Toon posts:

Het ontbreken van OS/HW beveiliging tegen ransomware

Pagina: 1
Acties:

zaterdag 5 augustus 2023 16:10

Acties:
  • 0 Henk 'm!
  • defiant
  • Registratie: Juli 2000
  • Laatst online: 02:58

defiant

Moderator General Chat
Topicstarter
Ransomware in de vorm van cryptolockers is alweer een paar jaar een bedreiging voor veel mensen en bedrijven. Waar ik me over verbaas is dat er in die tijd er geen oplossing is ontwikkelt die op OS/HW niveau beveiligd tegen ransomware. Ik krijg de indruk dat het wordt beschouwd als een geaccepteerde situatie, gebruikers zijn zelf verantwoordelijk zijn voor hun eigen beveiliging d.w.z. virusscanners, updates en backups.

Maar de specifieke eigenschap van ransomware, d.w.z. het encrypten van files, vraag ik me of waarom er op OS of hardware niveau niet beter kan worden beveiligd tegen dit deze mechanismen.

Een OS oplossing zal waarschijnlijk nooit waterdicht zijn, maar er is op dat vlak al wel innovatie, bijvoorbeeld op het gebied van EUFI secure boot om rootkits tegen te gaan. Zolang het systeem op kernel/driver level nog intact is zou een OS oplossing een COW (Copy On Write) filesysteem zijn met een trigger.

D.w.z. elke schrijfactie maakt een kopie, maar overschrijft de originele file nooit. NTFS heeft hier al een basis in met de Volume Shadow Copy service. Ransomware kan dus wel de files encrypten, maar het origineel blijft bestaan. Het OS zou een trigger kan maken dat een proces het schaduw kopie probeert te deleten of er wordt gesignaleerd dat een groot aantal files een COW actie ondergaan, dat er een panic event wordt gestuurd.

Hetzelfde zou te implementeren zijn in hardware, d.w.z. een schrijfactie is op hardware niveau een COW actie. Dit is uiteindelijk ingewikkelder omdat de meeste hardware blockstorage hebben en geen filestorage, wat recovery lastiger maakt. Ook heeft de hardware standaard geen concept van metadata en het daarnaast niet wanneer files wel of niet overschreven mogen worden. Dit verlangt tevens ook een industriestandaard die fabrikanten zouden moeten gaan ondersteunen.

De vraag is dan ook, waarom er op dit gebied geen brede oplossingen komen op bijvoorbeeld OS niveau. Dat zou al een oplossing kunnen zijn voor userspace ransomware. Zitten er technisch gezien toch nog adders onder het gras of zie ik iets anders over het hoofd. Of vind men dat dit het domein is van eigen verantwoordelijkheid?

"When I am weaker than you I ask you for freedom because that is according to your principles; when I am stronger than you I take away your freedom because that is according to my principles"- Frank Herbert

zaterdag 5 augustus 2023 18:59

Acties:
  • 0 Henk 'm!
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 23-09 09:06

kodak

FP ProMod
Ontwikkeling kost tijd en geld. Ontwikkelaars van hardware en besturingssystemen kunnen proberen oplossingen te bieden voor specifieke risico's, maar dat heeft niet zomaar toegevoegde waarde voor de eigen doelen (waaronder winst in geld of meer gebruikers). Juist omdat er vaak al meerdere soortgelijke oplossingen bestaan, zelfs oplossingen die ondertussen ook andere risico's proberen te voorkomen. Een extra feature toevoegen aan hardware kan daarbij voor verlies in performance en betrouwbaarheid zorgen. Bij antivirus of basic schaduwkopieen klopt een gebruiker niet zomaar bij de verkoper aan als de malware het weet te verslaan. Maar maak er een aparte feature in de hardware van dat je zou beschermen en ze kijken naar de fabrikant dat de hardware defect is en niet betrouwbaar. Ik denk niet dat fabrikanten daar op zitten te wachten als ze juist op betrouwbaarheid een reputatie opbouwen en de winst daaraan verdienen.

Oplossingen meer naar OS of hardware verplaatsen (of verdelen) maakt het daarbij ook niet zomaar veiliger. Voor de lucratieve kant voor de fabrikant komt voor de gebruikers afhankelijkheid en eenzijdigheid. Dat kunnen criminelen ook goed gebruiken: mogelijk meer slachtoffers als ze de beveiliging weten te verslaan. En dat is meestal waarom ransomware ook succesvol is.

In de open source wereld valt misschien eerder te verwachten dat er meer aandacht voor is. Daar worden veel minder virusscanners gebruikt. Maar mogelijk is men daar juist al veel verder met het hoe dan ook rekening houden actuele backups te hebben.

zaterdag 5 augustus 2023 21:46

Acties:
  • 0 Henk 'm!
  • defiant
  • Registratie: Juli 2000
  • Laatst online: 02:58

defiant

Moderator General Chat
Topicstarter
kodak schreef op zaterdag 5 augustus 2023 @ 18:59:
Ontwikkeling kost tijd en geld. Ontwikkelaars van hardware en besturingssystemen kunnen proberen oplossingen te bieden voor specifieke risico's, maar dat heeft niet zomaar toegevoegde waarde voor de eigen doelen (waaronder winst in geld of meer gebruikers). Juist omdat er vaak al meerdere soortgelijke oplossingen bestaan, zelfs oplossingen die ondertussen ook andere risico's proberen te voorkomen.
Daar zie ik eigenlijk het grootste probleem, de kosten van fundamentele kwetsbaarheden van een OS worden zo geëxternaliseerd. Er bestaat dus ook geen incentive om die kosten te maken, terwijl de schade juist relatief groot is.

Zie ook:
The cost of ransomware attacks worldwide will go beyond $265 billion in the next decade
Currently, the cybersecurity agency estimates that ransomware will cost us approximately $20 billion this year, a 57x jump from 2015.
20 miljard dollar staat natuurlijk in schril contrast met de kosten voor het implementeren van zo'n feature. Imho is dat een teken dat de markt voor cybersecurity niet goed functioneert, voornamelijk ook omdat de schade terecht komt bij afnemers van de producten en hierdoor geen incentive is om het probleem bij de kern op te lossen.

Juist voor een op desktop gebied zijnde monopolist als Microsoft zou (imho) die verantwoordelijk moeten nemen.

"When I am weaker than you I ask you for freedom because that is according to your principles; when I am stronger than you I take away your freedom because that is according to my principles"- Frank Herbert

zaterdag 5 augustus 2023 22:01

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik zie dit vooral bij de (pay-per-use) cloud partijen gebeuren. Vraag is dan wel of de klant wil betalen voor ‘oneindige’ opslag.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 5 augustus 2023 22:19

Acties:
  • 0 Henk 'm!
  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 23:52

The Eagle

I wear my sunglasses at night

Het business model van msft is echt op cloud gebaseerd. En idd, op Azure kun je prima dit soort dingen krijgen. Wordt ook veel gebruikt daarzo, denk aan volume shadow copies.
Daar verdient msft aan, dus voor hen is er geen enkele incentive om er voor desktop gebruik iets voor te maken. Als je dat wilt voor thuis: gebruik OneDrive, of voor de meer geavanceerde gebruiker: koop wat Azure Storage. En pay per use :)

Ga je on premise kijken (of het nou desktop of server is), pak er even het osi model bij. Ransomware komt van bovenaf binnen terwijl jij bescherming op een veel lagere laag voorstelt. Beter dan aan de deur beschermen, zeker als je niet weet wat je binnenkrijgt. Wat ook nog meespeelt is dat als je in een lagere laag bescherming inbouwt, dat impact heeft op alle lagen daarboven. Dus extra effort.

Kan kosten / baten nooit uit :)

Onder de streep vraag je je eigenlijk af of een bedrijf als msft een domme eindgebruiker tegen zichzelf moet beschermen. Het ethische antwoord is ja, maar het commerciële een dikke nee. En het is een commercieel bedrijf ;)

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

zaterdag 5 augustus 2023 22:27

Acties:
  • +1 Henk 'm!
  • Oon
  • Registratie: Juni 2019
  • Niet online

Oon

Een groot probleem met ransomware is dat nieuwere ransomware gewoon een hele lange tijd aanwezig is voor het actief wordt zodat zelfs je maandelijkse of halfjaarlijkse back-ups geïnfecteerd zijn voor er daadwerkelijk iets geëncrypt wordt. Een kopie van gewijzigde bestanden werkt dan ook niet, tenzij je een volledige versiegeschiedenis van ieder bestand gaat bijhouden.

zaterdag 5 augustus 2023 22:57

Acties:
  • +2 Henk 'm!
  • Onbekend
  • Registratie: Juni 2005
  • Laatst online: 22-09 09:45

Onbekend

...

defiant schreef op zaterdag 5 augustus 2023 @ 16:10:
De vraag is dan ook, waarom er op dit gebied geen brede oplossingen komen op bijvoorbeeld OS niveau. Dat zou al een oplossing kunnen zijn voor userspace ransomware. Zitten er technisch gezien toch nog adders onder het gras of zie ik iets anders over het hoofd. Of vind men dat dit het domein is van eigen verantwoordelijkheid?
Je blijft altijd met het probleem zitten dat voor elke oplossing weer nieuwe ransomware tegen ontwikkeld wordt.
Het idee om de originele files terug te kunnen lezen m.b.v. van het NTFS-systeem, werkt alleen als maximaal de helft van de opslagruimte is beschreven. Als je vrije ruimte nog maar 20% is en alles is encrypted, zou je dan nog maar 60% van de originele bestanden terug krijgen. Maar ze kunnen ook elk bestand 4x achter elkaar encrypten en dan wordt de kans dat het NTFS-systeem de originele bestanden kan achterhalen steeds kleiner en kleiner.

De enige mogelijkheid om dit tegen te gaan is een kopie van de bestanden te maken waarvan je zeker weet dat ze niet geïnfecteerd zijn. Een gewone off-line backup dus. :)
Ik krijg de indruk dat het wordt beschouwd als een geaccepteerde situatie, gebruikers zijn zelf verantwoordelijk zijn voor hun eigen beveiliging d.w.z. virusscanners, updates en backups.
Eigenlijk komt het er wel op neer dat mensen zelf verantwoordelijk zijn. Als je ziet hoe lastig het is om bij normale mensen thuis Windows en alle programma's up-to-date te houden, zouden bedrijven veel hogere prijzen voor de software moeten rekenen. Een normale update gaat vaak zonder problemen, maar als er problemen ontstaan is dat vaak een gevolg van andere problemen zoals te weinig schijfruimte, verouderde en niet ondersteunende hardware of conflicten.

En daarnaast moet je ook zelf het e.e.a. in de hand houden en testen. Vertrouw jij een ander bedrijf erop dat ze van jouw volledige systeem een backup hebben kunnen maken en kunnen terug zetten in geval van problemen? Ik niet.

Speel ook Balls Connect en Repeat

zaterdag 5 augustus 2023 23:33

Acties:
  • 0 Henk 'm!
  • defiant
  • Registratie: Juli 2000
  • Laatst online: 02:58

defiant

Moderator General Chat
Topicstarter
Onbekend schreef op zaterdag 5 augustus 2023 @ 22:57:
Eigenlijk komt het er wel op neer dat mensen zelf verantwoordelijk zijn. Als je ziet hoe lastig het is om bij normale mensen thuis Windows en alle programma's up-to-date te houden, zouden bedrijven veel hogere prijzen voor de software moeten rekenen. Een normale update gaat vaak zonder problemen, maar als er problemen ontstaan is dat vaak een gevolg van andere problemen zoals te weinig schijfruimte, verouderde en niet ondersteunende hardware of conflicten.
Dit is natuurlijk een van de kernoorzaken, het probleem zou er niet zijn als mensen hun systeem goed zouden onderhouden. Maar sinds de opkomst van de personal computer is (imho) wel duidelijk geworden dat de meeste gebruikers geen systeembeheerders zijn.

Aan de ene kant is er dus wel de verwachting van de eigen verantwoordelijkheid, maar aan de andere kant is dat een situatie die door de decennia heen niet realistisch is gebleken. Ik vind het hierdoor opvallend dat het risico blijkbaar geaccepteerd wordt, zeker als je ziet met hoeveel materiële en immateriële schade ransomware veroorzaakt.
En daarnaast moet je ook zelf het e.e.a. in de hand houden en testen. Vertrouw jij een ander bedrijf erop dat ze van jouw volledige systeem een backup hebben kunnen maken en kunnen terug zetten in geval van problemen? Ik niet.
Het probleem is hier eigenlijk hetzelfde, namelijk aansprakelijkheid. Als een bedrijf juridisch aansprakelijk is voor het het normaal en fatsoenlijk kunnen beheren van backups, dan zal het bedrijf ook incentives hebben om dit goed te implementeren. Het risico op schadevergoedingen of zelfs het voortbestaan van de business staat op het spel.

"When I am weaker than you I ask you for freedom because that is according to your principles; when I am stronger than you I take away your freedom because that is according to my principles"- Frank Herbert

zondag 6 augustus 2023 11:37

Acties:
  • 0 Henk 'm!
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 23-09 09:06

kodak

FP ProMod
defiant schreef op zaterdag 5 augustus 2023 @ 23:33:
[...]
Ik vind het hierdoor opvallend dat het risico blijkbaar geaccepteerd wordt, zeker als je ziet met hoeveel materiële en immateriële schade ransomware veroorzaakt.
We accepteren belangrijke risico's op papier niet: onvoldoende beveiligen van financiele gegevens en onvoldoende beveiligen van persoonsgegevens. Daar is wetgeving voor gemaakt. Het accepteren lijkt meer een kwestie van andere belangen hebben, zoals winst op korte termijn en er op rekenen dat er voorspoed is als men zonder nodige producten, diensten of werk komt te zitten.

zondag 6 augustus 2023 12:53

Acties:
  • 0 Henk 'm!
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 23-09 07:30

jurroen

Security en privacy geek

De vraag is dan ook, waarom er op dit gebied geen brede oplossingen komen op bijvoorbeeld OS niveau. Dat zou al een oplossing kunnen zijn voor userspace ransomware. Zitten er technisch gezien toch nog adders onder het gras of zie ik iets anders over het hoofd. Of vind men dat dit het domein is van eigen verantwoordelijkheid?
Persoonlijk ben ik van mening dat het niet aan de techniek ligt, maar aan de architectuur. In Windows zit opt-in techniek om de impact van ransomware te beperken (controlled folder access en privilege separation); deze staan standaard niet aan omdat het anders teveel zou breken.

Als ik een tool gebruik als Veracrypt om één enkele map of bestand te versleutelen, hoe zou het OS dat fatsoenlijk moeten onderscheiden van ransomware? En met een copy-on-write kan ik er, als gebruiker, niet meer vanuit gaan dat het origineel niet meer terug te halen is door iemand met fysieke toegang tot het systeem.

En vergeet niet dat DRM in games en anti-cheat software in 'ring 0' draait en vaak ook techniek gebruikt (virtualisatie, encryptie) die niet of lastig te onderscheiden is van ransomware techniek.

Ik denk dat een goede oplossing een walled-garden benadering is - wat iOS/iPadOS en ChromeOS bijvoorbeeld ook doen. De gebruikers die wat browsen, maieln en media consumeren kun je daarmee al een stuk veiliger maken. Alleen zal dat niet voldoende zijn voor de power users en anderen die volledige controle willen of nodig hebben over hun machine. En zo lang men die optie heeft, blijven we ook ransomware zien.

Kleine sidenoot: ik wil hier overigens niet mee zeggen dat het walled-garden model goed is of dat we dat allemaal door onze strot geduwd moeten krijgen - juist niet!

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

maandag 7 augustus 2023 09:07

Acties:
  • 0 Henk 'm!
  • BytePhantomX
  • Registratie: Juli 2010
  • Laatst online: 23-09 16:43

BytePhantomX

Microsoft zou in haar systemen waarschijnlijk prima iets kunnen bouwen tegen ransomware. Dat hebben ze eigenlijk al gedaan met controlled folder access: https://learn.microsoft.c...lders?view=o365-worldwide

Maar voor servers e.d. zou het waarschijnlijk ook issues opleveren en productieverstoringen als de technologie verkeerd ingrijpt. En daarnaast mogelijk ook performance impact. De vraag is dan ook of bedrijven een mogelijke feature uberhaupt wel aanzetten of aan laten staan.

Daarnaast had Microsoft ook allang andere dingen kunnen fixen om ransomware te voorkomen. Veel actoren dumpen bijvoorbeeld credentials uit het geheugen. Een techniek die al 15-20 jaar mogelijk is en Microsoft heeft het nog steeds niet opgelost. Hetzelfde geld voor macro's. Dat kon ook allang opgelost worden, maar pas recent hebben ze daar wat in aangepast. Naar mijn idee is het een mix van complexiteit, veel bedrijven die dat soort veranderingen niet willen (ondanks de risico's) en uiteraard ook een groot stuk commercie. Security is inmiddels een groot verdienmodel voor Microsoft en als alles veilig maken kost geld en levert ook minder omzet op.

dinsdag 22 augustus 2023 17:18

Acties:
  • +1 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 03:07

CAPSLOCK2000

zie teletekst pagina 888

defiant schreef op zaterdag 5 augustus 2023 @ 16:10:
Ransomware in de vorm van cryptolockers is alweer een paar jaar een bedreiging voor veel mensen en bedrijven

<knip>

De vraag is dan ook, waarom er op dit gebied geen brede oplossingen komen op bijvoorbeeld OS niveau. Dat zou al een oplossing kunnen zijn voor userspace ransomware. Zitten er technisch gezien toch nog adders onder het gras of zie ik iets anders over het hoofd. Of vind men dat dit het domein is van eigen verantwoordelijkheid?
Ransomware wordt al weer als gepasseerd station gezien. Goed backups lossen dat probleem namelijk grotendeels op. Daarom is de nieuwe aanpak dat ze dreigen je gegevens (of die van je klanten) te publiceren. Er is weinig wat je daar tegen kan doen anders dan zorgen dat ze niet binnen komen.

Het helpt wel enorm om aan dataminimalisatie te doen en niet meer te bewaren dan strict noodzakelijk. Wat er niet is kan ook niet lekken.

This post is warranted for the full amount you paid me for it.

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq