Besmetting met Dorifel de schuld van luie sysadmins?

nasdude schreef op dinsdag 14 augustus 2012 @ 11:36:
op nu.nl las ik het volgende:
http://www.nu.nl/internet...omputervirus-dorifel.html


[...]

Het aanpassen van een .docx naar een .scr document besmet geen andere pc's een andere gebruiker dat document probeert te openen. wat nu.nl hier suggereert is dat een besmette pc andere pc's infecteerd met het dorifel virus.

Mijn conclusie zou dus zijn:
PC-A is lid van een botnet ,PC-B word geinfecteerd door PC-A
Wat dus zou moeten betekenen dat de gebruiker van PC-A admin is over PC-B.

Hebben we hier dan te maken met luie beheerders die alle gebruikers over alle machine's admin maken? en hun AV niet op orde hebben, waarom zou PC-A anders besmet kunnen zijn

Dat zijn nogal wat aanname's...

AV is namelijk nooit op orde, je loopt immers altijd achter de feiten aan, en heuristische controle pakt blijkbaar ook niet alles.

Wat betreft "admin maken", ik neem aan dat je bedoelt dat gebruikers wordt toegestaan local admin te zijn?
Helaas zijn er nog veel te veel pakketten die simpelweg niet goed draaien als je het niet bent... neem bijvoorbeeld Agresso Wholesale van Unit4.

Helaas valt wat nu gebeurt met Dorifel nooit 100% te voorkomen

er valt alleen nog wat te winnen bij het opvoeden van gebruikers

Voorbeeldje:

"Ja, ik kreeg een mail van UPS, met een zipfile als bijlage. Ik had helemaal niets besteld? En als ik wel wat bestel krijg ik ze wel, maar dan zien de mailtjes er heel anders uit? En ook altijd zonder bijlage. Ik heb hem toch maar even geopend..."

[ Voor 11% gewijzigd door wicked1980 op 14-08-2012 13:38 ]

wicked1980 schreef op dinsdag 14 augustus 2012 @ 13:30:
[...]


Dat zijn nogal wat aanname's...

AV is namelijk nooit op orde, je loopt immers altijd achter de feiten aan, en heuristische controle pakt blijkbaar ook niet alles.

Wat betreft "admin maken", ik neem aan dat je bedoelt dat gebruikers wordt toegestaan local admin te zijn?
Helaas zijn er nog veel te veel pakketten die simpelweg niet goed draaien als je het niet bent... neem bijvoorbeeld Agresso Wholesale van Unit4.

Helaas valt wat nu gebeurt met Dorifel nooit 100% te voorkomen

er valt alleen nog wat te winnen bij het opvoeden van gebruikers

Voorbeeldje:

"Ja, ik kreeg een mail van UPS, met een zipfile als bijlage. Ik had helemaal niets besteld? En als ik wel wat bestel krijg ik ze wel, maar dan zien de mailtjes er heel anders uit? En ook altijd zonder bijlage. Ik heb hem toch maar even geopend..."

Dat is dan wel FAIL van Unit4 als je enkel als admin de software kan gebruiken.


Ontopic: Er wordt doorgaans gebruik gemaakt van een lek in software. Zoals in Java kan er software worden geschreven die dan jou pc infecteert, heb ik laatst met zo'n ING email gehad, link aangeklikt ipv gekopieerd en mis was het Mijn IE werkte niet meer maar FF wel.

Oplossing: een hoop dichtgooien en procedures opstellen

CT-NetService schreef op dinsdag 14 augustus 2012 @ 14:01:
[...]


Dat is dan wel FAIL van Unit4 als je enkel als admin de software kan gebruiken.

Zekers een fail ja

Weet helaas ook dat ze verre van de enige zijn

Dit lijkt me nu al een overtrokken topic worden... Paar voorbeeldjes van je eigen machine/netwerk dan maar?

- installeer eens een willekeurige plugin voor je browser? Vaak als admin
- installeer eens applicatie die gebruik maakt van de Microsoft XPS driver? Vaak als admin

Maar, aangezien sommigen hierboven het allemaal zo goed weten: leg maar eens uit hoe je 1 applicatie, zoals Unit4 Warehouse, dan volledig "veilig" neerzet zodat een Domain User deze op kan starten? Inclusief alle API-calls naar andere libs, kernel-calls, etc. Denk dat je dan een grotere kluif hebt aan het beveiligen van de applicatie dan dat je 1 "semi domain server" zou aankopen, Unit 4 erop zet en in/uitgaand verkeer controleert met hele stricte policies.

Hebben we hier dan te maken met luie beheerders die alle gebruikers over alle machine's admin maken? en hun AV niet op orde hebben, waarom zou PC-A anders besmet kunnen zijn

Blijkbaar werk jij niet bij een IT afdeling.. Slotje op deze topic zou niet mistaan, topic gaat nergens over anders dan provoceren!

Installaren onder de normale user, maar applicatie zelf "As an administrator" kan ook vaak. User hoeft dan geen adminrechten te hebben.

"Besmetting met Dorifel de schuld van luie sysadmins onwetende eindgebruikers." past er beter bij net zoals wat wicked1980 al zei.

MAX3400 schreef op dinsdag 14 augustus 2012 @ 14:28:
. . . Maar, aangezien sommigen hierboven het allemaal zo goed weten: leg maar eens uit hoe je 1 applicatie, zoals Unit4 Warehouse, dan volledig "veilig" neerzet zodat een Domain User deze op kan starten? Inclusief alle API-calls naar andere libs, kernel-calls, etc. Denk dat je dan een grotere kluif hebt aan het beveiligen van de applicatie dan dat je 1 "semi domain server" zou aankopen, Unit 4 erop zet en in/uitgaand verkeer controleert met hele stricte policies.

Dit is dus precies de luiheid die TS bedoelt. Ik moet het jou niet uitleggen; het is jouw werk om dat uit te zoeken! En da's helemaal geen rocket science, gewoon een kwestie van een keer procmon mee laten lopen en dokumenteren.

Zeker in dit geval is het ook geen excuus om af te geven op "users die overal op klikken". Users klikken op het dokument wat ze willen openen om hun werk te doen. Je kunt van users niet verwachten dat ze ook nog eens gaan controleren of het bestand toevallig een .scr extentie heeft. Het is de taak van de systeembeheerder om te voorkomen dat dit soort bestanden überhaupt op het netwerk komen te staan.

Brahiewahiewa schreef op vrijdag 17 augustus 2012 @ 16:28:
Users klikken op het dokument wat ze willen openen om hun werk te doen. Je kunt van users niet verwachten dat ze ook nog eens gaan controleren of het bestand toevallig een .scr extentie heeft.

Users clicken op van alles en nog wat : Ook op bestanden die als attachment zitten bij een e-mail van iemand die ze totaal niet kennen en duidelijk oplichterij is, echter denken ze daar niet over na en heeft de AV op de server het ook niet ontdekt, want de definities die wel up-to-date waren hadden dat totaal niet in de lijst staan bij zowat alle AV merken

Dat is alles wat ik kwijt wil hierover. Bij ons hadden we er geen last van gelukkig, maar ik heb het ".scr Topic" meegelezen en ik vond het toch wel erg lullig voor heel wat andere admins hier.
Ik vind dit topic dan ook een beetje jammer en een hoog "kijk mij het eens beter weten/aandacht geil" gehalte hebben

Brahiewahiewa schreef op vrijdag 17 augustus 2012 @ 16:28:
[...]

Dit is dus precies de luiheid die TS bedoelt. Ik moet het jou niet uitleggen; het is jouw werk om dat uit te zoeken! En da's helemaal geen rocket science, gewoon een kwestie van een keer procmon mee laten lopen en dokumenteren.

Het lijkt me ook geen rocket science om te beargumenteren dat je duidelijk nog nooit een terminal server omgeving hebt ingericht met pakweg 300 applicaties die uit DOS/16-bit, 32-bit en 64-bit bestanden bestaan en dat ook nog eens veilig probeert te doen. Even procmon mee laten lopen; het is ook wel weer een copy/paste van een /etc-update en dan denken dat je er bent.

En dan nog; procmon... Jij bent dus wel in staat om van grofweg 14000 reg-entries, 9000 files, 4 services, wat regsrv-calls 1-2-3 te beoordelen dat het veilig is, met welke permissies je iets moet benaderen en dat per user of applicatie te documenteren en aan te bieden? Een terminal-server is dus voor jou 2 uur werk, getest, klaar & veilig?

Ik was ook zeker niet op zoek naar een kant & klare oplossing, alhoewel ik wel eens de aanpak van topicstarter had willen horen; de mensen die het hardste roepen dat het luie systeembeheerders zijn, praten over het algemeen uit hun nek of komen net kijken in de ICT.

Zeker in dit geval is het ook geen excuus om af te geven op "users die overal op klikken". Users klikken op het dokument wat ze willen openen om hun werk te doen. Je kunt van users niet verwachten dat ze ook nog eens gaan controleren of het bestand toevallig een .scr extentie heeft. Het is de taak van de systeembeheerder om te voorkomen dat dit soort bestanden überhaupt op het netwerk komen te staan.

Oplossing: pen & papier!

Dat ik van mijn users niet hoef te verwachten dat ze zomaar overal op klikken, betekent niet dat in de huidige tijd van internet, het onmogelijk is dat er zaken een organisatie binnenkomen waarvan je normaliter mag verwachten dat het wel veilig is, zoals email van een gemeente. En zolang antivirus-makers nog steeds dagelijks updates moeten verspreiden, voedt dus alleen maar de bevestiging dat zolang kip&ei in ICT-land onbekend is, er altijd risico's kunnen bestaan.

MAX3400 schreef op vrijdag 17 augustus 2012 @ 17:36:
. . . En dan nog; procmon... Jij bent dus wel in staat om van grofweg 14000 reg-entries, 9000 files, 4 services, wat regsrv-calls 1-2-3 te beoordelen dat het veilig is, met welke permissies je iets moet benaderen en dat per user of applicatie te documenteren en aan te bieden? Een terminal-server is dus voor jou 2 uur werk, getest, klaar & veilig?

Je rukt m'n woorden uit hun verband: ik zeg alleen dat het analyseren van een applicatie (bijv Unit4 Warehouse) vrij eenvoudig te realiseren is met procmon.

Kijk, als ik in twee uur een terminal-server moet opleveren, dan draait alles en iedereen onder local admin. Maar dan geef ik geen garanties over veiligheid