens mij) nog helemaal niets aan de hand.
Ook wanneer je besluit het document op te slaan en te openen is er (over het algemeen) namelijk (volgens mij) nog helemaal niets aan de hand.
Want wat je hier toch over het algemeen standaard leest is dat er pas wat gaat gebeuren als je macro's activeert, of linkjes aanklikt (hoveren hebben we/ze nog niet van gehoord, zou het kunnen in een word document?).
Pdf's liggen wat lastiger omdat die zich sneller laten lenen om direct actieve scripts te laten uitvoeren.

Nu ben ik wel allang geen windows man meer (zit er af en toe nog wel achter) maar volgens mij is er in ieder geval met office documenten ook op een windows computer extra user interactie vereist, zoals het meestal inschakelen van macro's.
Dat laatste hoef je niet te doen en daarmee is het noodsignaal dat hier gegeven wordt ook te lezen als een extra oplet signaal in plaats van een help man overboord signaal.
Al zal menig pz misschien wel blij zijn dat deze variant bestaat zodat men een (enigszins) legitiem argument heeft om de standaardbulk van de door sd's en uwv's verplichte (open) sollicitaties niet meer te hoeven openen.

Dat verplicht briefjes en cv's rondsturen model was 15 jaar geleden als vrijwel geheel nutteloos en dus failliet, misschien hebben we dan nu de doodsteek voor dat achterlijke systeem.
Elk nadeel heb zijn voordeel zullen we dan maar hopen.

Terug naar het onderwerp, misschien zit ik ernaast maar het openen van c.v's staat zeker niet gelijk aan automatische besmetting.
Daar is meestal nog extra user interactie voor nodig die men (na instructie) ook achterwege kan laten.
En zeker geen besmetting als de p.z. dames en heren van stand gaan overwegen er ook een machine van stand neer te zetten waarop geen ddl's te misbruiken vallen.
Dat advies hadden de buren even over het hoofd gezien, maar wellicht dat dat soort adviezen vanuit overheidswege wat lastiger liggen.

Bij IBM zal PZ er in ieder geval geen last meer van hebben ;)
08-12-2016, 15:36 door Ron625 - Bijgewerkt: 08-12-2016, 15:36
Door Anoniem:
.doc of docx zijn namelijk de formaten waar over het algemeen sollicitatiebrieven en c.v.'s in worden opgesteld en verstuurd.
Overheden en gesubsidieerde instellingen mogen niet eens communiceren in .doc, of docx.
Solliciteer liever in een goedgekeurde OpenStandaard, als ODT, of PDF, zoals de (ook de) overheids-regels voorschrijven.
08-12-2016, 15:55 door Anoniem
Door Ron625:
Door Anoniem:
.doc of docx zijn namelijk de formaten waar over het algemeen sollicitatiebrieven en c.v.'s in worden opgesteld en verstuurd.
Overheden en gesubsidieerde instellingen mogen niet eens communiceren in .doc, of docx.
Solliciteer liever in een goedgekeurde OpenStandaard, als ODT, of PDF, zoals de (ook de) overheids-regels voorschrijven.

Niet dat ik het met je oneens kan zijn, ergens.
Maar het blijvend herhalen van je stokpaardje heeft zo weinig zin, hier, en daar en everywhere I know.

Consumenten die documenten in ODT formaat gaan opslaan?
Kom nou, gaat nooit lukken omdat ms de markt domineert.
Wat er gebeurt is eerder het omgekeerde, bij installatie van LibreOffice zal men als een van de eerste dingen het standaard 'opslaformaat odf' omzetten naar doc of docx.
Om de doodeenvoudig simpele reden dat je anders gezeik krijgt in je communicatie; watisdaaa? kannieopenen? Vierusss??

Dan pdf, hoeveel mensen hebben de simpele kennis om een document op te slaan als pdf of een doc docx te converteren naar pdf.
Juist, noem maar een zeer hoog percentage aan gebruikers die dat niet weet, of niet kan of niet doet.
Een dusdanig hoog percentage dat maakt dat je opmerking, hoe goedbedoeld ook, geen zoden aan de dijk zet, nowhere.

Wat zoden aan de dijk zet als ms zelf het standaardopslaformaat gaat wijzigen.
En we weten allemaal dat ms heel graag liever haar eigen formaten houdt, of opdringt aan de markt.
Punt.

ODF? 'Haha'
PDF? 'moeiilijk'

Een trieste zaak.
Dat ben ik met je eens.
08-12-2016, 18:27 door Ron625
Door Anoniem:Consumenten die documenten in ODT formaat gaan opslaan?
Kom nou, gaat nooit lukken omdat ms de markt domineert.
Positief nieuws: In Office 2016 kan je ODF als standaard instellen voor de opslag.
Microsoft moet wel anders gaan ze de Europese overheden verliezen als klant.
Vanaf Microsoft Office 2007 is het al mogelijk, om (vaak beperkt) met ODF te werken.
Daarbij, Windows laat standaard de extensies niet zien, dus gewoon dubbel klikken om te openen :-)

Noem mij maar eigenwijs, ik ben echt niet te stoppen ............
08-12-2016, 18:35 door karma4
Met ms word gaat het opslaan als pdf net zo makkelijk. Dat is geen probleem. Ook een pdf kan malware bevatten.
09-12-2016, 11:52 door Anoniem
Door Ron625: Overheden en gesubsidieerde instellingen mogen niet eens communiceren in .doc, of docx.
De "pas toe of leg uit"-verplichting treedt pas in werking bij inkoop van ICT-systemen en -diensten boven € 50.000, als de investering kleiner is geldt de verplichting niet. De verplichting voor ODF geldt "bij de bouw of aanschaf van software (een Office pakket) waarmee documenten worden aangemaakt of bewerkt met als doel deze uit te wisselen". Ten eerste geldt dat dus pas als een overheidsdienst er meer dan een halve ton eraan uitgeeft, ten tweede zegt dit niets over het mogen verwerken van documenten in andere formaten die ze ontvangen. Sollicitatiebrieven in doc/docx-formaat mogen ze gewoon verwerken.

https://www.forumstandaardisatie.nl/thema/open-standaarden#paragraaf-4
https://www.forumstandaardisatie.nl/standaard/odf
09-12-2016, 12:53 door Ron625 - Bijgewerkt: 09-12-2016, 12:55
Door Anoniem:De "pas toe of leg uit"-verplichting treedt pas in werking bij inkoop van ICT-systemen en -diensten boven € 50.000, als de investering kleiner is geldt de verplichting niet.
Een beetje overheid heeft meer dan 50 computers en laptops, dus die €50.000 heb je al snel bereikt.
Door Anoniem: De verplichting voor ODF geldt "bij de bouw of aanschaf van software (een Office pakket) waarmee documenten worden aangemaakt of bewerkt met als doel deze uit te wisselen". Ten eerste geldt dat dus pas als een overheidsdienst er meer dan een halve ton eraan uitgeeft, ten tweede zegt dit niets over het mogen verwerken van documenten in andere formaten die ze ontvangen. Sollicitatiebrieven in doc/docx-formaat mogen ze gewoon verwerken.
Ze mogen het verwerken, maar mogen het ook weigeren, zoals een aantal Limburgse overheden doen.
Er zijn (voor zover ik weet) geen overheden die met een ouder MS-Office pakket werken dan 2007 en dat ondersteunt ODF.
Gebruiken ze b.v. MS-Office 97, dan kunnen ze ook werken in TXT, of HTML.
Er is dus geen excuus, om een DOC, of DOCx file te versturen en daarmee ook in te gaan tegen de wensen van het rijk.
Als burger mag je dus een OpenStandaard eisen!
Waarschijnlijk komt er in 2017 voor overheden zelfs een straf/boete mogelijkheid, bij het communiceren in gesloten standaarden.
Een motie hierover is al door de 2e kamer goedgekeurd, alleen de PVV was tegen.
Mocht het tegen zitten, dan kan het nog 2 jaar duren.
09-12-2016, 13:14 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik heb nooit begrepen dat sommige bedrijven een DOC-document eisen bij het doen van een sollicitatie. Ik geef liever een PDF-document en document scanners kunnen die ook prima lezen.

De posting van Erik heeft niets te maken met .doc (vs .pdf) , en alles met semi-targeted aanvallen op werkplekken waar men mail van onbekende afzenders _moet_ ontvangen en bijlagen (in het ene of andere formaat) daarvan openen normaal is .

Jawel daar heeft het alles mee te maken.
.doc of docx zijn namelijk de formaten waar over het algemeen sollicitatiebrieven en c.v.'s in worden opgesteld en verstuurd.

Je doet de aanname dat de feitelijke infectie gebeurd (cq : alleen of vooral kan gebeuren) door word-macro's .
En dat is (helaas - want anders had je rant wat meer zin gehad) dus niet zo .

Waar dit mooie betoog een beetje (geheel) aan voorbij gaat zijn de standaard wijzen van infectie routes.

Op de aanname over standaard infectie routes heb je je hele rant gebaseerd, en die is nu juist (hoofdzakelijk) onjuist.


Wanneer je een dergelijk (semi) ms-office document binnenkrijgt is er (over het algemeen) namelijk (volgens mij) nog helemaal niets aan de hand.
Ook wanneer je besluit het document op te slaan en te openen is er (over het algemeen) namelijk (volgens mij) nog helemaal niets aan de hand.
Want wat je hier toch over het algemeen standaard leest is dat er pas wat gaat gebeuren als je macro's activeert, of linkjes aanklikt (hoveren hebben we/ze nog niet van gehoord, zou het kunnen in een word document?).
Pdf's liggen wat lastiger omdat die zich sneller laten lenen om direct actieve scripts te laten uitvoeren.

Heel veel infectie is gebaseerd op het feit dat de gebruiker verleid wordt iets te "openen" wat feitelijk executable is, en eventueel extra payload later binnenhaalt.
Dat zijn alle truken met extra extensies (.odt.exe ) , dat kunnen malicious pdf's zijn [adobe acrobat heeft heel veel actieve mogelijkheden] , en dat kan gewoon html + javascript zijn .
Of inderdaad macro's in Word of andere tekstverwerker bestanden .

Het is heel lastig om al die vectoren uit te schakelen en toch een ietwat bruikbare werkomgeving over te houden - en ook nog zonder te eisen dat mensen van HR ook nog security nerds zijn.

Ik ben het wel met je eens dat open formaten beter zijn, en scripten (al dan niet in een document macro) van untrusted sources uitvoeren erg riskant is , alleen in de malware verspreiding is Word+macro gewoon niet de enige of grootste vector .
En dus is het elimineren van Word/Excel niet "de" oplossing.
09-12-2016, 13:45 door Anoniem
Door Ron625:
Door Anoniem:werkplekken waar men mail van onbekende afzenders _moet_ ontvangen en bijlagen (in het ene of andere formaat) daarvan openen normaal is .
Gewoon OpenStandaarden (volgens de EU richtlijn) eisen, net als de overheid, dan ben je in één keer klaar.

Ik ben van mening dat je niet altijd strenge eisen kan stellen aan document formaten van solicitaties (als bedrijf zijnde). Bijvoorbeeld de wat oudere fabrieksarbeiders behoren vaak niet tot het volk waarvan je kan verwachten dat ze helemaal bij zijn met de laatste stand van zaken mbt cyber security. En iemand van PZ die misschien tientallen verschillende documenten per dag krijgt (in verschillende formaten) kun je het ook niet echt altijd aanrekenen. User awareness klinkt allemaal heel leuk, maar in de praktijk kun je er toch beter voor zorgen dat de impact bij dit soort "foutjes" zoveel mogelijk wordt ingeperkt.

Ik bedenk me bij het schrijven van dit antwoord ook een mooie juridische vraag voor Arnoud Engelfriet: Mag een bedrijf een solicitatie weigeren als deze in een "verkeerd" document formaat wordt aangeboden?
09-12-2016, 14:34 door Anoniem
Sollicitatiebrieven op papier dan maar?...
09-12-2016, 15:00 door Anoniem
Vandaag, 13:14 door Anoniem : <knip>
(helaas - want anders had je rant wat meer zin gehad) .
<knip>

Wat helaas is is het gebrek aan respect dat je kan opbrengen in een discussie met een ander.
Met het onterecht en weinig respectvolle woordgebruik met de woordkeuze "rant" en daarmee juist aansturend op een "rant" heb je jezelf wat mij betreft als volwaardige discussie'partner' gediskwalificeerd.
Jammer en helaas, voor jou en of eigenlijk voor dit topic dat dit niet verdiende.
09-12-2016, 15:15 door Anoniem
Door Ron625:
Door Anoniem:Consumenten die documenten in ODT formaat gaan opslaan?
Kom nou, gaat nooit lukken omdat ms de markt domineert.
Positief nieuws: In Office 2016 kan je ODF als standaard instellen voor de opslag.
Microsoft moet wel anders gaan ze de Europese overheden verliezen als klant.
Vanaf Microsoft Office 2007 is het al mogelijk, om (vaak beperkt) met ODF te werken.
Daarbij, Windows laat standaard de extensies niet zien, dus gewoon dubbel klikken om te openen :-)

Noem mij maar eigenwijs, ik ben echt niet te stoppen ............

Ja Ron, en naar ik meen kon dat met pdf al veel langer.
Maar waar ik natuurlijk impliciet op doelde is niet dat het kan maar dat ms er voor zou kiezen opslaan als ODF tot standaard keuze te maken.
Dus dat je standaard en automatisch bij ingebruikname de opsla-als-optie ODF zou hebben en dat je dat desgewenst zou kunnen veranderen in standaard opslaan als docx.

Alleen met dat soort grote keuzes zou dit keuzegedrag 'kunnen' veranderen.
Dat is namelijk over het algemeen wat de praktijk laat zien, als er geen grote 'adopter' mee gaat die het publiek over het kantelpunt trekt zijn dit soort veranderingen lastig.

En dat, was mijn verwachting, gaat ms niet doen.
Zij is namelijk nogal 'attached' (om weer een link te leggen naar het topic-onderwerp) aan haar eigen standaard docx formaat.


Dat je eigenwijs en niet te stoppen bent vind ik daarbij verder geen probleem. Vasthoudende principiële types heb je nodig om verandering te bewerkstelligen.
09-12-2016, 15:53 door karma4
Door Anoniem: Sollicitatiebrieven op papier dan maar?...
In ieder geval geen cyber data lek maar wel weer een gewoon date lek. Wat kopietjes maken en laten slingeren. Echt makkelijk, het laat geen sporen na als iemand iets meeneemt dan wel zegt nooit gezien te hebben,
09-12-2016, 20:07 door Anoniem
Door Anoniem:
Vandaag, 13:14 door Anoniem : <knip>
(helaas - want anders had je rant wat meer zin gehad) .
<knip>

Wat helaas is is het gebrek aan respect dat je kan opbrengen in een discussie met een ander.
Met het onterecht en weinig respectvolle woordgebruik met de woordkeuze "rant" en daarmee juist aansturend op een "rant" heb je jezelf wat mij betreft als volwaardige discussie'partner' gediskwalificeerd.
Jammer en helaas, voor jou en of eigenlijk voor dit topic dat dit niet verdiende.

Gut, is rant nu ook al een te botte omschrijving voor iemands posting die matig relevant stokpaardje post ?

En dat nog even aanvult met de soms zo ergelijke superioriteit waarmee sommige ITers behept zijn [dat PZ een document formaat maar lekker als een technisch-formeel excuus moet gebruiken om vermeend kansloze sollicitaties ongelezen weg te gooien ]

http://www.thefreedictionary.com/rant
2. To express at length a complaint or negative opinion: "He could rant on the subject of physician-assisted illness" (Paul Theroux).

Maar natuurlijk zit de diskwalificatie alleen in het woord 'rant' .
Wat zal ik daar van wakker liggen zeg.
09-12-2016, 21:01 door Anoniem
Door Ron625:
Door Anoniem:
.doc of docx zijn namelijk de formaten waar over het algemeen sollicitatiebrieven en c.v.'s in worden opgesteld en verstuurd.
Overheden en gesubsidieerde instellingen mogen niet eens communiceren in .doc, of docx.
Solliciteer liever in een goedgekeurde OpenStandaard, als ODT, of PDF, zoals de (ook de) overheids-regels voorschrijven.
ODT klinkt mooi, maar een feit is gewoon dat iedereen gewoon docx gebruikt en begrijpt. Net zoals intern gewoon bij de overheid gewoon dotx gebruik wordt. Officieel communicatie extern wordt gewoon converteert. Waarom, omdat het gewoon het snelste en gemakkelijkste werkt
PDF is te slecht te werken, dus wordt niet gebruikt voor interne communicatie.

De meeste onvangers zullen ook veel liever gewoon docx of eventueel pdf willen ontvangen, waarom omdat iedereen het gebruikt en snapt.

Door Ron625:
Sollicitatiebrieven in doc/docx-formaat mogen ze gewoon verwerken.
Ze mogen het verwerken, maar mogen het ook weigeren, zoals een aantal Limburgse overheden doen.
Er zijn (voor zover ik weet) geen overheden die met een ouder MS-Office pakket werken dan 2007 en dat ondersteunt ODF.
Gebruiken ze b.v. MS-Office 97, dan kunnen ze ook werken in TXT, of HTML.
Er is dus geen excuus, om een DOC, of DOCx file te versturen en daarmee ook in te gaan tegen de wensen van het rijk.
Als burger mag je dus een OpenStandaard eisen!
Waarom zo iemand dit eisen? Ik heb veel liever een docx document dan een ODF document als ik met de overheid communiceer. Scheelt mij een hoop tijd. Eisen... Ik vraag liever of ze het gewoon als een gebruikers standaard mailen, ofwel docx.
Een feit is gewoon dat de meeste gebruikers geen idee hebben wat een ODF bestand is en bijna iemand vind dit echt interessant. Men wil gewoon werken, en niet met een ideaal bezig zijn.
09-12-2016, 23:03 door Ron625
Door Anoniem:
De meeste onvangers zullen ook veel liever gewoon docx of eventueel pdf willen ontvangen, waarom omdat iedereen het gebruikt en snapt.
Wat is dan het probleem met ODT, gewoon klikken en openen, tenzij je met een MS-Office pakket werkt van voor 2007, dan werkt het niet.
Verder ga je er van uit dat iedereen Windows heeft, en dat alle andere systemen toch de (gesloten) MS standaarden kan gebruiken.
Dat zie je dus fout.
Door Anoniem:Waarom zo iemand dit eisen? Ik heb veel liever een docx document dan een ODF document als ik met de overheid communiceer. Scheelt mij een hoop tijd. Eisen... Ik vraag liever of ze het gewoon als een gebruikers standaard mailen, ofwel docx.
En dat is nu juist verboden!
Stel je eens op de hoogte van de Staatscourant van 8 november 2008 en lees ook wat de overheid hierover schrijft op de websites van forumstandaardisatie, digicommissaris en Logius, om maar een paar voorbeelden te noemen.

Jij verlangt van een overheid, dat ze hun eigen regels gaan overtreden en jou, als belasting betaler, onnodig op kosten jagen door zich vast te zetten in een vendor-lock-in?
Je vindt het zeker ook niet nodig, om richting aan te geven op de fiets?
10-12-2016, 10:58 door karma4
Door Ron625: ....
Stel je eens op de hoogte van de Staatscourant van 8 november 2008 en lees ook wat de overheid hierover schrijft op de websites van forumstandaardisatie, digicommissaris en Logius, om maar een paar voorbeelden te noemen.
....
Deze dus https://zoek.officielebekendmakingen.nl/stcrt-2008-837.html
"Artikel 1 (definities)
In deze instructie wordt verstaan onder:
a. ICT-dienst of ICT-product:
een dienst of product ingericht om de uitwisseling van gegevens of archivering digitaal te doen verlopen, en welke bij aanschaf een waarde vertegenwoordigt van ten minste € 50.000,–;"
en "Het tweede lid laat zien dat de instructie zelf geen technische specificaties voorschrijft. Zoals ook hiervoor al aangegeven verplicht de instructie tot een bepaalde werkwijze. Indien de keuze voor een open standaard als technische specificatie niet gewenst is bij de voorgenomen aanschaf, kan, mits gemotiveerd, gekozen worden voor een andere standaard. "

Die heeft het nergens over de verplichting van de overheid met burgers in open standaarden te communiceren.
Nu is "mijn-overheid" een compleet gesloten feestje van logius net als de koppelvlakken van logius. Geen onafhankelijke stichting, maar het is BZK zelf met hun ICT afdeling. Logius bepaalt de vendor-lockin naar gemeentes met STUF.
Het is een prachtig verdienmodel verplichte afname uit de vrije markt.
10-12-2016, 11:03 door karma4
Het geheel ging over ransmomware naar PZ. Flink afgedwaald.
Als je je met security bezig houdt is het heel nuttig naar die dreigingen te kijken en of je er iets simpels eenvoudigs van kan maken voor de gebruiker dat ook veilig is. Daar zijn vele mogelijkheden voor.
De nare zaak blijft dat scannen op bekende foute zaken fundamenteel lek is voor de onbekende. Je kunt er beter rekening mee houden om zo bijvoorbeeld impact klein te houden. (sluis functie met een fysieke conversie).
10-12-2016, 12:20 door Anoniem
Misschien een open deur intrappen (dus vergeef mijn bijdrage), maar bij ons is er geen cliënt op het hoofdsysteem geïnstalleerd. Alles wat e-mail cliënt heet zit op een apart Linux systeem en draait de e-mail cliënt ook nog in een sandbox.

Zo voorkom je dat een scenario zich afspeelt zoals Erik van Straten hier heeft beschreven. Zou malware het subsysteem Linux toch overnemen, dan is een herinstallatie van de distro in een half uurtje geklaard.
10-12-2016, 17:23 door Anoniem
Door Anoniem: Misschien een open deur intrappen (dus vergeef mijn bijdrage), maar bij ons is er geen cliënt op het hoofdsysteem geïnstalleerd. Alles wat e-mail cliënt heet zit op een apart Linux systeem en draait de e-mail cliënt ook nog in een sandbox.

Zo voorkom je dat een scenario zich afspeelt zoals Erik van Straten hier heeft beschreven. Zou malware het subsysteem Linux toch overnemen, dan is een herinstallatie van de distro in een half uurtje geklaard.

Dat is een aanpak waarmee een hoop problemen inderdaad ondervangen worden.
Het vereist m.i. wel een erg rigoreuze wijziging van wat de 'normale' workflow is in erg veel kantooromgevingen.

Daar is een 'Outlook-type functionaliteit' (dwz, kalenders, gedeelde kalenders, mail sturen namens, gedeeld adresboek e.d.) wel erg gewenst . En na een selectie door PZ gaan sollicitatie mail/documenten gewoonlijk ook intern verder (namelijk naar de afdelingsmanager met de vacature ). Verder is er vaak ook de behoefte/noodzaak om attached data op een werkplek te kunnen verwerken .

Met een systeem waarbij de mailclient in een remote sandbox draait lijkt het me lastig om dat soort functionaliteit te bieden.
(in ietwat grotere omgevingen is de koppeling van mail aan één of ander directory systeem - bij MS dus AD gewoon erg makkelijk ).
Kun je iets meer zeggen over de schaal van de omgeving (#mailclients, en #werkplekken) , in welke mate de mailclient-sandboxen koppelen met de "interne" systemen , hoe je de remote display van de client doet (vnc ? rdp ?) , of en welke functionaliteit je inlevert etc ?

Ik ben erg benieuwd, maar zoals gezegd lijkt het me lastig om vergelijkbare functionaliteit ermee te leveren als met werkplek-gebaseerde clients - in elk geval boven de klein-bedrijf schaal.
10-12-2016, 17:58 door karma4
quote]Door Anoniem:
Ik ben erg benieuwd, maar zoals gezegd lijkt het me lastig om vergelijkbare functionaliteit ermee te leveren als met werkplek-gebaseerde clients - in elk geval boven de klein-bedrijf schaal.[/quote]Denk eens aan virtuele desktops met een gescheiden mail omgeving. Het is meer een standaardaanpak (ook met citrix) dan wat anders in de cloud wereld..
10-12-2016, 18:16 door Anoniem
Het is zinvol om alle www toegang onder te brengen in een centraal systeem waarbinnen alles is dichtgetimmerd. Ik kan me niet voorstellen dat hetzelfde geldt voor email. De bijlagen zullen opgeslagen moeten worden op interne systemen. Het lijkt onhandig dit op een apart systeem in de emails zelf te bewaren.
Beter zou zijn als potentieel kwaadaardige elementen (alle macro's dus) beleidsmatig uit documenten worden verwijderd. Dat kan bij macro's met behulp van antivirus software die deze functie in zich hebben.

Het goede van de docx/xlsx formats is dat hernoemde docm/xlsm (macro bestanden) naar docx/xlsx de macro's uitschakelt.

De "PZ aanval" maakt gebruik van gewone macro gebaseerde malware (.xlsm). Niets speciaals, geen exploits, alleen in een macro gecodeerde content met een decoder. Zoals verreweg de meeste malware die via email wordt verstuurd. In die zin geen advanced attack.
11-12-2016, 17:33 door Anoniem
Door karma4:
Door Anoniem:
Ik ben erg benieuwd, maar zoals gezegd lijkt het me lastig om vergelijkbare functionaliteit ermee te leveren als met werkplek-gebaseerde clients - in elk geval boven de klein-bedrijf schaal.
Denk eens aan virtuele desktops met een gescheiden mail omgeving. Het is meer een standaardaanpak (ook met citrix) dan wat anders in de cloud wereld..

Maar een 'complete' virtuele werkplek , ook al is het op basis van Citrix, die besmet raakt is ongeveer net zo erg als een fysieke werkplek .
Misschien dat het re-imagen in sommige gevallen makkelijker is bij een Citrix image dan bij een desktop/laptop.

Maar het lastige van malware die binnenkomt is dat allerlei data daarna geschoond moet worden (restore bij ransomware), en als het malware is die zich gaat verspreiden via fileshares loopt de infectie binnen verder.

Om die verdere verspreiding in te dammen moet je een mail-werkplek hebben die weinig kan, en geisoleerd is van fileshares van de gebruiker en z'n afdelingen - en dat is wat me zo lastig lijkt in een normale workflow .
11-12-2016, 19:47 door karma4
Door Anoniem:
..
Om die verdere verspreiding in te dammen moet je een mail-werkplek hebben die weinig kan, en geisoleerd is van fileshares van de gebruiker en z'n afdelingen - en dat is wat me zo lastig lijkt in een normale workflow .
Uitstekend te doen je beschreef net de rol taak verwerken mail uit onbetrouwbare bron met risico's en een er bij horende technisch inrichting.
De zelfde Hr mensen zullen met meerdere technische omgevingen moeten werken afhankelijk van de rol op dat moment. Ict beveiligers denken vaak in functies als de rol daar wringt het. Een enkel persoon kan goed meerdere account (rol) nodig hebben. Het delen van accounts (root admin) is minder.
11-12-2016, 20:09 door Anoniem
Zet een Mac (Apple computer met MacOS) neer bij PZ
(staatookmooi bij de sollicitatiegesprekken)

doe tussendoor een of je security ding
(viruscheck of opslaan in een ander formaat, odeeèfofzo)

en stuur het ceeveetje daarna desgewenst door.

Opgelost

Simpel mooi efficiënt en eenvoudig zonder gedoe.
Blijft de rest lekker met hun ddlpeecee werken.
11-12-2016, 22:48 door Anoniem
Door karma4:
Door Anoniem:
..
Om die verdere verspreiding in te dammen moet je een mail-werkplek hebben die weinig kan, en geisoleerd is van fileshares van de gebruiker en z'n afdelingen - en dat is wat me zo lastig lijkt in een normale workflow .
Uitstekend te doen je beschreef net de rol taak verwerken mail uit onbetrouwbare bron met risico's en een er bij horende technisch inrichting.
De zelfde Hr mensen zullen met meerdere technische omgevingen moeten werken afhankelijk van de rol op dat moment. Ict beveiligers denken vaak in functies als de rol daar wringt het. Een enkel persoon kan goed meerdere account (rol) nodig hebben. Het delen van accounts (root admin) is minder.

Bedoel je dat jij persoonlijk werkt in een omgeving waarin het zo ingericht is ?
Kun je dan wat meer vertellen qua schaal, inrichting , en hoe het in de praktijk uitpakt ?

Of is dat alleen de IT-security-officer whiteboard droom (cq stuurman achter de home pc) "als ze mij nou eens alles in het bedrijf lieten bepalen" ?

Ik betwijfel dus nogal of het nagenoeg compleet technisch isoleren van de rol "lezen /beantwoorden van extern binnengekomen mail" zich goed verhoudt met de manier de HR taken normaal gaan.
14-12-2016, 21:53 door karma4
Door Anoniem: ....
Bedoel je dat jij persoonlijk werkt in een omgeving waarin het zo ingericht is ?
Kun je dan wat meer vertellen qua schaal, inrichting , en hoe het in de praktijk uitpakt ?
...
Werkte en werkt en werkt (laatste te klein nvt) schaal boven 10.000+ man en diensten veelal uitbesteed aan andere grote partijen. Centrale mailservice blokkeert van alles en soms niet alles, webverbindingen zijn gelimiteerd in adressen.
Die virtuele desktops zijn meer gangbaar, helaas de praktijk is dat voor nieuwe toepassingen gebruikt moeten worden (bouw/test) waarbij de gangbare toepassingen als mail onmogelijk zijn.
In bepaalde gevallen heb je die weer wel (office officeintegratie) maar dan is het weer niet de gangbare mail. Denk dan eens aan een testdesktop (infra) met testtools en met testaccounts.
Nee niet alles is opgelost, het blijft te vaak hangen door gebrek aan visie sturing en samenhang. Jammer want je ziet net voor je dat je met de laatste stapjes wel alles hebt zoals zo moeten.
Als je zoiets met testaccounts in een geïsoleerd netwerk wel kan waarom dan niet hr accounts? Dat is de vraag die je functioneel er door moet zien te krijgen.
Dat lijkt dan op een sluis principe (toko 2000 man eigen datacenter)
Dat lijkt dan download data tbv analyse bi wat gangbaar is sinds de jaren 80. Zeg maar de big-data hoek.
Dat ljkt dan op... ik heb meer open gekregen dan mensen leuk vonden was/is heel effectief.

Nee je zult role-bases access anders moeten insteken dan de functiegebonden toegang. Daar loop je te vaak stuk op IT fanaten die het er niet mee eens zijn en een HR die niet verder kijkt dan of iemand in het proces zit voor werk.
14-12-2016, 22:19 door [Account Verwijderd] - Bijgewerkt: 14-12-2016, 22:21
Hej!
Ik krijg ze zelfs uit Zweden:

Vi söker personal för distansarbete.

Jag heter Courtney och är personalchef för ett stort, internationellt företag.
Huvuddelen av arbetet kan göras hemifrån, alltså på distans.
Lönen ligger på 3900-6300 EUR.

Besök vår webbplats (geblokkeerde link) om du är intresserad av tjänsten.

Med vänliga hälsningar,
Personalchef
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.