Anti-virus software verergert MyDoom epidemie
Het MyDoom virus is de nieuwste worm waarmee Windows gebruikers te maken krijgen en weet tevens complete netwerken te verstoppen, maar dat is slechts een deel van het probleem. Anti-virus software op mail servers produceert namelijk net zoveel verkeer, door voor elke besmette e-mail een melding te sturen. Dit veroorzaakt zoveel extra verkeer dat dit het probleem serieus verergert. Het is dan ook een zeer irrirtant, bijna spam-achtig probleem, dat anti-virus software zomaar mensen gaat waarschuwen dat hun systeem mogelijk geinfecteerd is, aldus Marc Maiffret van eEye Digital Security. Het probleem is dat virussen de afzender vervalsen, waardoor mensen denken e-mail van een bekende te krijgen. Het zou een simpele aanpassing voor anti-virus fabrikanten zijn om te controleren of de afzender daadwerkelijk besmet is. Zo zou voorkomen kunnen worden dat niet besmette computers toch een waarschuwings e-mail ontvangen, zo gaat Maiffret verder in dit artikel over anti-virus software.
instellen voor welke virussen zo'n melding niet verstuurd
moet worden (de zogenaamde silent list)
en uiteraard heb je ook een optie om het helemaal uit te zetten.
Na mate het meer standaard wordt dat wormen gebruik gaan
maken van gespoofde afzender adressen, zou je zo'n optie om
kunnen draaien (zeg maar
een shout list).
Het probleem ligt misschien meer bij de SMTP servers die
iedereen uit hun domein maar laten mailen met een
willekeurig afzender adress. Als je SMTP authenticatie zou
kunnen vereisen met een gevalideerd afzender adres vang je
twee vliegen in een klap (wormen en SPAM).
mailserver dat mailtjes met wormen gewoon direct verwijderd worden. De
ontvanger heeft sowieso toch niks aan die mailtjes, dus ook niet aan een
mailtje met gecleande worm. Gewoon wissen, dan krijg je als IT afdeling
ook geen vragen over die voor gebruikers "vreemde" mailtjes waarin wordt
gemeld dat er een virus is onderschept.
Nou, lees ik bovenstaande artikelen en krijg een gevoel van "wat nu weer
een virusje en Nederland staat weer op tilt?" Ik hoop het niet.
Zeker gezien de reactie op de Anti-Virus software op de mail-server. Een
professionele organisatie kan een leidraad vinden in ISO 17799. Echter,
met de juiste besteding van het IT budget is het ook mogelijke voor kleine
organisatie's een hoge(re) gradatie van beveiling en veiligheid te
bewerkstelligen. Als voorbeeld zie ik het maken van afspraken met
gebruikers over internet toegang. Dit betreft ook alle outbound verkeer.
Het inregelen van een professionel firewall (Checkpoint FW1 of Raptor
Firewall (SEF)), stop alle wormen spoofed spam en gerouteerde mail. De
toegestane mail komt de viruswall binnen en vervolgens gerouteerd naar
de mailserver met of zonder AV (wist u dat de meeste mailservers op een
windows OS staan) Zonder reclame te maken voor Antigen of NAI en alle
andere windows based Anti-Virussen, U hoeft de gebruikers geen bericht
te sturen over de gang of voortgang van de mail stroom. Indien een virus
toch een werkstation bereikt en inderdaad door een niet courante lokaal
AV programma mass-mail gaat versturen, dan komt Uw of de
Systeembeheerder zijn heldere kijk op zaken naar voren. De werkstations
kunnen ondanks het feit van de email client geen smtp direct naar buiten
versturen, geen [.bat, .exe, .pif, .cmd, .scr] en alle niet noodzakelijke
bestanden ontvangen. Daarnaast een beperking op de hoeveelheid mail
dat u mag versturen. En gaat U zo maar door. Ik sluit af met het volgende
MailScanner een Open Source AV voor het Linux platform is echt niet aan
te raden gezien de mate van updates er ver uit elkaar liggen. Denk ruim,
denk licht. Bedenk verder dat een goed gepland en ingericht netwerk U dit
bespaard U kopzorgen.
worden netje alle foute mails tegengehouden. Echt een zegen, want
een extra regel en alle MyDoom-meuk "verdwijnt" ;-)
### knip
Ik sluit af met het volgende MailScanner een Open Source AV
voor het Linux platform is echt niet aan te raden gezien de
mate van updates er ver uit elkaar liggen. Denk ruim, denk
licht.
Bedenk verder dat een goed gepland en ingericht netwerk U
dit bespaard U kopzorgen.
Wij draaien MailScanner nu ruim een jaar op een relatief
grote site (enkele Gigabytes aan e-mail per dag), zonder
problemen. Het is makkelijk te installeren en te
configureren en we draaien het volledig redundant (gewoon
twee servers die dezelfde MX waarde hebben).
Het maakt gebruik van een commerieele antivirus engine die
door MailScanner aangeroepen wordt (wij gebruiken Sophos &
die wordt om het uur gecheckt voor updates) en SpamAssassin
voor de spam tagging.
Alles is configureerbaar en support is snel en kwalitatief
erg goed dmv de mailinglist.
We hebben hiervoor naar commercieele producten gekeken, maar
niks kwam in de buurt (om over de kosten maar te zwijgen).
virusmeldingen naar onschuldige omstanders te versturen,
maar bounced gewoon het volledige virus terug.
Daar wordt je vrolijk van...
Wanadoo krijgt het zelfs voor elkaar om niet alleen
virusmeldingen naar onschuldige omstanders te versturen,
maar bounced gewoon het volledige virus terug.
Daar wordt je vrolijk van...
Nu ik dat plaats bedenk ik pas wat voor heerlijk
Droste-effect dit teweeg kan brengen. Als de geforgde
afzender @wanadoo.nl is wordt dat erg leuk.....
verkeer, door voor elke besmette e-mail een melding te sturen.
Onzin, de omvang van het bericht als gestuurd door het virus is ca. 33
KB. Waarschuwing zijn doorgaans veel kleiner. De omvang van het
verkeer is helemaal geen zwaarwegende reden om tegen zulke
waarschuwingsberichten te zijn. Geen enkele mail server of mail
scanner zal daar een probleem mee hebben.
Waarschuwingen sturen naar afzenders mag alleen gebeuren indien de
afzender 100% zeker niet is vervalst. Anti-virus bedrijven hebben de
morele plicht daar een optie voor te maken en die als default in te
stellen.
Het moet erg moeilijk of onmogelijk gemaakt worden om vervalste
afzenders te informeren.
De schade van het zenden van valse beschuldigingen is veel groter dan
een eventueel positief effect. Een flink aantal ontvangers zullen geloven
dat het waar is dat hun computer besmet is. Bij pogingen om het niet
aanwezige virus te verwijderen worden regelmatig harde schijven
geformatteerd en besturingssystemen opnieuw geinstalleerd.
Zoals al eerder geadviseerd in deze thread: verwijder berichten met
virussen en stuur geen waarschuwingen.
Cleanen is net zo'n zinloze actie. Onthoudt dat het bericht door een virus
is verstuurd en niet door een mens. Een mens heeft geen behoefte aan
een door een virus verstuurd bericht.
"Ja, maar er zijn ook Word virussen die wel door mensen zijn verstuurd"
hoor ik vaak als weerwoord. Waar, maar Office virussen maken minder
dan 1 promille uit van het totaal. Je wilt toch niet 999 mensen lastig
vallen met valse waarschuwingen om er 1 te waarschuwen?
De verzender is en blijft ten allen tijde verantwoordelijk voor het virusloos
versturen van documenten. Het is alleen aan zijn eigen schuld te wijten
als dat document met virus niet aankomt. Had hij maar een virus
scanner of Office virus protectie moeten gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.