image

'Zet img-bestand op lijst van verboden extensies op mailserver'

donderdag 18 april 2019, 12:11 door Redactie, 17 reacties
Laatst bijgewerkt: 18-04-2019, 13:16

Organisaties doen er verstandig aan om .img-bestanden aan de lijst van verboden extensies op hun mailserver toe te voegen, aangezien criminelen ook dit bestandsformaat gebruiken om systemen met malware te infecteren. Dat zegt beveiligingsexpert en Internet Storm Center-handler Xavier Mertens.

Img-bestanden zijn vaak kopieën van data op een cd of dvd en zijn standaard met bijvoorbeeld Windows 10 te openen. Het is echter ook mogelijk om malware in een img-bestand te verbergen. Mertens ontdekte onlangs een aanval waarbij een img-bestand werd gebruikt. Mogelijk dat de aanvallers op deze manier detectie door beveiligingssoftware probeerden te omzeilen. De meeste virusscanners blijken de malware niet meteen te detecteren.

Organisaties en gebruikers moeten dan ook voorzichtig met img-bestanden zijn, stelt Mertens. "Ze zouden ook aan de lijst van verboden extensies op je mailserver moeten worden toegevoegd of verander de bestandsassociatie in je Windowsomgevingen om ze niet in Windows Explorer te openen." Door de bestandsassociatie te veranderen kunnen gebruikers het bestand niet openen, waardoor een infectie wordt voorkomen.

Het blokkeren van bepaalde bestandsextensies is een vaker gegeven advies. Eerder adviseerde de Zwitserse overheid om e-mailbijlagen met zip-, rar-, js-, jar-, bat-, exe-, cpl-, scr-, com-, pif-, vbs-, ps1-, wsf-, docm-, xlsm- en pptm-bestanden te blokkeren. Daarnaast zijn er beveiligingsexperts die vinden dat e-mailproviders dit moeten doen om hun gebruikers tegen malware te beschermen.

Reacties (17)
18-04-2019, 13:02 door Bitwiper
Eerder adviseerde de Zwitserse overheid om e-mailbijlagen met zip-, rar-, js-, jar-, bat-, exe-, cpl-, scr-, com-, pif-, vbs-, ps1-, wsf-, docm-, xlsm- en pptm-bestanden te blokkeren.
En wat als je dan een bijlage ontvangt met bijv. (als laatste) extensie .doc, .hta, .lnk, .ps, .pub, .7z etcetera? Als je niet white-list is het dweilen met de kraan open.
18-04-2019, 13:04 door Anoniem
Grappig dat .iso niet op die lijst voor komt. Heb deze vaak voorbij zien komen in malware runs.
18-04-2019, 14:11 door Anoniem
Blokkeren op extensie is een 20e eeuws advies. Een goede mail scanner detecteert natuurlijk wat het bestandstype is en die kijkt ook wat er in zit.
18-04-2019, 15:00 door Anoniem
Door Anoniem: Blokkeren op extensie is een 20e eeuws advies. Een goede mail scanner detecteert natuurlijk wat het bestandstype is en die kijkt ook wat er in zit.
Maar wel een hele gemakkelijke en goede om te implementeren.

Dat het beter kan, is een tweede. Maar het is een zeer effectieve maatregel die gemakkelijk te implementeren is zonder al te veel inspanningen (aan de techniek kant)
18-04-2019, 15:31 door Anoniem
Ik ben nu een zeer tevreden Linux Mint gebruiker.
Hoef ik mij dan geen zorgen te maken?
18-04-2019, 15:55 door Anoniem
Het is toch volstrekte lariekoek om een invoce-bericht in een img-bestand te stoppen?
Als ik dit al voorbij zie komen dan gaan al meteen de alarmbellen af bij mij.
18-04-2019, 16:08 door Anoniem
Ik zou .arj, .ace en .cmd er ook maar bij zetten.
18-04-2019, 17:56 door Anoniem
Door Anoniem:
Door Anoniem: Blokkeren op extensie is een 20e eeuws advies. Een goede mail scanner detecteert natuurlijk wat het bestandstype is en die kijkt ook wat er in zit.
Maar wel een hele gemakkelijke en goede om te implementeren.

En de oorzaak van het feit dat zelfs een kantoormedewerker tegenwoordig voorstelt om die .exe of .zip effe te renamen
naar .jpg en dan te mailen met instructie voor de ander om dat even terug te renamen...

Als je mailscanner zo werkt is dat wellicht "gemakkelijk", maar wel nutteloos.
19-04-2019, 01:31 door Anoniem
Door Anoniem:
Door Anoniem: Blokkeren op extensie is een 20e eeuws advies. Een goede mail scanner detecteert natuurlijk wat het bestandstype is en die kijkt ook wat er in zit.
Maar wel een hele gemakkelijke en goede om te implementeren.

Dat het beter kan, is een tweede. Maar het is een zeer effectieve maatregel die gemakkelijk te implementeren is zonder al te veel inspanningen (aan de techniek kant)

Het is dom en lui.

Als je alle archiefbestanden gaat blokkeren in email is dat een slecht plan en het zorgt er voor dat er meer links naar bestanden op web sites in emails worden gestuurd. Die bestanden zijn veel moeilijker tot helemaal niet te controleren. Het is een schijnoplossing die de onveiligheid op termijn vergroot.

Zelfs zonder uitpakken kun je bestandsnamen en extensies zien in archiefbestanden. Het is zinloos om een ZIP bestand met daarin een onschuldig bestand te blokkeren.

Mertens heeft wel gelijk dat een img bestand geblokkeerd kan worden op extensie, maar het advies van de Zwitsers om ook archiefbestanden te blokkeren is waardeloos en duidelijk ongeinformeerd.
19-04-2019, 07:45 door Anoniem
Dus omdat één specifiek OS vatbaar is voor dit soort onzin moeten we maar wereldwijd de mail-infra op z'n kop zetten?
19-04-2019, 08:49 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Blokkeren op extensie is een 20e eeuws advies. Een goede mail scanner detecteert natuurlijk wat het bestandstype is en die kijkt ook wat er in zit.
Maar wel een hele gemakkelijke en goede om te implementeren.

En de oorzaak van het feit dat zelfs een kantoormedewerker tegenwoordig voorstelt om die .exe of .zip effe te renamen
naar .jpg en dan te mailen met instructie voor de ander om dat even terug te renamen...

Als je mailscanner zo werkt is dat wellicht "gemakkelijk", maar wel nutteloos.

precies, mensen willen 'werken' en omzeilen zo alles..daarom wordt nu ook zip en andere archives geblokkeerd omdat men anders geen exe, pdf of bat of doc kon mailen.
19-04-2019, 09:10 door Anoniem
Je kan beter alles blokkeren, gelijk van de problemen af !
20-04-2019, 03:59 door Anoniem
Door Anoniem: Dus omdat één specifiek OS vatbaar is voor dit soort onzin moeten we maar wereldwijd de mail-infra op z'n kop zetten?

Precies, spijker op zijn kop. Zullen we dan meteen ook Windows blokkeren vanwege de onveiligheid?
20-04-2019, 11:03 door Anoniem
Door Anoniem:
Door Anoniem: Dus omdat één specifiek OS vatbaar is voor dit soort onzin moeten we maar wereldwijd de mail-infra op z'n kop zetten?

Precies, spijker op zijn kop. Zullen we dan meteen ook Windows blokkeren vanwege de onveiligheid?
Precies, spijker op zijn kop. Zullen we dan meteen ook Linux blokkeren vanweges hosting van alle hacked websites en mega data lekken?

Ik gebruikt trouwens liever een schroef ivp een spijker.
22-04-2019, 21:17 door [Account Verwijderd]
Door Anoniem:
Door Anoniem:
Door Anoniem: Dus omdat één specifiek OS vatbaar is voor dit soort onzin moeten we maar wereldwijd de mail-infra op z'n kop zetten?

Precies, spijker op zijn kop. Zullen we dan meteen ook Windows blokkeren vanwege de onveiligheid?

Ja, goed idee want dit OS is intrinsiek onveilig!

Door Anoniem: Precies, spijker op zijn kop. Zullen we dan meteen ook Linux blokkeren vanweges hosting van alle hacked websites en mega data lekken?

Nee (want dat heeft niets met Linux te maken).

Door Anoniem: Ik gebruikt trouwens liever een schroef ivp een spijker.

gebruikT? Weer zo'n taaldebiel. Beheerder zeker?
24-04-2019, 10:23 door Anoniem
Door Kapitein Haddock:
Door Anoniem:
Door Anoniem:
Door Anoniem: Dus omdat één specifiek OS vatbaar is voor dit soort onzin moeten we maar wereldwijd de mail-infra op z'n kop zetten?

Precies, spijker op zijn kop. Zullen we dan meteen ook Windows blokkeren vanwege de onveiligheid?

Ja, goed idee want dit OS is intrinsiek onveilig!
Idem voor alle Databases die gehost worden op Linux, en alle Linux gehoste websites. Immers daar zit ook alle ellende val malware en datalekken.

Door Anoniem: Precies, spijker op zijn kop. Zullen we dan meteen ook Linux blokkeren vanweges hosting van alle hacked websites en mega data lekken?

Nee (want dat heeft niets met Linux te maken).
Eigenlijk hetzelfde als dat Windows ook gewoon veilig is. Mits je het goed inricht en onderhoud. Dat wil je alleen niet snappen.
Maar om door te gaan in je eigen argumenten. Je hebt gelijk. We moeten alleen de webservers en databases verbieden die draaien op Linux.


Door Anoniem: Ik gebruikt trouwens liever een schroef ivp een spijker.

gebruikT? Weer zo'n taaldebiel. Beheerder zeker?
Nope. Wel iemand die veel ervaring heeft om de shit van Architecten mag oplossen.
Of als de boel in eens omvalt.
Gewoon veel praktijkervaring. Zou je ook eens moeten opdoen....... Dan zie je hoe het allemaal werkelijk in elkaar zit en hoeveel onzin je eigenlijk iedere keer hier neer zet.
24-04-2019, 20:10 door Anoniem
Door Bitwiper:
Eerder adviseerde de Zwitserse overheid om e-mailbijlagen met zip-, rar-, js-, jar-, bat-, exe-, cpl-, scr-, com-, pif-, vbs-, ps1-, wsf-, docm-, xlsm- en pptm-bestanden te blokkeren.
En wat als je dan een bijlage ontvangt met bijv. (als laatste) extensie .doc, .hta, .lnk, .ps, .pub, .7z etcetera? Als je niet white-list is het dweilen met de kraan open.
Dan wijzigt de verzender met rename de bestandsnaam-extensie bijvoorbeeld eerst in .fuc o.i.d. voordat ie hem in de mail hangt en laat je in de message weten dat vanwege dit mailserverprobleem de ontvanger zelf .fuc even moet wijzigen in .doc . (of in .hta, .lnk, .ps, .pub, .7z etcetera, wat maar van toepassing is)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.