Beveiliging

Op vrijdag 12 mei dook in de loop van de dag de WannaCry randsomware op. Dit was een grote cyberaanval met ransomware in Europa en een groot gedeelte van de wereld. Vooralsnog twee Nederlandse infecties.

Wat kun je preventief doen?

  • Zorg voor een offline backup
  • Zorg dat de virusscanner up to date is
  • Installeer de laatste Windows Updates
  • Controleer patch voor MS17-010
  • Haal alle oude Windows machines (zonder updates) uit het netwerk
  • Controleerde consistentie van je bestanden regelmatig
  • Blokkeer poort 445 vanaf buiten

Hoe herkennen?
De ransomware versleuteld bestanden en vraagt daarna om geld te betalen om de bestanden weer te ontsleutelen. Dit is te herkennen aan een reeks bestanden die niet meer te openen zijn.

Wat doen bij een infectie?
Bij infectie geïnfecteerde PC’s zoveel mogelijk isoleren of alles uitzetten om verspreiding te voorkomen. Er is inmiddels een decryptie tool (versie 0.1) voor het WannaCry virus.

https://github.com/gentilkiwi/wanakiwi/releases

Deze tool werkt uitsluitend als de machine niet opnieuw opgestart is. Er zijn nog problemen met deze tool en de vraag is of het werkt voor nieuwe varianten.

Weet je niet goed wat je moet doen? Neem contact op met een IT bedrijf of specialist voor de vervolgstappen.

ESET Security Alert
Vanmiddag melde ESET dat klanten volledig beschermd zijn:
“ESET klanten zijn volledig beschermd!”
“Alle ESET versies detecteren de ransomware als Win32/Filecoder.WannaCryptor. Deze detectie is al aanwezig in onze software sinds 06-04-2017.”
zie: https://www.eset.com/nl/wannacryptor-ransomware/

Patch MS17-010:

LET OP! Er zijn meerdere patches voor verschillende versies. Zie onderstaande lijst voor de patch die nodig is voor de verschillende Windows versies. Er is helaas veel onduidelijkheid over de benodigde patches. Inmiddels heb ik ook Windows 7 machines gezien die mogelijk niet automatisch gepatched zijn. Vooralsnog hou ik zelf onderstaande lijst aan:

KB4013429 voor Windows 10 v1607

KB4013198 voor Windows 10 v1506

KB4012215 of KB4012212 voor Windows 2008 R2 en Windows 7

KB4012212 voor Windows SBS 2011 server

KB4012598
Windows Server 2003, 2008
Windows XP, Vista
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 (manual download)

Voor een uitgebreidere test zie:

https://github.com/eset-la/Check-EternalBlue

Hier staat ook een tool van Eset bij waarmee je kunt testen of je systeem kwetsbaar is.

 

Bronnen en meer informatie:

https://www.politie.nl/nieuws/2017/mei/14/11-politie-waarschuwt-bedrijven-en-consumenten-voor-gijzelsoftware.html

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://www.eset.com/nl/wannacryptor-ransomware/

Hotfixes that possible contains the fix
“KB4012212”, “KB4012217”, “KB4015551”, “KB4019216”, “KB4012216”, “KB4015550”, “KB4019215”, “KB4013429”, “KB4019472”, “KB4015217”, “KB4015438”, “KB4016635”

 

Read more

Op 23 februari 2017 heeft Google samen met o.a. de Nederlandse onderzoeker Marc Stevens de SHA-1 hash functie gekraakt. In dit artikel een uitleg over wat er precies gebeurd is en de impact die dat heeft. Google schrijft over potential impact (potentiële impact).

Voor de duidelijkheid: SHA is geen encryptie functie waarbij gegevens versleuteld worden, maar een  cryptologische hashing functie. Dit wordt nog wel eens verward. SHA wordt gebruikt om de hash van gegevens te genereren terwijl AES gebruikt wordt om gegevens te coderen.

Verschil hashing en encryptie:
SHA is eenrichtings cryptografie waarbij data omgezet kan worden in een hash. Hierbij wordt er maximale compressie toegepast waardoor de hash zo klein mogelijk wordt. De theorie is dat ieder datasegement een unieke hash heeft. Omgekeerd decoderen is in theorie onmogelijk.

AES is een voorbeeld van versleuteling in twee richtingen waarbij data omgezet wordt in een versleutelde data. Er is dan ook een sleutel waarmee de data altijd weer teruggezet kan worden. Omgekeerd berekenen dus mogelijk.

Voorbeeld hash:
In onderstaande tabel heb ik de hash laten berekenen van het bestand notepad.exe wat bij iedere Windows versie meegeleverd wordt:

In dit vooreeld staan bovenaan de MD5, SHA1 en SHA256 hashes. Volgens de theorie is deze hash uniek en kan geen andere file deze hash krijgen. De Hash is ook niet meer terug te rekenen naar de inhoud van notepad.exe. Dus in dit geval is de hash de unieke handtekening voor notepad.exe. Dit principe hebben Google en onderzoekers gekraakt. In onderstaande voorbeeld wordt het duidelijk gemaakt met een .doc bestand:

In de volgende paper van Google wordt de hele case omschreven:
https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html

De techniek die Google gebruikt is generate collision. Onderzoekers kunnen een zogenaamde botsing creëren waardoor het principe van de unieke hash dus omvalt. Deze botsing wordt verwerkt in een tweede bestand waarmee het bestand dezelfde hash krijgt als een origineel bestand. Zie onderstaande afbeelding van Google:

Op https://shattered.io zijn twee verschillende PDF documenten te downloaden die dezelfde SHA-1 hash hebben. Ook kun je op de website bestanden scannen op de collision hack.

Hashing is een hoeksteen voor encryptie en beveiligingstechnieken. SHA wordt bijvoorbeeld gebruikt in certificaten en publieke sleutels maar ook in backupsystemen, juist om de echtheid te garanderen. Google geeft organisaties 90 dagen de tijd om stappen ondernemen en de beveiliging op orde te brengen. Daarna zullen zij met meer informatie komen.

Wat zijn op termijn de risicogebieden:

  • Oude SSL certificaten vervalsen (meeste zijn wel nieuwer)
  • Bestandssynchronisatie van mirrors op basis van de hash (bijvoorbeeld GIT)
    Hackers zouden code kunnen verstoppen in projecten die niet opgemerkt wordt omdat de hash hetzelfde blijft.
  • Sommige ‘eigen’ PHP applicaties gebruiken uitsluitend SHA-1 voor de controle van het wachtwoord. Altijd salt gebruiken en het wordt nu wel tijd voor een betere hashing.
  • htaccess toegang op standaard linux apache distributies (dit wil ik verder onderzoeken want volgens mij werkt dit in de basis nog op SHA-1)
  • Backupoplossingen / credit-card transacties

In principe is kale hashing van wachtwoorden sowieso al onveilig. Via rainbow tables worden veel wachtwoorden hashes van te voren al berekend. Zeker met de verschillende hacks die al bekend zijn is het extra beveiligen van een hash noodzakelijk.

Impact
Wat mij betreft heeft dit geen directe impact. Er is nog veel rekenkracht en kennis nodig om misbruik te kunnen maken van dit probleem. Wel zo handig om alle diensten die nog op SHA-1 draaien te upgraden naar naar SHA-256 of SHA-3. Over enkele jaren zal er mogelijk genoeg rekenkracht zijn om wel snel de vervalsing toe te kunnen passen.

Aanvullingen? Reageer gerust.

Read more

Wie kent het niet, het groene slotje in de adresbalk! Iedere bank of verzekeringsmaatschappij verwijst er naar bij het inloggen. Zorg dat je ‘het groene slotje’ ziet; dan is het goed!

(Advertorial)
Ook een groen slotje nodig op uw zakelijke website?
Scrol meteen door naar het einde van dit artikel.

Sinds januari 2017 geeft Google Chrome bij websites met een beveiligde verbinding ‘Veilig’ aan. Google en andere technologie bedrijven willen er naar toe dat alle websites gebruik gaan maken van een veiligere verbinding.

Wat doet het groene slotje eigenlijk?
Het groene slotje geeft aan dat de verbinding van de client computer (uw computer) naar de server (website) beveiligd is en dat het verkeer versleuteld wordt. Je krijgt hierdoor de waarborg dat het verkeer tussen client en server niet te lezen is door iets/iemand die het verkeer afluistert op de digitale route.

Wat zijn de voordelen van het groene slotje?
Drie voordelen die je hebt bij het groene slotje:

  • Veilige verbinding bij invoeren wachtwoorden
  • Privacy gegevens bezoeker website worden gewaarborgd (tijdens de communicatie)
  • Google zoekmachine geeft hogere waardering aan websites met veilige verbinding

SSL of TLS?
Voorheen was een beveiligde verbinding van het type SSL. Tegenwoordig maakt eigenlijk iedere beveiligde verbinding gebruikt van TLS. In het IT jargon spreekt men altijd nog over SSL en SSL certificaten. Ook HTTPS kom je vaak tegen. Daarbij is de beveiliging geïmplementeerd in een website. Zie ook Wikipedia voor meer informatie over SSL/TLS.

Certicaat
Een certificaat kan opgevraagd worden bij een certificaat authoriteit, de organisatie die de certificaten verstrekt. De authority heeft ook de encryptie sleutels in handen die de veiligheid waarborgen. Helaas is het een aantal keren gebeurd dat een certificaat authoriteit werd gehackt. Bijvoorbeeld Diginotar in juni 2011. Op dat moment worden certificaten wereldwijd geblokkeerd. In de situatie Diginotar hadden veel Nederlandse overheidsorganisaties hier last van.

Grofweg kun je certificaten onderverdelen in twee typen:

  • Domein validatie (goedkoper, wordt nu door Google als Veilig gemarkeerd)
  • Domein validatie met bedrijfsgegevens (persoonlijker)

In de eerste situatie komt er alleen een groen slotje. In de tweede situatie komt de bedrijfsnaam in de groene balk te staan. Een certificaat kan aangevraagd worden op een domeinnaam. Het is mogelijk om op een certificaat voor meerdere domeinen af te sluiten. Het is ook mogelijk om een certificaat voor een onbeperkt aantal subdomeinen af te sluiten. Dit wordt een wildcard certificaat genoemd.

Banken en verzekeringsmaatschappijen maken al jaren gebruik van SSL. Voor iedere website met een inlog is het eigenlijk een must om een SSL certificaat te installeren. Hiermee geef je de gebruikers het vertrouwen dat bijvoorbeeld hun privacy gegevens veilig zijn.

Een nieuwe ontwikkeling in certificaten-land is Let’s Encrypt. Deze organisatie heeft een initiatief gestart waarmee je gratis certificaten kunt afnemen. Op ons Solide Hosting platform hebben we Let’s Encrypt volledig laten implementeren. Onze klanten én toekomstige klanten kunnen gebruik maken van deze functionaliteit.

https://www.solidehosting.nl (met een groen slotje:)

Read more

binary-1538721_1920Onderzoekers en bedrijven in de beveiligingsbranche onderkennen een ontwikkeling. Hierbij zien zij dat ‘ouderwetse’ virussen steeds meer verdwijnen. Er vindt steeds meer een verschuiving plaats van traditionele virussen naar een georganiseerde internet criminaliteit. Hierbij gaan digitale aanvallers meer persoonlijk en gericht te werk. Als deze trend doorzet heeft dat gevolgen voor de manier waarop we kijken naar antivirus.

Opvallend is dat kwaadaardige software steeds geavanceerder wordt. Zo geavanceerd dat het voor virusscanners steeds moeilijker wordt om bedreigingen te detecteren. Daarbij worden de aanvallen vaak gericht aan de voorkant (endpoint) door bijvoorbeeld een een mail te sturen waar de ontvanger op ingaat. Op deze manier krijgt de aanvaller direct toegang tot de apparatuur van de gebruiker.

De grootste risico’s zijn op dit moment:

  • Versleuteling van bestanden. Oplossing is betalen om de bestanden te ontsleutelen. Hierbij ontvangt de aanvaller dus geld.
  • Stelen van bankgegevens. Op deze manier kan geld weggesluisd worden.
  • Stelen van gebruikersgegevens om doelgericht verder te kunnen gaan met een volgende aanval.

security-265130_1920

Antivirus producenten doen hun uiterste best om zo snel mogelijk nieuwe virussen te herkennen. In de praktijk zie ik dat dit ook vaak lukt. Veel (ook nieuwe) virussen worden snel herkend. Mijn advies is dan ook om antivirus software te gebruiken. Ook onder Windows 10 waar al extra beveiligingslagen standaard ingebouwd zijn. Om de overige risico’s zoveel mogelijk in te dekken is het handig om de volgende vragen te beantwoorden:

  • Bent u als gebruiker voldoende op de hoogte van risico’s?
  • Gebruikt u een veilige browser?
  • Gebruikt u sterke wachtwoorden voor bijvoorbeeld uw mail?
  • Is het gebruikte besturingssysteem up to date?
  • Wordt er originele software gebruikt en is deze bijgewerkt naar de laatste versie?

Een handige site is www.virustotal.com. Op deze site is het mogelijk een bestand te uploaden of een link te scannen. De site gebruikt tientallen antivirus software paketten waarmee direct een scan wordt uitgevoerd. Dit geeft een snel beeld of een bestand of link mogelijk kwaadaardig is.

Aanvullende bronnen met meer informatie:

https://www.ncsc.nl/actueel/Cybersecuritybeeld+Nederland/cybersecuritybeeld-nederland-5.html

https://veiliginternetten.nl/

Eset virusscanner en beveiliging (gratis proefversie 30 dagen)

Read more

In Eset Smart Security en andere Eset anti-virus producten krijgen gebruikers na update versie 13102 virusmeldingen binnen.

Het lijkt op een zogenaamde false positive. Dit lijkt op een virus maar is het niet.

Ik ben dit aan het onderzoeken. Meer informatie volgt.

Advies is om zoveel mogelijk van internet af te blijven tot er meer duidelijk is.

eset melding 2 eset melding 1

Virusmelding:

Toegang tot de webpagina is geblokkeerd.

Bedreiging: JS/ScrInject.B trojaans paard

 

Update 29-2-2016 11:10:
Eset Nederland bevestigd dat het inderdaad om een false positive gaat. Waarschijnlijk komt er vanmiddag een update. Gebruikers kunnen voor zover mogelijk gewoon internetten. Het probleem is op te lossen door terug te rollen naar update versie 13101

Update 29-2-2016 11:31:
In dit artikel wordt beschreven hoe een rollback werkt naar een vorige versie: http://support.eset.nl/kb3351/
Door een rollback uit te voeren worden de valse meldingen in ieder geval even niet gegeven. Let wel op dat je op een oudere versie draait. Hou ook even in de gaten wanneer de nieuwe virusdefinitie database beschikbaar is. Ik bericht dat op dit artikel.

Update 29-02-2016 11:41:
Zie hier wanneer de nieuwe update file online komt:  Meestal duurt het even voordat de update helemaal vrijgegeven wordt: http://virusradar.com/en/update/info

Update 29-02-2016 12:10:
Problemen gehad met een rollback vanuit ERA (Eset Remote Administrator). PC’s herstarten spontaan en aantal pc’s komen niet meer terug. Als meer mensen dit hebben wil je het dan even melden op dit forum? Het probleem lijkt niet voor te komen bij een gewone lokale rollback vanuit Eset.

Update 29-02-2016 12:13:
Melding op het Eset forum: https://forum.eset.com/topic/7550-wrong-detection-website-infection-jsscrinjectb/

Update 29-02-2016 12:23:
Update 13103 wordt gemeld: http://virusradar.com/en/update/info/13103, nog even wachten tot deze binnen komt.

Update 29-02-2016 12:26:
Eset meld dat het Eset International de update 13102 gestopt heeft. Gebruikers die nog op een lagere versie zitten krijgen 13102 niet automatisch binnen. Update 13103 komt in een normale situatie nog niet binnen.

Update 29-02-2016 12:47:
Er is een oplossing voor gebruikers waarbij computer uitvalt na een rollback via de ERA. Als er mensen zijn met computers die niet meer opstarten laat het dan even weten. Het lijkt erop dat dit een incident in één situatie is

Update 29-02-2016 12:48:
Virusdefinitie update 13103 is een feit. Deze komt binnen en ik ga deze testen.

Update 29-02-2016 12:50 oplossing!:
In versie 13103 is het probleem opgelost! Als er nog vragen zijn laat het dan gerust weten!

Einde updates

Hulde aan het Eset Nederland team voor de open informatie en snelle oplossingen! Niet alleen een goede virusscanner, maar ook uitstekende support bij een incident!

Read more