Afgelopen weekend is er in een grote cyberaanval met ransomware geweest in Europa en een groot gedeelte van de wereld. Vooralsnog twee Nederlandse infecties.

Wat kun je preventief doen?

  • Zorg voor een offline backup
  • Zorg dat de virusscanner up to date is
  • Installeer de laatste Windows Updates
  • Controleer patch voor MS17-010
  • Haal alle oude Windows machines (zonder updates) uit het netwerk
  • Controleerde consistentie van je bestanden regelmatig

Hoe herkennen?
De ransomware versleuteld bestanden en vraagt daarna om geld te betalen om de bestanden weer te ontsleutelen. Dit is te herkennen aan een reeks bestanden die niet meer te openen zijn.

Wat doen bij een infectie?
Bij infectie geïnfecteerde PC’s zoveel mogelijk isoleren of alles uitzetten om verspreiding te voorkomen. Er is inmiddels een decryptie tool (versie 0.1) voor het WannaCry virus.

https://github.com/gentilkiwi/wanakiwi/releases

Deze tool werkt uitsluitend als de machine niet opnieuw opgestart is. Er zijn nog problemen met deze tool en de vraag is of het werkt voor nieuwe varianten.

Weet je niet goed wat je moet doen? Neem contact op met een IT bedrijf of specialist voor de vervolgstappen.

ESET Security Alert
Vanmiddag melde ESET dat klanten volledig beschermd zijn:
“ESET klanten zijn volledig beschermd!”
“Alle ESET versies detecteren de ransomware als Win32/Filecoder.WannaCryptor. Deze detectie is al aanwezig in onze software sinds 06-04-2017.”
zie: https://www.eset.com/nl/wannacryptor-ransomware/

Patch MS17-010:

LET OP! Er zijn meerdere patches voor verschillende versies. Zie onderstaande lijst voor de patch die nodig is voor de verschillende Windows versies. Er is helaas veel onduidelijkheid over de benodigde patches. Inmiddels heb ik ook Windows 7 machines gezien die mogelijk niet automatisch gepatched zijn. Vooralsnog hou ik zelf onderstaande lijst aan:

KB4013429 voor Windows 10 v1607

KB4013198 voor Windows 10 v1506

KB4012215 of KB4012212 voor Windows 2008 R2 en Windows 7

KB4012212 voor Windows SBS 2011 server

KB4012598
Windows Server 2003, 2008
Windows XP, Vista
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 (manual download)

Voor een uitgebreidere test zie:

https://github.com/eset-la/Check-EternalBlue

Hier staat ook een tool van Eset bij waarmee je kunt testen of je systeem kwetsbaar is.

 

Bronnen en meer informatie:

https://www.politie.nl/nieuws/2017/mei/14/11-politie-waarschuwt-bedrijven-en-consumenten-voor-gijzelsoftware.html

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://www.eset.com/nl/wannacryptor-ransomware/

Hotfixes that possible contains the fix
“KB4012212”, “KB4012217”, “KB4015551”, “KB4019216”, “KB4012216”, “KB4015550”, “KB4019215”, “KB4013429”, “KB4019472”, “KB4015217”, “KB4015438”, “KB4016635”

 

Read more

Sinds april 2017 is de nieuwe Windows Creators Update uitgebracht. Deze update was al herhaaldelijk aan de orde in de media vooral als het ging om privacy. Op dit moment komt deze update binnen via de Windows Update.

Update 1703 heeft als codenaam Windows Creators Update en is de grote opvolger van de Aniversary Update ver 1607. In versie 1703 is er zichtbaar gezien minder gewijzigd.

Handmatig installeren kan via de volgende link:
https://www.microsoft.com/nl-nl/software-download/windows10
Daarna klikken op update nu

Via het commando ‘winver’ kun je controleren welke versie geinstalleerd staat:

Privacy

Naar mijn idee is er weinig veranderd aan de privacy items. Behalve een nieuwere schil staan dezelfde items erin. Wat wel nieuw is dat er uitgebreid geïnformeerd wordt over de gevolgen van het aan houden van opties. Is dat waarom er in de Nederlandse media afgegeven wordt op de Creators Update?

Mijn advies is om nog even je privacy items langs te lopen. Zie artikel van versie 1607.

Wat is er o.a. nieuw in deze versie?

  • Instellingen menu is aangepast. Volgende items zijn erbij gekomen:
    • Gaming
    • Apps (bestond al, maar is nu ook een direct koppeling)
  • Windows Update core is verbeterd
  • Windows Defender is uitgebreid
  • Grafische aanpassingen (Blue light)
  • Foto app optimalisatie
  • Paint 3D
  • Netwerk optimalisatie + dataverbruik is inzichtelijk via netwerk
  • NumLock preventie bij bijv. intypen pincode
  • USB Audio 2.0 support
  • Internet Explorer 11 is blijkbaar ook nog bijgewerkt en aangepast, wel zo fijn en veiligj
    • er staat o.a. nu een koppeling bij naar Edge

Gebruikte bron:
https://www.thurrott.com/windows/windows-10/83780/complete-guide-windows-10-version-1703

Read more

Op 23 februari 2017 heeft Google samen met o.a. de Nederlandse onderzoeker Marc Stevens de SHA-1 hash functie gekraakt. In dit artikel een uitleg over wat er precies gebeurd is en de impact die dat heeft. Google schrijft over potential impact (potentiële impact).

Voor de duidelijkheid: SHA is geen encryptie functie waarbij gegevens versleuteld worden, maar een  cryptologische hashing functie. Dit wordt nog wel eens verward. SHA wordt gebruikt om de hash van gegevens te genereren terwijl AES gebruikt wordt om gegevens te coderen.

Verschil hashing en encryptie:
SHA is eenrichtings cryptografie waarbij data omgezet kan worden in een hash. Hierbij wordt er maximale compressie toegepast waardoor de hash zo klein mogelijk wordt. De theorie is dat ieder datasegement een unieke hash heeft. Omgekeerd decoderen is in theorie onmogelijk.

AES is een voorbeeld van versleuteling in twee richtingen waarbij data omgezet wordt in een versleutelde data. Er is dan ook een sleutel waarmee de data altijd weer teruggezet kan worden. Omgekeerd berekenen dus mogelijk.

Voorbeeld hash:
In onderstaande tabel heb ik de hash laten berekenen van het bestand notepad.exe wat bij iedere Windows versie meegeleverd wordt:

In dit vooreeld staan bovenaan de MD5, SHA1 en SHA256 hashes. Volgens de theorie is deze hash uniek en kan geen andere file deze hash krijgen. De Hash is ook niet meer terug te rekenen naar de inhoud van notepad.exe. Dus in dit geval is de hash de unieke handtekening voor notepad.exe. Dit principe hebben Google en onderzoekers gekraakt. In onderstaande voorbeeld wordt het duidelijk gemaakt met een .doc bestand:

In de volgende paper van Google wordt de hele case omschreven:
https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html

De techniek die Google gebruikt is generate collision. Onderzoekers kunnen een zogenaamde botsing creëren waardoor het principe van de unieke hash dus omvalt. Deze botsing wordt verwerkt in een tweede bestand waarmee het bestand dezelfde hash krijgt als een origineel bestand. Zie onderstaande afbeelding van Google:

Op https://shattered.io zijn twee verschillende PDF documenten te downloaden die dezelfde SHA-1 hash hebben. Ook kun je op de website bestanden scannen op de collision hack.

Hashing is een hoeksteen voor encryptie en beveiligingstechnieken. SHA wordt bijvoorbeeld gebruikt in certificaten en publieke sleutels maar ook in backupsystemen, juist om de echtheid te garanderen. Google geeft organisaties 90 dagen de tijd om stappen ondernemen en de beveiliging op orde te brengen. Daarna zullen zij met meer informatie komen.

Wat zijn op termijn de risicogebieden:

  • Oude SSL certificaten vervalsen (meeste zijn wel nieuwer)
  • Bestandssynchronisatie van mirrors op basis van de hash (bijvoorbeeld GIT)
    Hackers zouden code kunnen verstoppen in projecten die niet opgemerkt wordt omdat de hash hetzelfde blijft.
  • Sommige ‘eigen’ PHP applicaties gebruiken uitsluitend SHA-1 voor de controle van het wachtwoord. Altijd salt gebruiken en het wordt nu wel tijd voor een betere hashing.
  • htaccess toegang op standaard linux apache distributies (dit wil ik verder onderzoeken want volgens mij werkt dit in de basis nog op SHA-1)
  • Backupoplossingen / credit-card transacties

In principe is kale hashing van wachtwoorden sowieso al onveilig. Via rainbow tables worden veel wachtwoorden hashes van te voren al berekend. Zeker met de verschillende hacks die al bekend zijn is het extra beveiligen van een hash noodzakelijk.

Impact
Wat mij betreft heeft dit geen directe impact. Er is nog veel rekenkracht en kennis nodig om misbruik te kunnen maken van dit probleem. Wel zo handig om alle diensten die nog op SHA-1 draaien te upgraden naar naar SHA-256 of SHA-3. Over enkele jaren zal er mogelijk genoeg rekenkracht zijn om wel snel de vervalsing toe te kunnen passen.

Aanvullingen? Reageer gerust.

Read more

De laatste tijd kom ik regelmatig tegen dat computers niet meer op internet komen nadat een update geïnstalleerd is.

Dit is meestal op te lossen door:

Deze netwerkopdrachten uitvoeren in een opdrachtpromptvenster

  1. Typ Opdrachtprompt in het zoekvak op de taakbalk. Druk vervolgens op Opdrachtprompt en houd vast (of klik erop met de rechtermuisknop) en selecteer Als administrator uitvoeren > Ja.
  2. Voer achter de opdrachtprompt de volgende opdrachten uit in de opgegeven volgorde en controleer vervolgens of uw probleem hiermee is opgelost:
    • Typ netsh winsock reset en druk op Enter.
    • Typ netsh int ip reset en druk op Enter.
    • Typ ipconfig /release en druk op Enter.
    • Typ ipconfig /renew en druk op Enter.
    • Typ ipconfig /flushdns en druk op Enter.

Vaak moet dit wel in de veilige modus uitgevoerd worden. Zodra ik meer tijd heb wil ik de hele procedure nog een keer uitwerken.

Meer informatie op de Microsoft Support website:
https://support.microsoft.com/nl-nl/help/10741/windows-10-fix-network-connection-issues

Read more

De Windows 10 update zorgt regelmatig voor frustratie als de nieuwe updates geïnstalleerd worden. Voorbeelden zijn presentaties, vergaderingen en cursussen. Inmiddels is het bekend dat er nieuwsuitzendingen verstoord zijn door een nieuwe update, maar ook kerkdiensten waarbij de predikant gebruik maakte van Windows 10 ter ondersteuning van de kerkdienst.

Zelf heb ik het ook een keer meegemaakt dat een zangdienst onverwachts anders verliep omdat de teksten niet langer op het scherm werden geprojecteerd. Echt heel jammer als deze mooie momenten verstoord worden door de techniek. Hoe laten we techniek en Windows 10 ondersteunend zijn in ons dagelijks leven privé en zakelijk?

Er zijn allerlei tips te vinden hoe de updates uitgeschakeld of uitgesteld kunnen worden. Mijn advies is om preventief met updates om te gaan. Het is technisch mogelijk om updates uit te schakelen, maar dat is niet verstandig. Updates zijn juist ook nodig voor een veilige software basis. Samengevat:

  • Windows 10 updates zijn nodig om de veiligheid te borgen.
  • Updates uitschakelen is geen verstandige keuze.
  • Preventief omgaan met updates

Windows 10 versie 1511
In versie 1511 de eerste Windows 10 release zijn de updates niet zo goed geregeld. Dit is de versie waarmee de meeste problemen optreden. Enkele tips bij een Windows 10 versie 1511 installatie (hoe?):

  • Installeer Windows 10 versie 1607 zo snel mogelijk
    • via updates
    • handmatig
  • Schakel de internetverbinding uit om het downloaden van updates tegen te gaan.
  • Wijzig de instelling ‘bepalen hoe updates geïnstalleerd worden’. Zet deze op: Melding op opnieuw opstarten te plannen (zie onderstaande screenshot)
  • Controleer voor een presentatie of er updates klaar staan.
    • Staan er nieuwe updates klaar? … Niet gaan presenteren, Windows gaat mogelijk herstarten tijdens de presentatie.


Altijd even naar updates zoeken. Alles installeren, anders doet Windows het zelf.
Bij presenteren internet uitzetten indien mogelijk.


Komen er nieuwe updates binnen? Niet gaan presenteren…

 

Zet Bepalen hoe updates worden geïnstalleerd op: Melding om opnieuw opstarten te plannen

Van Windows 10 versie 1511 naar 1607
Soms is er te weinig ruimte voor de upgrade naar versie 1607. Bijvoorbeeld bij een netbook of tablet met Windows 10. Het is dan mogelijk om met behulp van een externe schijf de update toch te installeren. Iets meer werk, maar advies is om dat te doen omdat in versie 1607 de updates beter gecontroleerd geïnstalleerd kunnen worden.

Zie hieronder de voorbeelden van een upgrade met behulp van een extra USB station:

Windows 10 versie 1607
Tips voor het beheer van de update tijden in Windows 10 versie 1607:

  • Wijzig de gebruikerstijden van de updates (belangrijk, zie onderstaande screenshot)
  • Start een laptop die gebruikt wordt voor Windows 1o presentatie regelmatig opnieuw op.
  • Als er updates beschikbaar zijn, installeer deze meteen zodra het uitkomt.
  • Laat een laptop met Windows 10 regelmatig aan staan op de internetverbinding. Zo worden alle nieuwe updates geregeld binnen gehaald.
  • Controleer ruim voor een presentatie altijd eerst of er nieuwe updates zijn.

Door de gebruikerstijden in te stellen op de tijden dat de computer gebruikt wordt zal Windows niet automatisch opnieuw opstarten binnen deze tijden.

Read more