In 12 jaar tijd heb ik 1 keer last gehad van een virus. Het zat in een legaal
gekocht, verzegeld pakket van Exact, in de install.exe om percies te zijn.
Een virusscanner (Inoculan) haalde het eruit en daarna kon ik er gewoon
mee aan de slag. Sinds 1994 hang ik aan het internet en nog nooit
problemen gehad.
Ben ik zo slim? Valt wel mee. Met een virusscanner, firewall (standaard
instelling, niks bijzonders) en het niet openen van onduidelijke mail en
attachments kom je een heel eind. Verder staat mijn kabelmodem alleen
aan als ik het internet gebruik, dus als ik achter mijn computer zit en heel
soms als ik een groot bestand download (ben nou niet bepaalds een
P2P-klant). Ongetwijfeld heb ik ook geluk gehad, maar je kunt het geluk
altijd een handje helpen.
Als we naar anderen gaan wijzen voor de verantwoordelijkheid voor dit
soort zaken, dan gaat het nooit lukken. Zelfs al zou dat bij ISP liggen, dan
kan je zelf ook wat doen. De politie hoort inbraak te voorkomen en toch
doe ik de deur op slot als ik van huis ga, zelfs al zouden ze de hele dag
met 50 man bij mijn huis staan te posten.
Een campagne lijkt me een goed idee, hoe meer kennis hoe beter.

Spannend verhaal mevrouw Mastenbroek maar niet echt realistisch met
de virussen van tegenwoordig. Voor de ISP's is zeker wel een taak in
deze weggelegd.

Gisteren mocht ik tot mijn verbazing waarnemen dat het virusfilter van
XS4ALL de virussen gewoon doorlaat en niet of gedeeltelijk werkt.
In mijn geval ging het om het w32/Swen virus. Niet een van de nieuwste
virussen dus. Zie hier voor helpdesk ticket #221572

Doordat veel virussen tegenwoordig zelf een SMTP engine aan boord
hebben wordt het voor de ontvanger steeds moeilijker om de afzender te
achterhalen en kom je meestal niet veel verder dan een IP adres.
Afzenders etc worden meestal gespooft.

Als je dan met zo'n IP adres in de hand contact opneemt met de provider
die hem heeft uitgegeven, om deze maatregelen te vragen om
maatregelen te nemen om de vloed van honderden mailtjes per uur te
stoppen, krijg je meestal te horen dat ze niets kunnen of willen doen.

Bij de social engeneering die bij bv MyDoom is gebruikt kan ik mij goed
voorstellen dat een argeloze gebruiker zo'n mailtje opent om te kijken
welke mail die hij verzonden zou hebben niet aangekomen is. Niet
iedereen heeft zoveel kennis om te kunnen constateren dat dat een virus
zou moeten zijn.

Als ik dan kijk naar de uitbraak van MyDoom is het aantal geinfecteerde
PC's helemaal niet verwonderlijk gezien de 7 uur die tussen verspreiding
en beschikbaarheid van officiele antivirus updates zat.

26-1-2004 22:00 Ik neem zelf 1e MyDoom's waar
27-1-2004 0:30 Eerste officiele waarschuwingen
27-1-2004 5:15 Update McAfee beschikbaar

Veel virussen van tegenwoordig hebben mogelijkheden om
geinstalleerde firewall's en antivirus programma's te stoppen en om
hostfiles te veranderen zodat website's waar updates opgehaald moeten
worden niet meer bereikt kunnen worden. De mensen die in de 1e 7 uur
besmet raken valt niets te verwijten en hebben het zelf ook vaak niet eens
in de gaten terwijl alles bij hun uptodate was.

Die uitbraak om 22:00 moet ISP toch opgevallen zijn gezien het aantal
mailtjes dat bij hun op de servers voor niet bestaande adressen
aankwam. Daar volgens mij een taak gelegen direct te gaan filteren en
blokken. Zeker de eerste officiele waarschuwingen.

Verder moet ik nog steeds constateren dat bijna alle isp's en bedrijven
met eigen mailservers zich laten misbruiken als 'legale' relay voor
virussen.

Dat ging alsvolgt: Het mydoom virus op de PC van besmet@domeinX
verstuurde een mail naar fout@domeinY met als afzender
jantje@DomeinZ. jantje@domeinZ is een geldig adres maar
fout@domeinY is ongeldig. De mailserver van domeinY stuurd echter het
mailtje met virus terug als onbestelbaar naar jantje@domeinZ.

Als je de mailservers zo zou instellen dat bv slechts de header met de 1e
5 regels van het bericht teruggestuurd zouden worden dan was het voor
jantje@domeinZ geen probleem geweest en zou hij niet dankzij deze
relay besmet zijn geraakt.

Dit probleem doet zich meestal niet voor als de ontvangende mailserver
ook de ontvangernaam kan controleren. Maar meestal is dat alleen zo
als de SMTP server en de POP server dezelfde PC zijn.

Bij MyDoom kun je dus stellen dat de ISP's door verkeerde instellingen
van hun mailserver verandwoordelijk voor groot deel van de verspreiding
van het MyDoom virus.

Verder vindt ik het een taak van de ISP om dit soort masale uitbraken van
een virus te blokken om de virusverspreiding tot stilstand te brengen
binnen een paar uur.

Ook het uitzetten van een bericht aan de afzender dat er een virus in zijn
mail zit is niet meer van deze tijd. De meeste afzender adressen zijn
immers gespooft en veroorzaken alleen maar ergenis en meer werk.

Mischien moet er eens over worden nagedacht hoe op een
gecontroleerde en betrouwbare manier er een waarschuwing verstuurd
kan worden naar een IP adres.

Tot nu toe zijn de virusmakers schijnbaar nog niet op het idee gekomen
om ook een deel van de "received from" headers zelf toe te voegen. Ik
ben er dus geen voorstander van dat dit soort waarschuwingen
automatisch door mailservers of antivirus programma's wordt verstuurd.

Frans Egberink

Woordje vergeten sorry.

Tot nu toe zijn de virusmakers schijnbaar nog niet op het idee gekomen
om ook een deel van de "received from" headers zelf toe te voegen. Ik
ben er dus geen voorstander van dat dit soort waarschuwingen NIET
automatisch door mailservers of antivirus programma's wordt
verstuurd.

Frans Egberink

Goh, de Nederlandse taal is toch niet zo ingewikkeld. Je
hoeft toch niets van computers of internet te weten om te
kunnen concluderen dat de verantwoordelijken voor het
verspreiden van virussen degenen zijn die de virussen
verspreiden.

De duizende exemplaren van Mydoom die op mijn mailserver
binnenkwamen waren allemaal verspreid door computers.
Aangezien computers voorlopig nog geen autonome wezens zijn,
lijkt het me dat de verantwoordelijken degenen zijn die het
virus op deze computers hebben geactiveerd. In het geval van
Mydoom en de meeste andere virussen kan er geen twijfel over
bestaan wie dat zijn geweest: degenen die op dat moment
achter de computer zaten en de muis bedienden.

Dat waren niet de ISP's, de virusschrijvers of enge
inbrekers, maar de eigenaren zelf. Zij, en alleen zij, zijn
dus logischerwijs verantwoordelijk voor de verspreiding van
die virussen.

In gevallen waarin de security gecompromitteerd wordt,
bijvoorbeeld door inbraken of relatief autonoom opererende
wormen, kun je nog beredeneren dat je niet van gewone
gebruikers kunt verwachten dat ze in staat zijn hun computer
afdoende te beveiligen, en dus in het algemeen belang
afspreken de verantwoordelijkheid voor de bestrijding
(dus niet het probleem zelf!) elders te leggen.

Maar daar waar de gebruiker zelf een acties onderneemt
waarmee 'ie zichzelf en andere schaadt moet toch wel sprake
zijn van zeer zwaarwegende redenen (minderjarig, geestelijk
incompetent) om de verantwoordelijkheid elders te leggen.

Als ik me klem zuip, in de auto stap en een ongeluk
veroorzaak suggereert toch ook niemand dat de brouwerij of
de autofabrikant verantwoordelijk zijn?

Er moet eens een duidelijk onderscheid worden gemaakt tussen
door derden veroorzaakte schade en de automutulatie van de
kudde klikvee.

Achtelijk...

Verantwoordelijkheidsbesef

Mooi scrabblewoord maar ook wel leuk voor galgje :)

Je KUNT een BURGER GEEN verantwoording aansmeren in deze,
dus zinloos om over te praten. VERPLICHTEN tot KOPEN van AV
Software lijkt mij ook erg ver gaan...

Dus als je een computer hebt ben je verantwoordelijk voor
virusschrijvers...

Dus de VERANTWOORDELIJKHEID en het
VERANTWOORDELIJKHEIDSBESEF... neerleggen bij PROVIDERS? Zij
zijn diegenen die het over HUN servers laten versturen....!?

Als er gratis AV software voor particulieren komen zou je
weer schade berokkenen aan AV Leveranciers. Wie is daar dan
weer VERANTWOORDELIJK voor!?

Misschien moeten we gewoon de virusschrijvers
VERANTWOORDELIJK stellen. Maar ja van een KALE KIP kun je
niet plukken. Geen miljoenen cq miljarden die er aan schade
wereldwijd geleden wordt.


Ben verantwoordelijk voor wat ik net geschreven heb?


Als dat zo is dan...


Met verantwoordelijke groet,


Duncan Sluijter.

Dat is me te makkelijk. Heel veel van wat we in ons dagelijks leven
doen is gebaseerd op vertrouwen. In toenemende mate wordt daar
misbruik van gemaakt. Systemen suggereren eenvoud terwijl dat
natuurlijk helemaal niet zo is (niet alleen software; kijk maar eens
naar TV reclames over lenen). Mensen bellen de ANWB als ze een
lekke band hebben, maar menen wel allemaal aan de remmen (en
motor etc.) van hun PC te kunnen sleutelen - niet gehinderd door
enige kennis van zaken. Dat is geen laakbaar gedrag, want alles en
iedereen suggereert dat dit de bedoeling is (denk aan anti spyware
software die zelf spyware blijkt te zijn).

Voorlichting, voorlichting, voorlichting. Maar ze moeten natuurlijk wel
willen luisteren, en de informatie moet wel deugen, en relevant zijn.

Al die behulpzame "specialisten" die bij het minste geringste meteen
gaan blaten dat men om te beginnen een ander OS moet installeren,
zorgen er alleen maar voor dat "normale" mensen schouderophalend
afhaken (m.i. terecht - dat afhaken bedoel ik).


Nee, maar je raakt wel je rijbewijs kwijt. Over een paar jaar zullen
we een systeem hebben om brokkenmakers (die niet willen
luisteren) te bestraffen - een week afsluiten bijvoorbeeld.

Zo niet zal er niet veel lol meer op Internet te beleven zijn. Of er zullen
twee gescheiden Internetten bestaan zoals Eugene Kaspersky
anderhalf jaar geleden voorspeld heeft:
http://news.zdnet.co.uk/internet/0,39020369,2118606,00.htm
(zijn ideeen over anoniem internetten zijn ook lekker controversieel :)

Een tussenoplossing is ook denkbaar:
http://seclists.org/lists/fulldisclosure/2004/Jan/1167.html
(ik heb veel IP's op -of kort na- 27-1 aan die blacklists toegevoegd
zien worden).

Erik van Straten

Als je een computervaardigheidsbewijs een 'rijbewijs' gaat noemen
krijg je ook deze kromme vergelijkingen. In de ICT worden wel vaker
auto's gebruikt om te vergelijken, maar die vlieger gaat niet op.
Met een ongeluk in het verkeer kan iemand ernstig gewond raken, of dood
zijn. Een computervirus heeft nog nooit iemand verwond laat staan dat er
iemand kwam te overlijden omdat zijn PC geinfecteerd was. Een virus is
hooguit vervelend, lastig en kan een bedrijf extra geld kosten, Inet wat
trager e.d. maar dat is het dan ongeveer ook wel. Relativeer een beetje
zodat zaken in het juiste perspectief komen te staan.

Helaas denken alle virusschrijvers dat. Als ze al denken.

Ik praat niet goed dat systemen hier gevoelig voor zijn, maar ga zelf
zometeen, voor de tweede keer vandaag (!), zonder kogelvrijvest de
straat op!!! Degenen die virussen nog POC's noemen hebben wel
heel erg veel nieuws gemist.

In USA zijn betaalautomaten plat gegaan door Nachi, en er zijn
geruchten over de uitval van elektriciteitscentrales door die worm.
Zelf heb ik (zomer 2001) Sircam's met flarden onderzoeksgegevens
naar Trazolan uit een psychiatrische inrichting mogen ontvangen.
Zoiets zou iemand zeer ernstig kunnen verwonden.

Asus is gestopt met support via email (ook door spam). Er zijn zat
bedrijven of personen die bijv. voor hun beroepsuitoefening afhankelijk
zijn van email. 20000 in je inbox is dan geen lolletje:
http://www.netkwesties.nl/editie80/artikel1.php

De Rekenkamer had zeer recent nog kritiek op defensie. Ik heb daar
zelf nooit binnen gekeken, maar heb zo m'n vermoedens.

Als je weet waar tegenwoordig overal standaard software (al dan niet
"embedded") voor wordt ingezet (denk IC's, en dan bedoel ik niet die
zwarte doosjes met veel pootjes), hou je je hart vast..

Erik van Straten

..ja, allemaal heel vervelend.
Je hebt heel goede punten, daar zitten zeker gevaren, maar om alles
maar te versimpelen tot een aspect van autorijden vind ik dus niet
kloppen. Computervaardigheidsbewijs is toch een betere naam ?

En nu helemaal O.T. , er kunnen ook doden vallen door IC's met van die
pootjes: http://www.nytimes.com/2004/02/02/opinion/02SAFI.html?ex=1076302800&en=6bdf872d5c990c93&ei=5062&partner=GOOGLEquote: "computer chips would be designed to pass Soviet quality tests and then to fail in operation"

ooops,
http://www.nytimes.com/2004/02/02/opinion/02SAFI.html? ex=1076302800&en=6bdf872d5c990c93&ei=5062&partner=GOOGLE that is.

M.b.t. Computervaardigheidsbewijs - je hebt gelijk. Het was slechts
een vergelijking gemaakt door Anoniem waar ik op inhaakte. Overigens
pretendeer ik niet zelf alle wijsheid in pacht te hebben, ik leer eke dag.

Jouw IC's zijn inderdaad OT dus daar ga ik niet op in.

Ook OT, verzoek aan de redactie: kunnen jullie ALSJEBLIEFT de
preview mode weer mogelijk maken? Dat scheelt correctie-posts
(ik ben ook al eens zo voor schut gegaan; het is slecht voor de lees-
baarheid, en wellicht jaag je zo posters weg).

Erik van Straten

Het ligt niet in mijn gewoonte hierop te reageren, maar ben benieuwd welk
type reacties mijn visie op dit probleem ontlokt worden;

We kunnen, en moeten, er met zijn allen wat aan doen.
De schrijvers zullen hoe dan ook blijven schrijven. Criminelen zullen blijven
stelen. Bedrijven zullen blijven spioneren. Instanties zullen elkaar
betwisten. Wij zullen elkaar blijven tegenwerken. “Script-kiddies” zullen de
kick blijven opzoeken.

ISP's dienen af te vangen, thuiscomputers dienen een zekere mate van
beveiliging te hebben, bedrijven dienen een minimale
inspanningsverplichting te hebben en de overheid dient voor te lichten. En
dat alles gebeurt al, alleen er is een ding onomstotelijk waar:

-Mensen zijn lui en naïef en kennen de gevolgen niet of willen die niet weten
het interesseert ze niet.
-Mensen, in zekere zin terecht, hebben de benodigde kennis niet. Uit
ervaring spreek ik als ik zeg dat een e-mail verzenden en ophalen al
een hele toer is voor vele mensen.
-We lopen veelal achter te feiten aan, inspanningen op het vlak van
preventie zijn net zo belangrijk als die op het vlak van oplossen. Producten
die dat wel kunnen en die wel vrijwel 'onhackbaar' zijn (en die zijn er, maar
denk niet aan de beter bekende merken...), zijn simpelweg niet te betalen
voor het kleinbedrijf en de kleine ISP. (Hoewel we daar hard aan werken!)

De verantwoordelijk direct op een persoon of instantie te leggen is absurd
zo niet onmogelijk, tenzij deze persoon aantoonbaar lak aan alles heeft
gehad. Iedereen heeft een maatschappelijke verantwoordelijkheid. Daar
tegenover staat dat iedereen het recht heeft ingelicht te worden om zichzelf
afdoende te beschermen. Dat doen wij. Dat doen we zelfs gratis. Collegae
zoals security.nl doen dat gratis en anderen iom de overheid doen dat al
gratis (surf op safe). Een op maat advies met alles daarbij, proberen wij
kostentechnisch zo goedkoop mogelijk te maken en de prijzen op antivirus
(aan de consument via online verkopen e.a.) worden kunstmatig al ‘te’ laag
gehouden.
Middels het internet informeren wij dat mensen die geen enkele vorm van
verstand hebben t.o.z. van informatiebeveiliging, bij ons om advies kunnen
vragen (via internet veelal gratis, op maat / locatie uiteraard tegen betaling).
Dat geld kost is niet anders dan logisch. Dat het duur is, is onzin. Mijn
inziens ligt hier het probleem niet. Zeker niet met de budgetten en steun
voor reclamering die wij uitgeven. Er is, al meerdere malen gezegd, nog
een andere factor… die van onverschilligheid en onwetendheid. Geld
uitgeven, voor preventie of preventief middelen, onzichtbare producten, is
een cru een nachtmerrie en volstrekt overbodig. Of niet? Helaas is dat de
houding die wij veelal detecteren. Een goede uitleg voor het hoe & waarom
welke gesnapt wordt door de bakker, advocaat, huisvrouw en bouwvakker
is reclametechnisch het eureka waarop we nog op zitten te wachten. De
techniek hebben we al (wederom niet de bekende ‘merken’, er is beter ;).).

Ingooi; verschillende producten wie wij leveren zijn nimmer betrapt op
fouten (en worden door onafhankelijke professionals, en de overheid. keer
op keer aan de tand gevoelt). Helaas zijn ze door deze ‘dedicated’ houding
erg kostbaar, maar daar willen we aan werken. (Sterker; we zijn er mee
bezig.) Daarvoor moet het volume wel omhoog.

Ik ben dus van mening dat wij met zijn allen daar een verantwoording
hebben en niet 1 persoon of instantie. Als collectief dient zich
bewustwording. Technisch zie ik geen probleem. Achter virussen aanhollen
zullen we altijd doen, maar een zekerheid van 95% is haalbaar. Een
zekerheid van 99% op het gebied van ‘onhackbaarheid’ (de bekenden
halen 75% tot 80%) is reeds haalbaar. 100% Garantie is er niet. Nimmer.
Met niets niet. Ook nooit geweest. Het leven kent slechts 1 garantie, en die
weet ook iedereen.
Helaas is de human-factor "I do not give a...." factor een (het?) probleem.
Feitelijk; niet weten en niet willen weten.

Keer op keer lopen wij daar tegen aan;

15% weet het.
30% weet het niet, maar wil het graag weten.
10% weet het niet, wil het graag weten maar zal het nooit begrijpen. En dat
laten we zo.
De rest?
De rest geeft er letterlijk geen reet om (excuseert u mijn vocabulaire
lompheid, ik werk even volgens het k.i.s.s. principe). “Niet mij
probleem” / “Te duur en waarom zou ik?” / “Gebeurt mij toch niet” / “zal me
roesten” / “Ik wil het niet weten, Gates lost het maar op”… enkele citaten uit
persoonlijke ervaringen. Op zich ook weer begrijpelijk, maar heel moeilijk
om daar tussen te komen. Leg het maar eens uit, … zoals ik al eerder zei.

Deze onverschillende houding, praktijk technisch gesproken, IS het
probleem. Verantwoording is er zodra er IT of ICT in gebruik wordt
genomen. Waar de prodider de service verleent tot het scannen van e-mail,
moet de thuisgebruiker zichzelf afvragen of het zich dient te beschermen.
Doet iemand dat niet, dan is de verantwoording aan diegene.

Personeel dat ‘manie d’r an heb’ en het mailtje lekker opent omdat het
plaatje van die mooie griet meer zegt dan dat systeem. Dat systeem wordt
wel gewist en dat plaatje is gewoon tof.
Aanpakken zou ik zeggen en verantwoordelijk stellen. Lastig… zo niet
onmogelijk en onpraktisch duur. Voorlichten? Keer op keer
herhalen? ‘Company policy’? Dat werkt. Immers; als het bedrijf geld
verliest, verliest de werknemer of geld of zijn/haar baan. Zo simpel is het.
En dat snapt iedereen dan weer wel.

Een huis moet ook beveiligd worden met de deur op slot, anders is de
kans dat er wordt ingebroken nu eenmaal aanwezig. Indien iemand dat niet
doet, moet deze ook het risico en de daarbij horende verantwoordelijkheid
aanvaarden. Anders ben je (volgens mij?) niet verzekerd.

Graag zie elke vorm van serieus commentaar. Acquisitie, spam en dom
geleuter wordt genegeerd.

Henk-Jan
Secure Cyber Communications International

"Middels het internet informeren wij dat mensen die geen enkele vorm van
verstand hebben t.o.z. van informatiebeveiliging, bij ons om advies kunnen
vragen (via internet veelal gratis, op maat / locatie uiteraard tegen betaling). "

Hierin ben ik taaltechnisch erg in gebreke, mijn excuses voor degenen die
hierover kunnen vallen. Bedoelt wordt kennis, geen verstand, en geen
enkele vorm van mag vervallen.

In mijn verdediging deel ik u mede dat dit kleine invoerscherm mijn
redactionele capaciteiten wat tekort doet ;). Nogmaals zie ik u mening of
visie tegemoet. Het stuk is uitlokkend bedoeld. We zijn nieuwsgerig wat
leeft onder collegae.

Met dank.

De grote lijn van je verhaal klopt inhoudelijk wel wat mij betreft. Misschien
had je hetzelfde kunnen zeggen met wat minder woorden en dus minder
taalfouten (want er zitten een paar fraaie tussen die niets te maken hebben
met het formaat van het invoerscherm; tip: type je reactie eerst in een
tekstverwerker met spellingscontrole).

Laat een volgende keer ook die verschrikkelijke disclaimer weg ("Graag zie
elke vorm van serieus commentaar. Acquisitie, spam en dom geleuter
wordt genegeerd.").

Er is ook een rol weggelegd voor gezond verstand en pragmatisme in het
verhaal, daar ontbreekt het aan bij veel mensen en tevens bij security
deskundigen. Daarnaast is een zeer groot deel van de deskundigen
helemaal niet deskundig.

[/quote]
De grote lijn van je verhaal klopt inhoudelijk wel wat mij betreft. Misschien
had je hetzelfde kunnen zeggen met wat minder woorden en dus minder
taalfouten (want er zitten een paar fraaie tussen die niets te maken hebben
met het formaat van het invoerscherm; tip: type je reactie eerst in een
tekstverwerker met spellingscontrole).

Laat een volgende keer ook die verschrikkelijke disclaimer weg ("Graag zie
elke vorm van serieus commentaar. Acquisitie, spam en dom geleuter
wordt genegeerd.").

Er is ook een rol weggelegd voor gezond verstand en pragmatisme in het
verhaal, daar ontbreekt het aan bij veel mensen en tevens bij security
deskundigen. Daarnaast is een zeer groot deel van de deskundigen
helemaal niet deskundig.


[/quote]

En wat leer ik van deze reactie??????? Geen reet!!!!!!!!!!

Een iets minder subtiele vertaling dan:

1) wat een gebazel, leer nederlands

2) leuk dat je 'reclame' maakt maar zelf niet lastig wilt worden gevallen

3) met open deuren en een fixatie op techniek breng je het niet ver

Als ik op jouw bedrijf google, krijg ik een lijst met producten (Bitdefender,
Kaspersky, kennelijk een handelsfirma) en onderaan staat: (http://www.softwaregids.nl/details_bedrijfsnaam.php4?naam=Secure+Cyber+Communications
Dus uhh, hoe zit dat ?