image

'Ransomware komt voornamelijk binnen via Office-macro'

maandag 11 november 2019, 16:18 door Redactie, 30 reacties
Laatst bijgewerkt: 18-11-2019, 11:43

Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt dat veel ransomware-aanvallen alleen mogelijk zijn doordat basale beveiligingsmaatregelen niet zijn opgevolgd, zo zegt beveiligingsonderzoeker Mark Loman van het Britse antivirusbedrijf Sophos tegenover Security.NL. Loman deed de afgelopen maanden onderzoek naar verschillende ransomware-aanvallen die bij gerichte aanvallen zijn ingezet.

Er zijn op dit moment vier manieren populair om ransomware te verspreiden, somt Loman op: het gebruik van Microsoft Office-documenten met kwaadaardige macro's, bruteforce-aanvallen op het Remote Desktop Protocol (RDP), het compromitteren van Managed Service Providers (MSP's) en het aanvallen van bekende kwetsbaarheden in software zoals Oracle WebLogic Server en Apache Webserver. Macro's zijn daarbij de populairste aanvalsvector, aldus de onderzoeker.

Bij veel infecties die hij onderzocht werd bijvoorbeeld de Qbot-, TrickBot- of Dridex-malware aangetroffen. Deze malware-exemplaren zorgen voor de uiteindelijke ransomware-infectie. Qbot, TrickBot en Dridex worden op hun beurt door de Emotet-malware op computers geïnstalleerd. Emotet is in deze gevallen de grote facilitator. Om Emotet te verspreiden maken aanvallers gebruik van Office-documenten met kwaadaardige macro's die via e-mail worden verstuurd. Alleen als de ontvanger macro's inschakelt of een organisatie dit al standaard toestaat, en het document wordt geopend, kan de infectie plaatsvinden.

Image

Emotet-document vraagt om macro's in te schakelen : Malwarebytes

Daarbij maken de makers van Emotet tegenwoordig gebruik van een nieuwe tactiek, waarbij de Windows Management Interface (WMI) direct vanuit de macro wordt aangesproken. Op deze manier wordt de binary die de aanvallers willen uitvoeren niet door het proces Word opgehaald, maar door een systeemproces. Dit moet zowel detectie als latere analyse lastiger maken. Bij een analyse om te achterhalen hoe de malware binnenkwam loopt het spoor dan in principe dood bij WMI en moet er worden gekeken welke processen er nog meer op dat moment actief waren. "Dit is echt een truc om detectie en preventie te omzeilen. Naast dat Emotet supergoed is in het passeren van statistische virusdetectie", stelt Loman.

De Duitse overheid noemde Emotet al één van de gevaarlijkste malware ter wereld. Ondanks het feit dat waarschuwingen voor de risico's van macro's al jaren worden gegeven blijven aanvallers met deze aanvalsvector succes boeken. "Elk groot bedrijf werkt met macro's", laat Loman weten. Het gebruik van macro's binnen ondernemingen en ondernemingen onderling is zo'n gemeengoed dat het verklaart waarom het zo'n geliefde aanvalsvector onder aanvallers is.

Remote Desktop Protocol

Naast macro's maken aanvallers ook gebruik van RDP om toegang tot machines te krijgen. Via het remote desktop protocol is het mogelijk om computers op afstand te benaderen. RDP kan echter ook aanvallers toegang geven. Het gaat dan om aanvallen waarbij de aanvallers allerlei wachtwoordenlijsten proberen om via RPD op een machine in te loggen. "Als je gehackt wordt via RDP had je een zwak wachtwoord", laat Loman weten. Het BlueKeep-lek in Windows maakt het mogelijk om via een RDP-lek ongepatchte machines te compromitteren. Begin november werden voor het eerst aanvallen via dit lek waargenomen, maar daarbij werd alleen een cryptominer geïnstalleerd.

Aanvallen via RDP geven ook aan dat de organisatie zijn RDP-machine voor heel het internet toegankelijk heeft gemaakt in plaats die via een vpn af te schermen. Vervolgens wordt vanaf de gecompromitteerde machine de rest van het netwerk aangevallen. Het RDP-scannen is volgens Loman vrij opportunistisch. Zodra er via RDP toegang wordt verkregen zullen de aanvallers eerst het netwerk verkennen. Wanneer het doelwit interessant genoeg is wordt de aanval gericht. Iets wat onlangs nog duidelijk werd bij een aanval op de Spaanse it-dienstverlener Everis, waarbij de ransomware de naam van het bedrijf in de losgeldinstructies vermeldde. Ook komt het voor dat gerichte ransomware-exemplaren bestanden versleutelen en dan als extensie de naam van het aangevallen bedrijf gebruiken.

Managed Service Providers

ImageIn plaats van bedrijven direct aan te vallen hebben zich het afgelopen jaar ook meerdere incidenten voorgedaan waarbij aanvallers eerst een it-dienstverlener aanvielen en vervolgens de klanten van deze partij infecteerden. Zo raakten in één keer honderden ondernemingen besmet. Het gaat in veel gevallen om MSP's die bijvoorbeeld de automatisering voor hun klanten verzorgen. Wanneer een aanvaller toegang tot een MSP weet te krijgen kan die vaak eenvoudig alle klanten van de MSP met ransomware infecteren.

Verschillende van de aanvallen op MSP's vonden plaats via ConnectWise, een plug-in voor Kaseya. Kaseya is een tool om systemen op afstand mee te beheren. Een beveiligingslek in de software maakt het mogelijk voor een aanvaller om zonder wachtwoord sql-commando's op een Kaseya-server uit te voeren. Voor het beveiligingslek verscheen in 2017 een update. Volgens Kaseya hebben nog niet alle serviceproviders deze update geïnstalleerd of hebben dit verkeerd gedaan, waardoor ze kwetsbaar zijn voor aanvallen. Onlangs liet securitybedrijf Armor weten dat er dit jaar al zeker dertien incidenten met MSP's zijn geweest.

Ongepatchte software

Het niet installeren van beveiligingsupdates is ook een manier waardoor organisaties ransomware oplopen. Aanvallers hebben het dan met name voorzien op servers die verouderde versies van Oracle WebLogic Server en Apache draaien. "Ze krijgen remote code execution-rechten op die server en schieten dan een PowerShell-commando naar binnen die de architectuur van de computer bepaalt. Vervolgens wordt de malware via PowerShell in het geheugen gestart", merkt Loman op. Via de aangevallen server kan het achterliggende netwerk van de organisatie worden aangevallen en besmet. Onder andere de bende achter de Sodinokibi-ransomware zou zich op Oracle WebLogic richten.

Weekend

Wat bij de meer gerichte ransomware-aanvallen opvalt is dat de aanvallers, nadat ze toegang tot het netwerk hebben verkregen, de ransomware pas in het weekend uitrollen. "Dan is het it-personeel weekend aan het vieren, terwijl hun netwerk wordt versleuteld", merkt Loman op. Een tactiek die in het verleden bij meerdere gerichte aanvallen is gebruikt. Het beursgenoteerde laboratoriumbedrijf Eurofins Scientific raakte tijdens een weekend in juni nog met ransomware besmet.

Verminderde rechten

Wat Loman ook ontdekte was dat het voor aanvallers vaak weinig aanmaakt wanneer de gebruiker van een gecompromitteerd systeem verminderde rechten heeft, ook wel least user access genoemd. Bij alle onderzochte exemplaren maakte het niets uit om de ransomware-infectie te voorkomen. "Ook al wordt de ransomware door een gebruiker met verminderde rechten geopend, aanvallers slagen er bijna altijd in om hun rechten te verhogen", vertelt de onderzoeker.

Bijvoorbeeld omdat er ooit een lokale admin voor een installatie op de machine heeft ingelogd. Met de inloggegevens die de aanvallers van een besmet systeem weten te stelen proberen ze andere machines te benaderen en infecteren. Ook komt het voor dat de aanvallers aanvullende aanvalstools installeren zoals Cobalt Strike en PowerShell Empire. Daarvandaan wordt dan de rest van de aanval gepland. "Ze krijgen altijd de hoogste rechten", stelt Loman. Naast het stelen van de inloggegevens van een admin die op het systeem inlogt weten de aanvallers ook User Account Control (UAC) via de Windows Event Viewer te omzeilen. Met de verhoogde rechten wordt het eenvoudiger om alle data te versleutelen.

Een andere stap die de aanvallers uitvoeren is dat ze in de ActiveDirectory zelf een user toevoegen. "Stel dat ze ontdekt worden, dan moet de gehele organisatie zijn wachtwoorden wijzigen. Vaak gaan beheerders niet op zoek naar een onbekende gebruikersnaam." Bij een grote Active Directory kan een door de aanvallers toegevoegde gebruiker niet worden opgemerkt en behouden de aanvallers hun toegang. Een bekende gebruikersnaam die door de bende achter de Ryuk-ransomware wordt gebruikt is "Martin Stevens", gaat Loman verder. Vervolgens wordt deze gebruiker gebruikt om zich lateraal door het netwerk te bewegen.

Image

Losgeldinstructies Ryuk-ransomware : Checkpoint

Wat de aanvallen verder duidelijk maken is dat de aanvallers vaak uitgebreid inzicht in het netwerk van de aangevallen organisatie hebben. Zo brengen ze via de BloodHound-tool de volledige topologie van de Active Directory van de organisatie in kaart. Het gaat dan om adressen van de fileservers en waar de back-upservers precies staan. Vervolgens maken de aanvallers via RDP verbinding met de back-upserver en proberen aanwezige data te versleutelen of te verwijderen.

Antivirussoftware uitschakelen

Sommige ransomware probeert de beveiligingssoftware op het systeem uit te schakelen. Wanneer dit niet direct op de besmette computer zelf lukt, maken de aanvallers gebruik van gestolen wachtwoorden. Via de Active Directory wordt er gezocht naar de machine van de beheerder. De machine wordt aangevallen en vervolgens stelen de aanvallers uit de browser van de beheerder het wachtwoord van de webinterface voor het beheren van de beveiligingssoftware. Zodra de aanvallers op deze omgeving inloggen schakelen ze voor de hele organisatie de antivirussoftware uit. Om dergelijke aanvallen te voorkomen moeten organisaties "tamper protection" voor hun antivirussoftware instellen en tweefactorauthenticatie voor de beheerdersinterface gebruiken.

Betalen, herstellen en voorkomen

Zodra de aanvallers bestanden hebben versleuteld laten ze instructies achter dat er moet worden betaald om weer toegang te krijgen. Met name in de Verenigde Staten is er een toename van organisaties die over een cyberverzekering beschikken die bepaalt of de aanvallers worden betaald of het bedrijf een back-up moet terugzetten, als die nog beschikbaar is. Mede door deze verzekeringen lijkt het losgeld dat aanvallers eisen steeds hoger te worden. Zo betaalde een Amerikaanse stad in juni nog 460.000 dollar losgeld om weer toegang tot bestanden te krijgen. De verzekering dekte 450.000 dollar, waardoor de stad slechts 10.000 dollar moest betalen.

Het is een algemeen gegeven advies dat wanneer er kwaadaardige code op een systeem heeft gedraaid, het systeem opnieuw moet worden geïnstalleerd. Ransomware-slachtoffers die een decryptiesleutel ontvangen krijgen wel weer toegang tot hun bestanden, maar blijken in de praktijk hun getroffen systemen niet altijd opnieuw te installeren. "Dat doen ze vaak niet", gaat Loman verder. "Het is vaak symptoombestrijding, waarbij alleen het gat wordt gedicht waardoor de aanvallers binnenkwamen." De onderzoeker is bekend met een geval waarbij één organisatie twee keer in korte tijd door dezelfde aanvallers werd besmet.

Op dat moment zijn aanvallers er al in geslaagd om hun kwaadaardige code op een bedrijfssysteem uit te voeren. Onder andere overheidsinstanties pleiten dan ook geregeld voor het nemen van preventieve maatregelen. Onlangs adviseerde de Australische overheid nog om macro's in documenten afkomstig van het internet te blokkeren. Ook het Nederlandse Cyber Security Centrum (NCSC) waarschuwde in het verleden al voor macro's. "Alle aanvallen zijn in de basis mogelijk omdat organisaties de basisbeveiligingsprincipes niet goed voor elkaar hebben. Als je in je organisatie macro's gebruikt, moet je goed nadenken of je dit wil blijven doen", besluit Loman. Zijn paper over ransomware is nu te downloaden (pdf).

Reacties (30)
11-11-2019, 17:37 door Anoniem
Verontrustend dat de aanvaller eigenlijk altijd in staat is om de rechten te verhogen.
11-11-2019, 18:27 door Anoniem
Wat Loman ook ontdekte was dat het voor aanvallers vaak weinig aanmaakt wanneer de gebruiker van een gecompromitteerd systeem verminderde rechten heeft, ook wel least user access genoemd. Bij alle onderzochte exemplaren maakte het niets uit. "Ook al wordt de ransomware door een gebruiker met verminderde rechten geopend, aanvallers slagen er bijna altijd in om hun rechten te verhogen", vertelt de onderzoeker.

Bijvoorbeeld omdat er ooit een lokale admin voor een installatie op de machine heeft ingelogd. Met de inloggegevens die de aanvallers van een besmet systeem weten te stelen proberen ze andere machines te benaderen en infecteren.
Staat hier wat ik denk dat er staat? Namelijk dat met de beperkte rechten van een gewone user de inloggegevens van een lokale admin die ooit op een machine heeft ingelogd kunnen worden verkregen?
11-11-2019, 23:16 door Anoniem
Deze methodiek zou in principe toch moeten werken ten opzichte van het afstoppen van kwaadaardige vanaf het Internet komende macro's?
Zie:
https://support.office.com/en-us/article/Block-suspicious-macros-in-Office-on-Windows-10-S-60785abc-d8b8-4b80-8f5d-67ddbee213e9

Waarom gaat er dan kennelijk nog zoveel onder de radar? VBA script gedreven en wel.
Het wordt tijd dat alles online gesigneerd MOET gaan worden.

In zo'n geval zullen malcreanten dat ook moeten gaan doen en/of spoofen of falsificeren,
want ongesigneerd zou het in zo'n geval niet langer op globaal niveau worden vertrouwd
en zouden direct alarmbellen moeten gaan rinkelen.

Maar niet iedereen beschilt over blokkering van de verdachte macro's. Helaas niet.
Er staat namelijk bij de voorwaarden, dat...This feature is only available if you have an Office 365 subscription.
If you are an Office 365 subscriber, make sure you have the latest version of Office.

En hoe betrouwbaar is dan die "security zone information" die Windows je verschaft?

Kan dit soort van beveiliging niet beschikbaar komen voor alle eindgebruikers
of zijn er gelijkwaardige oplossingen van derde partijen voorhanden?

Er zijn nu gebruikers met een betere en een minder goede beveiliging tegen kwaadaardige macro's,
"en dat is niet eerlijk" zou Calimero zeggen, waarvan akte,

Iemand?

luntrus
12-11-2019, 06:57 door Anoniem
Door Anoniem:
Wat Loman ook ontdekte was dat het voor aanvallers vaak weinig aanmaakt wanneer de gebruiker van een gecompromitteerd systeem verminderde rechten heeft, ook wel least user access genoemd. Bij alle onderzochte exemplaren maakte het niets uit. "Ook al wordt de ransomware door een gebruiker met verminderde rechten geopend, aanvallers slagen er bijna altijd in om hun rechten te verhogen", vertelt de onderzoeker.

Bijvoorbeeld omdat er ooit een lokale admin voor een installatie op de machine heeft ingelogd. Met de inloggegevens die de aanvallers van een besmet systeem weten te stelen proberen ze andere machines te benaderen en infecteren.
Staat hier wat ik denk dat er staat? Namelijk dat met de beperkte rechten van een gewone user de inloggegevens van een lokale admin die ooit op een machine heeft ingelogd kunnen worden verkregen?

Ja dat staat er, onder Windows kan een virus/malware gewoon altijd admin rechten krijgen.
12-11-2019, 07:21 door Erik van Straten - Bijgewerkt: 12-11-2019, 07:23
Door Anoniem:
"Ook al wordt de ransomware door een gebruiker met verminderde rechten geopend, aanvallers slagen er bijna altijd in om hun rechten te verhogen" ... Bijvoorbeeld omdat er ooit een lokale admin voor een installatie op de machine heeft ingelogd.
Staat hier wat ik denk dat er staat? Namelijk dat met de beperkte rechten van een gewone user de inloggegevens van een lokale admin die ooit op een machine heeft ingelogd kunnen worden verkregen?
Je leest het goed, maar wat er staat klopt niet. Op elk systeem is ooit een lokale admin ingelogd geweest, anders had je het systeem nooit kunnen installeren.

Ook is het, voor zover ik weet, niet de bedoeling (van Microsoft, maar ook van alle andere bouwers van besturingssystemen die ik ken) dat EoP (elevation of priviliges, ook bekend als privilege escalation) mogelijk is, ongeacht of er cached crendentials van andere -meer privileged- gebruikers, op het systeem aanwezig zijn.

Helaas is EoP toch meestal mogelijk via een of meer van de volgende aanvalsvectoren:
1) Vaak hebben gebruikers zelf al meer rechten dan verstandig is (uit oogpunt van security) via mechanismes als UAC en sudoers;
2) Zelden is alle op de computer aanwezige software volledig gepatched (ik heb met name beveiligingssoftware zelf in het verleden veel EoP-mogelijkheden zien creëren o.a. door onveilig updaten en verkeerde permissies op mappen en drivers te zetten);
3) Soms lijkt of is het noodzakelijk om beveiliging (tijdelijk) te verzwakken (denk aan permissies op mappen, bestanden en in de registry, en aan het geven van extra privileges aan een account) omdat software niet goed werkt, en wordt vergeten dat te herstellen zodra de hack niet meer nodig is;
4) Vooral bij targeted attacks kunnen zero-day-EoP's worden gebruikt, en die werken vaak heel lang doordat softwarebouwers minder prioriteit geven aan EoP-kwetsbaarheden dan aan andere;
5) Middels social engineering kan de gebruiker worden overgehaald om iemand met meer privileges in te laten loggen, en die persoon om kwaadaardige code uit te voeren.

Daarnaast zijn er waarschijnlijk meer mogelijkheden die ik niet ken of waar ik nu even niet op kom.

Daar komt bij dat, als het de aanvallende software niet lukt om op de betreffende computer admin-privileges te verkrijgen, de malware (of interactieve aanvallers) het op andere computers aan het netwerk proberen. Een van de trucs daarbij is het scherm te locken (of te doen alsof) en zo de gebruiker te dwingen zijn wachtwoord in te voeren. Met de credentials van die gebruiker probeert de malware vervolgens op alle andere computers in het domein aan te melden, en zomogelijk meteen code uit te voeren en anders malware te planten die ooit kan worden uitgevoerd zodra of nadat iemand inlogt (waarna weer het bovenstaande puntenlijstje wordt afgelopen).
12-11-2019, 13:35 door Anoniem
Misschien nog als toevoeging voor mensen/bedrijven die RDP gebruiken: Ook daar is het realatief simpel om 2-factor authenticatie te realiseren. Is even wat moeite doen met installeren en configureren, maar daarmee houd je 95% van de aanvallen al buiten.

En natuurlijk hang je een via RDP toegangkelijk werkstation niet aan het internet.
12-11-2019, 15:52 door Anoniem
Door Anoniem:
Wat Loman ook ontdekte was dat het voor aanvallers vaak weinig aanmaakt wanneer de gebruiker van een gecompromitteerd systeem verminderde rechten heeft, ook wel least user access genoemd. Bij alle onderzochte exemplaren maakte het niets uit. "Ook al wordt de ransomware door een gebruiker met verminderde rechten geopend, aanvallers slagen er bijna altijd in om hun rechten te verhogen", vertelt de onderzoeker.

Bijvoorbeeld omdat er ooit een lokale admin voor een installatie op de machine heeft ingelogd. Met de inloggegevens die de aanvallers van een besmet systeem weten te stelen proberen ze andere machines te benaderen en infecteren.
Staat hier wat ik denk dat er staat? Namelijk dat met de beperkte rechten van een gewone user de inloggegevens van een lokale admin die ooit op een machine heeft ingelogd kunnen worden verkregen?
Met een verkeerde configuratie is dit zeker mogelijk.

Door Anoniem:
Door Anoniem:
Wat Loman ook ontdekte was dat het voor aanvallers vaak weinig aanmaakt wanneer de gebruiker van een gecompromitteerd systeem verminderde rechten heeft, ook wel least user access genoemd. Bij alle onderzochte exemplaren maakte het niets uit. "Ook al wordt de ransomware door een gebruiker met verminderde rechten geopend, aanvallers slagen er bijna altijd in om hun rechten te verhogen", vertelt de onderzoeker.

Bijvoorbeeld omdat er ooit een lokale admin voor een installatie op de machine heeft ingelogd. Met de inloggegevens die de aanvallers van een besmet systeem weten te stelen proberen ze andere machines te benaderen en infecteren.
Staat hier wat ik denk dat er staat? Namelijk dat met de beperkte rechten van een gewone user de inloggegevens van een lokale admin die ooit op een machine heeft ingelogd kunnen worden verkregen?

Ja dat staat er, onder Windows kan een virus/malware gewoon altijd admin rechten krijgen.
Behalve bij een goede inrichting.
Denk hierbij aan LAPS en uitschakelen van cached credentials. Dit limiteerd de attack surface enorm
12-11-2019, 16:44 door Anoniem
``Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt,''
Net als "hackers" is het een term om te zeggen dat het jouw schuld niet is want het is ook allemaal veuls te moeluk. "Kon er niets aan doen, de smurfen smurften me helemaal de smurf en mijn naam is Gargamel." Of als je het netjes wil houden pak je er wat duurdere woorden bij. Zoals "geavanceerd" of "geraffineerd", of je combineert er een paar, als in "Advanced Persistent Threat" bijvoorbeeld. Maak er een afko van en je kan weer helemaal de blits maken bij de koffiemachine.

``maar in de praktijk blijkt dat veel ransomware-aanvallen alleen mogelijk zijn doordat basale beveiligingsmaatregelen niet zijn opgevolgd''
Want de gebruikers hebben wel andere dingen aan het hoofd dan voortdurend op de teentjes te lopen omdat anders de kompjoetor z'n broek laat zakken voor malware. Zeker omdat ze uitgebreid verteld is dat ze "geen training nodig hadden" want de kompjoetor gebruiken was helemaal "intuitief" gemaakt.

Oftewel, de software is niet veilig genoeg voor de gebruikers om dagelijks te gebruiken. Dat is de enabler en die faalt in het disablen van de malware. Die inderdaad steeds slinkser en gehaaider wordt. Maar die alleen maar kon onstaan omdat de software waar het gebruik van maakt structureel laks was, is, en, als we resultaten uit het verleden mogen gebruiken om te extrapoleren naar de toekomst, zal zijn.

``In plaats van bedrijven direct aan te vallen hebben zich het afgelopen jaar ook meerdere incidenten voorgedaan waarbij aanvallers eerst een it-dienstverlener aanvielen en vervolgens de klanten van deze partij infecteerden. Zo raakten in één keer honderden ondernemingen besmet.''
Leuk in dezen is ook de trend van "cloud computing" waarbij je al dat moeluke gekompjoetor uitbesteed aan d'ene of d'andere "IT-dienstverlener" waarmee al die [x] Ongeschikte software over meerdere gebruikers gecentraliseerd toegangkelijk wordt voor malware. Door dus te proberen het probleem van je af te schuiven naar een leverancier, wordt je zelfs nog bevattelijker voor de problematiek en als het misgaat heeft gelijk de hele klas er last van.

Zoo spelt den modernen mensch het woord "vooruitgang".
12-11-2019, 20:22 door Erik van Straten
Door Anoniem:
Door Anoniem: Ja dat staat er, onder Windows kan een virus/malware gewoon altijd admin rechten krijgen.
Behalve bij een goede inrichting.
Denk hierbij aan LAPS en uitschakelen van cached credentials. Dit limiteerd de attack surface enorm
"LAPS en het uitschakelen van cached credentials", hoewel prima maatregelen, helpen op geen enkele manier voorkomen dat malware adminprivileges kan verkrijgen.

Het zijn maatregelen die je neemt juist omdat je er rekening mee houdt dat malware of een interactieve aanvaller, op welke manier dan ook, adminprivileges weet te verkrijgen; je hebt die privileges namelijk nodig om cached credentials uit te kunnen lezen.
12-11-2019, 20:28 door [Account Verwijderd]
Microsoft toch! Foei! Hoe is het toch mogelijk dat het ILOVEYOU virus nog steeds mogelijk is?
12-11-2019, 21:09 door Anoniem
dit zal niet helpen

https://www.zdnet.com/article/flaw-in-intel-pmx-driver-gives-near-omnipotent-control-over-a-victim-device/
12-11-2019, 23:06 door Anoniem
Door donderslag: Microsoft toch! Foei! Hoe is het toch mogelijk dat het ILOVEYOU virus nog steeds mogelijk is?
Waarom rijdt men nog steeds te hard in mist, regen of sneeuw.....
13-11-2019, 08:50 door [Account Verwijderd]
Door Anoniem: ...

``maar in de praktijk blijkt dat veel ransomware-aanvallen alleen mogelijk zijn doordat basale beveiligingsmaatregelen niet zijn opgevolgd''
Want de gebruikers hebben wel andere dingen aan het hoofd dan voortdurend op de teentjes te lopen omdat anders de kompjoetor z'n broek laat zakken voor malware. Zeker omdat ze uitgebreid verteld is dat ze "geen training nodig hadden" want de kompjoetor gebruiken was helemaal "intuitief" gemaakt.

Oftewel, de software is niet veilig genoeg voor de gebruikers om dagelijks te gebruiken.

Het is inderdaad absurd dat het verkeerd openen van een document je besturingssysteem kan infecteren.
13-11-2019, 12:37 door Anoniem
Door Ex Machina:
Door Anoniem: ...

``maar in de praktijk blijkt dat veel ransomware-aanvallen alleen mogelijk zijn doordat basale beveiligingsmaatregelen niet zijn opgevolgd''
Want de gebruikers hebben wel andere dingen aan het hoofd dan voortdurend op de teentjes te lopen omdat anders de kompjoetor z'n broek laat zakken voor malware. Zeker omdat ze uitgebreid verteld is dat ze "geen training nodig hadden" want de kompjoetor gebruiken was helemaal "intuitief" gemaakt.

Oftewel, de software is niet veilig genoeg voor de gebruikers om dagelijks te gebruiken.

Het is inderdaad absurd dat het verkeerd openen van een document je besturingssysteem kan infecteren.
Klopt inderdaad. Maar.... Als je gewoon als beheerder alles goed configueerd met de juist settings dan is dit niet mogelijk.
Voor huist gebruikers is dit al een stuk lastiger en komen er ook nog eens diverse waarschuwingen eerst vooraf. Als ja deze waarschuwingen het als nog uitvoert, is het niet meer direct een software probleem.

Auto's zijn ook gewoon veilig. Echter als je er 200 mee gaat rijden.... Dan is het wat anders en iedereen kan dit gewoon doen. Is dit dan ook een auto probleem, en maakt dit auto's onveilig?
13-11-2019, 12:53 door Erik van Straten - Bijgewerkt: 13-11-2019, 12:59
Door Erik van Straten: 2) Zelden is alle op de computer aanwezige software volledig gepatched (ik heb met name beveiligingssoftware zelf in het verleden veel EoP-mogelijkheden zien creëren o.a. door onveilig updaten en verkeerde permissies op mappen en drivers te zetten);
Bijv. EoP naar SYSTEM via DLL-planting: https://www.theregister.co.uk/2019/11/12/mcafee_av_vulnerability/ of kwetsbaarheden in Intel drivers https://www.theregister.co.uk/2019/11/12/bad_intel_drivers_eclypsium/.
13-11-2019, 13:25 door Anoniem
Door Anoniem:
Door Ex Machina:
Door Anoniem: ...

``maar in de praktijk blijkt dat veel ransomware-aanvallen alleen mogelijk zijn doordat basale beveiligingsmaatregelen niet zijn opgevolgd''
Want de gebruikers hebben wel andere dingen aan het hoofd dan voortdurend op de teentjes te lopen omdat anders de kompjoetor z'n broek laat zakken voor malware. Zeker omdat ze uitgebreid verteld is dat ze "geen training nodig hadden" want de kompjoetor gebruiken was helemaal "intuitief" gemaakt.

Oftewel, de software is niet veilig genoeg voor de gebruikers om dagelijks te gebruiken.
Het is inderdaad absurd dat het verkeerd openen van een document je besturingssysteem kan infecteren.
Klopt inderdaad. Maar.... Als je gewoon als beheerder alles goed configueert met de juiste settings dan is dit niet mogelijk.
Voor huist gebruikers is dit al een stuk lastiger en komen er ook nog eens diverse waarschuwingen aan vooraf. Als je na deze waarschuwingen het als nog uitvoert, is het niet meer direct een software probleem.
En waarom zijn die instellingen dan niet de standaardinstellingen? Het product wordt dus in onveilige staat geleverd.

Auto's zijn ook gewoon veilig. Echter als je er 200 mee gaat rijden.... Dan is het wat anders en iedereen kan dit gewoon doen. Is dit dan ook een auto probleem, en maakt dit auto's onveilig?
Dit is niet "200 km/u op de rondweg rijden"; het is doodnormale verwachtte functionaliteit.

Ik denk niet dat het een goed idee was office macros zo te maken dat ze dit allemaal kunnen en toelaten, maar dat heeft het bedrijf moedwillig wel zo neergezet en zelfs aangekondigd van "kijk eens, dit is handig". Dat het ondertussen(!) volgens wat vage "best current practice"-verhalen die nooit de eindgebruiker zullen bereiken geen goed idee is... is toch wat anders dan duidelijk bij elke weg neergezette maximumsnelheidborden. Oftewel de fabrikant had die functionaliteit niet doodnormaal moeten maken. Iets wat al bij invoering opgemerkt en gezegd werd.
13-11-2019, 13:56 door botbot
Door Anoniem:
Door Ex Machina:
Door Anoniem: ...

``maar in de praktijk blijkt dat veel ransomware-aanvallen alleen mogelijk zijn doordat basale beveiligingsmaatregelen niet zijn opgevolgd''
Want de gebruikers hebben wel andere dingen aan het hoofd dan voortdurend op de teentjes te lopen omdat anders de kompjoetor z'n broek laat zakken voor malware. Zeker omdat ze uitgebreid verteld is dat ze "geen training nodig hadden" want de kompjoetor gebruiken was helemaal "intuitief" gemaakt.

Oftewel, de software is niet veilig genoeg voor de gebruikers om dagelijks te gebruiken.

Het is inderdaad absurd dat het verkeerd openen van een document je besturingssysteem kan infecteren.
Klopt inderdaad. Maar.... Als je gewoon als beheerder alles goed configueerd met de juist settings dan is dit niet mogelijk.
Voor huist gebruikers is dit al een stuk lastiger en komen er ook nog eens diverse waarschuwingen eerst vooraf. Als ja deze waarschuwingen het als nog uitvoert, is het niet meer direct een software probleem.

Auto's zijn ook gewoon veilig. Echter als je er 200 mee gaat rijden.... Dan is het wat anders en iedereen kan dit gewoon doen. Is dit dan ook een auto probleem, en maakt dit auto's onveilig?

Maar als je een auto koopt, dan werken de remmen, zijn de veiligheidsgordels werkend, is de airbag geïnstalleerd en gestest, werkt de ABS, zijn de kreukelzones effectief, doen de remlichten het naar behoren etc. Het is niet zo dat iemand die een auto koopt deze eerst nog moet laten instellen door een beheerder, hij een speciale medebestuurder altijd moet laten meerijden om te waarschuwen voor gevaarlijke situaties en het mogelijk is om het hele functioneren van de auto om zeep te helpen als iemand de richtingaanwijzer niet goed gebruikt.
13-11-2019, 18:15 door Erik van Straten
Door botbot: Maar als je een auto koopt, dan werken de remmen, zijn de veiligheidsgordels werkend, is de airbag geïnstalleerd en gestest, werkt de ABS, zijn de kreukelzones effectief, doen de remlichten het naar behoren etc. Het is niet zo dat iemand die een auto koopt deze eerst nog moet laten instellen door een beheerder, hij een speciale medebestuurder altijd moet laten meerijden om te waarschuwen voor gevaarlijke situaties en het mogelijk is om het hele functioneren van de auto om zeep te helpen als iemand de richtingaanwijzer niet goed gebruikt.
Sorry maar dit vind ik een slechte vergelijking. Als je het met auto's en het gebruik daarvan wilt vergelijken, moet je je afvragen hoe moeilijk het is om bijv. remleidingen van een auto door te knippen of te beschadigen, een spijker in een band te drukken op zodanige wijze dat deze er tijdens het rijden uitvliegt, wielmoeren iets los te draaien, wegwijzers te verdraaien, borden met voorrangsregels aan te passen, bij benzinestations de slangen -aan de pompzijde- tussen diesel en benzine te verwisselen, putdeksels verwijderen, betonblokken op een donkere snelweg gooien of te gaan spookrijden.

De meeste van deze opzettelijke daden gebeuren gelukkig niet of zelden, andere helaas vaker. En niet zelden leiden die laatste tot dodelijke ongelukken waar de meeste auto's onvoldoende bescherming tegen bieden (om het maar niet over bijv. motorfietsen te hebben).

Het probleem met software waar het hier om gaat, heeft alles te maken met kwade opzet, waarbij het doel van de aanvallers in de meeste gevallen geldelijk gewin is. Dat dit bij software (op aan internet gekoppelde apparatuur) veel vaker gebeurt dan middels andere criminaliteit waarbij bijv. onze voertuigen doelwit zijn, heeft vermoedelijk veel te maken met zowel de lagere pakkens als de hogere winstverwachting. Deze criminelen zijn echter zo nietsontziend dat het me niets zou verbazen als zij totaal andere doelen kiezen zodra die lucratiever worden - bij gelijkblijvende pakkans.
14-11-2019, 08:13 door Anoniem
"Als je gewoon als beheerder alles goed configueerd met de juist settings dan is dit niet mogelijk. "


waarom blijkt dat dan steeds zo moeilijk te zijn? is dat falend management? is dat incompetent beheer? is dat toch te veel werk voor de mensen met deze software? waarom moet dit eigenlijk dan weer achteraf geconfigureerd worden? waarom kan het niet veilig dicht uit de verpakking komen en dat er moeit egedaan moet worden van een veilige std opzet een puintje te maken? dat kan namelijk wel (aantoonbaar).... maar waarom gebeurt dat dan steeds toch maar niet?
14-11-2019, 11:18 door Anoniem
Door Anoniem: "Als je gewoon als beheerder alles goed configueerd met de juist settings dan is dit niet mogelijk. "


waarom blijkt dat dan steeds zo moeilijk te zijn? is dat falend management? is dat incompetent beheer? is dat toch te veel werk voor de mensen met deze software? waarom moet dit eigenlijk dan weer achteraf geconfigureerd worden? waarom kan het niet veilig dicht uit de verpakking komen en dat er moeit egedaan moet worden van een veilige std opzet een puintje te maken? dat kan namelijk wel (aantoonbaar).... maar waarom gebeurt dat dan steeds toch maar niet?
Ja en Nee.

Beheerders mogen vaak de beveiliging niet hoog of dicht zetten, omdat er dan bepaalde gebruikte applicaties omvallen of het wordt te complex voor de gebruikers. En kan zijn keuzes snel gemaakt. Beheerder verliest....
14-11-2019, 12:29 door Anoniem
Door Anoniem: Auto's zijn ook gewoon veilig. Echter als je er 200 mee gaat rijden.... Dan is het wat anders en iedereen kan dit gewoon doen. Is dit dan ook een auto probleem, en maakt dit auto's onveilig?
Voor wie met een auto 200 km/uur gaat rijden is volkomen duidelijk dat die dat aan het doen is. De reden dat er met ransomware zoveel misgaat is omdat het daar helemaal niet zo evident duidelijk is dat er iets ongewoons gaande is.

Door Erik van Straten:
Door botbot: Maar als je een auto koopt, dan werken de remmen, zijn de veiligheidsgordels werkend, is de airbag geïnstalleerd en gestest, werkt de ABS, zijn de kreukelzones effectief, doen de remlichten het naar behoren etc. Het is niet zo dat iemand die een auto koopt deze eerst nog moet laten instellen door een beheerder, hij een speciale medebestuurder altijd moet laten meerijden om te waarschuwen voor gevaarlijke situaties en het mogelijk is om het hele functioneren van de auto om zeep te helpen als iemand de richtingaanwijzer niet goed gebruikt.
Sorry maar dit vind ik een slechte vergelijking. Als je het met auto's en het gebruik daarvan wilt vergelijken, moet je je afvragen hoe moeilijk het is om bijv. remleidingen van een auto door te knippen of te beschadigen, een spijker in een band te drukken op zodanige wijze dat deze er tijdens het rijden uitvliegt, wielmoeren iets los te draaien, wegwijzers te verdraaien, borden met voorrangsregels aan te passen, bij benzinestations de slangen -aan de pompzijde- tussen diesel en benzine te verwisselen, putdeksels verwijderen, betonblokken op een donkere snelweg gooien of te gaan spookrijden.
Als je die vergelijking dan toch maakt dan is het meer alsof opeens de remmen dienst weigeren en wielen tijdens het rijden loslaten enkel omdat je de verkeerde passagier een lift geeft, zonder dat die voor de eigenaar/bestuurder zichtbaar iets heeft gesaboteerd. Als een auto zo zou reageren op een passagier zou die niet voor de openbare weg goedgekeurd worden.

Voor mij is duidelijk dat code die mogelijk uit een onbetrouwbare bron komt niet of in een goede sandbox uitgevoerd hoort te worden. Omdat evident is dat office-documenten uitgewisseld worden en al even evident is dat een doorsneegebruiker vergeleken met een professionele IT'er een behoorlijke digibeet is zou het evident moeten zijn dat macro's in office-documenten niet te veel moeten kunnen. Ze moeten binnen het document hun ding kunnen doen en erbuiten niets, tenzij er goed geregeld is dat dat op een veilige manier kan.

Het is volstrekt duidelijk dat Microsoft en andere leveranciers toen ze macro's als mogelijkheid toevoegden aan hun documentformaten en -verwerkers vooral gericht waren op zo rijk mogelijke features toevoegen. Het was niet zo dat er in die tijd geen mensen met verstand van IT-beveiliging waren die erop wezen dat dat riskant was, het is eerder zo dat degenen die hun produkt zo aantrekkelijk mogelijk wilden maken voor de verkoop andere belangen nastreefden en niet naar deze geluiden luisterden.

Ik denk overigens niet dat alle ellende was voorkomen als er beter naar de mensen met verstand van IT-beveiliging was geluisterd. Die worden nog steeds voortdurend verrast door hoe makkelijk mensen omver worden geluld, en doorgaan met van alles wat ze zouden moeten laten terwijl de waarschuwingen luid en duidelijk voor hun snufferd staan.
14-11-2019, 13:58 door Erik van Straten
Door Anoniem: [...] Voor mij is duidelijk dat code die mogelijk uit een onbetrouwbare bron komt niet of in een goede sandbox uitgevoerd hoort te worden. Omdat evident is dat office-documenten uitgewisseld worden en al even evident is dat een doorsneegebruiker vergeleken met een professionele IT'er een behoorlijke digibeet is zou het evident moeten zijn dat macro's in office-documenten niet te veel moeten kunnen. Ze moeten binnen het document hun ding kunnen doen en erbuiten niets, tenzij er goed geregeld is dat dat op een veilige manier kan.

Het is volstrekt duidelijk dat Microsoft en andere leveranciers toen ze macro's als mogelijkheid toevoegden aan hun documentformaten en -verwerkers vooral gericht waren op zo rijk mogelijke features toevoegen. Het was niet zo dat er in die tijd geen mensen met verstand van IT-beveiliging waren die erop wezen dat dat riskant was, het is eerder zo dat degenen die hun produkt zo aantrekkelijk mogelijk wilden maken voor de verkoop andere belangen nastreefden en niet naar deze geluiden luisterden.
Eens, zie https://www.security.nl/posting/629147/ACSC%3A+blokkeer+macro%27s+in+documenten+van+het+internet#posting629164

Door Anoniem: Ik denk overigens niet dat alle ellende was voorkomen als er beter naar de mensen met verstand van IT-beveiliging was geluisterd. Die worden nog steeds voortdurend verrast door hoe makkelijk mensen omver worden geluld, en doorgaan met van alles wat ze zouden moeten laten terwijl de waarschuwingen luid en duidelijk voor hun snufferd staan.
Ongetwijfeld niet alle ellende, maar we kunnen het criminelen in zeer veel gevallen een heel stuk lastiger maken, zonder daarbij essentiële functionaliteit in te hoeven leveren. Het aantal nooit of zelden gebruikte features in software is in veel gevallen absurd, en altijd beschikbaar. En omdat het altijd beschikbaar is, kunnen sommige users er gebruik van maken, en je weet nooit wie en wanneer dat doet.

Daardoor slaat de eerder geponeerde stelling "Als je gewoon als beheerder alles goed configueerd [sic] met de juist settings dan is dit niet mogelijk" helemaal nergens op: je hebt geen idee welke functionaliteit je allemaal kunt blacklisten zonder boze gebruikers op onvoorspelbare momenten aan je desk of telefoon. En na elke update kun je aan de slag om te checken of de update jouw security-settings heeft verzwakt of zelfs ongedaan gemaakt c.q. er functionaliteit is toegevoegd die nieuwe blacklist-settings vereist.

En sowieso, als je aan blacklisten van functionaliteit begint, zoek je je vaak suf als gebruikers melden dat iets niet werkt zoals verwacht - wat er in de meeste gevallen, vermoed ik, de reden is dat beheerders hier snel mee stoppen of überhaupt niet aan beginnen.

Daarnaast is bijv. de MotW (Mark of the Web) (blacklist-) truc van Microsoft onbetrouwbaar, want niet alle unpackers ondersteunen deze en op andere filesystems dan NTFS raak je deze sowieso kwijt. Waarom heeft Microsoft hier niet voor whitelisting gekozen, zodat je juist gewaarschuwd wordt als een "MarkOfLocallyCreated" tag onbedoeld kwijtraakt? Onbegrijpelijk.

Alle features met potentiële security-impact zouden by default disabled moeten zijn. Alleen als ze echt nodig zijn, zet je ze aan - en alleen voor die gebruikers die -aantoonbaar- niet zonder kunnen (en bij voorkeur automatisch beperkt tot een bepaalde datum, met ruim van tevoren een waarschuwing naar de gebruiker). De succeskans is dan automatisch kleiner voor cybercriminelen, en deze aanpak kun je veel beter beheren en beheersen.

Zolang we de ene na de andere feature moeten blijven blacklisten, komen beheerders om in het werk, ergeren gebruikers zich groen en geel en rollen criminelen lachend over de vloer.
14-11-2019, 14:29 door Anoniem
Door Anoniem:
Door Anoniem: Auto's zijn ook gewoon veilig. Echter als je er 200 mee gaat rijden.... Dan is het wat anders en iedereen kan dit gewoon doen. Is dit dan ook een auto probleem, en maakt dit auto's onveilig?
Voor wie met een auto 200 km/uur gaat rijden is volkomen duidelijk dat die dat aan het doen is. De reden dat er met ransomware zoveel misgaat is omdat het daar helemaal niet zo evident duidelijk is dat er iets ongewoons gaande is.
Met 200 km/u overleef je het meestal niet. Echter de meeste kopstaart aanrijdingen gebeuren met met lage snelheden.
Maar de auto is ook gemaakt om met deze snelheden te rijden, dus waarom zou dit dit niet moeten kunnen? Marco's zijn ook met een redenen gemaakt.

Door Erik van Straten:
Door botbot: Maar als je een auto koopt, dan werken de remmen, zijn de veiligheidsgordels werkend, is de airbag geïnstalleerd en gestest, werkt de ABS, zijn de kreukelzones effectief, doen de remlichten het naar behoren etc. Het is niet zo dat iemand die een auto koopt deze eerst nog moet laten instellen door een beheerder, hij een speciale medebestuurder altijd moet laten meerijden om te waarschuwen voor gevaarlijke situaties en het mogelijk is om het hele functioneren van de auto om zeep te helpen als iemand de richtingaanwijzer niet goed gebruikt.
Sorry maar dit vind ik een slechte vergelijking. Als je het met auto's en het gebruik daarvan wilt vergelijken, moet je je afvragen hoe moeilijk het is om bijv. remleidingen van een auto door te knippen of te beschadigen, een spijker in een band te drukken op zodanige wijze dat deze er tijdens het rijden uitvliegt, wielmoeren iets los te draaien, wegwijzers te verdraaien, borden met voorrangsregels aan te passen, bij benzinestations de slangen -aan de pompzijde- tussen diesel en benzine te verwisselen, putdeksels verwijderen, betonblokken op een donkere snelweg gooien of te gaan spookrijden.
Als je die vergelijking dan toch maakt dan is het meer alsof opeens de remmen dienst weigeren en wielen tijdens het rijden loslaten enkel omdat je de verkeerde passagier een lift geeft, zonder dat die voor de eigenaar/bestuurder zichtbaar iets heeft gesaboteerd. Als een auto zo zou reageren op een passagier zou die niet voor de openbare weg goedgekeurd worden.
Nee, die vergelijking gaat niet op. Want je negeert de waarschuwingen niet. Je kunt het beter vergelijken met dat je motormanagement lampje gaat branden en je gewoon door rijdt. Of als je bandenspanning sensors iets aangeven. Laat is daar zelfs iemand voor veroordeelt als ik het nog goed weet. Hij reed km door terwijl zijn auto aangaf dat er duidelijk iets mis was. Daarna ging het echt fout met zijn auto, en gebeurde er een ernstig ongeluk. Wij was gewoon verwijtbaar verantwoordelijk.

Je kunt het eventueel ook als terug acties beschouwen. Want auto's bevatten tegenwoordig ook regelmatig fouten die gemaakt meoten worden.

Het is volstrekt duidelijk dat Microsoft en andere leveranciers toen ze macro's als mogelijkheid toevoegden aan hun documentformaten en -verwerkers vooral gericht waren op zo rijk mogelijke features toevoegen. Het was niet zo dat er in die tijd geen mensen met verstand van IT-beveiliging waren die erop wezen dat dat riskant was, het is eerder zo dat degenen die hun produkt zo aantrekkelijk mogelijk wilden maken voor de verkoop andere belangen nastreefden en niet naar deze geluiden luisterden.
Tja vroeger.... Legacy.... Vroeger hadden auto's ook geen gordels. Er zaten benzine tanken in de achterbumbers. Daar heeft men ook de op de harde manier van geleerd.
14-11-2019, 18:03 door Anoniem
Door Anoniem:
Als je die vergelijking dan toch maakt dan is het meer alsof opeens de remmen dienst weigeren en wielen tijdens het rijden loslaten enkel omdat je de verkeerde passagier een lift geeft, zonder dat die voor de eigenaar/bestuurder zichtbaar iets heeft gesaboteerd. Als een auto zo zou reageren op een passagier zou die niet voor de openbare weg goedgekeurd worden.
Nee, die vergelijking gaat niet op. Want je negeert de waarschuwingen niet. Je kunt het beter vergelijken met dat je motormanagement lampje gaat branden en je gewoon door rijdt. Of als je bandenspanning sensors iets aangeven. Laat is daar zelfs iemand voor veroordeeld als ik het nog goed weet. Hij reed km door terwijl zijn auto aangaf dat er duidelijk iets mis was. Daarna ging het echt fout met zijn auto, en gebeurde er een ernstig ongeluk. Hij was gewoon verwijtbaar verantwoordelijk.
Ook die vergelijking gaat niet op. Nou heb ik geen rijbewijs maar het lijkt me sterk dat de instructeur niet vertelt dat als "/!\" rood gaat knipperen dat je dan niet meer veilig door kan rijden. Ik neem ook aan dat het ergens in het theorie- danwel het praktijkexamen gevraagd wordt.

Terwijl op je kompjoetor je stapels en stapels aan "waarschuwingen" krijgt die soms niets betekenen, soms wel iets maar iets anders, en soms inderdaad direct gevaar aanwijzen -- nouja, aanwijzen, "er is mogelijk gevaar mischien" is niet echt duidelijk over wat het gevaar dan zou mogen zijn. Maar geen waarschuwing betekent niet geen gevaar. En dat bij mensen die geen training gekregen hebben want de software is verkocht onder het mom "geen training nodig". Dus is zelfs "knipperend waarschuwingslampje negeren" niet verwijtbaar in context: Er is nooit gewaarschuwd dat negeren laakbaar is.

Maar we hadden het niet over verwijtbaar gebruik van het apparaat. We hadden het over verwijtbaar onveilige staat van levering vanaf de fabrikant. De autoindustrie heeft door schade en schande moeten leren wat wel en niet veilig is, en is daar deels door wetgeving door gedwongen. De computerindustrie, nouja die ene monopolistische leverancier, heeft nog steeds vrijwel geheel vrij spel. En gooit er dan ook grif met de pet naar. Ook al doen ze ondertussen voor de bühne of ze echt wel om beveiliging geven, heus. Wat gek genoeg niet tot resultaat heeft dat dit soort zeer onveilige situaties worden uitgebouwd of zelfs maar standaard worden uitgezet maar wel dat er allerlei cryptografische truukerij ingebouwd wordt die vooral tot gevolg heeft dat je als gebruiker en ook als eigenaar van de hardware steeds minder te zeggen hebt.
15-11-2019, 08:04 door Anoniem
Door Anoniem:
Ook die vergelijking gaat niet op. Nou heb ik geen rijbewijs maar het lijkt me sterk dat de instructeur niet vertelt dat als "/!\" rood gaat knipperen dat je dan niet meer veilig door kan rijden. Ik neem ook aan dat het ergens in het theorie- danwel het praktijkexamen gevraagd wordt.
Dit soort informatie geven ze tegenwoordig wel. Echter vroeger kreeg je dit soort uitleg niet. Tegenwoordig krijgt je ook wat uitleg over onder de motorkap.
Daarnaast... Standaard staat Macro's uit ook en komen er diverse waarschuwingen of je het heel zeker weet of je dit op voor een onbekend document zomaar aan wilt zetten.

Maar we hadden het niet over verwijtbaar gebruik van het apparaat. We hadden het over verwijtbaar onveilige staat van levering vanaf de fabrikant. De autoindustrie heeft door schade en schande moeten leren wat wel en niet veilig is, en is daar deels door wetgeving door gedwongen. De computerindustrie, nouja die ene monopolistische leverancier, heeft nog steeds vrijwel geheel vrij spel. En gooit er dan ook grif met de pet naar. Ook al doen ze ondertussen voor de bühne of ze echt wel om beveiliging geven, heus. Wat gek genoeg niet tot resultaat heeft dat dit soort zeer onveilige situaties worden uitgebouwd of zelfs maar standaard worden uitgezet maar wel dat er allerlei cryptografische truukerij ingebouwd wordt die vooral tot gevolg heeft dat je als gebruiker en ook als eigenaar van de hardware steeds minder te zeggen hebt.
Tja... Die ene leverancier heeft ook een enorme hoeveelheid legacy draaien, waar vaak het hele bedrijf op kan werken.
Auto industrie heeft de mogelijkheid om auto's gewoon te vervangen of te updaten, zonder hele grote impact. Daarnaast men past nu de brandstof aan, en oude auto's kunnen grote problemen krijgen. Stoeltjes voor kinderen gebruiken tegenwoordig andere aansluitingen dan vroeger.
Maar dat zijn dingen die je vaak met een nieuwe auto gemakkelijk kan vervangen. Het is niet in eens dat je hele bedrijf omvalt met een nieuwe auto of een software aanpassing voor een nieuwe auto. Dit kun je gemakkelijk per auto type vervangen zonder problemen.

Software aanpassingen zijn een stuk complexer, want je vervangt de hardware en het OS wel. Maar veel applicaties blijven gewoon gebruikt worden. Ik kom nog steeds Excel sheets van Excel 97 tegen die gebruikt worden. Overzetten naar nieuwe versies was niet mogelijk.
Ons bedrijf moet ook Office 32Bits gebruiken, want alle macro's in onze documenten werken alleen met 32Bits Office.

Daarnaast in de laatste versie van Office, zitten beveiligingen die de security een stuk hoger zetten om marco's uit te voeren.

Je auto vs computer gaat nog steeds niet goed op. Maar we gaan nu wel erg off-topic
15-11-2019, 10:34 door Anoniem
En de Consumentenbond maar waarschuwen voor computers met potetnieel verouderde en onveilige software. Waarom wordt Office niet standaard tot onveilige software gerekend? Als zo'n beetje alle ransomwarebesmettingen door macro's in Office komen lijkt het me eenvoudig: verbied Office tot Microsoft een versie heeft uitgebracht die niet zo eenvoudig je computer netwerk kan besmetten met ransomware. En anders... maak het mogelijk om de schade op Microsoft te verhalen. Moet je eens kijken hoe snel ze alle fouten eruit hebben gehaald als zij als verantwoordelijken worden aangeduid.
15-11-2019, 13:22 door Anoniem
Door Anoniem:
Door Anoniem:
Ook die vergelijking gaat niet op. Nou heb ik geen rijbewijs maar het lijkt me sterk dat de instructeur niet vertelt dat als "/!\" rood gaat knipperen dat je dan niet meer veilig door kan rijden. Ik neem ook aan dat het ergens in het theorie- danwel het praktijkexamen gevraagd wordt.
Dit soort informatie geven ze tegenwoordig wel. Echter vroeger kreeg je dit soort uitleg niet.
Raar toch dat nieuwe rijbewijzen steeds minder rechten geven en oudere, verkregen volgens mindere standaard, nog altijd meer.

Daarnaast... Standaard staat Macro's uit ook en komen er diverse waarschuwingen of je het heel zeker weet of je dit op voor een onbekend document zomaar aan wilt zetten.
Volgens het welbekende protocol "weet u het zeker?" 'ja' "weet u het echt heel zeker?!?" 'jahaa schiet nou op stom ding' "okay" *shit happens, nu of later* 'oeps'. Dat is dus geen nuttige manier van waarschuwen.

Maar we hadden het niet over verwijtbaar gebruik van het apparaat. We hadden het over verwijtbaar onveilige staat van levering vanaf de fabrikant. [...]
Tja... Die ene leverancier heeft ook een enorme hoeveelheid legacy draaien, waar vaak het hele bedrijf op kan werken.
Gek toch dat je computers in drie jaar mag afschrijven, maar bestelautos in vijf, en andere autos zelfs langer.

Auto industrie heeft de mogelijkheid om auto's gewoon te vervangen of te updaten, zonder hele grote impact.
Behalve dat het vrij kostbaar is want je moet hardware uitwisselen danwel autos naar garages krijgen, de eigenaar moet mee willen werken, en zo verder. Daar heeft *kuch* een zekere softwarefabrikant *kuch* zichzelf heel erg veel privileges gegeven met maar matig positief en zeker ook negatief effect. Maar het is waar dat autos een veel simpelere interface-specificatie hebben, die buitengewoon duidelijk is vergeleken bij *kuch* de verbazend veelgebruikte producten van een zekere softwarefabrikant *kuch*, die vaak zelfs helemaal geen interface-specificaties kennen, of voorzover ze dat wel doen er botweg niet aan voldoen.

Daarnaast men past nu de brandstof aan, en oude auto's kunnen grote problemen krijgen.
Wat mij betreft politiek gekonkel en behoorlijk dom bovendien. Je moet geen brandstof maken van grondstoffen die we ook kunnen eten. Zeker niet gezien de kosten behoorlijk hoog liggen en de baten weer grotendeels imaginair blijken. Wat toch wel erg vaak voorkomt met politiek bekokstoofde "milieumaatregelen". Maargoed, da's een andere discussie.

Software aanpassingen zijn een stuk complexer, want je vervangt de hardware en het OS wel. Maar veel applicaties blijven gewoon gebruikt worden. Ik kom nog steeds Excel sheets van Excel 97 tegen die gebruikt worden. Overzetten naar nieuwe versies was niet mogelijk.
Ons bedrijf moet ook Office 32Bits gebruiken, want alle macro's in onze documenten werken alleen met 32Bits Office.
Ik zeg dat "blijkt onvervangbaar" toch een defect is in de software.

Of specifieker, "blijkt onvervangbaar en onporteerbaar en dat levert veiligheidsproblemen op". Je zou bijvoorbeeld heel goed, zoals de schrijver van _A Song of Fire and Ice_, nog altijd WordStar 4 kunnen gebruiken zonder dat daar veel veiligheidsrisicos aan zitten. Of WordStar 3 in een CP/M-emulator. Of nvi+troff. Of weetikhetwat. Zeker zou alleen al het gegeven dat velen net even wat anders gebruiken het probleem van de vatbaarheid voor malware inherent aan een monocultuur drastisch verminderen.

Dat vereist dan weer een duidelijk uitwisselingsformaat en gebruikers die snappen hoe zoiets werkt. Dat wordt door de usance van "geen training vereist" redelijk hard in de weg gezeten. En oh ja, door die ene fabrikant die een open standaard niet kon accepteren als'ie niet van zichzelf kwam, en dus maar vakkundig wat standaardisatieprocessen verstierde.

(Niet dat ik ODF nu zo'n geweldige standaard vind. XML is teveel hypetrain en te weinig substantie om op te bouwen voor de toekomst. Maar ODF is qualitatief iig beter dan OOXML. Er zijn namelijk wel conformante implementaties van te vinden.)

Je auto vs computer gaat nog steeds niet goed op. Maar we gaan nu wel erg off-topic
Let ook even op wie je de origine van die vergelijking toebedeeld.
15-11-2019, 15:22 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Ook die vergelijking gaat niet op. Nou heb ik geen rijbewijs maar het lijkt me sterk dat de instructeur niet vertelt dat als "/!\" rood gaat knipperen dat je dan niet meer veilig door kan rijden. Ik neem ook aan dat het ergens in het theorie- danwel het praktijkexamen gevraagd wordt.
Dit soort informatie geven ze tegenwoordig wel. Echter vroeger kreeg je dit soort uitleg niet.
Raar toch dat nieuwe rijbewijzen steeds minder rechten geven en oudere, verkregen volgens mindere standaard, nog altijd meer.
vroeger kon je ook gemakkelijk nog iets zelf doen aan een auto. Nu is alles computer gestuurd.

Daarnaast... Standaard staat Macro's uit ook en komen er diverse waarschuwingen of je het heel zeker weet of je dit op voor een onbekend document zomaar aan wilt zetten.
Volgens het welbekende protocol "weet u het zeker?" 'ja' "weet u het echt heel zeker?!?" 'jahaa schiet nou op stom ding' "okay" *shit happens, nu of later* 'oeps'. Dat is dus geen nuttige manier van waarschuwen.
Hoe wil je het anders hebben? Rode lichten? Sirene?

Maar we hadden het niet over verwijtbaar gebruik van het apparaat. We hadden het over verwijtbaar onveilige staat van levering vanaf de fabrikant. [...]
Tja... Die ene leverancier heeft ook een enorme hoeveelheid legacy draaien, waar vaak het hele bedrijf op kan werken.
Gek toch dat je computers in drie jaar mag afschrijven, maar bestelautos in vijf, en andere autos zelfs langer.
Ik zou je adviseren om geen boekhouding zelf te doen. Je gaat dan namelijk wat problemen krijgen met de belastingdienst, computers moeten namelijk ook gewoon in 5 jaar. Maar al zouden we 3 jaar nemen. Dan kan ik 3 computers gebruiken voor WXP.
Daarnaast computer vervangen vs software vervangen is al heel wat anders. Software wordt vaak een keer neergezet en de configuratie blijft het zelfde. Gebruikers willen dit ook niet veranderen, want zo werken ze nu eenmaal. En probeer dat maar eens te veranderen. Bijna niet te doen. Dus blijft een oude (onveilige) configuratie actief. Welkom in de grote wereld.

Auto industrie heeft de mogelijkheid om auto's gewoon te vervangen of te updaten, zonder hele grote impact.
Behalve dat het vrij kostbaar is want je moet hardware uitwisselen danwel autos naar garages krijgen, de eigenaar moet mee willen werken, en zo verder.
Valt best nog wel mee. Kost wel geld. Maar veel is bijvoorbeeld bij een onderhoudsbeurt al uit te voeren. En die krijgt toch bijna iedere auto 1 keer per jaar. Kost minder dan je denkt.

Daarnaast men past nu de brandstof aan, en oude auto's kunnen grote problemen krijgen.
Wat mij betreft politiek gekonkel en behoorlijk dom bovendien. Je moet geen brandstof maken van grondstoffen die we ook kunnen eten.
CO2 uitstoot misschien?

Software aanpassingen zijn een stuk complexer, want je vervangt de hardware en het OS wel. Maar veel applicaties blijven gewoon gebruikt worden. Ik kom nog steeds Excel sheets van Excel 97 tegen die gebruikt worden. Overzetten naar nieuwe versies was niet mogelijk.
Ons bedrijf moet ook Office 32Bits gebruiken, want alle macro's in onze documenten werken alleen met 32Bits Office.
Ik zeg dat "blijkt onvervangbaar" toch een defect is in de software.
Welkom in de grote mensen wereld. Het werkt toch gewoon? En aanpassingen kosten heel veel geld (en tijd).

Je auto vs computer gaat nog steeds niet goed op. Maar we gaan nu wel erg off-topic
Let ook even op wie je de origine van die vergelijking toebedeeld.
Klopt. En past nog steeds
19-11-2019, 13:09 door Anoniem
Ja, dat krijg je als je gevaarlijke zaken als "features" gaat betitelen.
Mensen gaan in hun onwetendheid dus zeker gebruik maken van deze "features"
en daarmee begint de ellende. Wie is er dan uiteindelijk dom bezig?
De software-boer dus.

U bouwt het in en later gaat de cybercrimineel of een staatsacteur er misbruik van maken,
dan roept u hard foei, maar u had helemaal niet moeten vertrouwen op "security through obscurity".

In dit geval keren we het spreekwoord om en krijgen we, "Wat niet weet en toch wel degelijk deert",
ofwel de allergrootste 'makke' van alle propriety software.

Ik draai Libre Office, wat minder gelikt en snel, maar wel duidelijk minder aanvalsoppervlak.

luntrus
30-11-2019, 10:28 door Anoniem
Stop USING MSOFFICE
it s junk
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.